La progression fulgurante de l’IA bouleverse la gouvernance numérique des entreprises. Après une décennie de lutte contre le Shadow IT, un phénomène plus diffus s’impose : la prolifération d’agents autonomes capables d’automatisation et d’actions sans supervision directe. Selon les données récentes, l’usage non encadré d’outils et d’agents génératifs s’enracine au cœur des activités métiers, amplifiant les risques de perte de contrôle sur les accès, les flux de données et la prise de décision. Plusieurs études soulignent l’ampleur du phénomène, à l’image des constats sur l’utilisation d’outils non autorisés et de l’alerte grandissante des DSI face à une surface d’attaque mouvante, qu’illustrent des analyses telles que celles de l’usage d’IA non approuvées par la moitié des salariés ou encore le constat que les organisations ont déjà perdu la main.
Une analyse approfondie révèle que la bascule ne tient pas seulement au volume d’outils, mais à la nature des systèmes : ces agents, branchés aux ERP, GED, CRM ou data lakes, composent des enchaînements d’actions dynamiques et évolutifs. Il est essentiel de considérer que l’innovation et la productivité promise par ces briques d’automatisation s’accompagnent d’exigences accrues en cybersécurité, traçabilité et gestion des risques, dans un contexte réglementaire — notamment européen — de plus en plus prescriptif. La question s’impose dès lors aux comités exécutifs : comment industrialiser ces usages sans répliquer les angles morts du Shadow IT, et comment auditer des décisions prises par des algorithmes qui, désormais, agissent au cœur des opérations?
Shadow AI et agents autonomes en entreprise : un Shadow IT de nouvelle génération
L’adoption d’agents connectés aux systèmes métiers déplace le centre de gravité du contrôle interne. Contrairement à des applications SaaS au périmètre figé, des agents peuvent composer, réordonner et exécuter des tâches en chaîne, en s’appuyant sur des outils multiples et des accès transverses. Selon les données récentes, seuls certains départements cadrent explicitement ces usages, tandis que les lignes métiers multiplient les expérimentations discrètes.
Cette dynamique rappelle les premiers temps du cloud, mais avec une complexité comportementale accrue. Des retours de terrain décrivent une « infiltration silencieuse » des usages, à l’image des analyses sur la montée d’un Shadow IA difficilement détectable et documenté par les DSI, telles que le parallèle entre Shadow IT et Shadow IA dans l’entreprise ou, côté emploi et organisation du travail, les bénéfices ambivalents des usages dissimulés. L’enjeu dépasse le choix des modèles : il s’agit d’orchestrer la visibilité, l’éthique d’usage et la résilience.
Risques techniques et financiers : ce que révèle l’inventaire réel des agents
Dans une biotech spécialisée en IA, un exercice d’inventaire a révélé plus de trois fois plus d’agents que prévu, avec des vulnérabilités critiques : injections de commandes, identifiants exposés, et accès non conformes. L’exposition évitée a été estimée à 13 millions de dollars, illustrant l’effet de ciseaux entre gains de productivité et passifs cachés. Cette situation est cohérente avec les alertes sur un risque « invisible » grandissant, comme le rappellent des analyses dédiées à la montée du Shadow AI dans les organisations (décryptage des risques émergents ou mises en garde sur une utilisation discrète mais périlleuse).
Au plan opérationnel, ce sont les mécanismes d’élévation de privilèges, de délégation et d’interconnexion qui tendent à échapper aux contrôles traditionnels. Les chaînes d’automatisation pilotées par des agents autonomes déplacent la frontière de la responsabilité et exigent une supervision centrée sur l’« acte » et non plus seulement sur l’« accès ». La ligne de force est claire : sans visibilité comportementale, la gestion des risques reste lacunaire.
Gouvernance, AI Act et cybersécurité : bâtir une chaîne de confiance pour l’automatisation
Les exigences européennes en matière d’auditabilité, d’explicabilité et de traçabilité redéfinissent les standards de contrôle. Pour cadrer le Shadow AI, les directions doivent combiner politiques d’accès, monitoring comportemental et dispositifs d’arrêt d’urgence, comme le suggèrent des analyses juridiques sur les risques, conséquences et stratégies de maîtrise. À l’échelle des SI, une gouvernance d’accès robuste reste la première ligne de défense, à l’image des retours d’expérience sur la gouvernance des identités et des habilitations.
