Introduction
Le marché des agents d’IA croît plus vite que la sécurité ne peut suivre. Début 2026, plus de 3 millions d’agents opéraient dans les environnements d’entreprise, selon une enquête de Gravitee auprès de 919 organisations — et 88 % de ces entreprises ont signalé au moins un incident de sécurité lié à un agent d’IA. (Source : Gravitee — State of AI Agent Security 2026)
Le rapport AIRQ (AI Risk Quadrant) du deuxième trimestre 2026, publié le 3 juin, est la première évaluation indépendante à méthodologie ouverte de la sécurité réelle des agents en production. Il a évalué 100 agents répartis en 10 classes — des assistants de codage aux agents d’utilisation d’ordinateur en passant par les copilotes d’entreprise — en les notant sur la surface d’attaque, le rayon d’explosion, les contrôles de défense et la maturité de la gouvernance.
Les résultats sont édifiants.
Les chiffres qui comptent
| Métrique | Valeur |
|---|---|
| Agents atteignant le seuil de sécurité (« Leaders Fortifiés ») | 11 % |
| Agents présentant la « triade létale » | 98 % |
| Agents dans le quadrant « Géants Exposés » (surface d’attaque élevée, défense faible) | 40 % |
| Budget de risque total détenu par les Géants Exposés | 60 % |
| Agents avec des défenses vérifiées de manière indépendante | 17 % |
| Agents d’utilisation d’ordinateur avec des garde-fous de sortie | 0 % |
(Source : Help Net Security — Only 11% of Production Agents Pass the AI Agent Security Bar)
La triade létale
Le rapport identifie un schéma si courant qu’il a mérité son propre nom. La « triade létale » se compose de trois capacités qui, combinées, créent un profil de risque inacceptablement élevé :
- Accès aux données privées — L’agent peut lire des bases de données internes, des documents, des e-mails ou des dépôts de code.
- Exposition à du contenu non fiable — L’agent ingère des données externes (pages web, téléchargements d’utilisateurs, tickets, e-mails) pouvant contenir des charges utiles malveillantes.
- Capacité d’action sortante — L’agent peut écrire des fichiers, envoyer des messages, exécuter du code, modifier l’infrastructure ou déclencher des appels API.
98 % des agents de l’étude présentent ces trois caractéristiques. Les 2 % restants — un seul agent assistant général et un seul agent d’ingénierie des données — sont des cas particuliers qui manquent par hasard d’un élément de la triade, et non des exemples de conception de sécurité intentionnelle.
« L’ingestion de données externes est la surface d’attaque universelle », note le rapport. Un seul document hostile, e-mail ou page web contenant une injection indirecte d’invite peut orienter presque n’importe quel agent vers des actions non autorisées — car presque tous les agents lisent du contenu non fiable.
Agents de codage et agents d’utilisation d’ordinateur : les catégories les plus risquées
Le rapport classe les catégories d’agents par surface d’attaque et niveaux de défense. Les résultats révèlent un schéma clair : les agents les plus capables sont les moins défendus.
| Catégorie d’agent | Classement des capacités | Classement des défenses | Constat clé |
|---|---|---|---|
| Agents de codage | 2e | 8e sur 10 | Adoption ascendante contourne les barrières d’approvisionnement |
| Agents d’utilisation d’ordinateur | Élevé | Dernier (10e) | Note moyenne des garde-fous de sortie : zéro |
| Copilote de travail / Processus métier | Modéré | 1er | Adoption descendante, gouvernance au niveau de la plateforme |
(Source : Rapport AIRQ T2 2026)
Agents de codage : l’aveuglement sécuritaire en libre-service
Les agents de codage sont adoptés de manière ascendante — les développeurs les installent individuellement, souvent sans aucun examen de sécurité. Ils ont accès aux dépôts de code privés, peuvent lire la documentation sur le web ouvert et peuvent exécuter du code ou pousser des commits. Le rapport les classe 2e en surface d’attaque et 8e en défense — un écart massif.
