80 % des organisations ont déjà signalé des comportements à risque de leurs agents IA
Le chiffre vient de TrueFoundry, publié en mars 2026. Accès non autorisés aux systèmes, exposition de données sensibles, actions déclenchées sans validation humaine. Et dans le même temps, seuls 21 % des dirigeants déclarent avoir une visibilité complète sur ce que font réellement leurs agents en production. Le décalage est vertigineux. Les PME qui déploient des agents IA pour automatiser leurs processus métier gagnent du temps. Elles ouvrent aussi des portes qu’elles ne voient pas.
Ce n’est pas un problème théorique. C’est un problème que les deux plus grands laboratoires d’IA au monde viennent de décider de traiter en urgence. Le 11 mai 2026, OpenAI a lancé Daybreak, un programme de cyberdéfense intégré au cycle de développement logiciel. Quelques semaines plus tôt, Anthropic avait déployé Claude Security en bêta publique et restreint son modèle Mythos à 50 organisations partenaires dans le cadre du projet Glasswing. Le signal est limpide : les agents IA créent des surfaces d’attaque nouvelles. Les entreprises qui les construisent le savent. La question est de savoir si les entreprises qui les utilisent le savent aussi.
Ce que Daybreak et Glasswing disent vraiment sur vos workflows
Les annonces d’OpenAI et Anthropic ne concernent pas directement les PME. Daybreak cible les bases de code des grandes organisations via GPT-5.5 et Codex Security. Glasswing mobilise Claude Mythos pour découvrir des vulnérabilités zero-day dans les systèmes d’exploitation. Ces outils sont conçus pour des équipes de sécurité structurées, avec budgets dédiés et processus d’audit formalisés.
Mais le message sous-jacent concerne tout le monde. Si OpenAI investit dans la détection automatisée de failles dans le code, c’est parce que les agents qu’il commercialise génèrent des risques que les outils de sécurité classiques ne couvrent pas. Si Anthropic réserve Mythos à 50 partenaires triés, c’est parce que le modèle a découvert des milliers de vulnérabilités critiques en quelques semaines de tests, dont une faille dans FreeBSD vieille de 17 ans. L’IA trouve des failles plus vite que les humains. Et les agents IA en créent de nouvelles.
Pour une PME qui fait tourner 15 workflows automatisés sur n8n ou Make, la traduction est concrète. Chaque agent qui lit des emails, accède au CRM, modifie des fichiers ou envoie des messages crée un chemin d’accès. Un chemin que personne n’audite, que personne ne surveille, et qui fonctionne 24 heures sur 24 avec les mêmes privilèges qu’un employé de confiance.
Les 3 failles que vos agents créent sans le dire
Le CERT-FR, l’entité de l’ANSSI chargée de la réponse aux incidents, a publié le 13 avril 2026 le bulletin CERTFR-2026-ACT-016. Sa conclusion : les agents IA autonomes de type OpenClaw ou Claude Cowork doivent être proscrits des postes de travail en production. Six risques identifiés, dont trois touchent directement les PME qui automatisent sans cadre de sécurité.
Accès excessifs. Un agent configuré pour « gérer les emails et le CRM » reçoit souvent des droits administrateur par simplicité. Il accède alors à l’intégralité de la base de données clients, aux historiques de facturation, aux pièces jointes confidentielles. Ce qui devait traiter les relances peut lire les contrats. Le principe du moindre privilège, c’est donner à chaque agent uniquement les accès nécessaires à sa mission. Dans les faits, moins de 30 % des systèmes IA en entreprise disposent de pistes d’audit structurées sur les accès de leurs agents.
Injection de prompt. C’est le risque le plus difficile à contrer selon le CERT-FR. Un attaquant insère des instructions malveillantes dans un email ou un document que l’agent traite. L’agent ne peut pas distinguer une instruction légitime d’une instruction injectée. Il exécute. Pour une PME, cela signifie qu’un email piégé peut déclencher une action automatisée : modification de données, envoi de fichiers, création de comptes. Sans qu’aucun humain n’intervienne.
