Agents IA : 65 % des entreprises déjà piratées, comment se blinder
Le risque théorique de l'an dernier est devenu une série d'incidents bien réels ce trimestre.
Pendant des mois, la sécurité des agents IA relevait de l'exercice théorique. Ce trimestre, elle est passée aux actes. Un seul attaquant a détourné Claude Code et l'API GPT-4.1 pour siphonner neuf administrations mexicaines — des centaines de millions de dossiers, en quelques semaines, seul devant son clavier. Dans le même temps, une étude de référence établit que 65 % des entreprises qui exploitent des agents ont déjà subi un incident de sécurité provoqué par ces agents. La question n'est plus « est-ce que ça arrive », mais « quand », et elle vise la PME de 20 salariés autant que le grand compte.
Il y a un peu plus de deux mois, nous publiions un guide pour sécuriser vos agents IA « avant la fuite de données ». La fuite a eu lieu, à grande échelle. Voici ce qui a changé depuis, et le plan à dérouler dès maintenant.
Ce qui a basculé au deuxième trimestre 2026
Le chiffre vient de l'étude Autonomous but Not Controlled, publiée le 21 avril 2026 par la Cloud Security Alliance et Token Security : 65 % des organisations faisant tourner des agents IA sur leur réseau déclarent au moins un incident de sécurité imputable à ces agents sur l'année écoulée. Parmi elles, 61 % rapportent une exposition de données sensibles, 43 % une interruption d'activité et 35 % une perte financière directe.
Le plus inquiétant tient au décalage entre l'usage et le contrôle. D'après les données compilées par Kiteworks, 63 % des entreprises sont incapables d'imposer une limite d'usage à un agent, 60 % ne savent pas arrêter un agent qui déraille, et 67 % n'ont aucune trace d'audit exploitable en cas d'incident. Seules 19 % traitent leurs agents comme elles traiteraient un salarié disposant d'accès internes. Autrement dit : on a donné les clés du bureau à un employé qu'on ne peut ni surveiller, ni renvoyer.
Un pirate, deux IA, 400 millions de dossiers
L'affaire mexicaine, révélée fin juin, donne le visage concret de cette faille de gouvernance. Entre fin décembre 2025 et mi-février 2026, un attaquant unique a compromis au moins neuf entités publiques mexicaines. À l'administration fiscale (SAT), il a accédé à 195 millions de dossiers de contribuables et bâti un service pour fabriquer de faux certificats fiscaux. À Mexico, une simple tâche planifiée lui a suffi pour prendre la main sur 220 millions de dossiers d'état civil.
Le détail qui compte pour un dirigeant : ce n'est pas un bug des modèles, c'est leur mise en autonomie sans garde-fou. Claude Code a exécuté environ 75 % des commandes distantes envoyées aux machines gouvernementales, pendant que l'API GPT-4.1 servait à l'analyse de renseignement. En tout, 1 088 prompts ont généré 5 317 commandes sur 34 sessions, analysant 305 serveurs internes et produisant près de 2 600 rapports structurés. Un individu a fait, en quelques heures, le travail d'une équipe entière. Les sources techniques concordent, de SecurityWeek à TechRadar, qui parlent d'une « évolution significative de la capacité offensive ».
La leçon se transpose telle quelle à une PME : un agent qui dispose d'accès larges, sans plafond ni supervision, devient un multiplicateur pour l'attaquant qui met la main dessus.
LiteLLM CVE-2026-42271 : la passerelle IA qui livre toutes vos clés
Beaucoup de PME routent désormais leurs modèles via une passerelle IA pour centraliser clés d'API et coûts. LiteLLM est l'une des plus répandues — et l'une des plus exposées ce mois-ci. La faille CVE-2026-42271 vise deux endpoints censés « prévisualiser » un serveur MCP avant de l'enregistrer : ils acceptaient une configuration complète, commande comprise, ouvrant la porte à l'injection de commandes.
Prise seule, la faille est notée 8,7. Chaînée à un contournement d'authentification côté Starlette (CVE-2026-48710), elle atteint le score maximal de 10 sur 10 : exécution de code à distance sans le moindre identifiant. Le pillage qui suit est chirurgical — toutes les clés d'API des fournisseurs de modèles stockées par la passerelle, puis mouvement latéral vers le reste de l'infrastructure. La CISA l'a inscrite à son catalogue des vulnérabilités activement exploitées le 8 juin 2026, avec une exploitation reliée au groupe de rançongiciel Qilin, d'après The Hacker News.
Ce que l'ANSSI dit noir sur blanc aux entreprises françaises
Côté français, la position de l'agence nationale ne laisse aucune place au flou. Dans son bulletin CERTFR-2026-ACT-016 du 13 avril 2026, le CERT-FR traite des « vulnérabilités et risques des produits d'automatisation par IA agentique sur les postes de travail ». Le verdict est net : les agents autonomes de type OpenClaw ou Claude Cowork ne doivent pas être déployés sur les postes de travail en production — pas demain, pas avec précautions — tant que ces produits ne sont pas stabilisés.
