Agents IA : 65 % des entreprises déjà piratées, comment se blinder

Le risque théorique de l'an dernier est devenu une série d'incidents bien réels ce trimestre.

Console de supervision d'agents IA avec alerte de sécurité et fuite de données

Pendant des mois, la sécurité des agents IA relevait de l'exercice théorique. Ce trimestre, elle est passée aux actes. Un seul attaquant a détourné Claude Code et l'API GPT-4.1 pour siphonner neuf administrations mexicaines — des centaines de millions de dossiers, en quelques semaines, seul devant son clavier. Dans le même temps, une étude de référence établit que 65 % des entreprises qui exploitent des agents ont déjà subi un incident de sécurité provoqué par ces agents. La question n'est plus « est-ce que ça arrive », mais « quand », et elle vise la PME de 20 salariés autant que le grand compte.

Il y a un peu plus de deux mois, nous publiions un guide pour sécuriser vos agents IA « avant la fuite de données ». La fuite a eu lieu, à grande échelle. Voici ce qui a changé depuis, et le plan à dérouler dès maintenant.

Ce qui a basculé au deuxième trimestre 2026

Le chiffre vient de l'étude Autonomous but Not Controlled, publiée le 21 avril 2026 par la Cloud Security Alliance et Token Security : 65 % des organisations faisant tourner des agents IA sur leur réseau déclarent au moins un incident de sécurité imputable à ces agents sur l'année écoulée. Parmi elles, 61 % rapportent une exposition de données sensibles, 43 % une interruption d'activité et 35 % une perte financière directe.

Le plus inquiétant tient au décalage entre l'usage et le contrôle. D'après les données compilées par Kiteworks, 63 % des entreprises sont incapables d'imposer une limite d'usage à un agent, 60 % ne savent pas arrêter un agent qui déraille, et 67 % n'ont aucune trace d'audit exploitable en cas d'incident. Seules 19 % traitent leurs agents comme elles traiteraient un salarié disposant d'accès internes. Autrement dit : on a donné les clés du bureau à un employé qu'on ne peut ni surveiller, ni renvoyer.

Un pirate, deux IA, 400 millions de dossiers

L'affaire mexicaine, révélée fin juin, donne le visage concret de cette faille de gouvernance. Entre fin décembre 2025 et mi-février 2026, un attaquant unique a compromis au moins neuf entités publiques mexicaines. À l'administration fiscale (SAT), il a accédé à 195 millions de dossiers de contribuables et bâti un service pour fabriquer de faux certificats fiscaux. À Mexico, une simple tâche planifiée lui a suffi pour prendre la main sur 220 millions de dossiers d'état civil.

Le détail qui compte pour un dirigeant : ce n'est pas un bug des modèles, c'est leur mise en autonomie sans garde-fou. Claude Code a exécuté environ 75 % des commandes distantes envoyées aux machines gouvernementales, pendant que l'API GPT-4.1 servait à l'analyse de renseignement. En tout, 1 088 prompts ont généré 5 317 commandes sur 34 sessions, analysant 305 serveurs internes et produisant près de 2 600 rapports structurés. Un individu a fait, en quelques heures, le travail d'une équipe entière. Les sources techniques concordent, de SecurityWeek à TechRadar, qui parlent d'une « évolution significative de la capacité offensive ».

La leçon se transpose telle quelle à une PME : un agent qui dispose d'accès larges, sans plafond ni supervision, devient un multiplicateur pour l'attaquant qui met la main dessus.

LiteLLM CVE-2026-42271 : la passerelle IA qui livre toutes vos clés

Beaucoup de PME routent désormais leurs modèles via une passerelle IA pour centraliser clés d'API et coûts. LiteLLM est l'une des plus répandues — et l'une des plus exposées ce mois-ci. La faille CVE-2026-42271 vise deux endpoints censés « prévisualiser » un serveur MCP avant de l'enregistrer : ils acceptaient une configuration complète, commande comprise, ouvrant la porte à l'injection de commandes.

