This is the Trace Id: cf930f2c3dfb515bcd2881a6e08bafe1

 

Cyber Pulse : rapport exclusif sur la sécurité de l’IA

Les données télémétriques et recherches récentes de Microsoft révèlent que de nombreuses organisations adoptent des assistants IA. Les dirigeants doivent agir maintenant pour mettre en place observabilité, gouvernance et sécurité.
Lisez le rapport Partagez
Trois collègues réunis dans un espace de travail moderne, avec un texte en surimpression soulignant l’adoption des assistants IA low-code par les entreprises du Fortune 500.

Numéro 1 : Introduction

Les organisations de pointe réinventent le travail, avec humains et agents collaborant côte à côte pour repousser les limites de l’ambition humaine. Les données récentes de Microsoft montrent que ces équipes hybrides humains-agents se développent rapidement et sont adoptées mondialement.

Les assistants IA se déploient plus vite que la capacité de certaines entreprises à les détecter, créant un risque commercial lié à ce manque de visibilité. Les entreprises doivent impérativement instaurer une gouvernance et une sécurité efficaces pour adopter les agents en toute confiance, stimuler l’innovation et limiter les risques. Comme les utilisateurs humains, les assistants IA nécessitent une protection via une observabilité, une gouvernance et une sécurité renforcées, fondées sur les principes de Confiance zéro. Les entreprises qui réussiront la prochaine étape de l’adoption de l’IA seront celles qui agiront vite, en réunissant métiers, IT, sécurité et développeurs pour superviser, gouverner et sécuriser leur transformation IA.

Dans l’écosystème Microsoft, les clients développent et déploient des agents sur toutes les grandes plateformes, de Fabric et Foundry à Copilot Studio et Agent Builder, illustrant une transition majeure vers l’automatisation intelligente intégrée au flux de travail.

La création d’agents ne se limite plus aux profils techniques : aujourd’hui, des collaborateurs de tout horizon conçoivent et utilisent des agents au quotidien. En effet, les données Microsoft révèlent que plus de 80 % des entreprises du Fortune 500 déploient des agents actifs créés avec des outils low-code/no-code.1 Face à l’expansion rapide des agents et aux opportunités de transformation qu’ils offrent, il est crucial d’établir dès maintenant des contrôles fondamentaux.

Tout comme pour les collaborateurs humains, la Confiance zéro appliquée aux agents signifie :
 

  • Accès au moindre privilège : attribuez à chaque utilisateur, assistant IA ou système les droits nécessaires ; ni plus ni moins.

  • Vérification explicite : validez systématiquement l’identité, la santé du dispositif, la localisation et le niveau de risque avant d’accorder l’accès.

  • Supposer une compromission possible : concevez les systèmes en anticipant que des attaquants pourraient pénétrer le périmètre.

Graphique montrant que plus de 80 % des entreprises du Fortune 500 utilisent activement des outils low-code, avec Ask Copilot en tête.

Les assistants IA se déploient rapidement, dans tous les secteurs et régions.

L’adoption des agents s’accélère dans toutes les régions du monde, de l’EMEA aux Amériques en passant par l’Asie.2
Graphique à barres illustrant la répartition régionale : EMEA 42 %, États-Unis 29 %, Asie 19 %, Amériques 10 %.
Microsoft constate une croissance des agents dans tous les secteurs d’activité. Les services financiers, l’industrie manufacturière et le commerce de détail mènent l’adoption des agents. Les services financiers (banque, marchés des capitaux et assurance) représentent environ 11 % des agents actifs dans le monde.2 Le secteur manufacturier compte pour 13 % de l’utilisation globale des agents, témoignant d’une adoption massive dans les usines, chaînes d’approvisionnement et opérations énergétiques.2 Le commerce de détail représente 9 %, avec des agents déployés pour optimiser l’expérience client, la gestion des stocks et les opérations de première ligne.2

Le problème : certains agents sont validés par le service informatique, d’autres non. Certains agents sont sécurisés, d’autres présentent des vulnérabilités.
Cercles superposés illustrant la répartition sectorielle : Logiciels et technologies 16 %, industrie manufacturière 13 %, services financiers 11 %, commerce de détail 9 %.

