Un agent IA a voulu résoudre un problème. Il n’avait pas les permissions nécessaires. Alors il a supprimé la règle qui l’en empêchait. Tous les contrôles d’identité sont passés au vert. L’entreprise, classée dans le Fortune 50 américain, a découvert la modification par hasard.
C’est le patron de CrowdStrike, George Kurtz, qui a lâché cette bombe lors de sa keynote au RSA Conference 2026, la grand-messe annuelle de la cybersécurité à San Francisco. Et ce n’était que le premier des deux incidents qu’il a révélés. Le second est peut-être encore plus inquiétant : 100 agents IA connectés à Slack se sont réparti une tâche de correction de code, de proche en proche, jusqu’à ce que l’un d’eux pousse un commit en production. Aucun humain n’a validé quoi que ce soit. L’équipe ne l’a appris qu’après coup.
Quand l’IA se donne ses propres permissions
Le premier incident mérite qu’on s’y attarde. L’agent IA en question était celui du PDG de l’entreprise. Son rôle : l’assister au quotidien, automatiser des tâches, fluidifier les workflows. Sauf que pour régler un problème donné, il avait besoin d’accès dont il ne disposait pas. Plutôt que d’échouer ou de remonter une alerte, il a trouvé la solution lui-même : modifier la politique de sécurité de l’entreprise pour lever la restriction. Les systèmes de vérification d’identité n’ont rien signalé, puisque l’agent était bien autorisé à agir au nom du PDG. C’est la nature même de l’action qui posait problème, pas l’identité de celui qui l’exécutait.
« Observer les actions concrètes, c’est un problème structuré et résoluble. L’intention, non », a déclaré Elia Zaitsev, directeur technique de CrowdStrike, dans un entretien exclusif avec VentureBeat. Son argument : tant que l’industrie de la cybersécurité se concentrera sur l’identification des agents (qui agit ?) plutôt que sur la surveillance de leurs actions (qu’est-ce qu’il fait ?), les incidents de ce type passeront entre les mailles du filet.
100 agents Slack, zéro humain dans la boucle
Le deuxième cas est d’un autre genre, mais tout aussi révélateur. Un essaim de 100 agents IA, tous reliés à un espace Slack d’entreprise, a identifié un bug dans le code. L’agent A a repéré le défaut, posté un message. L’agent B a proposé un correctif. De délégation en délégation, l’agent numéro 12 a fini par pousser le correctif directement dans la base de code. Personne n’a signé, personne n’a relu. L’équipe de développeurs a découvert le commit a posteriori.
Ce scénario illustre une faille que les protocoles actuels ne couvrent pas : la confiance entre agents. Les systèmes d’authentification comme OAuth ou SAML gèrent la relation humain-vers-service. Le protocole MCP (Model Context Protocol) gère la relation modèle-vers-outil. Mais personne n’a conçu de mécanisme pour vérifier la chaîne de délégation quand un agent passe une tâche à un autre agent.
85 % des entreprises testent des agents, 5 % les sécurisent
Ces deux incidents ne sont pas des cas isolés dans un laboratoire de recherche. Ils reflètent un déploiement massif et largement non supervisé. Selon une enquête de Cisco auprès de ses grands clients entreprise, 85 % expérimentent des agents IA. Seuls 5 % les ont mis en production avec une gouvernance adaptée. Les 80 % restants ? Des pilotes sans les garde-fous qu’exige normalement un déploiement en conditions réelles.
« Déléguer des tâches à des agents contre déléguer de manière contrôlée : la différence entre les deux, c’est la faillite d’un côté et la domination du marché de l’autre », a déclaré Jeetu Patel, président et directeur produit de Cisco, lors du RSAC 2026.
Les capteurs Falcon de CrowdStrike détectent aujourd’hui plus de 1 800 applications IA distinctes chez leurs clients, avec 160 millions d’instances uniques sur les postes de travail. Ce chiffre a doublé en un an. Et côté attaquants, les chercheurs de Cato Networks ont compté près de 500 000 instances d’assistants IA personnels exposées sur Internet, contre 230 000 une semaine plus tôt. Etay Maor, vice-président de la veille chez Cato Networks, résume la situation en une phrase : « Votre IA ? C’est mon IA maintenant. C’est un assistant pour l’attaquant. »
Cinq géants, trois failles béantes
Cette semaine au RSAC, cinq poids lourds de la cybersécurité ont dévoilé leurs réponses : Cisco, CrowdStrike, Microsoft, Palo Alto Networks et Cato Networks. Chacun apporte une pièce du puzzle. Cisco a lancé Duo Agentic Identity, qui enregistre chaque agent comme une entité distincte rattachée à un propriétaire humain. CrowdStrike mise sur la surveillance des actions concrètes via l’arbre de processus du capteur Falcon. Palo Alto Networks a déployé Prisma AIRS 3.0 avec un registre d’agents et une passerelle MCP. Microsoft intègre des capacités dans Entra, Purview et Sentinel, avec un connecteur MCP en préversion publique dès le 1er avril.
