Chaque semaine, je parle à des équipes de gouvernance, de risque et de conformité (GRC) de grandes entreprises qui savent, en détail, ce que l'intelligence artificielle peut faire agentiva pour leur travail. Ils ont lu, vu des démonstrations, et clairement fait la distinction entre une IA qui accélère une tâche et un agent qui la dirige complètement. Toutefois, malgré la disponibilité du budget et l'intérêt technique, il y a une résistance persistante qui ne peut pas toujours s'expliquer par des arguments rationnels.
Lorsque la conversation s'écarte de la technologie, une préoccupation différente se présente : ne sont pas sûrs de qui ils seront lorsque les opérations ne dépendent plus d'eux. Ce n'est pas seulement la peur de perdre un emploi, c'est une préoccupation d'identité. Pendant des années, de nombreux professionnels du GRC ont bâti leur prestige et leur quotidien sur l'excellence opérationnelle - comment recueillir des preuves, mener des cycles de vérification et maintenir des programmes complexes avec des ressources limitées - et voir ces tâches automatisées par les agents provoque un sentiment de perte.
Cette tension a une lecture plus optimiste. Si l'histoire de la région est analysée, le GRC n'a pas été conçu à l'origine comme une fonction opérationnelle permanente, mais comme un mécanisme pour aider l'organisation à comprendre et à gérer les risques. La collecte de preuves, les fiches de suivi et les rapports ont toujours été des moyens pour une fin. Ce qui s'est passé, c'est que les outils n'ont pas atteint le rythme des programmes et que le fardeau opérationnel a dévoré la capacité de penser stratégiquement aux risques.
Les agents soi-disant agents ne font pas seulement ce qui a déjà été fait plus rapidement; ils changent la nature du travail. Ils peuvent continuellement extraire des preuves de systèmes intégrés, surveiller les contrôles en temps réel et agir sur les processus d'assainissement sans intervention humaine constante. Mais il y a un point clé : les agents ne sont pas conçus seuls. Le critère qui définit ce qu'il faut recueillir, ce qui constitue une déviation, quand à l'échelle, ou quelle preuve convainc un vérificateur provient de la combinaison du contexte des données et du jugement humain.
Dans le paysage politique et des bonnes pratiques, un tel jugement humain est essentiel. Des cadres comme le Cadre de gestion des risques de l'IA NISTES Ils soulignent la nécessité de contrôles, d'explications et de responsabilités clairs lors du déploiement de systèmes autonomes. La technologie peut être mise en œuvre, mais la définition du risque acceptable, des mesures et des exceptions incombe aux personnes qui comprennent les affaires et leurs coûts.
L'adoption précoce ne sera pas une carrière pour qui a de meilleurs modèles d'IA, mais pour qui redessine la fonction GRC pour profiter du temps libéré par l'automatisation. Lorsque les tâches manuelles disparaissent, une autre activité émerge qui a toujours été reléguée : penser et décider. Les équipes qui gagnent seront celles qui utilisent cette liberté pour augmenter le niveau de leur travail - gérer un programme pour le diriger.
Si vous regardez d'un point de vue professionnel, le changement est l'occasion de revenir sur les raisons pour lesquelles beaucoup se sont joints au GRC : s'inquiéter de savoir si l'organisation est vraiment protégée et pas seulement faire semblant d'être. Ceux qui ont déjà passé le changement le décrivent comme quelque chose de plus comme être autorisé à faire ce qu'ils ont toujours su faire. Votre tâche n'est plus de vérifier et de coller les correctifs, mais de définir quels contrôles apportent de la valeur, quand une alerte est pertinente et comment traduire le contexte d'affaires en logique qu'un agent peut exécuter.
