En septembre 2025, Anthropic a révélé qu'un acteur parrainé par l'État utilisait un agent de l'IA pour mener une campagne autonome de cyberespionnage contre 30 cibles internationales. Selon l'entreprise, l'agent automatisé a repris la plupart des tâches tactiques : de la reconnaissance à la génération du code d'exploitation et des mouvements latéraux à la vitesse de la machine. Cet épisode met sur la table une réalité inquiétante : l'automatisation non seulement accélère les attaques, mais peut aussi changer radicalement leur nature. Vous pouvez lire la déclaration d'Anthropic ici: Anthropique - Disrupting AI espionnage.
La plupart des défenses actuelles restent ancrées dans des modèles mentaux conçus pour les attaquants humains. Le cadre de la chaîne de cybertuation développé par Lockheed Martin en 2011 a aidé à organiser la réponse et la détection en décrivant comment un intrus progresse de l'accès initial à son objectif final. Cette approche est utile depuis plus d'une décennie parce que chaque phase de l'attaque offre des possibilités de détection et de confinement. Voir l'explication originale de la chaîne de mort à Lockheed Martin: Lockheed Martin - Cyber Kill Chain.
Mais les agents de l'IA ne se comportent pas comme des utilisateurs humains ou comme des outils de pointe qui doivent être faits étape par étape. Ces entités programmées agissent de manière continue, orchestrent les flux entre applications multiples et, dans de nombreux déploiements, se voient confier des privilèges étendus pour automatiser les processus. Si un attaquant est en mesure de compromettre un agent avec des permis déjà accordés dans l'environnement de l'organisation, il hérite pratiquement de l'accès et de la "autorité" que cet agent possède, et saute ainsi au-dessus de la chaîne Kill traditionnelle.
L'ampleur du problème est évidente lorsque nous imaginons un agent qui a déjà une visibilité sur les courriels internes, les documents et les conversations : son historique d'activité est, en fait, une carte détaillée de l'endroit où se trouvent les précieuses données. Un attaquant qui contrôle cet agent obtient à la fois le guide et les clés; il peut déplacer l'information entre les systèmes sous l'apparence d'opérations légitimes et sur les temps prévus, réduisant considérablement les signaux d'anomalie que les systèmes de détection cherchent.
Ce vecteur de risque n'est pas théorique. Des incidents tels que la crise connue sous le nom d'OpenClaw ont montré dans la pratique comment les marchés malveillants "kills" , vulnérabilités d'exécution à distance et des milliers d'instances exposées peuvent être combinés pour fournir un chemin d'accès extrêmement efficace pour les acteurs malveillants. L'analyse de cas d'OpenClaw publiée par l'entreprise qui l'a déclarée elle-même fournit des détails sur l'échelle et les mécanismes: OpenClaw - Analyse des événements.
La conséquence directe de cette transformation est une lacune de détection. De nombreux outils de sécurité sont optimisés pour identifier les comportements qui s'écartent du modèle humain normal : accès inhabituels, programmes exécutés à partir d'emplacements atypiques, étapes de privilège qui ne correspondent pas au contexte utilisateur. Mais lorsque l'activité malveillante est canalisée par un agent qui, par conception, accède aux mêmes applications et déplace les mêmes types de données, les signaux qui seraient habituellement des alarmes d'incendie sont dilués dans le bruit de l'automatisation.
Compte tenu de ce scénario, la première priorité devrait être de recouvrer la visibilité sur les entités automatisées qui interagissent avec l'infrastructure ministérielle. Il ne s'agit pas seulement de détecter les connexions aux API ou les intégrations individuelles : il est nécessaire de construire un inventaire continu des agents, de leurs origines, de leurs autorisations et des routes qu'ils retracent à travers les applications SaaS. Sans cette carte, les équipes de sécurité sont essentiellement aveugles face à la possibilité qu'un processus légitime ait été enlevé.
Le contrôle du risque implique également de repenser la gestion des privilèges. Les pratiques du « moindre privilège » et de la gouvernance de l'identité devraient être appliquées avec la même rigueur aux comptes de service, aux applications automatisées et aux agents d'IV que les gens. Limiter les autorisations, évaluer les combinaisons toxiques entre les intégrations et segmenter les accès réduit la surface qu'un agent compromis peut exploiter. Pour les cadres plus généraux sur la gestion des risques dans l'IV et les mesures de gouvernance, il est utile d'examiner les travaux du NIST sur le Cadre de gestion des risques de l'IA : NIST - FGR.
