25. mars 2026 | Imprimer l'article |

OWASP Agentic AI Top 10 : Quand les agents d’IA deviennent la plus grande surface d’attaque

9 min de lecture

Les actions des sociétés logicielles s’effondrent, car les agents d’IA doivent automatiser des processus commerciaux entiers. Pourtant, tandis que les dirigeants discutent d’économies de coûts, un problème de sécurité émerge que la plupart des équipes IT n’ont pas encore repéré : les agents autonomes créent une surface d’attaque entièrement nouvelle. L’OWASP a défini pour la première fois un cadre avec les Agentic AI Top 10 – et 48 % des professionnels de la sécurité considèrent déjà les agents d’IA comme la menace n°1 pour 2026.

L’essentiel

  • OWASP Agentic AI Top 10 : En décembre 2025, l’OWASP a publié le premier cadre de sécurité spécifiquement conçu pour les agents d’IA autonomes – développé par plus de 100 experts (OWASP, décembre 2025).
  • Première cyberattaque par IA documentée : En septembre 2025, un groupe soutenu par un État a utilisé un agent d’IA pour une campagne d’espionnage de plusieurs jours – 80 à 90 % de l’exécution de l’attaque s’est déroulée de manière autonome (Anthropic, novembre 2025).
  • 82 identités machine par humain : Dans les entreprises, 82 identités non humaines existent déjà pour chaque identité humaine – les agents d’IA aggravent encore davantage ce rapport (CyberArk, 2025).
  • 48 % voient les agents d’IA comme la menace principale : Près de la moitié des spécialistes de la cybersécurité considèrent l’IA basée sur des agents comme le vecteur d’attaque le plus important pour 2026 – devant les ransomwares et les attaques sur la chaîne d’approvisionnement (Dark Reading, 2026).
  • 492 serveurs MCP ouverts : Trend Micro a identifié début 2026 près de 500 serveurs Model Context Protocol exposés sans aucune authentification. Le premier serveur MCP malveillant confirmé a redirigé des e-mails pendant des semaines.
  • Gartner exige des Guardian Agents : D’ici 2028, 40 % des DSI exigeront la disponibilité de Guardian Agents – des systèmes d’IA chargés de surveiller d’autres agents d’IA (Gartner Market Guide, février 2026).

Pourquoi les agents d’IA constituent une nouvelle catégorie de menace

Les modèles de sécurité précédents pour les systèmes d’IA reposaient sur un processus simple : un humain pose une question, un modèle répond, l’humain évalue la réponse. La surface d’attaque se limitait alors au prompt et à la réponse.

Les agents d’IA autonomes fonctionnent fondamentalement différemment. Un agent reçoit un objectif, planifie une séquence d’actions, appelle des outils externes, stocke des informations dans une mémoire à long terme, lance des sous-agents et exécute – souvent sans qu’un humain vérifie chaque étape. La surface d’attaque comprend désormais chaque appel d’outil, chaque accès au stockage, chaque transfert entre agents et chaque connexion aux systèmes externes.

AWS a confirmé le 24 mars 2026 qu’il développe en interne des agents d’IA pour les ventes et le développement commercial. Le secteur logiciel a perdu 4,3 % en une seule journée. Alors que le monde financier débat des valorisations, les DSI doivent répondre à une question plus pressante : qui contrôle ce que font ces agents ?

48 %
des professionnels de la sécurité considèrent les agents d’IA comme la menace n°1 pour 2026
Source : Dark Reading Survey, 2026

Cas pratique : la première cyberattaque par IA documentée

Les risques identifiés par l’OWASP ne sont pas théoriques, comme en témoigne l’incident de septembre 2025. Anthropic a révélé une campagne d’espionnage de plusieurs jours au cours de laquelle un groupe soutenu par un État a utilisé un agent d’IA comme outil d’attaque autonome. L’entreprise a qualifié cet événement de premier cas documenté d’attaque cybernétique à grande échelle assistée par l’IA.

L’agent a effectué une reconnaissance réseau, généré automatiquement du code d’exploitation, collecté des identifiants et exfiltré des données avec une catégorisation automatique selon leur valeur informationnelle. Entre 80 et 90 % de l’exécution de l’attaque s’est déroulée de manière autonome. Les attaquants ont contourné les mécanismes de sécurité par fragmentation des tâches : l’attaque a été divisée en petites sous-tâches apparemment inoffensives, qui individuellement ne déclenchaient aucun avertissement.

Une trentaine d’organisations du secteur technologique, financier, chimique et des administrations publiques ont été touchées. Les comptes ont été bloqués dans les dix jours, les organisations et autorités concernées ont été informées. Pour les DSI, cet incident est un signal d’alarme : la méthode – détournement d’objectif d’agent (Agent Goal Hijacking) via des tâches fragmentées – correspond exactement à OWASP ASI01, en première position des Agentic AI Top 10.

