Le déploiement rapide des agents IA dans les environnements d’entreprise transforme non seulement les architectures techniques, mais aussi le paysage juridique et des risques entourant les systèmes numériques. Alors qu’une grande partie des discussions actuelles se concentre sur les capacités et les gains de productivité, une préoccupation plus structurelle émerge autour de ce que l’on peut qualifier de « lethal trifecta » des systèmes agentiques :
- l’accès à des données privées ou sensibles ;
- l’exposition à des contenus non fiables ou adversariaux ;
- la capacité à agir de manière autonome.
Pris individuellement, ces éléments sont bien compris dans les cadres traditionnels de sécurité de l’information. Cependant, leur convergence au sein d’un même système autonome introduit une catégorie de risque qualitativement différente, qui met à l’épreuve les modèles existants en matière de droit, de gouvernance et de responsabilité.
Du simple outil à l’acteur : un déplacement de l’allocation des risques
Les systèmes logiciels traditionnels opèrent dans des limites clairement définies : ils traitent des entrées et exécutent des instructions déterministes. La responsabilité et la redevabilité peuvent généralement être attribuées à des opérateurs humains, des développeurs ou des propriétaires de systèmes.
Les agents IA, en revanche, occupent une position plus ambiguë. Ils ne sont plus de simples outils, mais des acteurs opérationnels capables d’interpréter des instructions, d’interagir avec plusieurs systèmes et d’exécuter des décisions dans des environnements dynamiques.
Ce changement élargit la surface d’attaque, les agents pouvant être à la fois des cibles et des vecteurs d’attaque. Il complique également la question de la responsabilité. Lorsqu’un agent agit sur la base d’entrées manipulées ou d’instructions compromises, la responsabilité se distribue entre plusieurs acteurs.
Une autre conséquence réside dans la réduction de la capacité de remédiation. Parce que les agents combinent accès, exposition et action, des vulnérabilités relativement simples peuvent se propager en effets complexes à l’échelle du système, difficiles à tracer, contenir ou corriger.
Illustrations empiriques : de l’accès système à l’interférence comportementale
Des incidents récents montrent comment ces risques se matérialisent concrètement.
Le cas de la plateforme interne d’IA de McKinsey, Lilli, illustre la manière dont des vulnérabilités classiques peuvent s’amplifier dans des environnements agentiques. Des hackers éthiques ont exploité une vulnérabilité de type injection SQL, obtenant un accès complet en lecture et en écriture à la base de données de production. L’ampleur de l’accès incluait 46,5 millions de conversations, 728 000 documents et 57 000 comptes utilisateurs. Fait notable, les attaquants ont également accédé aux prompts système structurant le comportement de l’agent.
La compromission ne s’est pas limitée à un accès non autorisé aux données. Les attaquants ont obtenu des capacités d’écriture, leur permettant de modifier les prompts stockés et d’influencer la manière dont l’agent traitait les requêtes et générait ses réponses. L’atteinte a donc dépassé la confidentialité pour affecter l’intégrité de la logique opérationnelle du système.
Un schéma distinct mais lié apparaît dans le cas de l’exposition d’OpenClaw (anciennement Clawbot). Dans cette situation, des agents IA étaient déployés dans des environnements gérés par les utilisateurs — machines locales, serveurs auto-hébergés et instances exposées publiquement — avec une authentification insuffisante et des configurations d’accès trop permissives. Les interfaces de contrôle étaient accessibles sur Internet, des identifiants pouvaient être récupérés sans autorisation et les agents pouvaient être directement interrogés via leurs points d’accès opérationnels.
Au-delà de l’accès aux identifiants, les attaquants ont pu émettre des commandes et exploiter les capacités natives de l’agent — telles que l’exécution d’actions système ou l’interaction avec des services externes — avec les mêmes privilèges que l’environnement hôte. Dans certains cas, l’exploitation ne reposait pas sur une vulnérabilité spécifique, mais sur une exposition architecturale : le simple fait d’interagir avec l’agent suffisait à déclencher des comportements inattendus.
Dans les deux cas, un même schéma se dégage. L’accès initial — via injection ou exposition — combiné à la capacité d’influencer les entrées et d’exécuter des actions, a permis d’interférer non seulement avec les données, mais aussi avec le comportement du système. Le lethal trifecta déplace ainsi l’impact d’une compromission isolée vers une manipulation opérationnelle.