La détection doit également évoluer : il faut mettre l'accent sur l'identité et le comportement des automatismes, qui comprennent ce qui est « normal » pour un agent particulier et qui sont capables d'identifier des déviations subtiles dans leurs schémas d'accès, leurs fréquences et leurs destinations de données. Les outils conçus pour façonner les identités humaines peuvent être élargis afin d'intégrer des modèles de comportement spécifiques d'agents, corrélant télémétrie entre SaaS, IAM et messagerie interne pour trouver des écarts qui n'étaient pas remarqués auparavant. Dans l'écosystème de sécurité, il est important de comparer ces capacités avec des cadres tels que MITre ATT & CK pour comprendre les tactiques et les techniques qui peuvent être adaptées aux agents automatisés : MITRE ATT & CK.
Outre la surveillance et la limitation, il est essentiel de vérifier le logiciel supplémentaire qui se connecte aux flux critiques. De nombreuses organisations découvrent tard que des outils tiers ou des intégrations non autorisées (« Shadow AI ») ont accès à des informations sensibles. Un inventaire continu et vérifiable des intégrations réduit les surprises et permet de hiérarchiser les restaurations en fonction du risque réel que chaque connecteur apporte.
Ce n'est pas seulement un problème technique, mais un problème organisationnel. L'adoption de l'IA dans les entreprises est souvent motivée par la productivité et l'automatisation des processus, avec des décisions d'intégration qui ne passent pas toujours par des contrôles de sécurité centralisés. La réponse exige donc une coordination entre les équipes chargées des produits, des TI, de la sécurité et de la conformité afin de s'assurer que les politiques d'accès et les mécanismes de vérification sont intégrés à la phase de déploiement de tout agent.
En arrière-plan, la leçon est claire : la présence d'agents d'IA dans un environnement n'est plus seulement une question d'innovation, c'est un vecteur de risque qui modifie les règles du jeu. Si la défense continue à penser seulement aux intrus humains qui doivent être ouverts étape par étape, il sera tard - ou non - quand quelqu'un contrôle un agent avec une autorisation légitime. L'avantage, en revanche, est que nombre des mesures qui réduisent ce risque font partie de pratiques bien connues: inventaires précis, gouvernance d'accès, détection fondée sur l'identité et segmentation des permis, appliquées avec l'ambition de couvrir également les automatismes.
Pour les équipes qui veulent commencer à combler cette lacune, il existe des solutions émergentes visant à découvrir des agents, à cartographier leur portée et à détecter des anomalies d'automatisation spécifiques dans l'écosystème de SaaS. Ces outils combinent la découverte des intégrations, l'affichage du « rayon de la région » et l'analyse de la position pour prioriser les interventions où elles comptent le plus. Si vous voulez explorer la façon de l'élever dans votre organisation, vous pouvez consulter les ressources et les démos offertes par les fournisseurs dans ce domaine, par exemple: Reco - Visualisation SaaS à SaaS, Reco - Gouvernance de l'identité et de l'accès et Reco - Détection et réponse des menaces d'identité.
L'apparition d'agents d'IA dans les opérations quotidiennes n'est pas réversible et présente à la fois des possibilités et des risques. La différence entre une intrusion cachée et une détection rapide dépendra, dans une large mesure, de la façon dont une organisation investit dans la visibilité et le contrôle des mêmes automatisations. Il ne s'agit pas d'arrêter l'adoption de l'AI, mais de l'intégrer en toute sécurité : contrôler qui est le véritable « acteur » derrière chaque action automatisée et s'assurer que ses permissions, itinéraires et comportements sont soumis au même examen que ceux de tout compte humain.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
Mini Shai-Hulud : l'attaque qui a transformé les dépendances en vecteurs d'intrusion de masse
Résumé de l'incident : GitHub enquête sur l'accès non autorisé aux dépôts internes après que l'acteur connu sous le nom de TeamPCP ait mis le code source présumé et les organisa...
Alerte de sécurité: CVE-2026-45829 expose Chroma Exécution DB à code distant sans authentification
Une défaillance critique de l'API Python ChromaDB - la base vectorielle populaire utilisée pour la récupération pendant l'inférence LLM - permet aux attaquants non authentifiés ...