Prise seule, la faille est notée 8,7. Chaînée à un contournement d'authentification côté Starlette (CVE-2026-48710), elle atteint le score maximal de 10 sur 10 : exécution de code à distance sans le moindre identifiant. Le pillage qui suit est chirurgical — toutes les clés d'API des fournisseurs de modèles stockées par la passerelle, puis mouvement latéral vers le reste de l'infrastructure. La CISA l'a inscrite à son catalogue des vulnérabilités activement exploitées le 8 juin 2026, avec une exploitation reliée au groupe de rançongiciel Qilin, d'après The Hacker News.

Ce que l'ANSSI dit noir sur blanc aux entreprises françaises

Côté français, la position de l'agence nationale ne laisse aucune place au flou. Dans son bulletin CERTFR-2026-ACT-016 du 13 avril 2026, le CERT-FR traite des « vulnérabilités et risques des produits d'automatisation par IA agentique sur les postes de travail ». Le verdict est net : les agents autonomes de type OpenClaw ou Claude Cowork ne doivent pas être déployés sur les postes de travail en production — pas demain, pas avec précautions — tant que ces produits ne sont pas stabilisés.

L'ANSSI a par ailleurs publié un guide « Sécuriser les systèmes intégrant l'IA », adressé aux DSI et RSSI. Trois axes en ressortent : compartimentation stricte, physique et logique, entre le système d'IA et le reste du SI ; cartographie des risques réévaluée régulièrement ; sensibilisation des équipes pour éviter la fuite involontaire de secrets d'affaires dans un outil grand public. Le contexte donne le tempo : dans une alerte conjointe du 22 juin, les services de renseignement des Five Eyes ont prévenu que, pour les cyberattaques dopées à l'IA, « le calendrier n'est pas en années, il est en mois ».

Où votre PME est réellement exposée

Les permissions excessives

C'est le mode de défaillance le plus prévisible. On crée un agent, on lui accorde des accès larges « pour que ça marche », et on oublie de les retirer. Un agent de facturation n'a pas besoin de lire toute la boîte mail du dirigeant. Un agent de veille n'a pas besoin d'écrire dans le CRM. Chaque permission superflue est une porte laissée ouverte.

Les agents fantômes

Un commercial branche un agent sur ses e-mails via une extension gratuite, un stagiaire connecte un assistant à Google Drive. Personne n'est au courant, rien n'est journalisé. C'est le prolongement direct du shadow AI, en plus dangereux : l'agent agit, il ne se contente pas de répondre.

Les connecteurs MCP

Le protocole qui connecte les agents à vos outils métier est puissant, mais c'est aussi le maillon exploité dans la faille LiteLLM. Un serveur MCP mal configuré, ou un connecteur tiers non vérifié, expose des credentials. À rapprocher de ce que nous détaillions sur le fonctionnement de MCP : la commodité a un coût de surface d'attaque.

Blinder vos agents IA : le plan d'action en 7 points

Rien d'exotique ici. Ce sont des principes de sécurité classiques, appliqués à un objet nouveau.

  • Moindre privilège, une identité par agent. Chaque agent reçoit ses propres accès, limités à sa tâche. Pas de clé partagée, pas de compte « admin » réutilisé.
  • Un bouton d'arrêt. Les 60 % d'entreprises incapables de stopper un agent qui déraille partent avec un handicap majeur. Prévoyez le kill switch avant la mise en production.
  • L'humain dans la boucle au-dessus d'un seuil. Virement, suppression, envoi externe : au-delà d'un montant ou d'une criticité, validation humaine obligatoire.
  • Des journaux exploitables. Chaque action horodatée, attribuable, conservée. Sans trace, pas d'enquête possible — ni de preuve pour l'assureur.
  • Patcher et surveiller la passerelle IA. LiteLLM, ou son équivalent, doit être à jour et isolé. Rotation régulière des clés.
  • Cloisonner, comme le demande l'ANSSI. L'environnement d'exécution des agents reste séparé du SI de production.
  • Écrire la règle et former. Une charte d'usage courte, connue de tous, vaut mieux qu'un audit annuel ignoré le reste de l'année.

Pour outiller cette gouvernance sans coder, une plateforme comme Make permet de cadrer précisément les connexions autorisées et de garder un historique d'exécution — deux prérequis directs des points 4 et 5. Les praticiens de la sécurité des modèles trouveront aussi de quoi structurer leur approche dans The Developer's Playbook for LLM Security de Steve Wilson, l'une des rares références sérieuses sur le sujet.