Les OWASP Agentic AI Top 10 en détail

Le cadre publié en décembre 2025 identifie dix risques critiques spécifiques aux agents autonomes. Les trois plus dangereux sont :

Le détournement d’objectif d’agent (Agent Goal Hijacking, ASI01) figure en première position : les attaquants injectent des entrées manipulées – un e-mail piégé, un document corrompu, un site compromis. L’agent ne peut pas distinguer de manière fiable les instructions des données et exécute les objectifs manipulés en utilisant ses outils légitimes et ses droits d’accès. Une seule entrée malveillante peut rediriger entièrement l’agent.

L’empoisonnement de la mémoire (Memory Poisoning) est particulièrement insidieux : les attaquants injectent progressivement des informations erronées dans la mémoire à long terme d’un agent. Sur plusieurs semaines, son comportement décisionnel dérive. La détection classique d’anomalies ne fonctionne pas, car les changements sont trop graduels.

Les vulnérabilités de la chaîne d’approvisionnement et des serveurs MCP sont déjà une réalité : Trend Micro a identifié début 2026 un total de 492 serveurs Model Context Protocol exposés sans aucune authentification. Le premier serveur MCP malveillant confirmé – postmark-mcp – a redirigé toutes les e-mails sortants en copie cachée (BCC) vers une adresse contrôlée par les attaquants pendant des semaines, avant d’être découvert.

Les entreprises sont déjà exposées à des attaques Agentic-AI – souvent sans savoir que des agents tournent dans leur environnement.
Keren Katz, co-responsable OWASP et responsable senior du groupe Sécurité de l’IA chez Tenable (traduction approximative)

NIS2 et le cadre réglementaire

Pour les entreprises allemandes, une dimension supplémentaire s’ajoute : NIS2 est une loi applicable depuis décembre 2025. Environ 29 500 établissements sont soumis aux nouvelles obligations. La loi exige explicitement une gestion des risques et une déclaration d’incidents – y compris pour les systèmes d’IA utilisés dans les secteurs réglementés.

L’ENISA et les organismes européens de normalisation CEN, CENELEC et ETSI travaillent à relier directement les exigences de sécurité spécifiques à l’IA aux obligations fondamentales de NIS2. L’examen prévu de NIS2 en 2026 deviendra un point de convergence pour les normes techniques, les contrôles d’IA et la déclaration d’incidents.

La triade réglementaire composée de NIS2, de l’acte européen sur l’IA (EU AI Act) et de l’ISO 42001 définit le cadre : NIS2 établit les exigences fondamentales en matière de gestion des risques et d’obligations de déclaration. L’EU AI Act classe les systèmes d’IA à haut risque. L’ISO 42001 fournit le système de management. Les entreprises utilisant des agents d’IA doivent répondre à ces trois niveaux.

Les conséquences en cas de non-respect sont importantes : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les établissements particulièrement importants. Jusqu’à 7 millions d’euros ou 1,4 % pour les établissements importants.

Gestion des identités et des accès pour les agents d’IA

L’un des défis sous-estimés : les agents d’IA ne sont pas des humains, mais ont besoin d’identités. Ils s’authentifient auprès d’API, accèdent à des bases de données, envoient des e-mails au nom de collaborateurs. Les systèmes classiques de gestion des identités et des accès (IAM) ne sont pas conçus pour cela.

L’ampleur du problème est illustrée par le rapport CyberArk State of Machine Identity Security 2025 : dans les entreprises, 82 identités machine existent déjà pour chaque identité humaine – clés API, comptes de service, certificats, jetons. Les agents d’IA aggravent massivement ce rapport, car chaque agent nécessite plusieurs identités pour différents outils et systèmes.

82 : 1
Rapport entre identités machine et identités humaines dans les entreprises
Source : CyberArk State of Machine Identity Security Report, 2025

Si un agent d’IA envoie des e-mails, modifie des données CRM et crée des offres commerciales avec les droits d’accès d’un responsable commercial, qui est responsable en cas d’incident de sécurité ? Les modèles de rôles existants (RBAC, ABAC) partent du principe que les utilisateurs humains comprennent le contexte et prennent des décisions en conscience.

Un nouveau paradigme est nécessaire pour les agents : la gestion des identités machine (Machine Identity Management). Chaque agent reçoit une identité propre, traçable, avec des autorisations clairement définies, des jetons à durée limitée et une rotation automatique. Azure Managed Identities et AWS IAM Roles offrent des solutions, mais la majorité des entreprises ne les utilisent pas encore pour des scénarios d’agents.