Le problème est structurel : les personnes qui déploient les agents de codage (les développeurs) ne sont pas celles responsables de la sécurité (les RSSI), et l’outil est conçu pour maximiser l’autonomie, pas l’auditabilité.
Agents d’utilisation d’ordinateur : aucune défense de sortie
Les agents d’utilisation d’ordinateur — des systèmes capables de contrôler un environnement de bureau ou de navigateur — représentent le cas extrême. Chaque agent de cette classe a obtenu zéro en matière de garde-fous de sortie. Aucune validation de sortie, aucun blocage d’exfiltration, aucune désinfection du rendu. Combinés à la triade létale (tous les agents d’utilisation d’ordinateur la présentent à 100 %), ces agents constituent la catégorie la plus risquée de l’étude.
Comme le dit Eugene Neelou, chef de projet AIRQ : « Les agents de codage et les agents informatiques se classent parmi les 2 premières surfaces d’attaque, les 2 premiers rayons d’explosion et les 2 contrôles de défense les plus faibles. »
Audit sans défense : le faux réconfort de l’observabilité
L’une des découvertes les plus surprenantes du rapport est que 37 % des agents obtiennent de bons scores en matière de journalisation et d’observabilité, mais de mauvais scores en matière de prévention des dommages. Ces agents peuvent vous dire exactement ce qui a mal tourné — après que les dégâts sont faits.
« L’audit n’est qu’un actif médico-légal », prévient le rapport. Les journaux n’empêchent pas l’exfiltration de données. Ils n’empêchent pas un agent de supprimer des données de production. Ils ne bloquent pas une injection d’invite qui dégénère en compromission de l’infrastructure.
Ajoutant à l’inquiétude : 38 % des agents effectuent des actions irréversibles avant que la surveillance ne puisse se déclencher. Au moment où l’alerte atteint un opérateur humain, les dégâts sont déjà faits.
Exécution d’outils : le meilleur prédicteur unique de risque
L’analyse AIRQ a identifié l’exécution d’outils comme le facteur dominant dans la détermination du rayon d’explosion d’un agent — expliquant 76 % de la variance entre tous les agents. Cette variable unique surpasse la catégorie d’agent, la réputation du fournisseur et tout contrôle de défense individuel en tant que prédicteur du risque global.
L’implication pratique : un agent capable d’exécuter des outils est fondamentalement différent d’un agent qui ne le peut pas. Le risque des agents est effectivement bimodal — agents exécutant des outils vs. agents n’en exécutant pas — et les deux catégories doivent être évaluées avec des modèles de menace entièrement différents.
| Atténuation | Réduction du risque |
|---|---|
| Exécution en bac à sable | ~2,6x de réduction |
| Isolation cloud/conteneur | ~6x de réduction |
| Identifiants permanents (vs. mandatés) | Augmentation illimitée du risque |
(Source : Rapport AIRQ T2 2026)
L’écart de vérification : 83 % des affirmations ne sont pas vérifiées
Peut-être la découverte la plus troublante est l’écart entre les défenses revendiquées et celles vérifiées. Seulement 17 % des crédits de défense portent une marque de vérification indépendante. Les 83 % restants sont basés sur la documentation du fournisseur, des livres blancs ou une posture de sécurité autodéclarée.
« AIRQ est conçu pour récompenser la transparence des fournisseurs », explique Neelou. « La vérification indépendante signifie des preuves provenant de sources publiques, par opposition aux documents confidentiels des fournisseurs. »
L’isolation d’exécution est le composant le moins vérifiable — ce qui est problématique car c’est aussi la défense la plus efficace (6x de réduction du risque lorsqu’elle est correctement implémentée).
Ce que les acheteurs devraient faire
Le rapport AIRQ propose six recommandations actionnables pour les organisations qui déploient ou achètent des agents d’IA :
-
Traiter l’agent comme l’unité de risque — au-dessus du modèle sous-jacent. Le modèle compte, mais les outils, l’accès aux données et l’environnement d’exécution de l’agent déterminent le rayon d’explosion réel.
