L’IA agentique est rapidement adoptée par les entreprises, propulsée par une explosion de cas d’utilisation, mais la sécurité, comme toujours, est à la traîne. Le Top 10 OWASP pour l’IA agentique peut aider à combler cet écart.
Les chatbots basés sur LLM présentent des risques que nous voyons faire la une des journaux presque quotidiennement. Mais les chatbots se limitent à répondre aux questions. Cependant, les agents d’IA accèdent aux données et aux outils et effectuent des tâches, ce qui les rend infiniment plus performants – et plus dangereux pour les entreprises.
Le Top 10 OWASP pour les applications agentiques peut aider les RSSI à expliquer quels sont les problèmes à leurs homologues commerciaux. Il peut également aider les RSSI à améliorer directement la sécurité de l’IA agentique, car il comprend une taxonomie des menaces, des stratégies et des playbooks d’atténuation, ainsi que des exemples de modèles de menaces.
Tout cela fait partie de l’initiative de sécurité agent de l’OWASP. Scott Clinton, coprésident du conseil d’administration du projet de sécurité GenAI de l’OWASP et co-fondateur, se dit surpris par le nombre de solutions agent déjà déployées dans les organisations que l’équipe de l’OWASP a découvertes lors de ses recherches sur la liste. Et combien de ces solutions ont été déployées à l’insu des équipes informatiques et de sécurité.
Ce niveau de risque est sans précédent, dit-il. Cela inclut de nombreux risques théoriques et « académiques ».
« Cependant, nous nous sommes concentrés sur ceux qui étaient basés sur les données », dit-il. « Où nous fournirions des conseils pratiques basés sur les conditions du monde réel d’aujourd’hui. »
Le défi de l’éducation des parties prenantes
Le RSSI n’est peut-être pas en mesure de dire non, ajoute-t-elle, mais il peut aussi hésiter un peu à dire que l’entreprise peut tout mettre en œuvre et adopter la technologie sans penser aux conséquences.
La liste a été délibérément conçue pour être consommable, dit-elle. « Cela aidera à modéliser les menaces, à raconter l’histoire, à expliquer quels contrôles doivent être mis en place pour réduire le risque et pourquoi. »
Un responsable de la sécurité peut obtenir un cas d’utilisation de l’IA agentique auprès de l’entreprise et aligner les principaux risques en fonction de ce cas d’utilisation. La liste fournit également un langage commun autour de l’IA agentique et de ses risques, explique Underkoffler.
Des conseils pratiques
L’IA agentique est le principal sujet de conversation entre ses pairs, déclare Keith Hillis, vice-président de l’ingénierie de sécurité chez Akamai Technologies.
« La plupart des organisations sont confrontées au défi d’équilibrer la puissance prometteuse de l’IA tout en s’assurant qu’elles ne courent pas de risques de sécurité accrus », dit-il. Ainsi, la plus grande valeur qu’il trouve dans le nouveau top 10 Agentic AI OWASP est qu’il est immédiatement utile. « Il est directement exploitable en tant que référence de contrôle dans les contextes d’architecture de sécurité et de gouvernance, de risque et de conformité », explique-t-il.
Un aspect de la liste qu’il a trouvé particulièrement instructif était l’évolution du « moindre privilège » vers le « moindre pouvoir ».
Il recommande aux RSSI d’utiliser la liste pour évaluer leurs programmes, identifier les lacunes et élaborer un plan d’action pour l’amélioration. « Il est fort probable que des programmes actifs soient déjà en place », dit-il. Mais il est également probable qu’ils devront évoluer pour s’adapter aux risques spécifiques de l’IA agentique.
Pièces manquantes
La seule chose qui manque dans cette première version de la liste est que certaines sections d’atténuation ne sont pas suffisamment détaillées, explique Underkoffler de Zenity.
Mais il est prévu de remédier à ce problème. « Nous avons déployé des efforts pour vraiment nous pencher sur les mesures d’atténuation pour les équipes de sécurité, afin de les aider à mettre en œuvre ces contrôles », dit-elle. « Pas seulement des descriptions de ce que vous devez faire, mais aussi de vrais exemples de code sur la façon dont vous pouvez les mettre en œuvre. »
Par exemple, dit-elle, l’une des mesures d’atténuation suggérées consiste à « appliquer le principe du moindre privilège ». « Ce qui est tout à fait exact », dit-elle. « Tout le monde devrait appliquer le principe du moindre privilège. Mais qu’est-ce que cela signifie pour les agents ? »
Rick Holland, responsable de la sécurité des données et de l’IA chez Cyera, un fournisseur de sécurité des données, déclare qu’il aimerait que la liste explique la probabilité de chaque type d’attaque. « Tous les acteurs de la menace ne sont pas égaux », dit-il.