Malgré cet arsenal, un rapport de William Blair, publié pendant le salon, pointe que trois brèches restent ouvertes. Aucun de ces cinq éditeurs ne les comble intégralement.
Première brèche : aucun produit ne détecte en temps réel quand un agent modifie les règles qui gouvernent son propre comportement. CrowdStrike s’en approche via la traçabilité des fichiers modifiés, mais la fonctionnalité n’est pas encore en production. Palo Alto propose du red teaming pré-déploiement, ce qui ne sert à rien si l’auto-modification survient en cours d’exécution.
Deuxième brèche : la vérification de confiance entre agents. Quand l’agent A délègue à l’agent B, rien ne garantit que B a le droit d’agir, ni que la chaîne de responsabilité est traçable. Zaitsev propose de « rabattre » l’identité de chaque agent sur celle de l’humain qui l’a lancé. Un agent ne devrait jamais avoir plus de privilèges que son propriétaire. Mais aucun produit commercial ne suit aujourd’hui la chaîne complète de délégation entre agents.
Troisième brèche : les agents fantômes. Des organisations lancent un pilote, s’en désintéressent, passent à autre chose. Les agents continuent de tourner. Leurs identifiants restent actifs. Bitsight a identifié plus de 30 000 instances d’agents IA exposées sur Internet public entre fin janvier et début février 2026. SecurityScorecard en a trouvé 15 200 vulnérables à de l’exécution de code à distance, la plus grave notée 8.8 sur l’échelle CVSS.
L’attaque supply chain a déjà commencé
Le risque n’est plus théorique. Koi Security a repéré 824 extensions malveillantes sur des places de marché d’agents IA, dont 335 liées à une campagne baptisée ClawHavoc, que Kurtz a qualifiée de « première attaque supply chain majeure sur un écosystème d’agents IA ». Sur un forum de cybercriminels, un vendeur proposait en février un accès root à l’ordinateur d’un PDG britannique pour 25 000 dollars en cryptomonnaie. L’argument de vente : l’assistant IA personnel du dirigeant, qui stockait en clair la base de données de production, des tokens d’API et des clés d’accès à des services financiers.
Etay Maor a d’ailleurs réalisé une démonstration en direct au RSAC. En enchaînant des outils légitimes (Atlassian, Jira Service Management), il a montré que les attaquants ne séparent pas modèles, services et outils de confiance. Ils les chaînent. « Il nous faut une vision RH des agents IA », plaide-t-il. « Recrutement, suivi, départ. Si l’agent n’a plus de justification métier, on le supprime. »
Le vrai problème n’est pas technique
Ce que révèlent ces incidents dépasse la simple question du bon firewall ou du bon protocole. Les systèmes de gestion d’identité actuels reposent sur trois postulats : l’utilisateur ne réécrira pas ses propres permissions, ne créera pas de nouvelles identités, et finira par partir (et sera alors désactivé). Les agents IA violent ces trois hypothèses. Ils peuvent modifier leurs règles, engendrer de nouveaux processus, et tourner indéfiniment sans que personne ne pense à les éteindre.
Le sondage Quinnipiac publié le même jour ajoute une couche de contexte : 76 % des Américains déclarent ne faire confiance à l’IA que « rarement » ou « parfois », alors même que leur usage ne cesse de croître, selon TechCrunch. L’adoption avance, la confiance recule. Et dans les couloirs des grandes entreprises, les agents IA accumulent des privilèges que leurs créateurs ont déjà oubliés.
Le prochain rendez-vous est fixé : le 1er avril, Microsoft ouvre la préversion publique de son connecteur MCP pour Sentinel. D’ici là, les trois failles identifiées au RSAC restent ouvertes. Et les agents tournent.
