• 17 juin 2026
• Groupe Hurter & Co
• Intelligence Artificielle (AI)

Quand les agents logiciels deviennent collègues : gouvernance, sécurité et confiance en entreprise

Les agents logiciels ne sont plus seulement des démonstrateurs de laboratoire ou des assistants ponctuels intégrés à une application. Dans de nombreuses entreprises, ils commencent à jouer un rôle opérationnel réel : exécuter des tâches, orchestrer des workflows, interagir avec des outils SaaS, et même prendre des décisions limitées dans des périmètres définis. Autrement dit, ils deviennent progressivement des “collègues” numériques.

Mais cette montée en puissance ne se traduit pas automatiquement par une maturité organisationnelle. Les dernières études convergent sur un point : l’adoption avance plus vite que la gouvernance, la sécurité et l’observabilité. Pour les directions IT, sécurité et produit, la vraie question n’est plus “faut-il tester des agents ?”, mais “comment les rendre gouvernables, auditables et dignes de confiance à l’échelle de l’entreprise ?”.

Des assistants aux collègues numériques : un changement de statut

Le passage du chatbot au collègue logiciel change profondément la manière de concevoir l’IA en entreprise. Un agent ne se contente pas de répondre à une question ; il agit. Il peut ouvrir un ticket, consulter un CRM, déclencher un déploiement, filtrer des incidents ou préparer une réponse commerciale. Cette capacité d’action le rapproche d’un rôle fonctionnel, avec des responsabilités implicites et des accès associés.

Ce basculement est déjà visible dans les grandes organisations. Microsoft indique que 80% des Fortune 500 utilisent des agents actifs, ce qui confirme que le sujet est sorti de la phase purement exploratoire. Gartner observe également une accélération de l’adoption, tout en rappelant que peu d’organisations passent réellement à une autonomie complète, notamment à cause des enjeux de maturité et d’“agent sprawl”.

Dans ce contexte, parler de “collègues” n’est pas une métaphore marketing : c’est une manière utile de penser leur intégration au travail. Comme pour un employé, il faut définir un rôle, des droits, des limites, une chaîne de responsabilité et un suivi. Sans cela, l’agent devient un acteur opérationnel… mais sans cadre de référence.

La gouvernance devient un sujet de comité de direction

La gouvernance des agents IA n’est plus un sujet réservé aux architectes ou aux équipes d’innovation. IBM rapporte que deux tiers des CIO et CTO se disent responsables de systèmes IA qu’ils ne contrôlent pas entièrement, et que seulement 11% se jugent pleinement prêts pour l’échelle attendue à court terme. Cela transforme l’IA agentique en enjeu de pilotage exécutif.

Le problème de fond est simple : l’entreprise peut déployer rapidement un agent, mais elle ne sait pas toujours qui l’a créé, avec quelles dépendances, dans quel environnement, avec quels privilèges et sous quelle politique de supervision. À mesure que les cas d’usage se multiplient, les points de contrôle traditionnels deviennent insuffisants ou trop fragmentés.

Le World Economic Forum propose une réponse intéressante avec l’Agent Capability and Authorization Profile (ACAP), pensé comme un instrument de gouvernance et d’autorisation au niveau du déploiement. L’idée est claire : passer d’une gouvernance documentaire, souvent théorique, à des règles exécutables et contextualisées. C’est un tournant important pour les entreprises qui souhaitent industrialiser leurs agents sans perdre la maîtrise du portefeuille.

Identité, accès et moindre privilège : le nouveau socle de sécurité

Si les agents agissent dans des systèmes métier, leur sécurité ne peut pas reposer uniquement sur le modèle lui-même. Elle dépend d’abord de l’identité qui leur est attribuée et des permissions qui leur sont accordées. Teleport a montré que les systèmes IA dotés de permissions excessives subissent 4,5 fois plus d’incidents de sécurité que ceux appliquant le moindre privilège.

Ce constat est cohérent avec l’évolution du périmètre IAM. C1 souligne que la croissance des service accounts, API keys, workflows d’automatisation et agents IA élargit plus vite la surface d’identité que les modèles de gouvernance traditionnels. En pratique, les agents deviennent une extension du système d’identité de l’entreprise, avec les mêmes exigences de traçabilité, de rotation des secrets et d’authentification forte.

La conséquence opérationnelle est nette : chaque agent doit être traité comme une identité technique à part entière, avec des droits minimaux, un cycle de vie défini et des mécanismes de révocation immédiate. En d’autres termes, un agent ne devrait jamais hériter d’un accès “par confort”. Il doit recevoir exactement ce qu’il lui faut pour accomplir une tâche, et rien de plus.

Observabilité et auditabilité : voir ce que font réellement les agents

Une entreprise peut difficilement faire confiance à des agents qu’elle ne peut pas observer. TrueFoundry rapporte que 76% des organisations ne disposent pas d’une journalisation unifiée sur les modèles IA et les workflows d’agents, et que 56% n’ont pas de couche centralisée de contrôle ou de gouvernance. Cela signifie qu’une grande partie des déploiements reste partiellement invisible.

