AVIS D’EXPERT – IA agentique : quand la vitesse devient le premier risque applicatif

Avec l’essor de l’IA agentique, capable de générer du code de manière quasi autonome, le cycle de développement tend aujourd’hui vers une vitesse théorique infinie. L’image du développeur noyé sous des milliers de lignes de code disparaît au profit d’un nouveau rôle d’orchestrateur, guidant des agents intelligents qui construisent à sa place. Pour les CISO et responsables AppSec, cette révolution engendre une problématique inédite :  si la cadence augmente – ce qui est positif- le volume de vulnérabilités explose aussi en miroir. L’adversaire n’est plus uniquement humain, il instrumentalise dorénavant des IA agentiques capables de détecter et d’exploiter des failles à une vitesse que seule l’automatisation permet de suivre. Seul le recours à l’IA peut contrer l’IA.

Les menaces liées à l’IA se déclinent aujourd’hui en trois grandes catégories. La première concerne les données, avec des biais intégrés dans les jeux d’entraînement, des attaques par data poisoning ou encore des fuites d’informations sensibles absorbées par les modèles. La deuxième touche directement les modèles eux-mêmes : attaques par injection de prompt pour manipuler les données d’entrée ou contourner les mécanismes de contrôle, déni de service applicatif, portes dérobées insérées dès la phase d’entraînement ou vol pur et simple de modèles. Enfin, la troisième catégorie renvoie aux risques d’autonomie excessive. Lorsqu’une IA dispose de trop de permissions, elle peut exécuter des actions contraires aux intérêts de l’organisation, ouvrant la voie à des scénarios de sabotage, de détournement ou de non-conformité réglementaire.

Pour ne pas être dépassés, les responsables sécurité doivent intégrer l’IA dès les fondations du SDLC. Cela implique de mettre en place des garde-fous dans les modèles afin d’éviter que l’IA ne génère des architectures ou du code non conformes mais aussi d’intégrer la sécurité directement dans l’IDE, grâce à des agents capables d’analyser en temps réel le code produit, de détecter des comportements suspects et de proposer des corrections automatiques. Enfin, la remédiation elle-même doit évoluer : au lieu d’attendre qu’un patch soit priorisé et déployé manuellement, l’IA doit pouvoir appliquer directement les corrections nécessaires, sous la supervision a posteriori d’un expert humain. Ce schéma repose sur une architecture multi-agents, chacun dédié à une étape du cycle de vie applicatif, coordonnés par les équipes humaines. Des systèmes auto-réparateurs, capables de détecter, analyser et corriger des vulnérabilités en quelques minutes.

La cybersécurité n’est pas qu’une affaire de technologie, c’est aussi une question de culture et d’organisation. Les équipes doivent apprendre à poser des règles de sécurité compréhensibles par des systèmes automatisés, orchestrer des flux où l’humain et la machine se complètent, et entraîner des modèles en fonction de leur propre réalité métier. Concrètement, il est nécessaire d’avancer par étapes : commencer par déléguer aux IA des tâches de sécurité simples et peu risquées, instaurer des mécanismes de retour d’expérience pour renforcer la confiance, puis élargir progressivement leur champ d’action jusqu’à atteindre une résilience proche du temps réel.

L’avenir de l’AppSec ne reposera pas uniquement sur l’expertise humaine, mais sur la capacité à piloter des environnements hybrides où humains et IA collaborent en continu. Pour les CISO et responsables AppSec, cela implique d’investir à la fois dans les technologies d’automatisation et dans les compétences humaines capables de les orchestrer. La sécurité doit être pensée dès la conception de chaque projet IA. Cependant, la coopération entre développeurs, experts sécurité, data scientists et dirigeants sera déterminante pour réduire les risques tout en maximisant la valeur business.