AI Security

Vos agents IA dépassent vos salariés

Les identités machine dépassent désormais les salariés dans un rapport pouvant atteindre 80 contre 1, et la plupart sont sans gouvernance. Pourquoi vos agents IA sont votre risque de sécurité qui croît le plus vite.

Par Leon Soliman · 2026-06-26 · 2 min de lecture

Points clés

Les identités non humaines, dont les agents IA, les comptes de service et les clés API, dépassent désormais les effectifs humains dans un rapport pouvant atteindre 80 contre 1 dans les grandes organisations.
La plupart détiennent des identifiants permanents et un accès étendu que personne ne fait tourner ni ne retire; dans de nombreux parcs, 47 pour cent de ces identités ont plus d'un an et ne sont jamais revues.
Les places de marché de compétences d'agents sont devenues une véritable chaîne d'approvisionnement: dans une place de marché largement utilisée, des chercheurs ont trouvé environ une compétence sur cinq transformée en arme.
La solution est la gouvernance, pas un outil de plus: un inventaire réel des identités non humaines, le moindre privilège, la rotation des identifiants et un vrai processus de retrait des agents.

Vous avez recruté une main-d'oeuvre que personne ne gère

Chaque agent IA que vous déployez est un travailleur muni d'une clé d'accès à vos systèmes. Il se connecte, lit des données, appelle d'autres services et agit sans qu'une personne ne le surveille. La différence, c'est que personne dans l'entreprise ne le considère comme un membre du personnel, et donc personne ne lui applique les contrôles qu'il appliquerait à un salarié.

Les chiffres sont désormais difficiles à ignorer. KPMG indique que les identités non humaines, c'est-à-dire les comptes de service, les clés API, les identifiants d'automatisation et les agents IA qui tournent au sein de l'entreprise, dépassent les utilisateurs humains dans un rapport pouvant atteindre 80 contre 1 dans les grandes organisations. La recherche du secteur constate que 47 pour cent de ces identités ont plus d'un an sans aucune rotation d'identifiants, et que la grande majorité détiennent bien plus d'accès qu'elles n'en auront jamais besoin.

La chaîne d'approvisionnement des agents est désormais une surface d'attaque

Les agents modernes ne travaillent pas seuls. Ils intègrent des compétences, des extensions et des connecteurs issus de places de marché partagées, chacun étant un paquet ayant accès à vos données et à vos systèmes. Cette commodité est aussi une porte d'entrée. Quand vous installez une compétence, vous héritez de tout ce que son auteur y a placé.

Ce n'est plus théorique. Dans une place de marché de compétences d'agents largement utilisée, des chercheurs en sécurité ont trouvé qu'environ une compétence publiée sur cinq avait été transformée en arme, et que plus d'un tiers présentaient au moins une faille de sécurité, de l'injection d'invite aux secrets exposés. Les agents autonomes représentent déjà environ un incident de sécurité IA signalé sur huit, et la plupart des entreprises déclarent avoir connu au moins un incident lié à un agent au cours de l'année écoulée.

Gouvernez les agents comme vous gouvernez les personnes

La réponse n'est pas de freiner l'adoption, et ce n'est pas un produit de détection de plus greffé après coup. C'est de traiter les identités non humaines avec la discipline que vous appliquez déjà aux salariés: un inventaire complet des agents qui existent, des identifiants qu'ils détiennent et de ce qu'ils sont autorisés à toucher.

Cela suppose le moindre privilège par défaut, une rotation programmée des identifiants, la surveillance de ce que chaque agent fait réellement, et un vrai processus de retrait afin qu'un agent désactivé perde son accès le jour même où il cesse d'être utilisé. Les entreprises qui réussissent cela conservent la rapidité des agents sans hériter d'une surface d'attaque sans gouvernance. Celles qui échouent découvriront que leur plus grande main-d'oeuvre était celle qu'elles n'ont jamais intégrée.

Questions fréquentes

Qu'est-ce qu'une identité non humaine?

Une identité non humaine est tout identifiant qui appartient à un logiciel plutôt qu'à une personne: comptes de service, clés API, jetons OAuth, robots d'automatisation et agents IA. Chacun peut s'authentifier et agir au sein de vos systèmes, c'est pourquoi ils exigent la même gouvernance que les comptes humains.

Comment commencer à gouverner les agents IA?

Commencez par un inventaire: répertoriez chaque agent et identité non humaine, les identifiants qu'il détient et l'accès dont il dispose. À partir de là, appliquez le moindre privilège, faites tourner les identifiants selon un calendrier, surveillez l'activité et définissez une étape de retrait qui supprime l'accès dès qu'un agent est désactivé.

Vos agents IA constituent déjà votre plus grande main-d'oeuvre. Les gouverner n'est plus facultatif.

AI Agents Non-Human Identity AI Security Governance Supply Chain

Plus dans le Servola Journal

Information Security

Votre chiffrement a une date d'expiration

2026-06-26 · 2 min de lecture

Lire l'article →

AI Risk and Governance

L'opacité de l'IA joue désormais contre vous

2026-06-25 · 3 min de lecture

Lire l'article →

AI Governance

Le comité d'entreprise peut bloquer votre IA

2026-06-25 · 3 min de lecture

Lire l'article →

Servola

Servola aide les entreprises à inventorier, gouverner et retirer leurs agents IA et leurs identités non humaines avant qu'ils ne deviennent la brèche, en allemand et en anglais.

Demander une mise en relation privée À propos de Servola →

Servola est un conseil technologique pour un petit nombre de familles et de family offices. Lorsqu'une décision ne peut pas être déléguée, nous siégeons de votre côté de la table.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Tous les articles