securisc SECURISC solution cyber security RGPD GDPR NIS2 PRA PCA SECURISCORE cybersecurity by ABSOMOD Group
  • securisc SECURISC solution cyber security RGPD GDPR NIS2 PRA PCA SECURISCORE cybersecurity by ABSOMOD Group
  • Contactez nous
  • France : + 33 6 82 40 22 28
    Europe : + 352 26 10 87 41

Attention aux agents IA déployés en production

Securisc, 06 mai 2026

L’ANSSI a publié une alerte sur les agents IA autonomes en entreprise. Le 13 avril, le CERT-FR a publié un bulletin qui mérite d’atterrir sur le bureau de chaque DSI et DG : CERTFR-2026-ACT-016.

En effet, ces outils ne se contentent plus de répondre à des questions. Ils exécutent des commandes, contrôlent le navigateur, lisent et écrivent des fichiers, gèrent le calendrier, envoient des mails.  Le tout déclenché par un simple message Slack ou WhatsApp.

L’ANSSI a publié une alerte sur les agents IA autonomes en entreprise. Le 13 avril, le CERT-FR a publié un bulletin qui mérite d’atterrir sur le bureau de chaque DSI et DG : CERTFR-2026-ACT-016. Le message est clair : attention aux agents IA déployés en production. 

En effet, ces outils ne se contentent plus de répondre à des questions. Ils exécutent des commandes, contrôlent le navigateur, lisent et écrivent des fichiers, gèrent le calendrier, envoient des mails. Le tout déclenché par un simple message Slack ou WhatsApp.

5 risques identifiés par l’ANSSI :

1) Compromission du poste via des outils encore en bêta
2) Fuite de données vers des ressources externes non maîtrisées
3) Droits d’accès excessifs sur l’ensemble des applications métier
4) Partage de secrets d’authentification avec l’agent
5) Perte de contrôle sur les actions exécutées, y compris destructrices

Une étude de chercheurs de Harvard, MIT et Stanford (« Agents of Chaos », février 2026) documente 10 failles de sécurité majeures sur 11 cas testés. Des agents qui obéissent à des personnes non autorisées, divulguent des informations sensibles, exécutent des actions destructrices au niveau système.

Il s'agit de shadow IT version 2026. Sauf que cette fois, le collaborateur ne branche pas une clé USB — il donne à un agent l’accès à sa messagerie, son agenda, ses fichiers métier et ses mots de passe. Sans passer par la DSI. Sans validation du RSSI.

Questions à poser à votre prochain Comex :

1. Combien de collaborateurs utilisent un agent IA sur leur poste aujourd’hui ? (Si personne ne sait répondre, c’est déjà une réponse.)
2. Existe-t-il une politique d’autorisation et d’isolation pour ces outils, validée par la DSI et le RSSI ?
3. Quelles données métier sont accessibles à ces agents — et où transitent-elles ?

L’ANSSI recommande :

  • validation préalable DSI/RSSI,
  • environnement isolé obligatoire,
  • approbation humaine avant toute action système,
  • liste blanche des canaux autorisés.


agent IA