La prolifération d'agents est la prolifération incontrôlée d'agents d'IA dans une organisation sans suivi, inventaire ou gouvernance centralisés. Il se produit lorsque des équipes de l'entreprise déploient indépendamment des agents autonomes. Cela va des chatbots du service client à l'automatisation du flux de travail interne, souvent sans système pour suivre ce qui existe, qui en est le propriétaire ou quelles sont les données auxquelles ils peuvent accéder.
L'IA réduisant les obstacles à la création d'applications, les interfaces en langage naturel permettent à un plus grand nombre d'équipes de créer et d'orchestrer des agents sans codage traditionnel. Il en résulte un paysage d'agents d'IA en expansion rapide qu'aucune équipe ne comprend ou ne contrôle totalement.
Le concept suit un modèle familier. Tout comme la prolifération SaaS et le Shadow IT sont apparus lorsque les applications cloud sont devenues faciles à adopter, la prolifération des agents se produit lorsque les agents d'IA sont créés et déployés sans supervision informatique. La différence essentielle est l’autonomie. Contrairement à un abonnement SaaS malveillant, un agent d'IA peut exécuter des tâches de manière proactive, accéder à des données et interagir avec d'autres systèmes. Ils opèrent souvent par le biais d’un accès basé sur des tokens ou de comptes de service surprivilegiés, souvent à l’insu de l’organisation ou sans garde-fou formel.
Bien que la prolifération des agents soit étroitement liée à l'IA fantôme, ces deux phénomènes restent distincts. La prolifération des agents est le problème opérationnel qui consiste à ne pas savoir quels agents existent. L'IA fantôme est la conséquence de cette lacune sur le plan de la sécurité. Pour déployer l'IA à grande échelle, il est crucial de comprendre ces deux aspects et comment l'un mène à l'autre.
Points à retenir
- La prolifération des agents désigne la multiplication incontrôlée des agents d'**IA** au sein d'une organisation, sans suivi, inventaire ni gouvernance centralisés.
- La recherche industrielle indique que l'adoption des agents d'IA est très répandue, mais peu d'organisations disposent d'une stratégie formelle pour gérer les identités non humaines (INH) que ces agents représentent.
- La prolifération des agents est la cause profonde opérationnelle, tandis que Shadow IA est une conséquence sécuritaire.
- La prévention nécessite une gestion centralisée des agents d'IA, le traitement des agents comme des identités de première classe, la gestion du cycle de vie des utilisateurs, l'accès au moindre privilège et une gouvernance interfonctionnelle.
Comment se produit l'étalement des agents
La prolifération des agents d'IA apparaît généralement de manière progressive, lorsque les organisations expérimentent l'IA, puis la transforment sans établir de governance frameworks. La rapidité de ce changement est sans précédent : Gartner prévoit que 40 % des applications d'entreprise comporteront des agents d'IA spécifiques à une tâche d'ici la fin de 2026, contre moins de 5 % en 2025. Ce taux d'adoption, associé à un développement décentralisé, à des outils fragmentés et à l'absence de contrôle à l'échelle de l'entreprise, crée les conditions d'une multiplication incontrôlée des agents.
Création décentralisée d'agents au sein des équipes
Les plateformes d'IA modernes permettent à toute personne de créer un agent d'IA. Le service marketing développe un chatbot destiné au service client. L’équipe commerciale déploie un agent de qualification des prospects. L’ingénierie crée des outils d’automatisation internes. La Finance configure un assistant de rapprochement. Chaque équipe fonctionne indépendamment, sans visibilité interfonctionnelle, et personne n’a une vue d’ensemble du nombre d’agents que l’organisation utilise.
Absence d’un registre ou d’un inventaire à l’échelle de l’entreprise
La plupart des organisations ne disposent pas d’un système centralisé d’enregistrement pour le suivi des agents d’IA déployés. Il n’existe aucune convention de dénomination standardisée, aucun schéma de métadonnées partagé, ni aucun annuaire unifié où sont documentés l’objectif, le propriétaire, l’accès aux données et la date de création d’un agent. Lorsqu’une équipe déploie un agent, les autres équipes n’ont souvent aucun moyen de savoir qu’il existe.
