Tu veux les meilleurs outils IA avant les autres ?
On teste et on décrypte les nouveaux outils IA chaque soir, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
L'évolution du modèle de menace des agents IA
Traditionnellement, la sécurité de l'IA se concentrait sur le modèle lui-même : ses réponses, ses refus et sa gestion des prompts malveillants. Ce cadre était adapté à une IA fonctionnant comme une interface textuelle, où l'utilisateur envoie un message et l'IA répond. La surface d'attaque était alors limitée et bien définie.
Cependant, l'introduction des agents IA a radicalement changé la donne. Ces agents ne se contentent pas de générer du texte ; ils planifient, utilisent des outils, stockent des informations entre les sessions et collaborent souvent avec d'autres agents pour accomplir des tâches complexes. Cela modifie le modèle de risque de manière significative.
Les chiffres confirment que ce n'est plus une préoccupation théorique. Selon le rapport 2026 State of AI Agent Security de Gravitee, basé sur une enquête auprès de plus de 900 dirigeants et praticiens, 88 % des organisations ont signalé des incidents de sécurité liés aux agents IA au cours de l'année écoulée. De plus, seulement 14,4 % des systèmes agentiques ont été déployés avec une sécurité et une approbation IT complètes.
Ce schéma s'étend à l'ensemble de l'industrie. Un rapport de 2026 d'Apono a révélé que 98 % des responsables de la cybersécurité signalent des frictions entre l'accélération de l'adoption de l'IA agentique et le respect des exigences de sécurité, entraînant un ralentissement ou des déploiements contraints. Cet écart entre la vitesse de déploiement et la préparation à la sécurité est précisément là où les incidents se produisent.
Les quatre surfaces d'attaque des agents IA
Un LLM autonome présente une seule surface d'attaque : le prompt. En revanche, un agent IA expose quatre surfaces distinctes :
- La surface des prompts : Elle concerne la lecture des entrées externes.
- La surface des outils : Elle implique l'exécution d'actions en arrière-plan.
- La surface de la mémoire : Elle concerne la mémorisation des sessions passées.
- La surface de la boucle de planification : Elle implique la décision des prochaines étapes.
Chaque surface présente des schémas d'attaque spécifiques, et les défenses conçues pour l'une ne sont pas applicables aux autres.
Exemples d'attaques et de vulnérabilités
En 2025, Pomerium a signalé un incident où un agent de support IA a exécuté un payload SQL caché, divulguant des secrets de base de données dans un ticket public. Cet exemple illustre comment l'ajout d'outils, de mémoire et de planification autonome à un LLM crée des surfaces d'attaque distinctes nécessitant des modèles de menace entièrement nouveaux.
La surface des prompts
L'entrée utilisateur est souvent propre, mais la vulnérabilité réside dans tout ce que l'agent consomme en arrière-plan. Lorsqu'un agent récupère une page web ou un document, ces entrées arrivent sans frontière de confiance. Les attaquants ne compromettent pas l'interface utilisateur ; ils plantent des payloads là où l'agent finira par regarder. C'est ce qu'on appelle l'injection de prompt indirecte.
La surface des outils
Chaque outil qu'un agent peut appeler représente une frontière de permission, ce qui en fait une cible principale pour l'exploitation. L'attaque principale est l'injection de paramètres : manipuler l'agent pour qu'il passe des valeurs contrôlées par l'attaquant à des outils qui déclenchent des conséquences dans le monde réel, comme des écritures de base de données ou des requêtes API signées.
La surface de la mémoire
Imaginez un tableau blanc partagé dans un bureau sur lequel on s'appuie pour prendre des décisions quotidiennes. Si un étranger réécrit silencieusement une entrée pendant la nuit, la production entière de l'équipe change en fonction de données corrompues. La mémoire persistante dans un agent autonome fonctionne exactement de la même manière.
La boucle de planification
Un GPS alimenté par de fausses données cartographiques donne toujours des directions précises. La logique de routage fonctionne parfaitement, mais la destination est erronée. Le conducteur n'a aucune idée qu'il arrive quelque part où il n'avait jamais prévu d'aller.
Stratégies de défense
Pour sécuriser les agents IA, plusieurs stratégies sont recommandées :
- Sanitisation des frontières : Traitez toutes les données externes comme non fiables à chaque point de récupération.
- Séparation des instructions : Utilisez des formats structurés pour isoler les prompts système du contenu récupéré.
- Filtrage pré-exécution : Scannez les schémas d'exfiltration avant que tout outil ne soit exécuté.
Ces mesures visent à sécuriser l'ingestion des données par l'agent. Cependant, une fois que l'agent prend des mesures, l'attaque peut se déplacer vers la surface des outils.
Le compromis entre sécurité et autonomie
Chaque mesure de sécurité appliquée aux surfaces de prompt, d'outil, de mémoire et de planification a un coût. Ignorer ces compromis peut créer un faux sentiment de sécurité. Par exemple, restreindre l'environnement d'outils limite les capacités de l'agent, mais réduit également les risques. De même, l'ajout de contrôles humains sur les actions irréversibles empêche les écritures non autorisées mais peut introduire une latence.
Le réglage optimal de la sécurité pour un déploiement dépend de trois facteurs :
- Profil de capacité : Les contrôles doivent être proportionnels aux capacités de l'agent.
- Environnement de tâche : Les agents opérant dans des environnements critiques nécessitent des mesures de sécurité plus strictes.
- Rayon d'explosion : Les décisions doivent être basées sur le pire résultat possible d'une exploitation.
