Microsoft avertit que la frénésie de déploiement des agents d’IA en entreprise peut engendrer un nouveau type de menace interne, le double agent d’IA. Dans son rapport Cyber Pulse, l’entreprise explique que des attaquants peuvent manipuler un assistant en utilisant un accès inapproprié ou en introduisant des informations non fiables, puis exploiter ce lien pour causer des dégâts au sein d’une organisation.
Le problème ne réside pas dans la nouveauté de l’IA. C’est plutôt le manque de contrôle qui pose question. Microsoft souligne que les agents se diffusent à travers différents secteurs, tandis que certains déploiements échappent à l’approbation de l’informatique, laissant les équipes de sécurité sans visibilité sur ce qui est actif et ce que cela peut toucher.
Ce point aveugle devient plus risqué lorsqu’un agent est capable de mémoriser et d’agir. Microsoft évoque une récente campagne frauduleuse que son équipe Defender a étudiée, qui a utilisé la contamination de la mémoire pour altérer le contexte enregistré d’un assistant d’IA et influencer les résultats futurs.
Les agents fantômes élargissent le périmètre de risque
Microsoft relie le risque de double agent à la vitesse de déploiement. Lorsque les déploiements dépassent les mesures de sécurité et de conformité, l’IA fantôme apparaît rapidement, offrant aux attaquants davantage d’opportunités de détourner un outil qui possède déjà un accès légitime. C’est le scénario cauchemardesque.
Le rapport présente cela comme un problème d’accès autant qu’un problème d’IA. Donner à un agent des privilèges étendus signifie qu’un simple flux de travail trompé peut atteindre des données et des systèmes qui ne lui étaient pas destinés. Microsoft préconise l’observabilité et une gestion centralisée afin que les équipes de sécurité puissent voir chaque agent lié au travail, y compris les outils qui apparaissent en dehors des canaux approuvés.
Cette prolifération est déjà en cours. Microsoft cite des travaux d’enquête révélant que 29 % des employés ont utilisé des agents d’IA non approuvés pour des tâches professionnelles, ce qui constitue une expansion discrète rendant l’altération plus difficile à détecter rapidement.
Ce n’est pas seulement une question de mauvaises requêtes
Cela ne se limite pas à la saisie d’une demande erronée. Microsoft met en avant la contamination de la mémoire comme une attaque persistante, capable d’introduire des changements influençant les réponses ultérieures et érodant la confiance au fil du temps.
Son équipe Red d’IA a également observé que des agents se laissent berner par des éléments d’interface trompeurs, y compris des instructions nuisibles dissimulées dans du contenu quotidien, ainsi que des formulations de tâches qui redirigent subtilement le raisonnement. Cela peut sembler normal. C’est le but.
Que faire ensuite
Les conseils de Microsoft sont de traiter les agents d’IA comme une nouvelle classe d’identité numérique, et non comme un simple complément. Le rapport recommande d’adopter une posture de Zero Trust pour les agents, de vérifier l’identité, de maintenir des permissions strictes et de surveiller en continu le comportement pour que les actions inhabituelles se démarquent.
La gestion centralisée est importante pour la même raison. Si les équipes de sécurité peuvent inventer les agents, comprendre ce qu’ils peuvent atteindre et faire respecter des contrôles cohérents, le problème des doubles agents sera réduit.
Avant de déployer davantage d’agents, cartographiez ce que chacun peut accéder, appliquez le principe du moindre privilège et établissez une surveillance capable de signaler toute tentative d’altération d’instructions. Si vous ne pouvez pas encore répondre à ces questions de base, ralentissez et corrigez cela en premier.