Pas de processus de déploiement standardisé
Les agents passent souvent du stade du projet pilote à celui de la production sans avoir fait l'objet d'un examen formel. Il n'existe pas de flux de travail d'approbation, de points de contrôle de sécurité ou de processus défini de gestion du cycle de vie des agents d'IA , de la création à la mise au rebut. Cela est d'autant plus problématique que les agents d'IA, contrairement aux applications traditionnelles, sont conçus pour agir avec un degré d'autonomie qui nécessite une supervision délibérée à chaque étape.
Fragmentation des agents d’IA à travers les outils et les cadres
Les équipes utilisent différentes plateformes d'IA, des frameworks d'orchestration (LangChain et AutoGPT), et des environnements de déploiement. Selon le rapport 2026 Connectivity Benchmark Report de Salesforce, qui a interrogé 1 050 responsables informatiques d'entreprise, l'entreprise moyenne utilise aujourd'hui 12 agents ou plus, et 50 % de ces agents fonctionnent dans des silos isolés plutôt que dans le cadre d'un système multi-agents coordonné. Sans une couche unifiée d'identité ou de contrôle des accès couvrant ces outils fragmentés, chaque agent devient son propre îlot de sécurité.
Pourquoi la prolifération des agents est risquée
Les agents d’IA non gérés créent de grandes lacunes en matière de visibilité et posent des défis majeurs en matière de gouvernance. Sans supervision centralisée, ces acteurs autonomes introduisent des responsabilités opérationnelles, de sécurité et financières spécifiques dans l’ensemble de l’organisation.
Risques opérationnels
Les organisations ne peuvent pas auditer ce qu'elles ne peuvent pas voir. Sans visibilité sur ce que font les agents, sur leur propriétaire ou sur ce à quoi ils ont accès, la responsabilité opérationnelle s'effondre. Les équipes créent sans le savoir des agents en double qui remplissent des fonctions qui se chevauchent, gaspillent des ressources ou fournissent aux utilisateurs des informations contradictoires. En cas de problème, il n'y a pas de chaîne de responsabilité claire.
Des risques de sécurité
Chaque agent d'IA non géré représente un vecteur d'attaque potentiel. En l’absence de gouvernance, les agents peuvent accumuler des accès Privileged Access aux systèmes et aux données, et il n’existe aucun mécanisme de révocation rapide en cas de détection de menaces. La prolifération des agents accélère ces risques en créant les conditions propices à l’émergence d’une IA non supervisée.
Implications des coûts
La gestion des identités au sein de chaque outil d’IA, plutôt que par le biais d’un système centralisé, engendre des coûts supplémentaires dus à des licences redondantes, une infrastructure fragmentée et une allocation inefficace des ressources. En cas d’incident de sécurité impliquant des agents d’IA, les organisations doivent faire face à des efforts de correction coûteux et urgents qui auraient pu être évités grâce à une gouvernance proactive des agents d’IA.
Lacunes de conformité
Pour combler les lacunes en matière de conformité à l'IA, il est nécessaire de disposer d'une piste d'audit unifiée pour l'ensemble des systèmes et des agents. En ancrant ces logs aux identités des machines, les organisations peuvent contribuer à satisfaire aux exigences légales de la loi européenne sur l'IA et aux standards de bonnes pratiques du framework de gestion des risques de l'IA du NIST.
Problèmes de performance et de fiabilité
Lorsque les agents travaillent en silos avec des outils fragmentés, les performances se dégradent. Les agents en double peuvent effectuer des actions contradictoires, se disputer les mêmes ressources système ou introduire des erreurs en cascade difficiles à diagnostiquer en l'absence d'un contrôle cohérent ou d'un système d'alerte centralisé.
Prolifération d'agents ou IA fantôme : quelle est la différence ?
La prolifération des agents et l'IA fantôme sont liées, mais pas identiques. Il est essentiel de comprendre la différence pour élaborer une stratégie de gouvernance efficace.