Combien coûte la sécurisation des agents IA en PME

La bonne nouvelle : l'essentiel du plan ci-dessus tient dans de la configuration et de la discipline, pas dans un budget à six chiffres. Le point de départ, c'est un audit des agents et connecteurs existants — souvent une à deux journées de prestation, entre 1 500 et 3 500 € pour une PME, ou en interne si vous avez un profil IT. Le reste relève d'habitudes : rotation des clés, cloisonnement, journalisation.

Le vrai risque budgétaire, c'est l'inverse : ne rien faire. Rappelons que l'étude sectorielle chiffre à 35 % la part des entreprises touchées ayant subi une perte financière directe, et que la question de qui paie quand l'IA se trompe reste largement à la charge de l'entreprise. Face à cela, dépenser 6 % de son budget sécurité sur les agents — la moyenne observée aujourd'hui — paraît dérisoire au regard de la surface qu'ils exposent.

À retenir

Le sujet a changé de nature. Tant que les agents restaient des démonstrations, la sécurité pouvait attendre. Depuis que 65 % des entreprises déclarent un incident, qu'un pirate seul a vidé un État de 400 millions de dossiers et qu'une faille de passerelle atteint 10 sur 10, l'attente est un pari perdant. Ce guide s'adresse d'abord aux PME et indépendants qui ont déjà des agents en production, ou sur le point d'y passer : pour vous, le plan en 7 points n'est pas optionnel. Ceux qui n'ont encore que des chatbots en lecture seule ont un peu de marge — mais c'est le moment de poser les règles, avant de brancher le premier agent qui agit vraiment sur vos systèmes.

FAQ

Faut-il interdire les agents IA autonomes en entreprise ?
Pas les interdire, mais les encadrer. L'ANSSI déconseille formellement les agents autonomes non stabilisés (type OpenClaw, Claude Cowork) sur les postes de travail en production. En revanche, un agent cloisonné, à identité dédiée, avec permissions minimales et validation humaine au-delà d'un seuil, reste exploitable sans exposer tout votre SI. La ligne rouge, c'est l'agent qui agit sur des systèmes sensibles depuis le poste d'un salarié, sans supervision.
Qu'est-ce que la faille LiteLLM CVE-2026-42271 et suis-je concerné ?
C'est une vulnérabilité d'injection de commandes dans la passerelle open source LiteLLM, utilisée pour centraliser l'accès aux modèles IA. Chaînée à un contournement d'authentification, elle atteint le score maximal de 10/10 et permet à un attaquant non authentifié d'exécuter du code et de voler toutes les clés d'API stockées. Vous êtes concerné si vous exposez une instance LiteLLM en versions 1.74.2 à 1.83.6. Correctif : passer en 1.83.7 (et Starlette en 1.0.1), puis renouveler toutes les clés.
Un agent IA peut-il vraiment être piraté sans mot de passe ?
Oui, et c'est précisément ce qu'illustre la faille LiteLLM : le contournement d'authentification rend l'attaque possible sans identifiant valide. Plus largement, le danger vient moins d'un mot de passe volé que des permissions excessives : un agent légitime, mal cadré, exécute les demandes qu'on lui envoie. Si un attaquant réussit à lui parler, il hérite de tous ses accès.
Combien coûte la sécurisation des agents IA pour une PME ?
L'audit initial des agents et connecteurs coûte généralement entre 1 500 et 3 500 € en prestation, ou rien si un profil IT interne s'en charge. Le reste — moindre privilège, cloisonnement, journalisation, rotation des clés — relève de la configuration et des habitudes, pas d'un investissement lourd. À comparer aux 35 % d'entreprises touchées ayant subi une perte financière directe selon l'étude CSA de 2026.
Quels outils pour surveiller les agents IA d'une PME ?
Commencez par ce que vous avez déjà : les journaux de votre plateforme d'automatisation (Make, n8n, Zapier) et de votre passerelle IA. L'objectif est d'obtenir des traces horodatées et attribuables par agent. Des solutions spécialisées de sécurité des identités machines existent pour les structures plus grandes, mais pour une PME, une identité dédiée par agent, des permissions minimales et un historique d'exécution consultable couvrent l'essentiel du risque.
Partager
Résumé vidéoen cours…