Agents IA : transformateurs ou perturbateurs ?

Décrits comme révolutionnaires et disruptifs, les agents IA sont devenus le nouveau pilier de l'innovation en 2025. Comme pour toute technologie de pointe, cette évolution n'est pas sans compromis.

Ce nouveau mélange d’intelligence et d’autonomie inaugurera-t-il réellement une nouvelle ère d’efficacité ? Ou bien la capacité des agents IA à agir de manière indépendante élargit-elle la surface d’attaque pour les cybermenaces, les rendant potentiellement risqués ?

En février dernier, la France accueille l’IA Summit, une rencontre internationale pour interroger et encourager l’innovation dans les technologies de l’intelligence artificielle. Ces dernières années, l’IA s’est développée à vitesse grand V, s'arrogeant une place toujours plus importante dans le quotidien des Français. Avec elle, le développement d’une hégémonie des Etats-Unis, talonnés par la Chine dans ce nouveau marché, et une Europe un peu à la traîne.

Contrairement aux outils d’IA générative auxquels nous nous sommes familiarisés, les agents IA représentent la prochaine frontière de l’intelligence artificielle. Alors que les outils d’IA générative largement connus comme ChatGPT, Gemini, Grok Le Chat ou Claude traitent les entrées des utilisateurs et génèrent du texte à partir de modèles de données appris, l’IA agentique va plus loin — en prenant de manière autonome des décisions et des actions pour atteindre des objectifs précis. Pensez à Robocop ou I, Robot et vous ne serez pas si loin de la réalité. Assez troublant, n’est-ce pas ?

Pourtant, entre les mains des organisations, ces agents pourraient révolutionner des secteurs entiers, de l’automatisation des interactions client à la gestion sans faille des opérations logistiques. Des applications plus réalistes des agents IA incluent des bots de service client, des assistants personnels, des conseillers financiers, et même des véhicules autonomes.

Prenons l’exemple d’un assistant personnel doté d’IA agentique : ce type d’agent peut s’appuyer sur la prise de décision fondée sur les données, l’apprentissage automatique et le raisonnement logique pour réserver des vols, rédiger et envoyer des e-mails, et même automatiser des flux de travail complexes sans intervention humaine. Selon le sondage d’Ipsos-CESI, près de neuf Français sur dix déclarent en avoir entendu parler et ils sont 39 % à en faire usage. Parmi ces utilisateurs, 15 % s’en servent dans le cadre de leur travail ou de leurs études, et 33 % dans la sphère privée.

L’adoption des agents IA prend de l’ampleur, avec des secteurs comme la finance, la santé et le retail intégrant de plus en plus ces technologies autonomes pour rationaliser leurs opérations et améliorer l’expérience client. 

L’IA agentique au sein des organisations peut offrir une efficacité inégalée et une optimisation des opérations. Ce faisant, ces agents peuvent réduire les erreurs humaines et accroître la productivité.

Mais, comme pour toute avancée technologique révolutionnaire, ce passage net de l’assistance réactive à l’automatisation proactive comporte son lot de risques. Le plus préoccupant est sans doute l’élargissement potentiel de la surface d’attaque à disposition des cybercriminels.

L’IA agentique pourrait accroître le degré de sophistication, de personnalisation et l’ampleur des attaques d’ingénierie sociale et d’hameçonnage, notamment par e-mail. L’IA générative a déjà renforcé les capacités de phishing, permettant des attaques ciblées et convaincantes à grande échelle. Selon les renseignements sur les menaces d’Egress, l’IA est mentionnée dans 74,8 % des kits d’outils de phishing analysés, avec 82 % faisant référence aux deepfakes.

L’IA agentique pousse cette menace encore plus loin en introduisant un élément d’automatisation dans ces attaques. Cela pourrait donner lieu à des campagnes de phishing plus dynamiques, adaptatives et persistantes, capables d’apprendre et de réagir au comportement des utilisateurs en temps réel. La nature autonome de ces agents IA permettrait aux attaquants de déployer et de gérer des opérations de phishing à grande échelle avec un minimum d’intervention humaine, rendant leur détection et leur prévention encore plus complexes.

Par ailleurs, 63 % des responsables cybersécurité expriment leur inquiétude quant à l’utilisation des deepfakes dans les cyberattaques, tandis que 61 % s’inquiètent de voir les cybercriminels exploiter les chatbots d’IA générative pour améliorer leurs campagnes de phishing. Ces statistiques soulignent la gravité de la situation et la nécessité de contre-mesures robustes.

Bien que ces risques doivent être pris au sérieux par les organisations, il est important de noter qu’ils ne sont pas entièrement nouveaux. Dans de nombreux cas, ils représentent une évolution des menaces existantes que nous avons rencontrées avec les précédentes formes d’IA. La différence clé réside dans l’autonomie et la capacité de mise à l’échelle accrues que l’IA agentique apporte.

Les organisations souhaitant adopter l’IA agentique doivent envisager l’ensemble des risques et réaliser une évaluation approfondie avant le déploiement. Ces mesures peuvent inclure la mise en œuvre d’une authentification forte, incluant l’authentification multifactorielle, tout en s’assurant que les logiciels sont régulièrement mis à jour et corrigés.

D’un point de vue organisationnel, il convient d’établir des lignes directrices claires et des cadres éthiques pour le fonctionnement des agents IA. Enfin, les organisations doivent investir dans une formation continue des employés sur la sécurité liée à l’IA.

Il est évident que les agents IA présentent à la fois des avantages significatifs et des risques. Une approche multifacette combinant l’expertise humaine et des technologies intelligentes basées sur l’IA est donc cruciale. Particulièrement dans le domaine de la sécurité des e-mails, où les attaques d’ingénierie sociale ne cessent d’évoluer, un mélange de formation approfondie et de systèmes de détection alimentés par l’IA offre l’approche la plus complète.

En tirant parti de la capacité de l’IA à identifier les schémas subtils propres aux contenus générés par l’IA, tout en s’appuyant sur la vigilance humaine et l’esprit critique, les organisations seront mieux armées pour se défendre contre les tentatives de phishing les plus sophistiquées.

Alors que nous entamons cette nouvelle ère de l’IA agentique, rester informé, adaptable et proactif en matière de sécurité sera essentiel pour tirer parti des bénéfices tout en en limitant les risques.