La prolifération des agents | L'IA de l'ombre | |
Définition | Le problème d’inventaire et de gouvernance | Le problème de la posture de sécurité |
Question centrale | « Combien d'agents avons-nous et où sont-ils ? » | « Nos agents sont-ils en sécurité et en conformité ? » |
cause profonde | Absence de suivi centralisé et de gestion du cycle de vie des utilisateurs | Agents opérant sans supervision de sécurité appropriée |
Objectif principal | Visibilité et gouvernance des opérations | Risque, conformité et accès non autorisé |
Relation | Souvent, la cause profonde de l'IA fantôme | Souvent, la conséquence de l’étalement des agents |
La relation est directionnelle. La prolifération des agents conduit souvent à une IA fantôme. Lorsque les organisations perdent la trace des agents existants, elles ne peuvent pas les sécuriser correctement. Les agents non sécurisés opérant en dehors des cadres de gouvernance deviennent des IA fantômes. S'attaquer à la prolifération des agents à la source est le moyen le plus efficace d'empêcher l'IA fantôme de s'implanter.
Signes d'étalement des agents
Les indicateurs suivants suggèrent qu'une organisation est en proie à une prolifération d'agents. Si plusieurs éléments s'appliquent, l'urgence d'une visibilité et d'une gouvernance centralisées augmente.
- Les dirigeants ne peuvent pas répondre à la question : « Combien d’agents d’IA avons-nous actuellement déployés ? »
- Aucun système ni tableau de bord unique ne permet de suivre l’ensemble des identités des agents au sein de l’organisation.
- Différentes équipes utilisent différents outils et plateformes pour créer et déployer des agents.
- Les agents sont créés et mis en production sans contrôle de sécurité formel.
- Les agents ne sont découverts qu'en cas de panne ou lors d'un audit.
- Il n’existe aucune convention de nommage ni métadonnées standardisées pour la documentation des agents.
- Il n’est pas clair au nom de qui les agents agissent, ni quels systèmes et données ils sont autorisés à accéder.
- Il n’existe aucun processus documenté pour la mise hors service des agents lorsqu’ils ne sont plus nécessaires.
- Plusieurs équipes construisent indépendamment des fonctionnalités similaires
- Les équipes informatiques et de sécurité ne découvrent les nouveaux agents qu’une fois ceux-ci déjà en production.
Si trois ou plus de ces conditions s'appliquent, l'organisation est probablement confrontée à une prolifération d'agents nécessitant une réponse structurée, avec une visibilité centralisée et une gouvernance des agents d'IA.
Comment prévenir et maîtriser la prolifération des agents
Pour éviter la prolifération des agents, il faut combiner une gouvernance centralisée, des processus normalisés et traiter les agents d'IA comme des identités de premier ordre, avec la même précision que celle appliquée aux utilisateurs humains et aux comptes de service.
- Établissez une visibilité centralisée dès le premier jour. Mettez en place un registre ou un inventaire des agents à l'échelle de l'entreprise qui serve de système d'enregistrement unique. Suivez en un seul endroit le propriétaire, l’objectif, les autorisations d’accès aux données et la date de création de chaque agent.
- Traiter les agents d'IA comme des identités de premier ordre. Attribuez une identité unique à chaque agent. Appliquez les mêmes principes de gestion des identités et des accès (IAM) que ceux utilisés pour les comptes humains et les comptes de service. Authentifiez correctement les agents, gérez de manière centralisée leurs identifiants et intégrez-les dans l'écosystème de sécurité des identités de l'entreprise.
- Mettre en œuvre la gestion du cycle de vie des utilisateurs. Superviser les agents de leur création à leur mise hors service. Établissez des workflows d'approbation formels pour les déploiements de nouveaux agents, définissez des cadences de révision pour les agents existants et créez des processus de déclassement documentés afin d'empêcher les agents de fonctionner indéfiniment avec des autorisations obsolètes et des identifiants orphelins.
- Appliquer des contrôles d'accès à moindre privilège. Ne donnez aux agents que les autorisations minimales dont ils ont besoin pour effectuer les tâches qui leur sont confiées. Réexaminez et adaptez régulièrement vos privilèges. Mettez en place un accès limité dans le temps afin que les autorisations des agents expirent automatiquement au lieu de persister indéfiniment.
- Normaliser les outils et les frameworks. Définir les plateformes et les frameworks d'IA approuvés pour l'organisation. Créez des modèles et des schémas réutilisables qui permettent aux équipes de créer plus facilement des agents dans des environnements régis plutôt qu'à l'extérieur. Construisez-les sur une infrastructure commune d'identité et d'accès afin que chaque agent, quelle que soit l'équipe qui le crée, soit visible et soumis à une gouvernance dès le départ.