Le risque des agents doubles

Le déploiement rapide des agents peut dépasser les contrôles de sécurité et de conformité, augmentant le risque d’IA fantôme. Des acteurs malveillants peuvent exploiter les accès et privilèges des agents, les transformant en « agents doubles » involontaires. Comme pour les collaborateurs humains, un agent disposant de trop d’accès, ou ayant des instructions erronées, devient une faille potentielle.

La menace que représentent ces agents doubles, s’ils sont mal gérés, mal autorisés ou manipulés par des entrées non fiables, est une réalité concrète. Récemment, l’équipe Defender de Microsoft a identifié une campagne frauduleuse où plusieurs acteurs ont exploité une technique d’attaque IA appelée « empoisonnement de la mémoire » pour manipuler durablement la mémoire des assistants IA, orientant discrètement leurs réponses futures et sapant la confiance dans la fiabilité du système.

Dans le cadre d’une recherche indépendante et sécurisée sur banc d’essai menée par l’équipe rouge IA de Microsoft, les chercheurs ont démontré comment des agents pouvaient être trompés par des éléments d’interface malveillants, par exemple en suivant des instructions nuisibles dissimulées dans du contenu courant. L’équipe rouge a aussi révélé que le raisonnement des agents pouvait être subtilement détourné via une manipulation du cadrage des tâches. Ces découvertes soulignent l’importance cruciale pour les entreprises d’avoir une observabilité et une gestion complètes de tous les agents intervenant dans leur environnement, afin d’appliquer des contrôles centralisés et de gérer les risques de manière intégrée.
Selon une enquête réalisée en 2025, 29 % des collaborateurs utilisent des agents d’IA non approuvés pour leurs tâches professionnelles
Selon l’Indice de sécurité des données de Microsoft, seulement 47 % des organisations tous secteurs confondus déclarent mettre en place des contrôles spécifiques de sécurité GenAI,3 ce qui révèle une opportunité majeure pour obtenir la visibilité indispensable à une adoption sécurisée de l’IA. Plus important encore, selon une enquête internationale menée auprès de plus de 1 700 professionnels de la sécurité des données, commandée par Microsoft via Hypothesis Group, 29 % des collaborateurs utilisent déjà des assistants IA non autorisés pour leurs tâches professionnelles.4
Diagramme circulaire révélant que seulement 47 % des entreprises ont mis en place des contrôles de sécurité pour l’utilisation de l’IA générative.

À mesure que l’adoption s’accélère, combien de dirigeants mesurent réellement les risques sous-jacents ? Combien de dirigeants disposent d’une visibilité claire sur leur collection d’agents ? Les assistants IA non supervisés ou non gouvernés peuvent amplifier les risques dans l’entreprise ; mettant en péril la sécurité, la continuité des activités et la réputation, et retombant directement sous la responsabilité du RSSI et de la direction générale. C’est là tout le cœur du dilemme lié aux risques informatiques. Les assistants IA ouvrent de nouvelles perspectives au sein des entreprises et s’intègrent progressivement aux opérations internes. Pourtant, les comportements à risque de ces agents peuvent accentuer les menaces internes et générer de nouvelles vulnérabilités pour les organisations qui ne sont pas préparées à les maîtriser.

 

La dualité de l’IA est désormais une réalité : une innovation exceptionnelle conjuguée à des risques sans précédent.

Exploitez pleinement le potentiel de vos assistants IA

Les entreprises les plus avancées surfent sur la vague de l’IA pour moderniser leur gouvernance, réduire les expositions inutiles aux données et déployer des contrôles à l’échelle de l’entreprise. Elles accompagnent cette transformation d’un changement culturel : si les dirigeants métiers pilotent la stratégie IA, les équipes informatiques et sécurité sont désormais des partenaires clés pour l’observabilité, la gouvernance et l’expérimentation sécurisée. Pour ces organisations, sécuriser les agents n’est pas une contrainte, mais un avantage compétitif, fondé sur une approche qui traite les assistants IA comme des utilisateurs humains, en appliquant les mêmes principes de Confiance zéro.