-
Comparer les agents au sein de la même classe et du même quadrant — un agent de codage et un agent de support client opèrent selon des modèles de menace fondamentalement différents.
-
Séparer les certifications de conformité de la notation technique des défenses — la conformité SOC 2 n’empêche pas l’injection d’invite.
-
Noter chaque plateforme deux fois — telle que livrée par le fournisseur et telle que configurée par l’acheteur. L’écart entre ces deux notes peut être plus large que l’écart entre des catégories entières d’agents.
-
Exiger un bac à sable documenté et testé avant le déploiement — c’est la défense vérifiée la plus efficace (2,6x de réduction du risque).
-
Effectuer des réaudits trimestriels — le volume de CVE sur le marché des agents d’IA augmente trimestre après trimestre. Les catégories avec un faible nombre de vulnérabilités sont probablement dans une phase de pré-découverte, pas réellement plus sécurisées.
(Source : Help Net Security — Recommandations)
Le problème de la responsabilité partagée
Le rapport met en lumière un problème structurel qui fait écho aux débuts de la sécurité dans le cloud. Un agent final déployé a souvent une posture de sécurité différente de la configuration par défaut de la plateforme du fournisseur, car :
- L’adoption ascendante (les développeurs installant des agents de codage) contourne entièrement les barrières d’approvisionnement.
- Les paramètres par défaut livrés par le fournisseur correspondent rarement aux exigences de sécurité de l’entreprise.
- La configuration du client peut introduire des vulnérabilités que le fournisseur n’a jamais testées.
« Similaire au modèle de responsabilité partagée dans la sécurité du cloud, un produit agentique final déployé par l’acheteur a souvent une posture de sécurité différente de celle d’une configuration de plateforme par défaut », note Neelou.
FAQ
Q : Qu’est-ce que le rapport AIRQ ? R : Le rapport AI Risk Quadrant est une évaluation indépendante à méthodologie ouverte de la sécurité des agents d’IA en production. L’édition du deuxième trimestre 2026 a évalué 100 agents répartis en 10 classes. La méthodologie complète est conçue pour être reproductible par toute organisation.
Q : Quels agents sont les plus sûrs ? R : Les agents Copilote de travail et Processus métier se classent le plus haut en matière de défenses, principalement parce qu’ils sont adoptés de manière descendante via l’approvisionnement d’entreprise et héritent de la gouvernance au niveau de la plateforme. Mais même eux n’échappent pas à la triade létale.
Q : Qu’est-ce que la « triade létale » ? R : La combinaison de l’accès aux données privées, de l’exposition à du contenu non fiable et de la capacité d’action sortante. 98 % des agents de l’étude présentent ces trois caractéristiques.
Q : Devrais-je arrêter d’utiliser des agents de codage ? R : Non — mais vous devriez vous assurer qu’ils s’exécutent dans des environnements en bac à sable avec des contrôles de sortie réseau et des identifiants éphémères. Le risque n’est pas l’agent lui-même ; c’est la combinaison d’identifiants permanents et d’une exécution d’outils sans entrave.
Q : À quelle fréquence les agents devraient-ils être réaudités ? R : Le rapport recommande des réaudits trimestriels. Le paysage des vulnérabilités des agents d’IA évolue rapidement, et les catégories avec un faible nombre de CVE sont probablement dans une phase de pré-découverte.
Lectures complémentaires
- Help Net Security — Only 11% of Production Agents Pass the AI Agent Security Bar
- Gravitee — State of AI Agent Security 2026 Report
- Let’s Data Science — Assessment Finds 11% of Production AI Agents Secure
- The Agent Report — AI Agent Finds 21 Zero-Days in FFmpeg for $1,000
- The Agent Report — Anthropic Mythos: Autonomous Zero-Day Chain