La plupart des organisations qui développent AI des solutions basées sur AI se concentrent sur les bons enjeux :
l’injection de prompts, la sécurité des modèles, la confidentialité des données. Il s’agit là de risques réels qui
méritent toute notre attention. Mais dans les environnements agentiques, un problème plus dangereux
se profile discrètement : la délégation incontrôlée des droits d’accès entre agents.
Quoi de neuf ?
Dans AI modernes, les systèmes ne sont plus isolés. Ils sont interconnectés :
Les agents appellent d'autres agents (A2A)
Les agents d'orchestration invoquent dynamiquement des sous-agents pour gérer des flux de travail parallèles, chacun disposant de ses propres droits d'accès et capacités.
Les couches d'orchestration (de type MCP) acheminent les tâches de manière dynamique
Les tâches sont acheminées au moment de l'exécution en fonction du contexte et de la disponibilité, et non selon des configurations statiques pré-approuvées.
Les outils, les API et les sources de données sont reliés entre eux
Une seule requête utilisateur peut déclencher une chaîne d'interactions entre agents, d'appels d'outils et de récupérations de données que l'utilisateur n'a jamais explicitement autorisées individuellement.
Cela crée des chaînes de confiance implicites — et la plupart des organisations ne disposent d'aucun moyen de les identifier, et encore moins de les contrôler.
Un exemple concret
Scénario de délégation — aucune violation n'a été déclenchée
Agent A
A accès à des données sensibles
Autorisé. Limité. Enregistré au moment de l'attribution des droits.
↓ délègue la tâche à
Agent B
N'a PAS accès aux données sensibles
N'est pas autorisé — mais demande à l'agent A de récupérer les données en son nom.
↓ résultat
Système
Conforme. Aucune alerte. Aucune infraction. Juste un comportement « normal ».
L'accès a eu lieu. Les données ont été transférées. Rien dans les journaux ne semble anormal.
Le problème, ce n'est pas l'accès. C'est la délégation.
Nous ne sommes plus confrontés à la question de sécurité traditionnelle :
« Qui y a accès ? »
Nous sommes ici face à une question fondamentalement différente :
« Qui peut permettre l'accès ? »
Dans les systèmes agentiques, la confiance devient transitive. Les privilèges deviennent modulables. Les frontières s'estompent. Cela conduit à :
Élévation indirecte des privilèges
Un agent ne disposant pas d'une autorisation donnée l'obtient en routing via un agent qui en dispose.
Exécution non autorisée d'outils
Les agents invoquent des outils et des API qu'ils n'ont jamais été directement autorisés à utiliser, par le biais de chaînes de délégation.
Effondrement des limites des données
Les données sensibles franchissent les limites de classification car l’agent délégant disposait d’un accès légitime, même si ce n’était pas le cas de l’agent destinataire.
Déplacement latéral piloté par des invites
Un agent piraté propage des instructions malveillantes de manière latérale à travers le réseau d’agents — à la vitesse de l’ordinateur, sans que l’homme ne s’en aperçoive.
Et le plus inquiétant dans tout cela, c'est que cela ressemble souvent à un comportement tout à fait normal du système.
C'est un problème classique… revisité
Les professionnels de la sécurité reconnaîtront immédiatement ce phénomène : il s'agit du « problème de l'adjoint désorienté ».
Un système doté d'une autorité légitime est manipulé pour qu'il utilise cette autorité au profit d'une entité qui ne devrait pas en disposer. Réimaginez maintenant ce problème ainsi :
DistribuéRéparti entre des dizaines d’agents, d’outils et d’API — sans aucune limite de système.
AutonomeFonctionnant sans instruction humaine à chaque étape — raisonnant et agissant de manière indépendante.
À la vitesse d'une machineRéaliser en quelques millisecondes ce qui prendrait des heures à un pirate informatique s'il devait le faire manuellement.
Les lacunes de la plupart des organisations
✓ Être sécurisé
- Modèles et critères d'inférence
- API et couches d'intégration
- Infrastructures
✗ Non sécurisé
- Confiance entre agents
- Limites des circonscriptions
- Propagation d'identité
- Contrôle du flux de données
Ce qui doit changer
Si vous déployez AI agentique, commencez par répondre aux questions suivantes :
L'agent A peut-il déléguer son pouvoir à l'agent B ?Cette délégation est-elle explicite, limitée à un certain champ d'application et consignée, ou bien est-elle implicite et illimitée ?
La délégation est-elle consignée à chaque étape ?Pas seulement au niveau de la couche d'orchestration, mais à chaque interaction entre agents au sein de la chaîne.
Les agents peuvent-ils invoquer des outils indirectement par l'intermédiaire d'autres agents ?Et si oui, y a-t-il policy au moment de l'appel indirect ?
Contrôlez-vous la manière dont les données circulent entre les agents ?La traçabilité des données est-elle assurée sur l'ensemble du graphe d'interaction des agents ?
Ce que cela implique
Une identité d'agent forte — et non des identifiants partagés. Chaque agent doit disposer d'une identité distincte et non transférable, assortie d'autorisations explicites et limitées à un périmètre précis.
Délégation délimitée et limitée dans le temps — toute autorité qu’un agent confère à un autre doit être explicitement délimitée et avoir une durée déterminée. Aucune délégation à durée indéterminée.
Des contrôles basés sur les capacités — et pas seulement sur les rôles. Ce qu'un agent peut faire doit être contrôlé aussi rigoureusement que ce qu'il peut voir.
Policy au niveau de la couche d'orchestration: les contrôles doivent être mis en place là où les décisions de délégation sont prises, et pas seulement aux limites du système.
Traçabilité complète des interactions entre agents — la chaîne de délégation dans son intégralité, et pas seulement la requête d'origine et l'action finale.
La traçabilité des données en tant que mesure de sécurité: permettre de savoir quels agents ont manipulé, transformé ou transmis des données, et en vertu de quelle autorisation.
Conclusion
Dans les systèmes traditionnels : l'accès est accordé.
Dans les systèmes agentiques : l'accès se propage.
Si vous ne maîtrisez pas la délégation, vous ne maîtrisez pas le système.
#Cybersécurité
#IA
#IA générative
#IAagente
#SécuritéIA
CISO
#ZeroTrust
OneCompliant
Évaluez votre AI agentique
OASAT OneCompliant analyse vos systèmes d'IA au regard risk à la gouvernance, à la sécurité
et à la délégation risk établit une feuille de route de mise en conformité classée par ordre de priorité en 4 à 6 semaines.