Le concept d’Agentic AI est présenté comme le prochain saut, des systèmes qui ne se contentent pas de répondre mais d’agir. Ils exécutent des tâches, accèdent à des systèmes, prennent des décisions en chaîne. La promesse est l’autonomie. Le problème est que nous empilons cette autonomie sur une base qui demeure, par nature, probabiliste et opaque. Et cela ouvre une surface de risque que beaucoup sous-estiment.
La première fragilité réside dans la délégation excessive du contrôle. Lorsque un agent décide quel outil utiliser, quelles données consulter et quelle action effectuer, il ne s’agit pas seulement d’automatiser, mais d’externaliser des décisions vers un système qui n’a pas une notion fiable et cohérente du contexte, de l’intention ou des conséquences.
Dans la pratique, cela signifie que les erreurs ne sont plus ponctuelles mais deviennent systématiques. Un agent ayant accès aux e-mails et au calendrier, face à une consigne ambiguë telle que « réorganise ma semaine et donne la priorité au client X », peut, sans protections adéquates, annuler des réunions critiques, exposer des informations sensibles ou envoyer des messages inappropriés. Il n’y a pas de « bon sens » intégré, seulement une inférence statistique.
Une autre fragilité est plus subtile. L’injection de prompts comme vecteur d’attaque. Dans les systèmes agentifs, le modèle interagit avec de multiples sources externes comme des documents, des API, des pages web, créant un scénario où les données d’entrée peuvent contenir des instructions malveillantes. Ce n’est pas un bug classique, mais une conséquence structurelle des systèmes basés sur des instructions via le langage. L’entrée influence le comportement comme si c’était du code.
Et l’utilisation diffuse des permissions ? L’accès continue d’être contrôlé par des systèmes, mais l’usage de cet accès est médiatisé par le langage. Un agent peut consulter correctement des données et produire des réponses inappropriées en raison d’une interprétation ambiguë du contexte.
Un autre point critique concerne la mémoire. Dans de nombreux systèmes, les agents utilisent une mémoire à long terme pour améliorer les performances. C’est utile, mais cela va jusqu’au moment où des données sensibles sont stockées sans une gouvernance claire.
Il existe aussi le problème de la chaîne de décisions. Dans les architectures multi-agents, retracer l’origine d’une erreur n’est pas trivial. Les journaux aident, mais ne résolvent pas l’opacité du processus.
Et, bien sûr, il existe le facteur économique et structurel. Chaque appel supplémentaire accroît la surface d’attaque et la complexité opérationnelle. L’architecture qui promet l’autonomie étend également le périmètre des risques.
Au milieu de tout cela, surgit l’illusion que l’ajout de garde-fous résout le problème. Cela ne résout pas structurellement. Cela aide, mais n’élimine pas le risque et peut créer une fausse impression de sécurité.
En fin de compte, l’IA agentive n’est pas seulement une évolution technique, mais un changement de modèle de risque. Autrefois, nous protégions des systèmes qui exécutaient un code prévisible. Désormais, nous devons protéger des systèmes qui interprètent le langage et prennent des décisions. Et cela exige un niveau élevé de discipline.
Ainsi, la question n’est pas ce que ces agents savent faire. Elle est ce qu’ils peuvent faire lorsqu’ils interprètent mal quelque chose et que vous ne vous en rendez même pas compte.