- Inventorier en continu les agents, leurs droits, leurs dépendances et leurs environnements d’exécution.
- Appliquer le moindre privilège, la séparation des tâches et des secrets gérés hors code.
- Activer une observabilité spécifique aux agents (journaux d’actions, liens de causalité, « qui fait quoi, quand, où »).
- Mettre en place des guardrails, filtres d’invite et contrôles anti-injection de commandes.
- Instaurer un kill switch et des seuils d’alerte fondés sur l’écart de comportement (« drift »).
- Encadrer l’automatisation par une politique de gestion des risques (classification des cas d’usage, évaluation d’impacts).
- Documenter l’explicabilité des décisions critiques et la traçabilité des données utilisées.
- Opérer des tests d’attaque dédiés (red teaming pour agents) et une revue de cybersécurité continue.
- Former les métiers pour limiter le Shadow IT et canaliser l’innovation dans un cadre sûr.
- Aligner les contrats fournisseurs sur l’AI Act et les exigences sectorielles.
Cette approche, articulée entre contrôle d’accès, surveillance des actes et conformité, permet de capter la valeur de la technologie sans diluer la responsabilisation; c’est le pivot d’une gouvernance d’IA durable.
Scénarios industriels critiques : quand l’automatisation rencontre l’OT et l’énergie
Dans l’industrie et l’énergie, des agents supervisent déjà la planification, l’achat d’énergie ou la maintenance prédictive. Un agent mal contraint qui réécrit un ordre de travail ou ajuste un paramètre d’alerte peut créer un effet en chaîne sur la sécurité, la qualité et la disponibilité. Les environnements OT, historiquement cloisonnés, deviennent perméables à ces flux, ce qui impose une hygiène de cybersécurité renforcée, corroborée par les retours du terrain sur les ruptures dans la cybersécurité industrielle (décryptage des évolutions dans l’OT).
Pour les producteurs d’électricité, les raffineries ou les grands sites manufacturiers, standardiser les « playbooks » d’agents et cartographier les dépendances aux SI critiques devient un préalable. Sans cadre homogène, l’innovation se traduit par une perte de contrôle progressive sur des décisions hautement sensibles. L’alignement OT/IT sur les mêmes principes de maîtrise des agents est désormais incontournable.
Le marché des solutions de contrôle des agents : de la veille à l’observabilité temps réel
La demande glisse des registres d’outils vers des plateformes d’« agent observability », avec détection, inventaire, gouvernance et corrélation d’actions. Sur ce créneau, une startup britannique, Geordie AI, a annoncé une levée de 30 millions de dollars en série A menée par Balderton Capital, avec Crosspoint Capital et des investisseurs historiques, portant son financement total à 36,5 millions de dollars. Objectif : fournir une visibilité en temps réel des agents, de leurs accès et de leurs comportements, et encadrer leurs actions sans freiner le déploiement à l’échelle.
Ce déplacement rappelle l’émergence, à l’ère du cloud, d’outils spécialisés d’inventaire et de sécurisation. En 2026, les DSI s’orientent vers des cadres unifiés combinant sécurité applicative, gestion des identités et contrôle sémantique des invites, en ligne avec les travaux qui traitent le Shadow IA comme un défi stratégique de premier plan (un défi invisible mais stratégique) et des analyses qui invitent à transformer la menace en opportunité. L’issue est claire : seules les organisations capables de conjuguer vitesse d’adoption et contrôles intelligibles capteront un avantage compétitif durable.
Journaliste spécialisée en énergie et industrie, je décrypte depuis plus de quinze ans les évolutions des marchés énergétiques et les innovations industrielles. Mon parcours m’a conduite à collaborer avec des publications de renom, où j’ai analysé les défis liés à la transition énergétique et aux politiques industrielles.
