Cinq États signent leur premier avertissement commun sur les agents IA. Tout se joue sur les accès.

Six agences nationales, un même avertissement

Le vendredi 1er mai 2026, les agences de cybersécurité de cinq pays (les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande, soit l'alliance de renseignement dite des « Five Eyes ») ont franchi une étape inédite. Elles ont cosigné une recommandation commune sur l'IA agentique. Sous la prudence du vocabulaire, le constat est net : des agents IA autonomes fonctionnent déjà au sein d'infrastructures critiques et de réseaux de défense, et la plupart des organisations leur ont accordé bien plus d'accès qu'elles ne peuvent en surveiller.

Le document, intitulé Careful Adoption of Agentic AI Services, n'est ni une étude de laboratoire ni un argumentaire d'éditeur. Ce sont six agences de sécurité nationale qui reconnaissent, ensemble et publiquement, qu'une technologie déjà en production a distancé les garde-fous censés l'encadrer. Leurs recommandations, et surtout l'aveu qui les accompagne, méritent d'être compris avant que votre prochain agent ne passe en production.

Ce que dit le texte

La recommandation a été corédigée par la CISA et la NSA américaines, le centre australien ACSC (rattaché à l'Australian Signals Directorate), le Centre canadien pour la cybersécurité, le NCSC néo-zélandais et le NCSC britannique. Elle porte sur l'IA agentique : des logiciels bâtis sur un grand modèle de langage (un LLM, la famille d'IA derrière ChatGPT) capables de planifier, de décider et d'agir seuls, en se connectant à des outils externes, des bases de données, des mémoires et des chaînes de tâches automatisées pour exécuter des opérations en plusieurs étapes sans qu'un humain valide chacune d'elles. Le message central des agences : inutile d'inventer une discipline de sécurité entièrement neuve. Il s'agit d'intégrer ces agents aux cadres existants, en leur appliquant le zero trust, la défense en profondeur et le moindre privilège.

Le texte distingue cinq familles de risques. La première tient au privilège : dès lors qu'un agent reçoit trop d'accès, une seule compromission cause bien plus de dégâts qu'une vulnérabilité logicielle ordinaire, car l'attaquant hérite de tout ce que l'agent peut atteindre. La deuxième vise les défauts de conception et de configuration, qui ouvrent des brèches avant même la mise en service. La troisième, le risque comportemental, désigne le cas où l'agent poursuit son objectif d'une manière que ses concepteurs n'avaient ni prévue ni voulue. La quatrième, le risque structurel, naît de l'interconnexion : des agents reliés à d'autres agents peuvent propager une défaillance à travers tout le système d'information. La cinquième porte sur la responsabilité : ces systèmes décident selon des processus difficiles à inspecter et produisent des journaux ardus à interpréter, si bien qu'en cas d'incident, retracer ce qui a mal tourné devient un casse-tête. Les agences sont d'ailleurs précises sur la forme que prend une défaillance : fichiers modifiés, droits d'accès changés, journaux d'audit effacés. Elles pointent aussi le prompt injection (des instructions hostiles dissimulées dans les données que l'agent consulte, qui détournent son comportement), un problème que certains éditeurs admettent ne jamais pouvoir résoudre tout à fait.

• C'est la première publication commune des Five Eyes entièrement consacrée à l'IA agentique, et elle s'adresse directement aux opérateurs d'infrastructures critiques et de défense.
• Elle recommande que chaque agent dispose d'une identité vérifiée et protégée par cryptographie, recoure à des identifiants à durée de vie courte et chiffre l'ensemble de ses échanges avec les autres agents et services.
• Pour les actions à fort impact, elle exige la validation d'un humain, et précise que le choix des actions soumises à cette validation revient aux concepteurs du système, jamais à l'agent lui-même.

Ce que cela change pour vous

Le premier signal tient à la source. Il est rare que six agences nationales cosignent un avertissement affirmant qu'une technologie déjà déployée a dépassé ses contrôles, et elles l'ont fait précisément parce que des agents opèrent aujourd'hui dans des réseaux d'énergie, d'eau ou de défense. Pour votre organisation, la portée est immédiate et inconfortable. Si vous avez branché un assistant IA sur une base de données, un outil de tickets ou une chaîne de déploiement pour qu'il agisse sans validation humaine à chaque étape, vous lui avez presque certainement donné plus de portée que votre journalisation ne peut en suivre : c'est exactement la faille de privilège et de traçabilité que décrit le texte. La parade proposée n'a rien d'ésotérique : traiter chaque agent comme une identité à part entière, lui confier les identifiants les plus restreints possibles et à expiration rapide, et imposer une validation humaine sur les actions capables de causer un véritable dommage. La bascule de fond, celle à porter à votre prochaine revue d'architecture, tient à l'aveu des agences elles-mêmes : la sécurité n'a pas rattrapé son retard, certains de ces risques échappent encore aux cadres existants, et tant que ce ne sera pas le cas, mieux vaut « partir du principe que les systèmes d'IA agentique peuvent se comporter de façon inattendue » et privilégier la résilience, la réversibilité et le confinement du risque plutôt que les gains d'efficacité qui ont rendu ces agents séduisants.

Les bons réflexes

1. Donnez à chaque agent sa propre identité et des identifiants au moindre privilège, à durée de vie courte. Un identifiant partagé ou trop large transforme un seul agent détourné en accès à tout votre parc : limitez chaque agent au strict nécessaire et laissez ses identifiants expirer d'eux-mêmes.
2. Imposez une validation humaine sur les actions à fort impact, et dressez vous-même la liste. Paiements, exports de données, modifications de droits, suppressions : ces gestes doivent passer par une personne, car un agent manipulé par une instruction hostile ne peut valider seul une opération dangereuse si un humain se tient en barrage.
3. Rendez les actions des agents réversibles et journalisées avant de passer à l'échelle. Privilégiez les conceptions que l'on peut annuler et auditer, car le texte le dit clairement : quand un agent déraille, il modifie des fichiers, change des droits et efface les traces mêmes dont vous auriez besoin pour enquêter.

À retenir

L'information n'est pas que les agents IA présentent des risques. C'est l'identité de ceux qui le disent désormais, et la franchise avec laquelle ils le formulent. Cinq États qui publient rarement ensemble s'accordent sur un point : l'IA autonome est déjà installée au cœur des systèmes les plus sensibles, avec des accès que personne ne surveille entièrement, et les garde-fous ne sont pas prêts. La leçon du document tient en quelques principes de sécurité appliqués avec rigueur : moindre privilège, identité vérifiée, validation humaine là où elle compte, et l'idée qu'un agent se comportera parfois autrement que prévu. Une seule question pour votre prochaine réunion sécurité : pour chaque agent IA que vous exploitez, savez-vous exactement ce qu'il peut atteindre, et sauriez-vous défaire ce qu'il a fait ? Si la réponse manque, c'est que l'accès est arrivé avant les garde-fous.