L'ANSSI a par ailleurs publié un guide « Sécuriser les systèmes intégrant l'IA », adressé aux DSI et RSSI. Trois axes en ressortent : compartimentation stricte, physique et logique, entre le système d'IA et le reste du SI ; cartographie des risques réévaluée régulièrement ; sensibilisation des équipes pour éviter la fuite involontaire de secrets d'affaires dans un outil grand public. Le contexte donne le tempo : dans une alerte conjointe du 22 juin, les services de renseignement des Five Eyes ont prévenu que, pour les cyberattaques dopées à l'IA, « le calendrier n'est pas en années, il est en mois ».
Où votre PME est réellement exposée
Les permissions excessives
C'est le mode de défaillance le plus prévisible. On crée un agent, on lui accorde des accès larges « pour que ça marche », et on oublie de les retirer. Un agent de facturation n'a pas besoin de lire toute la boîte mail du dirigeant. Un agent de veille n'a pas besoin d'écrire dans le CRM. Chaque permission superflue est une porte laissée ouverte.
Les agents fantômes
Un commercial branche un agent sur ses e-mails via une extension gratuite, un stagiaire connecte un assistant à Google Drive. Personne n'est au courant, rien n'est journalisé. C'est le prolongement direct du shadow AI, en plus dangereux : l'agent agit, il ne se contente pas de répondre.
Les connecteurs MCP
Le protocole qui connecte les agents à vos outils métier est puissant, mais c'est aussi le maillon exploité dans la faille LiteLLM. Un serveur MCP mal configuré, ou un connecteur tiers non vérifié, expose des credentials. À rapprocher de ce que nous détaillions sur le fonctionnement de MCP : la commodité a un coût de surface d'attaque.
Blinder vos agents IA : le plan d'action en 7 points
Rien d'exotique ici. Ce sont des principes de sécurité classiques, appliqués à un objet nouveau.
- Moindre privilège, une identité par agent. Chaque agent reçoit ses propres accès, limités à sa tâche. Pas de clé partagée, pas de compte « admin » réutilisé.
- Un bouton d'arrêt. Les 60 % d'entreprises incapables de stopper un agent qui déraille partent avec un handicap majeur. Prévoyez le kill switch avant la mise en production.
- L'humain dans la boucle au-dessus d'un seuil. Virement, suppression, envoi externe : au-delà d'un montant ou d'une criticité, validation humaine obligatoire.
- Des journaux exploitables. Chaque action horodatée, attribuable, conservée. Sans trace, pas d'enquête possible — ni de preuve pour l'assureur.
- Patcher et surveiller la passerelle IA. LiteLLM, ou son équivalent, doit être à jour et isolé. Rotation régulière des clés.
- Cloisonner, comme le demande l'ANSSI. L'environnement d'exécution des agents reste séparé du SI de production.
- Écrire la règle et former. Une charte d'usage courte, connue de tous, vaut mieux qu'un audit annuel ignoré le reste de l'année.
Pour outiller cette gouvernance sans coder, une plateforme comme Make permet de cadrer précisément les connexions autorisées et de garder un historique d'exécution — deux prérequis directs des points 4 et 5. Les praticiens de la sécurité des modèles trouveront aussi de quoi structurer leur approche dans The Developer's Playbook for LLM Security de Steve Wilson · Amazon, l'une des rares références sérieuses sur le sujet.
Combien coûte la sécurisation des agents IA en PME
La bonne nouvelle : l'essentiel du plan ci-dessus tient dans de la configuration et de la discipline, pas dans un budget à six chiffres. Le point de départ, c'est un audit des agents et connecteurs existants — souvent une à deux journées de prestation, entre 1 500 et 3 500 € pour une PME, ou en interne si vous avez un profil IT. Le reste relève d'habitudes : rotation des clés, cloisonnement, journalisation.
Le vrai risque budgétaire, c'est l'inverse : ne rien faire. Rappelons que l'étude sectorielle chiffre à 35 % la part des entreprises touchées ayant subi une perte financière directe, et que la question de qui paie quand l'IA se trompe reste largement à la charge de l'entreprise. Face à cela, dépenser 6 % de son budget sécurité sur les agents — la moyenne observée aujourd'hui — paraît dérisoire au regard de la surface qu'ils exposent.
À retenir
Le sujet a changé de nature. Tant que les agents restaient des démonstrations, la sécurité pouvait attendre. Depuis que 65 % des entreprises déclarent un incident, qu'un pirate seul a vidé un État de 400 millions de dossiers et qu'une faille de passerelle atteint 10 sur 10, l'attente est un pari perdant. Ce guide s'adresse d'abord aux PME et indépendants qui ont déjà des agents en production, ou sur le point d'y passer : pour vous, le plan en 7 points n'est pas optionnel. Ceux qui n'ont encore que des chatbots en lecture seule ont un peu de marge — mais c'est le moment de poser les règles, avant de brancher le premier agent qui agit vraiment sur vos systèmes.