Que se passe-t-il réellement avec les déploiements d'agents IA?
Les organisations déploient les agents IA plus vite qu'elles ne les gouvernent. En 2026, les dépenses en logiciels d'agents IA sont estimées à 206 milliards de dollars, en hausse de 139 pour cent par rapport à 2025. Dans le même temps, 88 pour cent des organisations ont signalé un incident de sécurité confirmé ou suspecté lié à un agent IA au cours de l'année écoulée, et seuls 14,4 pour cent des agents ont été mis en production avec une validation complète de l'informatique et de la sécurité. L'écart entre la vitesse de déploiement et la maturité de la gouvernance ne se réduit pas. Il s'accroît.
Ce n'est pas un échec de la technologie. Les agents IA fonctionnent. L'échec est celui de la gouvernance: les organisations traitent les agents IA comme des logiciels ordinaires, les déploient à grande échelle sans cartographier les accès dont ils héritent, les décisions qu'ils prennent ou les systèmes auxquels ils touchent.
Pourquoi une gouvernance uniforme échoue
Gartner l'a clairement exposé en mai 2026: appliquer une gouvernance uniforme à tous les agents IA, quel que soit leur niveau d'autonomie et leur périmètre, conduira à l'échec des agents IA en entreprise. La raison est structurelle. Un agent qui lit un calendrier ne représente pas le même risque qu'un agent capable d'exécuter des transactions, de mettre à jour des dossiers ou d'envoyer des messages au nom d'un dirigeant. Les traiter avec des contrôles identiques revient soit à sur-contraindre les agents à faible risque et à tuer la productivité, soit à sous-contraindre les agents à haut risque et à exposer l'organisation. Aucun de ces résultats n'est acceptable.
Le bon modèle est proportionné. Chaque agent appartient à un palier d'autonomie. Chaque palier a une frontière de confiance et une exigence de gouvernance correspondantes: ce à quoi il peut accéder, les décisions qu'il peut prendre de manière autonome, le moment où il fait remonter une situation à un humain, et la façon dont ses actions sont journalisées et auditables.
À quoi ressemble réellement une gouvernance disciplinée des agents IA?
Cela commence par la visibilité. Avant qu'un cadre de gouvernance n'ait un sens, une organisation doit connaître chaque agent qu'elle a déployé, les systèmes auxquels il touche, les autorisations qu'il détient et qui est responsable de son comportement. La plupart des organisations qui ont connu des incidents ne disposaient pas de cet inventaire. Elles avaient des agents en production que l'informatique n'avait pas validés et ne pouvait pas voir pleinement.
À partir de la visibilité, le travail devient classification et contrôle. Les agents à faible autonomie qui se contentent de lire et de rapporter nécessitent une supervision légère. Les agents à forte autonomie qui écrivent, exécutent ou décident ont besoin de limites de périmètre documentées, de voies d'escalade et de revues régulières. Les organisations qui effectuent ce travail maintenant, alors que les déploiements restent gérables, le trouveront bien plus facile que celles qui arriveront à grande échelle sans structure et avec un journal d'incidents qui s'allonge.
À lire ensuite: ISO 42001 est désormais une exigence d'approvisionnement. Votre programme d'IA est-il prêt? · Les échéances de l'EU AI Act viennent de bouger. Bonne nouvelle ou piège?