L’organisme de normalisation sollicite l’avis de l’industrie sur les risques de sécurité agents tout en « consolidant la domination américaine à la frontière technologique ».
Cette semaine, l’Institut national américain des normes et technologies (NIST) a annoncé un nouvel exercice d’écoute, l’AI Agent Standards Initiative, qui, espère-t-il, fournira une feuille de route pour surmonter les obstacles à l’IA agentique et, a-t-il déclaré, garantira que la technologie « soit largement adoptée en toute confiance ».
Les agents d’IA, qui ont désormais accédé au statut d’outils d’entreprise, sont conçus pour être autonomes et puissants : des concepts ambigus mais inquiétants dont les frontières et les limites ne sont pas toujours faciles à définir ou à comprendre. Le risque que cela pose en termes d’utilisation abusive, d’erreur et de conséquences imprévues est frappant.
Cependant, travaillant sous la direction du Center for AI Standards and Innovation (CAISI), créé au sein du NIST en juin dernier pour remplacer l’US AI Safety Institute de l’administration Biden, le mandat de l’AI Agent Standards Initiative sera plus large que la seule sécurité.
Bien qu’il semble s’agir d’un changement de nom de l’initiative existante, le mandat du CAISI est désormais plus large et plus ouvertement politique. Sans détour, « CAISI vise à favoriser l’écosystème émergent de normes et de protocoles d’IA dirigés par l’industrie tout en consolidant la domination américaine à la frontière technologique », indique le communiqué de presse du NIST.
Cela signifiera renforcer le leadership des États-Unis dans les organismes de normalisation internationaux, développer des agents d’IA open source et faire progresser la recherche sur la sécurité et les cas d’utilisation des agents d’IA. L’interopérabilité – la capacité des agents de différentes entreprises à travailler ensemble – sera également une priorité.
« En l’absence de confiance dans la fiabilité des agents d’IA et dans l’interopérabilité entre les agents et les ressources numériques, les innovateurs pourraient être confrontés à un écosystème fragmenté et à un retard d’adoption », a déclaré le NIST. « Pour répondre à cette préoccupation, le NIST, y compris le CAISI, vise à promouvoir des normes et protocoles techniques dirigés par l’industrie qui renforcent la confiance du public dans les agents d’IA, catalysent un écosystème d’agents interopérables et diffusent leurs avantages à tous les Américains et dans le monde entier. »
Plus de préoccupations
Les histoires de faux pas de l’IA agentique ont été difficiles à manquer récemment, depuis la vulnérabilité « EchoLeak » de 2025 dans laquelle Microsoft 365 Copilot a été utilisé pour exfiltrer des données, jusqu’à la popularité soudaine d’OpenClaw (anciennement connu sous le nom de Moltbot et Clawdbot), un agent utile qui ouvre également la porte aux attaquants pour se déplacer sans être vus dans les applications et les données d’un utilisateur.
Et en novembre, l’Information Technology Industry Council, une association professionnelle mondiale, a identifié un large éventail de risques liés à la sécurité et à la responsabilité des agents, notamment le « renseignement irrégulier », la tendance des modèles d’IA à accomplir des tâches complexes tout en échouant dans des tâches beaucoup plus simples. Ces erreurs pourraient exposer les entreprises à des pannes imprévisibles dans les environnements automatisés, indique-t-il.
Avancer trop lentement
Selon Gary Phipps, responsable de la réussite client chez la start-up de sécurité de l’IA agentique Helmet Security, le problème du NIST est que ses initiatives sont dépassées par les développements du monde réel. « L’histoire montre que tout ce que propose le NIST n’apparaîtra probablement pas assez rapidement pour s’attaquer à l’IA agentique », a déclaré Phipps.
« Entre le moment où le NIST a annoncé qu’il travaillait sur le cadre de gestion des risques liés à l’IA et le jour où il a publié la version finale, il a fallu environ deux ans », a-t-il noté. « Dans cette même fenêtre, l’ensemble du paysage de l’IA générative est né, a évolué et a commencé à remodeler la sécurité de l’entreprise. Aujourd’hui, nous récidivons avec l’IA agentique, et la réponse du NIST est davantage de demandes d’information, plus de sessions d’écoute, plus de réunions. »
Le NIST a publié une demande d’informations (RFI) sur les menaces, les garanties et les méthodes d’évaluation de l’IA agentique ; les commentaires sont attendus d’ici le 9 mars. En outre, le CAISI organisera des « séances d’écoute » en avril sur les obstacles spécifiques au secteur à l’adoption de l’IA, a indiqué le NIST.
La déclaration du NIST sur la « consolidation de la domination américaine à la frontière technologique » est, a déclaré Phipps, « une chose audacieuse à dire à propos d’une initiative dont le premier résultat concret est une séance d’écoute en avril ».
Il a souligné : « Les normes ne créent pas de domination : elles la suivent. Le cadre de gestion des risques de l’IA (RMF) en est la preuve. Il a fallu deux ans pour le produire, et au moment où il a été finalisé, l’industrie avait déjà largement formé sa propre vision des risques liés à l’IA. »