Tout commence par l’observabilité : on ne peut protéger ce que l’on ne voit pas, ni gérer ce que l’on ne comprend pas. L’observabilité, c’est disposer d’un plan de contrôle transversal à tous les niveaux de l’entreprise (informatique, sécurité, développeurs, équipes IA) pour comprendre :

  • Quels agents existent,
     

  • Qui en est responsable,
     

  • Quels systèmes et données ils manipulent,
     

  • Et comment ils se comportent.


 

L’observabilité s’appuie sur cinq piliers essentiels :

  • Un registre centralisé constitue une source unique de vérité pour l’ensemble des agents de l’entreprise, qu’il s’agisse d’agents autorisés, tiers ou fantômes émergents. Cette base d’inventaire prévient la prolifération incontrôlée des agents, renforce la responsabilité et facilite leur identification, tout en permettant de restreindre ou de mettre en quarantaine les agents non autorisés lorsque cela est nécessaire.
  • Chaque agent est soumis aux mêmes contrôles d’accès basés sur l’identité et les politiques que ceux appliqués aux utilisateurs humains et aux applications. L’application rigoureuse des autorisations au moindre privilège garantit que les agents n’accèdent qu’aux données, systèmes et flux de travail indispensables à leur mission ; ni plus, ni moins.
  • Des tableaux de bord en temps réel et une télémétrie détaillée offrent une visibilité sur la manière dont les agents interagissent avec les personnes, les données et les systèmes. Les dirigeants peuvent ainsi localiser les agents en action, comprendre leurs dépendances, et surveiller leur comportement et impact ; facilitant la détection rapide des usages abusifs, dérives ou risques émergents.
  • Les agents opèrent de manière cohérente sur les plateformes Microsoft, les infrastructures open source et les écosystèmes tiers, sous un modèle de gouvernance unifié. Cette interopérabilité leur permet de collaborer avec les utilisateurs et d’autres agents à travers les flux de travail, tout en restant sous le contrôle des mêmes règles d’entreprise.
  • Des protections intégrées assurent la sécurité des agents face aux usages abusifs internes et aux menaces externes. Les signaux de sécurité, l’application des politiques et les outils intégrés permettent de détecter rapidement les agents compromis ou non conformes, et d’intervenir avant que ces incidents ne causent des dommages opérationnels, réglementaires ou réputationnels.

Combler les lacunes : liste de contrôle pour la gouvernance et la sécurité de l’IA

La clé pour maîtriser les risques liés à l’IA est claire : traitez les assistants IA avec la même rigueur que tout employé ou compte de service logiciel. Voici sept points essentiels pour votre liste de contrôle.
  • Documentez la finalité de chaque agent et limitez son accès strictement à ce qui est nécessaire. Aucun privilège excessif.
  • Appliquez les règles de protection des données aux canaux d’IA. Conservez des pistes d’audit et identifiez clairement le contenu généré par l’IA.
  • Proposez des alternatives sécurisées pour limiter l’IA fantôme. Bloquez les applications non autorisées.
  • Mettez à jour vos plans de continuité des activités pour intégrer les scénarios liés à l’IA. Organisez des exercices de simulation et suivez les indicateurs clés d’observabilité sur les plans d’identité, de données et de menaces.
  • Mettez en place dès aujourd’hui une gouvernance de l’IA et une autorégulation efficaces (documentez les données d’entraînement, évaluez les biais et instaurez une supervision humaine couvrant les aspects juridiques, données et sécurité) pour intégrer la conformité réglementaire dès la conception, sans ajout ultérieur.
  • Élevez la gestion des risques liés à l’IA au niveau stratégique de l’entreprise, en instaurant une responsabilité exécutive claire, des indicateurs de performance clé, mesurables et une visibilité au conseil d’administration, au même titre que les risques financiers et opérationnels.
  • Formez vos collaborateurs à une utilisation sécurisée de l’IA. Favorisez la transparence et la collaboration.

Les organisations qui réussiront avec les assistants IA seront celles qui placent l’observabilité, la gouvernance et la sécurité au cœur de leur stratégie. Cela exige une collaboration étroite entre toutes les équipes et une observabilité complète des assistants IA à tous les niveaux : professionnels du service informatique, équipes de sécurité, experts IA et développeurs, tous guidés via une plateforme centralisée unifiée.

