Ils promettent de faire gagner du temps. Ils prennent surtout la main. Les agents IA autonomes, en plein essor, déplacent le problème : ce n’est plus la réponse qui compte, mais l’action. Et avec elle, une exposition inédite du poste de travail.
Dans un bulletin du CERT-FR, l’ANSSI alerte sur les risques. Notre lecture : neuf règles à poser dès maintenant.
Des assistants qui exécutent, pas seulement qui répondent
Les outils comme OpenClaw ou Claude Cowork ne se limitent plus à générer du texte. Ils enchaînent les actions : lancer une commande, modifier un fichier, naviguer, envoyer un mail, organiser un agenda.
Tout part d’un message. Slack, WhatsApp, Discord deviennent des interfaces de pilotage. L’utilisateur formule une intention, l’agent exécute.
Ce changement de rôle transforme l’agent en opérateur. Il agit avec les mêmes droits que l’utilisateur, parfois sur l’ensemble de son environnement bureautique. Messagerie, fichiers, applications métier : tout devient accessible, sans friction.
Plugins, privilèges et angles morts
Le cœur du problème est là : ces agents s’appuient sur des greffons chargés dynamiquement. Selon le modèle d’intégration, ces extensions s’exécutent comme du code de confiance, avec un niveau de privilège élevé.
Chaque plugin élargit la surface d’attaque. Chaque intégration ajoute une dépendance. Et dans un contexte où ces outils sont encore largement en version beta, le contrôle devient difficile à maintenir.
Les conséquences sont directes. Compromission du poste via une vulnérabilité, fuite de données vers des services externes, exposition des identifiants, accès généralisé aux applications internes. À cela s’ajoute un point critique : la perte de visibilité. Une action déclenchée par l’agent peut passer inaperçue, ou être mal comprise.
Sans cadre strict, maîtrise des installations, moindre privilège, supervision, ces outils s’inscrivent rapidement dans une logique de Shadow IT. Et déplacent le risque au cœur du poste utilisateur : “En l’état, les assistants personnels autonomes […] ne doivent pas être déployés sur des postes de travail”, lit-on dans le bulletin du CERT-FR.
Quand un message devient une attaque
“Un agent IA qui orchestre des outils capables d’exécuter des actions au niveau du système d’exploitation augmente fortement le risque de compromission”. Ces agents restent sensibles à un levier simple : le prompt. Une instruction malveillante, injectée dans une conversation, peut suffire à détourner leur comportement.
Exécution de commandes non prévues, exfiltration de données, manipulation des outils connectés : l’agent devient le relais de l’attaque. D’autant plus qu’il orchestre des actions au niveau du système d’exploitation.
Encadrer ces usages demande plus que de bonnes pratiques rédactionnelles. Les actions accessibles doivent être limitées, les commandes sensibles validées, les exécutions isolées. Les canaux d’activation doivent être restreints, les interactions encadrées, les environnements cloisonnés. Et même dans ces conditions, une part de risque demeure. L’agent peut contourner les règles, étendre ses capacités, ou exploiter des marges d’autonomie mal anticipées.
Leur déploiement sur les postes de travail doit être proscrit. Leur usage, strictement cantonné à des environnements isolés, sans aucune donnée sensible. Et leur mise en œuvre, conditionnée à une validation préalable et explicite, intégrant une acceptation claire des risques résiduels.
Car derrière l’enthousiasme technologique, une réalité s’impose : ces agents redéfinissent les frontières du système d’information. Et tant que leur sécurité n’est pas stabilisée, ils en redessinent aussi les failles.