Le cadre OWASP recommande : aucune identité partagée entre humain et agent. Chaque accès par un agent doit être enregistré et analysable séparément. Si un agent est compromis, la révocation de son identité ne doit pas bloquer un utilisateur humain.

L’écart entre adoption et sécurisation

L’écart est alarmant : les entreprises déploient des agents d’IA à un rythme effréné, tandis que les équipes sécurité peinent à suivre. Selon une enquête de Dark Reading, seuls 34 % des entreprises disposent de contrôles de sécurité spécifiques à l’IA. Parallèlement, Gartner prévoit qu’au plus tard fin 2026, 40 % des applications d’entreprise intégreront des agents d’IA.

Cet écart est aggravé par la pression concurrentielle. Depuis qu’AWS a confirmé le 24 mars son développement d’agents d’IA internes pour les ventes, la pression augmente pour que d’autres entreprises suivent. La crainte de perdre du terrain conduit à des déploiements précipités sans architecture de sécurité adéquate.

Un scénario typique : un service métier déploie un agent d’IA pour la communication client, le connecte au CRM, à la messagerie et au calendrier – sans impliquer l’équipe sécurité. En quelques heures, l’agent obtient plus de droits d’accès que la plupart des employés. Et personne ne surveille ses actions.

Guardian Agents : quand l’IA surveille d’autres IA

Gartner a publié en février 2026 son premier Market Guide for Guardian Agents – un signal que le secteur a pris conscience du problème. Les Guardian Agents sont des systèmes d’IA spécialement conçus pour surveiller d’autres agents d’IA et vérifier leurs actions par rapport à des limites définies. Gartner définit trois rôles : les Reviewer examinent les sorties, les Monitors observent les actions en cours, les Protectors bloquent en cas de violation de règle.

Les prévisions sont claires : d’ici 2028, selon Gartner, 40 % des DSI exigeront que des Guardian Agents soient disponibles pour leurs déploiements d’IA. D’ici 2030, les Guardian Agents représenteront 10 à 15 % du marché total de l’Agentic AI. Et d’ici 2029, les Guardian Agents indépendants remplaceront presque la moitié des systèmes de sécurité actuels pour les agents d’IA.

Un détail du rapport mérite une attention particulière : d’ici 2028, selon Gartner, au moins 80 % des transactions non autorisées par des agents d’IA résulteront de violations internes de politique – et non d’attaques externes. Le plus grand risque provient donc de ses propres agents qui dépassent leurs limites définies. Les Guardian Agents traitent précisément ce problème : ils créent une couche de contrôle au-dessus des agents opérationnels.

Check-liste pratique : comment sécuriser les agents d’IA

L’OWASP recommande le principe de l’autonomie minimale – l’équivalent spécifique aux agents du principe du moindre privilège. Concrètement, cela signifie :

1. Créer un inventaire des agents : Quels agents d’IA tournent dans votre environnement ? De nombreuses entreprises ne le savent pas. Les agents fantômes (shadow agents) dans les départements marketing, ventes et finance sont fréquents.

2. Restreindre l’accès aux outils : Chaque agent ne peut utiliser que les outils et API strictement nécessaires à sa tâche définie. Aucun agent n’a besoin d’accéder simultanément à l’ensemble du CRM et du système de messagerie.

3. Mettre en place une traçabilité de la mémoire (Memory Provenance) : Chaque information dans la mémoire de l’agent reçoit des métadonnées indiquant sa source, son niveau de confiance et son statut de validation. Cela permet de détecter l’empoisonnement de la mémoire.

4. Réaliser du Red Teaming pour agents : Les tests d’intrusion doivent explicitement tester l’injection de prompts, l’abus d’outils et l’élévation de privilèges dans les flux de travail des agents. Les tests d’intrusion standard ne couvrent pas la surface d’attaque spécifique aux agents.

5. Sécuriser les serveurs MCP : Tous les serveurs Model Context Protocol doivent être protégés par authentification et contrôles d’accès. L’incident postmark-mcp montre qu’un seul serveur non sécurisé peut exfiltrer des données pendant des semaines.

6. Évaluer une stratégie de Guardian Agent : Pour les déploiements complexes multi-agents, prévoir une couche de surveillance. Le Gartner Market Guide fournit un cadre pour sélectionner et mettre en œuvre des Guardian Agents comme instance de contrôle indépendante.

Conclusion

Les agents d’IA arriveront – que ce soit sous forme d’outils internes d’AWS, de remplacement de licences SaaS ou d’automatisateurs de processus autonomes. La question n’est pas de savoir si, mais à quelle vitesse. L’incident Anthropic de septembre 2025 a montré que les attaquants savent déjà comment utiliser les agents d’IA comme arme. Parallèlement, 82 identités machine par humain travaillent déjà dans les environnements d’entreprise – chacune pouvant devenir une porte d’entrée potentielle.

