Une étude Gravitee (2025) révèle que 47 à 53 % des 3 millions d’agents IA déployés dans les grandes organisations américaines et britanniques fonctionnent sans surveillance ni contrôle de sécurité. Ces systèmes autonomes non gouvernés exposent les entreprises à des risques majeurs : 88 % des organisations rapportent des incidents liés aux agents, du vol de données aux suppressions non autorisées.
Le constat : 1,5 million d'agents en zone grise
L’enquête menée en décembre 2025 par Opinion Matters pour Gravitee auprès de 750 cadres IT (500 aux États-Unis, 250 au Royaume-Uni) établit un diagnostic sans ambiguïté :
- 3 millions d’agents IA opèrent actuellement dans les grandes organisations de 250+ salariés en Amérique du Nord et au Royaume-Uni.
- 47 à 53 % de ces systèmes échappent à toute surveillance active et ne disposent d’aucun contrôle de sécurité.
- 1,5 million d’agents fonctionnent ainsi potentiellement sans garde-fous.
À titre comparatif, ce nombre dépasse l’effectif total de Walmart, selon Rory Blundell, directeur général de Gravitee.
Extrapolation et méthodologie
L’étude repose sur un panel diversifié de CTOs, vice-présidents d’ingénierie et responsables de plateforme issus de banques et grandes entreprises. La moyenne extrapolée est de 36,9 agents par organisation, projetée sur environ 77 000 entreprises américaines et 8 250 britanniques de cette taille.
Au-delà du risque théorique : agents invisibles vs. agents rouges
Le problème central n’est pas celui d’une IA qui se rebelle ou agit malveillamment, mais d’une IA dont l’organisation ignore l’existence même.
Manish Jain, directeur de recherche chez Info-Tech Research Group, reframe ainsi l’enjeu :
Le vrai problème n’est pas l’IA qui devient incontrôlable. C’est l’IA invisible. De nombreuses organisations ne savent pas combien d’agents elles ont, où ils tournent, ou ce qu’ils peuvent toucher.
Profil des agents non gouvernés
Ces systèmes opèrent typiquement :
- via des outils low-code autorisés mais non intégrés à la gouvernance IT ;
- avec des accréditations larges et déléguées ;
- sans traçabilité documentée de leurs actions ;
- en dehors des cycles d’audit traditionnels.
Incidents en cascade : du théorique au documenté
Les 88 % d’entreprises interrogées rapportent avoir subi ou suspecté un incident de sécurité lié aux agents IA au cours des douze derniers mois.
Incidents documentés
| Type d’incident | Impact | Cause probable |
|---|---|---|
| Expositions de données confidentielles | Conformité, réputation | Accès excessifs, insuffisance de masquage |
| Suppressions de bases de données non autorisées | Perte opérationnelle | Agents sans validation d’actions critiques |
| Utilisation d’informations obsolètes | Décisions erronées | Absence de contrôle de fraîcheur des données |
| Génération de fausses données | Intégrité métier | Agents sans validation de sortie |
Ces incidents n’impliquent pas une IA malveillante au sens strict, mais des systèmes mal gouvernés, opérant sans les freins nécessaires.
David Shipley, expert en sécurité chez Beauceron Security, commente :
L’unique surprise, c’est que les gens croient que seuls 53 % des agents ne sont pas monitorés. Le chiffre réel est probablement plus élevé.
L'origine du décalage : croissance contre gouvernance
Vitesse de déploiement vs. capacité de contrôle
Le fossé entre la multiplication des agents et la supervision s’explique par un simple décalage temporel.
- Équipes métier et start-ups IT : déploient 10+ agents en quelques semaines via outils low-code.
- Équipes de sécurité et gouvernance : opèrent sur des cycles de mois, voire trimestres.
Il en résulte une croissance exponentielle d’une « shadow AI » structurelle.
Ce qui rend les agents IA différents
Ce décalage n’est pas nouveau—le cloud et le SaaS l’ont connu. Cependant, le contexte des agents IA présente une spécificité majeure :
- Un mauvais fichier de configuration dans une application web expose généralement qu’une portion des données.
- Un agent mal gouverné avec accès à des APIs critiques peut causer des dégâts en minutes, opérant de façon quasi-autonome.
