Alors que les agents IA accèdent déjà à des systèmes critiques et manipulent des données sensibles, les entreprises peinent encore à encadrer leurs droits. Selon le 2026 CISO AI Risk Report de Saviynt, 92 % des organisations n’ont pas une visibilité complète sur leurs identités IA.
L’adoption des agents IA avance plus vite que leur gouvernance. C’est le principal enseignement de ce rapport qui révèle un décalage important entre le déploiement de ces technologies et la capacité des entreprises à contrôler leurs accès.
Les agents IA ne se limitent plus à assister les collaborateurs ou à répondre à des requêtes simples. Ils accèdent désormais à des applications critiques, manipulent des données sensibles et peuvent exécuter des actions de manière autonome. Pour les équipes de sécurité, cette évolution crée une difficulté nouvelle : ces agents disposent parfois de privilèges comparables à ceux d’un utilisateur, d’une application ou d’un service, sans être toujours gouvernés comme des identités numériques à part entière. L’étude souligne l’ampleur du problème. 71 % des RSSI interrogés indiquent que des outils d’IA ont déjà accès à des systèmes critiques comme Salesforce ou SAP, mais seuls 16 % considèrent que ces accès sont correctement gouvernés. Le manque de visibilité apparaît comme un autre point de fragilité : 92 % des organisations déclarent ne pas avoir une vue complète sur leurs identités IA, tandis que 95 % doutent de leur capacité à détecter ou gérer un usage abusif de ces identités.
La question des politiques d’accès reste également largement ouverte. Selon Saviynt, 86 % des organisations ne disposent pas encore de politiques complètes et effectivement appliquées aux identités IA. Dans un environnement où les agents peuvent agir à grande échelle, cette absence de cadre augmente le risque de dérive de privilèges, d’actions non autorisées ou de compromission difficile à détecter.
Le phénomène n’est plus seulement prospectif. Trois quarts des RSSI interrogés déclarent avoir déjà identifié des outils d’IA générative non autorisés dans leur environnement. Près de la moitié ont observé des comportements non intentionnels ou non autorisés de la part d’agents IA, et un tiers rapporte avoir connu un incident ou quasi-incident de sécurité impliquant ces technologies au cours des douze derniers mois. Pourtant, seules 25 % des organisations utilisent aujourd’hui des contrôles ou des outils de supervision spécifiquement conçus pour les usages IA.
Pour Saviynt, ces résultats confirment l’émergence d’une nouvelle catégorie d’identités numériques. Dès lors qu’un agent IA dispose d’accès, de privilèges et d’une capacité d’action autonome, il doit être inventorié, surveillé et limité dans ses droits au même titre qu’un utilisateur humain ou qu’un compte applicatif.
« Pendant des années, les organisations ont concentré leurs efforts sur la gestion des identités humaines et des comptes applicatifs. L’essor des agents IA introduit une nouvelle catégorie d’identités capables d’agir de manière autonome à grande échelle. Les entreprises doivent désormais savoir quelles identités IA existent dans leur environnement, quels accès leur ont été accordés et comment détecter rapidement tout comportement anormal ou toute compromission », déclare Jean-François Pruvot, Vice-Président Europe du Sud de Saviynt.
Face à ces risques, Saviynt recommande aux organisations de renforcer leur visibilité sur les identités IA, d’inventorier les accès accordés aux agents et applications d’IA, de surveiller leurs activités en continu et d’appliquer le principe du moindre privilège. L’automatisation de la suppression des accès inutilisés et la mise en place de contrôles adaptés aux systèmes capables d’agir de manière autonome deviennent également des priorités.
L’étude montre ainsi que la sécurité des agents IA ne dépend pas seulement de leur fiabilité technique, mais aussi de la capacité des entreprises à les intégrer dans une gouvernance des identités plus large. À mesure que ces agents gagnent en autonomie, leur contrôle pourrait devenir un enjeu central de la cybersécurité des organisations.