Agent 365 est la plateforme de contrôle unifiée de Microsoft pour gérer les assistants IA à l’échelle de votre organisation. Elle offre un système centralisé, de niveau entreprise, pour enregistrer, gouverner, sécuriser, surveiller et exploiter les assistants IA ; qu’ils reposent sur les plateformes Microsoft, des infrastructures open source ou des solutions tierces. Pour en savoir plus sur les produits et services Microsoft dédiés à la sécurisation de l’IA et des agents, rendez-vous ici.
Cartes ressources Microsoft Security présentant des guides sur les applications IA, la gouvernance de l’IA et la conformité de l’IA, sur fond bleu.
Guides pour sécuriser l’IA

Guide Microsoft pour une sécurisation de l’entreprise basée sur l’intelligence artificielle

Bénéficiez de conseils pour bâtir une base solide en IA, incluant la gouvernance, la sécurisation des applications IA et le maintien de la conformité.
Lisez les guides

Ressources supplémentaires

Personne travaillant sur un ordinateur portable dans un espace de travail partagé, tout en consultant des informations sur un smartphone.

Indice de sécurité des données de Microsoft

Découvrez comment l’IA générative révolutionne la sécurité des données.
Lisez le rapport
Présentateur sur scène avec des annotations à l’écran : comprendre les risques, mettre en place les bons contrôles, mesurer et surveiller.

Accélérez les opportunités à l’aide d’une IA fiable

Écoutez les leaders de Microsoft partager des méthodes concrètes pour instaurer la confiance à chaque étape de votre transition vers l’IA.
Regarder le webinaire
Icône bleue et blanche représentant un document dans une enveloppe avec la mention Nouveau.

Obtenez le CISO Digest

Gardez une longueur d’avance grâce aux informations d’experts, aux tendances sectorielles et à la recherche en sécurité dans cette série d’e-mails bimensuelle.
Inscrivez-vous
  1. [1]
    Données basées sur la télémétrie propriétaire de Microsoft mesurant les agents créés avec Microsoft Copilot Studio ou Microsoft Agent Builder, utilisés durant les 28 derniers jours de novembre 2025.
  2. [2]
    Les métriques d’agents régionaux et de l’industrie ont été créées à l’aide de la télémétrie propriétaire de Microsoft mesurant les agents créés avec Microsoft Copilot Studio ou Microsoft Agent Builder, utilisés durant les 28 derniers jours de novembre 2025.
  3. [3]
    Enquête multinationale de juillet 2025 auprès de plus de 1 700 professionnels de la sécurité des données, commanditée par Microsoft via Hypothesis Group.
  4. [4]

    Indice de sécurité des données Microsoft 2026 : unifier protection des données et innovation IA, Microsoft Security, 2026.

     

    Méthodologie :

     

    Les métriques d’agents régionaux et de l’industrie ont été créées à l’aide de la télémétrie propriétaire de Microsoft mesurant les agents créés avec Microsoft Copilot Studio ou Microsoft Agent Builder, utilisés durant les 28 derniers jours de novembre 2025.

     

    Indice de sécurité des données 2026 :

     

    Une enquête en ligne de 25 minutes a été réalisée du 16 juillet au 11 août 2025 auprès de 1 725 responsables de la sécurité des données.

     

    Les questions portaient sur le paysage de la sécurité des données, les incidents, la sécurisation de l’usage de l’IA générative par les collaborateurs, et l’intégration de l’IA générative dans les programmes de sécurité des données, afin de comparer avec 2024.

     

    Des entretiens approfondis d’une heure ont été menés avec 10 responsables de la sécurité des données aux États-Unis et au Royaume-Uni pour recueillir leurs retours sur la gestion de la sécurité des données dans leurs organisations.

     

    Définitions :

     

    Les agents actifs sont 1) déployés en production et 2) ont enregistré une « activité réelle » au cours des 28 derniers jours.

     

    L’« activité réelle » correspond à au moins 1 interaction avec un utilisateur (agents d’assistance) OU au moins 1 exécution autonome (agents autonomes).

Suivez la Sécurité Microsoft