La capacité d’action autonome des agents amplifie donc les risques de tout système non supervisé.
Les briques d'une gouvernance émergente
Des initiatives récentes suggèrent l’émergence d’un cadre standardisé.
Déploiements significatifs :
- Gravitee v4.10 (janvier 2026) : framework intégrant inventaire, classification et monitoring continu des agents IA.
- RFI fédérale américaine (janvier 2026) : interrogation explicite sur les contrôles techniques de sécurité des agents IA.
Modèle émergent : quatre piliers
- Inventorier — Établir un registre exhaustif : où chaque agent opère, qui l’a déployé, quelles tâches il exécute.
- Classifier — Définir le niveau de risque et les sensibilités métier associées à chaque agent.
- Monitorer en continu — Tracer les actions, détecter les anomalies, enregistrer les logs.
- Contrôler l’accès — Appliquer aux agents les mêmes principes de moindres privilèges qu’aux utilisateurs humains.
Manish Jain synthétise cette transition :
Nous ne pouvons pas gouverner ce que nous ne voyons pas. Nous devons donc d’abord définir un accès en tiers pour les agents IA. On ne peut pas donner à chaque système les clés de la maison juste parce qu’on veut accélérer les choses.
Contexte et limites de l'étude
Plusieurs éléments encadrent l’interprétation des résultats.
Source commerciale
L’étude émane de Gravitee, entreprise commercialisant des outils de gouvernance des agents. Cette provenance n’invalide pas les données, mais elle contextualise : Gravitee a naturellement intérêt à amplifier le problème pour justifier la demande de solutions.
Couverture géographique limitée
L’étude se concentre sur les États-Unis et le Royaume-Uni, sur des organisations de 250+ salariés. La gouvernance des agents IA dans le mid-market ou les PME reste peu documentée. Bien que Gravitee affirme le phénomène comme global, les preuves chiffrées demeurent régionales.
Degrés de certitude
Les 88 % d’incidents rapportés incluent les cas « suspectés »—certaines organisations n’ont pas d’assurance formelle. Le chiffre reflète donc à la fois des brèches confirmées et des inquiétudes légitimes.
La gouvernance comme urgence
Malgré ces nuances, le signal demeure clair : le parc d’agents IA en entreprise croît exponentiellement, tandis que les mécanismes de contrôle restent fragmentaires.
Horizon à court terme (12-18 mois)
- Attentes réglementaires accentuées : conformité, audits, reporting de gouvernance.
- Standardisation progressive des outils : émergence de frameworks produits robustes.
- Cristallisation des bonnes pratiques : convergence autour des quatre piliers d’une gouvernance fonctionnelle.
L'enjeu stratégique
Les organisations qui attendent une normalisation réglementaire globale accumuleront du retard. Celles qui mettent en place dès maintenant un inventaire, une classification et une surveillance des agents construisent les fondations d’une vraie résilience opérationnelle.
La gouvernance des agents IA deviendra, dans les 12 à 18 mois, aussi critique que la gestion des identités ou le contrôle d’accès. Les organisations passives risquent non seulement des fuites de données ou des suppressions non autorisées, mais aussi une perte progressive de contrôle sur leurs propres systèmes autonomes.
FAQ
Combien d'agents IA opèrent sans surveillance dans les grandes entreprises ?
Environ 1,5 million sur 3 millions d’agents (47-53 %) selon l’étude Gravitee 2025.
Qu'est-ce qu'un « agent IA invisible » et en quoi est-ce un risque ?
Un système autonome dont l’organisation ignore l’existence, opérant via des outils low-code non intégrés à la gouvernance IT, sans traçabilité ni contrôle de sécurité.
Quel est le taux d'incidents de sécurité liés aux agents IA en 2025 ?
88 % des grandes entreprises rapportent avoir subi ou suspecté un incident (expositions de données, suppressions non autorisées, utilisation d’informations obsolètes).
Quels sont les 4 piliers d'une gouvernance émergente des agents IA ?
Inventorier, classifier, monitorer en continu, implémenter un accès hiérarchisé (principes de moindres privilèges).
Comment combler le gap entre déploiement et gouvernance ?
Mettre en place dès maintenant inventaire et surveillance, plutôt que d’attendre une normalisation réglementaire.
Leave a Reply