Il faut aussi comprendre que la transformation technique s'accompagne d'une transformation culturelle et organisationnelle. L'infrastructure des données et l'ingénierie de contrôle - que certains qualifient de "GRC comme code" - permettent aux agents de fonctionner de manière fiable : contrôles déclarés dans les dépôts en version, essais automatisés et déploiements par pipelines. Une telle approche technique exige des investissements et des processus différents, mais elle permet aux équipes de se concentrer sur la gouvernance et la stratégie. Si vous souhaitez approfondir cette approche, il existe une documentation pratique qui explique comment commencer à déclarer les contrôles comme un code, par exemple dans des guides spécialisés comme ceux qui offrent des plateformes qui fonctionnent sur cette ligne ( Génie GRC 101).
Ce n'est pas une transition automatique ou sans douleur. La redéfinition des responsabilités implique l'examen des descriptions de travail, des cheminements de carrière et des paramètres de rendement. Elle exige également la mise en place de gardes de sécurité : les officiers ont besoin de limites continues, de supervision et de vérification. Les ressources et les cadres de contrôle externe contribuent à soutenir ce changement : NISTE AU FGR normes internationales relatives à la gestion de la sécurité de l'information (par exemple ISO / CEI 27001) demeurent pertinents pour définir l'organisation des preuves et la protection des processus automatisés.
Il convient également de rappeler que l'automatisation de masse modifie la nature des compétences requises. Les rapports d'agences et de consultants sur l'avenir des travaux montrent que l'automatisation n'élimine pas le besoin de talents humains, mais déplace la demande vers la capacité de jugement, la gestion des risques et la communication commerciale ( - Oui.). Pour GRC, cela se traduit par des professionnels qui savent traduire les scénarios d'affaires en règles de contrôle, qui définissent l'appétit pour les risques et les priorités et qui surveillent la santé des processus automatisés.
Dans la pratique, la voie de l'adoption saine combine plusieurs mesures. Il est nécessaire de concevoir des agents avec transparence et traçabilité, des codes de contrôle et des tests, de définir clairement qui décide dans des cas complexes et de définir des paramètres qui mesurent l'impact plutôt que l'activité. Dans le même temps, l'organisation devrait faciliter la réinvention professionnelle : formation à la pensée des risques, compétences techniques de base pour collaborer avec les équipes d'ingénierie et espaces de connaissances spécialisées pour façonner la logique des agents.
La barrière psychologique à de nombreuses équipes est compréhensible : déléguer l'exécution ressemble à abandonner une partie de l'identité elle-même. Mais si elle s'accompagne d'une réévaluation de ce que les professionnels du GRC apportent - et avec des structures qui canalisent cette valeur aux décisions réelles - l'automatisation n'est plus une menace et devient un catalyseur. La transformation, enfin, est moins une perte qu'un retour à l'essence du rôle : penser au risque, pas seulement le gérer.
Pour ceux qui veulent explorer des exemples concrets de GRC et comment il est articulé techniquement, il y a des initiatives commerciales et des dépôts techniques qui montrent des implémentations visant à intégrer des agents avec une base de données solide et des règles configurables. Le débat public et universitaire sur les agents indépendants avance également par des études et des démonstrations qui analysent les limites, l'application pratique et les risques, tels que les travaux de recherche sur les agents générateurs ( Agents géneratifs, Stanford / ArXiv) et les plateformes qui ont popularisé les modèles GPT configurables ( OpenAI: GPTs).
En fin de compte, la question n'est pas de savoir si la technologie peut remplacer les processus - parce que dans bien des cas elle le peut déjà - mais comment les organisations reconfigurent les rôles, les responsabilités et les cadres de gouvernance de façon à ce que la valeur humaine non seulement survit, mais soit amplifiée. Ceux qui dirigent cette conversion pourront transformer GRC d'une fonction opérationnelle surchargée en un commandement stratégique qui gère vraiment le risque du 21ème siècle.
Si vous voulez entrer dans des exemples pratiques et des ressources pour prendre les premières étapes en agent de GRC, une passerelle est d'examiner des initiatives qui combinent l'ingénierie des contrôles et des agents automatisés, et d'étudier des cadres de risque qui établissent comment surveiller et rendre compte de ces nouvelles capacités. De plus amples informations et des guides pratiques sont disponibles dans des ressources spécialisées telles que: Anecdotes et dans les documents et les cadres publics susmentionnés.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...