- Créez une gouvernance interfonctionnelle. Créez un comité de gouvernance de l'IA composé de représentants des services informatiques, de la sécurité, des services juridiques, de la conformité et des parties prenantes de l'entreprise. Établissez des politiques claires, définissez les responsabilités et offrez une formation sur le développement d'agents d'IA sécurisés afin que la gouvernance soit considérée comme un catalyseur de l'innovation plutôt que comme un obstacle.
Foire aux questions (FAQ)
Comment savoir si une organisation est en proie à une prolifération d'agents ?
Les organisations peuvent identifier la prolifération des agents grâce à divers signaux opérationnels. L'un des principaux indicateurs est l'incapacité à fournir un décompte définitif et en temps réel de tous les agents d'IA déployés. L'absence de registres d'identité centralisés empêche les équipes de maintenir une source fiable pour ces actifs. Une visibilité fragmentée conduit souvent à un développement redondant, les différents départements construisant à leur insu des fonctionnalités qui se chevauchent. Par conséquent, les agents fantômes restent souvent indétectés jusqu'à ce qu'ils entrent en conflit avec les systèmes existants ou qu'ils déclenchent des protocoles de sécurité.
Comment prévenir la prolifération des agents ?
La prévention commence par l’établissement d’une visibilité centralisée grâce à un registre d’agents à l’échelle de l’entreprise. Les organisations doivent traiter les agents d’IA comme des identités de première classe dans leur framework IAM, mettre en œuvre une gestion du cycle de vie des utilisateurs de la création à la retraite, appliquer des contrôles d’accès au moindre privilège, normaliser les plateformes d’IA approuvées et mettre en place une gouvernance interfonctionnelle qui inclut les parties prenantes de l’informatique, de la sécurité, du droit et de l’entreprise.
Pourquoi la prolifération des agents constitue-t-elle un risque pour la sécurité ?
Tout agent d'IA non géré est un vecteur d'attaque potentiel. Sans gouvernance, les agents peuvent accumuler des Privileged Access excessifs aux systèmes et aux données sensibles. Les organisations peuvent également ne pas disposer d'un mécanisme fiable pour révoquer rapidement les identifiants lorsqu'un risque est détecté.
Termes connexes
- IA fantôme : agents et outils d'IA fonctionnant sans contrôle de sécurité, gouvernance ou visibilité appropriés au sein d'une organisation. L'IA fantôme est souvent la conséquence de la prolifération incontrôlée d'agents sur le plan de la sécurité.
- Visibilité des agents d'IA : la capacité de découvrir, de suivre et de surveiller tous les agents d'IA au sein d'une organisation en temps réel. La visibilité est le fondement d'une gouvernance efficace des agents.
- Authentification d'un agent d'IA : le processus de vérification de l'identité d'un agent d'IA avant de lui accorder l'accès aux systèmes, aux données ou aux ressources. Une authentification appropriée empêche les agents non autorisés d'opérer au sein de l'entreprise.
- Gestion du cycle de vie des agents : La pratique consistant à régir les agents d’IA pendant toute leur durée de vie, de la création et du déploiement à la surveillance, aux révisions d’accès et à la mise hors service.
- Contrôle d’accès à l’IA : mécanismes de sécurité qui déterminent les ressources, les données et les actions auxquelles les agents d’IA sont autorisés à accéder. Un contrôle des accès efficace à l’IA applique le principe du moindre privilège et impose des autorisations granulaires et limitées dans le temps.
- Gouvernance des agents d’IA : les politiques, processus et contrôles qui permettent aux organisations de gérer les identités des agents d’IA à l’échelle de l’entreprise. La gouvernance englobe la gestion des identités, le contrôle des accès, la conformité et la supervision opérationnelle.
- Écosystème de sécurité des identités : Un framework architectural unifié intégrant Identity Governance, la gestion des accès, la gestion des accès à privilèges et la détection des menaces d'identité dans un plan de contrôle unique et cohérent pour sécuriser tous les types d'identités, y compris les agents d'IA.
Sécurisez chaque agent d’IA dès le premier jour.
Okta sécurise les agents d’IA prêts pour la production et les gère via un plan de contrôle d’identité unique qui englobe les identités humaines et non humaines. Réduisez les risques grâce à une gestion intégrée des identités et de la gouvernance, éliminez les frictions en matière de sécurité et les coûts opérationnels, et libérez l’innovation alimentée par l’IA en toute confiance.