Pour les équipes sécurité, cela signifie : adopter dès maintenant les OWASP Agentic AI Top 10 comme référence, créer un inventaire des agents, appliquer le principe du moindre privilège spécifique aux agents (Least-Agency Principle) et évaluer les Guardian Agents comme couche de contrôle. La première étape concrète reste un audit des agents fantômes : quels agents d’IA tournent déjà dans votre environnement, qui les a déployés et quels droits d’accès possèdent-ils ? Celui qui attend que le premier incident d’empoisonnement de mémoire se produise dans son entreprise aura raté le moment pour une sécurisation proactive.

Questions fréquentes

Qu’est-ce que les OWASP Agentic AI Top 10 ?

Un cadre de sécurité publié en décembre 2025 qui identifie les dix risques les plus critiques pour les agents d’IA autonomes. Il a été développé par plus de 100 experts et complète les OWASP LLM Top 10 existantes, qui ne s’appliquent qu’aux systèmes d’IA conversationnels sous contrôle humain.

Qu’est-ce que le détournement d’objectif d’agent (Agent Goal Hijacking) ?

Le détournement d’objectif d’agent (Agent Goal Hijacking) consiste à injecter des entrées manipulées dans les sources de données d’un agent d’IA – par exemple via un e-mail piégé ou un document corrompu. L’agent ne peut pas distinguer de manière fiable les instructions des données et exécute les objectifs manipulés en utilisant ses outils et droits d’accès légitimes.

Qu’est-ce que l’empoisonnement de la mémoire (Memory Poisoning) pour les agents d’IA ?

L’empoisonnement de la mémoire désigne l’injection progressive d’informations erronées dans la mémoire à long terme d’un agent. Contrairement aux attaques classiques, la manipulation est graduelle sur plusieurs semaines et apparaît comme un processus d’apprentissage normal. La détection d’anomalies classique ne fonctionne donc pas.

Qu’est-ce que les Guardian Agents ?

Les Guardian Agents sont des systèmes d’IA chargés de surveiller d’autres agents d’IA et de vérifier leurs actions par rapport à des règles et limites définies. Gartner distingue trois rôles : les Reviewer examinent les sorties, les Monitors observent les actions en cours, les Protectors bloquent en cas de violation de règle. D’ici 2030, ils devraient représenter selon Gartner 10 à 15 % du marché de l’Agentic AI.

Que signifie le rapport 82:1 pour les identités machine ?

Selon le CyberArk State of Machine Identity Security Report 2025, il existe 82 identités machine pour chaque identité humaine dans les entreprises – clés API, comptes de service, certificats et jetons. Les agents d’IA aggravent ce rapport, car chaque agent nécessite ses propres identités pour différents outils et systèmes.

Les agents d’IA sont-ils soumis à NIS2 ?

Oui, s’ils sont utilisés dans l’un des 18 secteurs réglementés. NIS2 exige une gestion des risques et une déclaration d’incidents pour tous les systèmes informatiques. L’ENISA travaille à relier directement les exigences spécifiques à l’IA aux obligations fondamentales de NIS2. L’examen NIS2 de 2026 apportera des directives plus concrètes.

Quel est le pourcentage d’entreprises disposant de contrôles de sécurité spécifiques à l’IA ?

Seulement 34 % selon une enquête de Dark Reading auprès de professionnels de la cybersécurité. Cela signifie que les deux tiers des entreprises utilisent ou prévoient d’utiliser des agents d’IA sans avoir mis en place de mesures de sécurité adéquates.

Quel a été l’incident postmark-mcp ?

Le premier cas confirmé de serveur MCP malveillant. Le module postmark-mcp a redirigé pendant des semaines tous les e-mails sortants en copie cachée (BCC) vers une adresse contrôlée par les attaquants. Trend Micro a identifié début 2026 un total de 492 serveurs MCP exposés sans aucune authentification.

Pour aller plus loin

Copilot comme risque de sécurité : quand l’assistant IA fuit des secrets d’entreprise

Attaque sur la chaîne d’approvisionnement contre Trivy : quand le scanner de sécurité devient une arme

Obligation d’enregistrement NIS2 : la check-list pratique selon l’article 30 BSIG

Plus d’informations sur le réseau MBF Media

cloudmagazin : NIS2 et SaaS – le fossé de conformité

Digital Chiefs : Responsabilité juridique de l’IA au sein du conseil d’administration

MyBusinessFuture : Cyber Resilience Act

Source de l’image : Pexels / cottonbro studio (px:5473956)

Imprimer l'article
Benedikt Langer

À propos de l'auteur: Benedikt Langer

Plus d'articles de

Un magazine de Evernine Media GmbH