Pour les organisations ciblées par des acteurs étatiques, par exemple, les attaquants peuvent utiliser des vecteurs d’attaque plus sophistiqués, comme l’empoisonnement de la mémoire et du contexte ou les vulnérabilités de la chaîne d’approvisionnement agentique. Les cybercriminels de base pourraient s’attaquer à des solutions plus simples, explique Holland, en utilisant des techniques telles que le détournement d’objectifs d’agent ou l’utilisation abusive d’outils.
Jose Lazu, directeur associé de la gestion des produits chez CMD+CTRL, une société de formation en sécurité, affirme que certains risques de second niveau auraient pu être inclus, tels que le modèle et le réglage de l’intégrité de la chaîne d’approvisionnement, l’empoisonnement des données à long terme, les exploits de coordination multi-agents et l’épuisement des ressources basé sur les coûts.
OWASP Top 10 pour l’IA agentique
Ci-dessous, nous répertorions le Top 10 OWASP pour les applications agentiques 2026, un cadre qui identifie les risques de sécurité les plus critiques auxquels sont confrontés les systèmes d’IA autonomes et agentiques.
1 – Détournement d’objectif d’agent
Les attaquants utilisent des injections rapides, des données empoisonnées et d’autres tactiques pour manipuler les objectifs de l’agent IA, afin que celui-ci effectue des actions indésirables. Par exemple, une invite malveillante peut manipuler un agent financier pour qu’il envoie de l’argent à un attaquant.
2 – Mauvaise utilisation et exploitation des outils
Les agents utilisent à mauvais escient des outils légitimes et autorisés pour l’exfiltration de données, des actions destructrices et d’autres comportements indésirables. En fait, nous avons déjà vu des exemples d’agents IA supprimant des bases de données et effaçant des disques durs.
3 – Abus d’identité et de privilèges
Les failles dans l’identité des agents, la délégation ou l’héritage des privilèges permettent aux attaquants d’augmenter l’accès, d’exploiter des scénarios d’adjoint confus ou d’exécuter des actions non autorisées sur l’ensemble des systèmes. Par exemple, un attaquant peut utiliser un agent IA à faible privilège pour relayer des instructions à un agent à haut privilège afin de faire des choses qu’il n’est pas censé pouvoir faire.
4 – Vulnérabilités de la chaîne d’approvisionnement agentique
Les agents, outils, modèles, interfaces ou registres tiers compromis ou malveillants introduisent des instructions cachées ou des comportements dangereux dans les écosystèmes agentiques. Par exemple, un attaquant peut intégrer des instructions cachées dans les métadonnées d’un outil.
5 – Exécution de code inattendue
Le code généré ou invoqué par l’agent s’exécute de manière involontaire ou contradictoire, entraînant une compromission de l’hôte, du conteneur ou de l’environnement. Les agents IA peuvent générer du code à la volée, en contournant les contrôles logiciels normaux, et les attaquants peuvent en tirer parti. Par exemple, un agent de codage qui écrit un correctif de sécurité peut inclure une porte dérobée cachée en raison de données de formation empoisonnées ou d’invites contradictoires.
6 – Empoisonnement de la mémoire et du contexte
Les attaquants corrompent la mémoire persistante de l’agent, les magasins RAG, les intégrations ou le contexte partagé pour affecter les actions futures d’un agent. Par exemple, un attaquant continue de mentionner un faux prix pour un produit, qui est stocké dans la mémoire d’un agent, et celui-ci peut ensuite penser que le prix est valide et approuver les réservations à ce prix.
Un contexte contaminé et une mémoire partagée peuvent se propager entre les agents, aggravant ainsi la corruption.
7 – Communication inter-agents non sécurisée
Une authentification, une intégrité ou une validation sémantique faibles dans la messagerie d’agent à agent permet l’usurpation d’identité, la falsification, la relecture ou la manipulation. Par exemple, un attaquant peut enregistrer un faux agent dans un service de découverte et intercepter le trafic de coordination privilégié.
8 – Pannes en cascade
Un seul défaut, tel qu’une hallucination, une mémoire empoisonnée ou un outil compromis, se propage parmi les agents autonomes. Par exemple, une panne régionale chez un hyperscaler peut interrompre plusieurs services d’IA, entraînant une cascade de pannes d’agents dans de nombreuses organisations.
9 – Exploitation de la confiance homme-agent
Les agents exploitent la confiance humaine, les préjugés d’autorité ou les préjugés d’automatisation pour influencer les décisions ou extraire des informations sensibles. Par exemple, un agent de support informatique compromis peut demander les informations d’identification d’un employé et les envoyer à l’attaquant.
10 – Agents voyous
Les agents peuvent agir de manière nuisible et trompeuse, de telle sorte que les actions individuelles peuvent paraître légitimes. Cela peut être dû à une injection rapide, à des objectifs contradictoires ou à un piratage de récompense. Par exemple, un agent dont le travail consiste à réduire les coûts du cloud pourrait comprendre que la suppression de fichiers est le moyen le plus efficace d’y parvenir.