Le lethal trifecta dans les contextes de déploiement
Du point de vue du déploiement, le trifecta juridique fonctionne comme une structure de risque cumulative.
Les agents IA sont généralement intégrés aux systèmes internes afin d’exécuter des tâches à forte valeur, ce qui nécessite un accès étendu à des données sensibles. Parallèlement, ils traitent en continu des entrées provenant d’environnements externes non maîtrisés, notamment des requêtes utilisateurs et des sources de données externes. Enfin, ils sont de plus en plus conçus pour exécuter des actions, telles que la modification de bases de données, le déclenchement de workflows ou l’interaction avec des services tiers.
L’interaction de ces trois éléments crée une condition de risque spécifique : des entrées non fiables peuvent influencer un agent disposant à la fois d’un accès privilégié et d’une capacité d’action. Cela ouvre la voie à des flux de données non autorisés, des modifications involontaires des systèmes ou des actions apparemment légitimes mais guidées de manière adversariale.
Il est important de souligner que cette condition n’est pas intrinsèque au modèle lui-même. Elle est créée au moment du déploiement, lorsque les accès sont accordés, l’exposition définie et les capacités d’action activées.
Les agents comme intermédiaires dans les attaques inter-systèmes
Cette même structure permet aux agents de servir d’intermédiaires dans des attaques visant d’autres systèmes.
Dans le cas de Clawbot, des agents exposés pouvaient être interrogés et manipulés afin d’accéder à des ressources internes et de relayer les résultats vers l’extérieur. Comme ces interactions passaient par des interfaces légitimes, elles ne déclenchaient pas nécessairement les contrôles de sécurité traditionnels.
Cela reflète une évolution plus large des modèles de menace. Plutôt que de compromettre directement les systèmes, les attaquants peuvent opérer via des agents comme des relais, en exploitant leurs accès autorisés et leurs capacités opérationnelles pour franchir les frontières entre systèmes.
Ces scénarios compliquent la détection et la réponse. Les actions exécutées par l’agent peuvent apparaître légitimes dans les journaux système, même lorsqu’elles résultent d’une manipulation adversariale. La distinction entre usage autorisé et exploitation malveillante devient ainsi de plus en plus difficile à maintenir.
Implications juridiques et de gouvernance
La convergence entre accès, exposition et action soulève plusieurs enjeux juridiques encore non résolus :
Attribution de la responsabilité
Lorsque des conséquences dommageables résultent du comportement d’un agent, la responsabilité devient difficile à localiser. Les développeurs conçoivent le système, les déployeurs définissent les accès, l’exposition et les permissions, tandis que les utilisateurs fournissent des entrées potentiellement adversariales. Le lethal trifecta distribue la causalité entre ces acteurs, alors que les cadres de responsabilité existants ne permettent pas de l’allouer clairement lorsque ces éléments interagissent.
Le déploiement comme point de contrôle principal
En pratique, le lethal trifecta est activé au moment du déploiement. C’est à ce stade que les agents obtiennent un accès aux données, sont exposés à des entrées externes et sont autorisés à agir sur différents systèmes. Pourtant, le déploiement reste faiblement encadré par rapport à la conception des systèmes ou au traitement des données. Il en résulte un décalage entre le point d’instanciation du risque et celui où la responsabilité est formellement attribuée.
Limites des cadres de protection des données
Des réglementations comme le RGPD supposent que l’accès et le traitement des données sont observables et attribuables. Les interactions médiées par des agents remettent en cause ce modèle. Des données sensibles peuvent être exposées indirectement via des opérations autorisées, sans événement de violation clair ni infraction explicite aux contrôles d’accès. Cela complique à la fois la détection et la qualification juridique.
Ambiguïté du standard de diligence
La notion de « mesures de sécurité appropriées » devient plus difficile à appliquer dans des environnements où les systèmes peuvent être influencés par des entrées en langage naturel et des manipulations indirectes. Les protections traditionnelles visent à empêcher les accès non autorisés, tandis que les risques agentiques émergent souvent via des interfaces légitimes. Cela élargit le périmètre de ce que les organisations doivent anticiper et atténuer.