Absence de traçabilité. Quand un employé commet une erreur, on retrouve qui a fait quoi, quand, pourquoi. Quand un agent autonome déclenche une action problématique, la chaîne de décision est souvent opaque. Moins de 15 % des entreprises peuvent reconstituer l’intégralité du chemin de décision d’un agent. En cas de fuite de données ou d’action destructrice irréversible, il n’y a pas de journal, pas de preuve, pas de responsable identifiable.
Le vrai coût d’un agent non audité
Mettons des chiffres sur le risque. Une PME de 30 personnes utilise 5 agents automatisés : tri des emails, qualification des leads, relances clients, génération de rapports, synchronisation CRM-facturation. Ces agents traitent en moyenne 200 actions par jour. Soit 73 000 actions par an sans supervision humaine directe.
Selon VikingCloud (2026), le délai moyen pour identifier une fuite de données est de 204 jours. Le délai pour la contenir : 73 jours supplémentaires. Soit 277 jours entre l’incident et la résolution. Pendant ce temps, l’agent continue de tourner. Il accumule les accès, les traitements, les envois. Pour une PME soumise au RGPD, une notification tardive à la CNIL peut entraîner des sanctions allant jusqu’à 4 % du chiffre d’affaires annuel. Sur un CA de 2 millions d’euros, le risque plafonne à 80 000 €. Sans compter la perte de confiance des clients et le coût de remédiation.
Le paradoxe : l’agent a été déployé pour économiser 10 heures par semaine. La faille qu’il crée peut coûter l’équivalent de 2 ans d’économies en un seul incident. Ce n’est pas l’automatisation le problème. C’est l’automatisation sans audit.
Ce que les PME peuvent faire maintenant, sans RSSI et sans budget cybersécurité
La recommandation du CERT-FR pour les PME sans équipe de sécurité dédiée tient en cinq actions, toutes réalisables cette semaine.
Première action : désigner un référent IA interne. Ce n’est pas forcément un profil technique. Le DAF, le directeur juridique ou le gérant peut assumer ce rôle. Sa mission : savoir quels agents tournent, avec quels accès, sur quelles données.
Deuxième action : auditer les droits d’accès de chaque agent. Lister les systèmes auxquels chaque workflow est connecté. Réduire les permissions au strict nécessaire. Un agent de relance client n’a pas besoin d’accéder aux données RH.
Troisième action : activer la journalisation. Sur n8n, chaque exécution de workflow est loguée par défaut. Vérifier que ces logs sont conservés, horodatés, et consultables. C’est la piste d’audit minimale en cas d’incident.
Quatrième action : interdire l’installation d’agents IA autonomes non validés sur les postes de travail. C’est la recommandation centrale du CERT-FR. Un paragraphe ajouté à la charte informatique suffit.
Cinquième action : maintenir une validation humaine sur les actions irréversibles. Envoi de données à l’extérieur, suppression de fichiers, modification de contrats. Ces actions nécessitent une porte de validation. L’agent prépare. L’humain confirme. Les organisations qui structurent leur gouvernance IA sans bloquer l’usage sont celles qui évitent les incidents sans sacrifier la productivité.
L’approche Norisix : auditer avant d’automatiser
La course à l’automatisation a créé un angle mort. Les PME qui ont déployé des agents IA en 2025 et début 2026 l’ont fait pour le gain de temps. La sécurité n’était pas dans le cahier des charges. C’est un schéma classique dans les projets IA qui échouent : l’outil fonctionne, mais l’architecture autour est absente.
Chez Norisix, chaque mission d’automatisation commence par un audit de la surface d’accès. Quels systèmes sont connectés. Quelles données transitent. Quels droits sont attribués. Quelles actions sont irréversibles. Ce diagnostic prend moins de temps que le déploiement de l’agent lui-même. Il coûte une fraction de ce que coûterait un incident.
La question n’est pas « mon agent IA est-il performant ? ». Elle est « mon agent IA est-il sûr ? ». Norisix réalise un audit de sécurité des workflows automatisés qui cartographie vos agents, identifie les accès excessifs et structure un plan de remédiation en 72 heures. Faisons le diagnostic.