Sans observabilité, il devient impossible de répondre à des questions pourtant basiques : quel agent a déclenché quelle action ? Sur quelles données s’est-il appuyé ? Quelle version du modèle a été utilisée ? Quel chemin de décision a mené à ce résultat ? Dans un contexte d’entreprise, l’absence de réponse à ces questions crée immédiatement du risque opérationnel, juridique et de conformité.

Microsoft insiste justement sur la nécessité de combiner observabilité et gouvernance, en traitant le risque IA comme un risque d’entreprise à part entière. L’enjeu n’est pas seulement de collecter des logs, mais de relier les événements, les identités, les politiques et les actions. C’est cette capacité à reconstruire le comportement d’un agent qui permet de passer d’un usage expérimental à une exploitation fiable.

Le problème des “shadow agents” et de l’agent sprawl

Comme pour le shadow IT, l’essor de l’IA agentique fait apparaître un nouveau phénomène : les shadow agents. Ce sont des agents créés pour résoudre un besoin métier local, souvent par des équipes produit, data ou marketing, sans intégration complète dans les processus de gouvernance. Leur valeur peut être réelle, mais leur visibilité reste faible.

OutSystems indique que 94% des répondants s’inquiètent de la prolifération des agents, tandis que Gartner anticipe que 40% des applications d’entreprise incluront des agents spécialisés d’ici fin 2026. Ce contexte rend le risque d’“agent sprawl” presque structurel : plus l’automatisation progresse, plus le nombre d’acteurs logiciels augmente.

Okta travaille d’ailleurs sur des mécanismes de découverte, d’enregistrement et de gestion des agents IA précisément pour repérer ceux qui échappent aux inventaires classiques. L’idée de fond est essentielle : on ne gouverne pas ce qu’on ne connaît pas. La première étape de la maîtrise consiste donc à découvrir automatiquement les agents, puis à les classifier, les enregistrer et les soumettre aux mêmes standards que le reste du parc applicatif.

Confiance, conformité et dette technique : pourquoi agir maintenant

La confiance dans les agents logiciels ne se décrète pas ; elle se construit à travers des contrôles mesurables. TrueFoundry avertit que repousser la gouvernance aujourd’hui revient à accumuler de la compliance debt, de l’exposition sécurité et des surcoûts difficiles à résorber ensuite. Plus l’entreprise attend, plus les correctifs seront coûteux et plus le patrimoine d’agents sera difficile à remettre à niveau.

Forrester rappelle aussi que l’agentic AI est techniquement réelle en 2026, mais que la plupart des entreprises restent incapables de l’opérationnaliser sans orchestration, contrôle et confiance. Ce n’est pas un problème d’ambition, mais de système : les organisations ont souvent les cas d’usage, mais pas encore l’infrastructure de confiance qui permet d’en faire une capacité durable.

IBM note enfin que la sécurité et la conformité restent parmi les principaux freins à la mise à l’échelle. Cela confirme un point central : le sujet n’est pas d’opposer innovation et contrôle, mais de les concevoir ensemble. Une entreprise qui structure tôt ses garde-fous pourra déployer plus vite, plus largement et avec moins de dette cachée.

Vers une gouvernance “as code” et un contrôle continu

À mesure que les agents se multiplient, la gouvernance documentaire atteint ses limites. L’avenir semble plutôt aller vers une gouvernance “as code”, intégrée aux pipelines, aux politiques d’accès et aux mécanismes de déploiement. L’idée n’est pas seulement de rédiger des règles, mais de les rendre exécutables, versionnées et vérifiables en continu.

Un papier de recherche sur “AI Trust OS” décrit justement une bascule vers une gouvernance télémétrique continue, avec découverte automatique des systèmes IA non documentés et alignement sur des cadres comme ISO 42001, l’EU AI Act, SOC 2, GDPR ou HIPAA. Cela illustre une tendance de fond : la confiance devient un système, pas une intention.

Cette approche est particulièrement pertinente pour les entreprises qui veulent industrialiser des agents sur plusieurs équipes et plusieurs produits. Elle permet d’unifier la découverte, l’autorisation, la journalisation et le contrôle des privilèges dans une même logique d’exploitation. En pratique, la bonne architecture n’est pas celle qui empêche tout, mais celle qui rend chaque action explicable, traçable et réversible.

Les agents logiciels ne sont plus une curiosité technique ; ils deviennent une nouvelle couche de la main-d’œuvre numérique. À partir de là, les entreprises doivent leur appliquer les mêmes exigences que pour n’importe quel collaborateur critique : identité, périmètre, supervision, audit et responsabilité. C’est cette rigueur qui fera la différence entre une automatisation utile et un système opaque difficile à maîtriser.

La bonne nouvelle, c’est que les briques existent déjà : IAM renforcé, observabilité unifiée, découverte automatique, politiques “as code” et cadres de gouvernance mesurables. Les organisations qui les mettent en place tôt pourront faire des agents de véritables collègues numériques, fiables et productifs. Les autres risquent de découvrir trop tard que l’autonomie sans contrôle ne crée pas seulement du risque, mais aussi de la dette et de la complexité durable.