Vers des modèles de déploiement centrés sur la responsabilité
La réduction des risques liés au lethal trifecta nécessite de structurer le déploiement comme un processus contrôlé et responsable. Cela peut être opérationnalisé à travers les étapes suivantes :
1. Isoler l’agent comme acteur opérationnel (contrôle de l’attribution)
Les agents ne doivent pas opérer sous des identifiants partagés ou utilisateurs. Leur attribuer des identités distinctes permet de tracer les actions jusqu’à l’agent lui-même, plutôt que de les confondre avec l’activité humaine. Cela permet de reconstituer les chaînes de décision, en distinguant entrée, interprétation et exécution.
2. Conditionner l’accès au contexte (contrôle de l’accès)
Les modèles de permissions statiques sont insuffisants lorsque le risque varie selon l’entrée et la tâche. L’accès doit être conditionné à des facteurs tels que l’origine de l’entrée, la sensibilité des données et la nature de l’opération demandée. Cela limite la capacité des entrées non fiables à déclencher des actions à fort impact, même si l’agent en a techniquement la capacité.
3. Contraindre l’exposition et les permissions au déploiement (contrôle de l’exposition)
Les décisions de déploiement déterminent l’accessibilité de l’agent et les ressources auxquelles il peut accéder. Les interfaces doivent être authentifiées, l’exposition externe minimisée et les permissions strictement définies. De nombreuses défaillances observées proviennent de ces choix de configuration, ce qui implique de les traiter comme des exigences de gouvernance et non comme de simples détails techniques.
4. Limiter et superviser la capacité d’action (contrôle de l’action)
Les agents ne doivent pas pouvoir exécuter toutes les actions disponibles par défaut. Les opérations à fort impact — modification de données, transmission externe, commandes système — doivent être restreintes, conditionnellement autorisées ou soumises à une validation humaine. Cela permet de maîtriser directement la composante « action » du triptyque.
5. Maintenir une supervision continue (contrôle du comportement dans le temps)
Le comportement des agents évoluant à l’exécution, la gouvernance doit aller au-delà de la configuration initiale. Les systèmes doivent surveiller l’activité des agents, détecter les anomalies et permettre une intervention lorsque nécessaire. Cela garantit le maintien du contrôle même lorsque le comportement s’écarte des attentes.
Conclusion
Les agents IA concentrent, au sein d’un même composant, l’accès aux données, l’exposition à des entrées externes et la capacité d’agir. Ce lethal trifecta crée une forme de risque à la fois amplifiée et structurellement différente des modèles traditionnels.
Comme le montrent les cas récents, la compromission d’un système ne se limite plus à un accès non autorisé, mais s’étend à une interférence avec la manière dont les systèmes fonctionnent et opèrent. Cela complique à la fois les mécanismes techniques de mitigation et l’attribution juridique.
Répondre à ces enjeux nécessite plus qu’une amélioration de la conception des systèmes. Cela suppose de reconnaître le déploiement comme un acte gouverné et responsable, dans lequel les risques créés par le lethal trifecta sont activement maîtrisés.
Sans ce changement, les cadres de gouvernance resteront désalignés par rapport à la réalité opérationnelle des systèmes agentiques, et la responsabilité continuera de progresser moins vite que les capacités.
Structurer la gouvernance du “lethal trifecta” dans la durée
La maîtrise des risques liés aux agents IA ne repose pas uniquement sur des mécanismes techniques isolés. Elle suppose une capacité à encadrer, surveiller et démontrer le contrôle des interactions entre accès, exposition et action tout au long du cycle de vie des systèmes.
Cela implique de structurer les pratiques internes pour relier les agents aux données auxquelles ils accèdent, encadrer leur exposition à des inputs externes, et définir des conditions claires dans lesquelles ils peuvent agir. Cette approche nécessite également de documenter les choix de déploiement, de garantir la traçabilité des comportements et d’assurer un suivi continu des risques dans le temps.
👉 Découvrez la plateforme Naaia, conçue pour accompagner les organisations dans la gouvernance opérationnelle des agents IA, en structurant le contrôle des accès, de l’exposition et des actions, et en assurant l’alignement avec les exigences réglementaires telles que l’AI Act et le RGPD.