Par Maril Vernon, Évangéliste en Ingénierie GRC, Anecdotes.
Les fournisseurs parlent tous d' »agentique ». Mais rares sont ceux qui peuvent expliquer ce qui évolue vraiment quand on arrête de voir la GRC comme une armoire de classement pour la considérer comme un système dynamique.
J’ai travaillé des années côté offensif, dans des équipes rouge et violette, pour contourner les contrôles que les équipes GRC jugeaient efficaces. Les mêmes failles revenaient trimestre après trimestre. Quand j’affirme que l’IA agentique va remodeler la GRC, ce n’est pas un mot à la mode. C’est ce que je surveillerais si je tentais encore de franchir vos défenses.
Voici la réalité de cette évolution et l’apparence concrète d’un de ces agents une fois construit.
La signification réelle de « Agentique »
L’automatisation n’est pas nouvelle en GRC. Nous automations la collecte de preuves et greffons de la RPA sur les flux depuis des années. Le problème, c’est que cela accélérait surtout les tâches fastidieuses. Cela produisait toujours des artefacts statiques, s’exécutait selon un calendrier et ne répondait qu’à une seule question : « Ce contrôle est-il réussi ? »
Un agent se distingue par trois aspects. Il possède une autonomie, ce qui lui permet d’agir dès qu’une condition est remplie. Il comprend le contexte de votre programme en temps réel, et non un instantané du trimestre dernier. Enfin, il enchaîne plusieurs étapes : analyser, décider et agir en séquence.
Les systèmes que nous gouvernons sont déjà agentiques. Le cloud est élastique, l’identité fluide, l’infrastructure éphémère, l’IA non déterministe et les cycles d’intégration continue ne s’arrêtent jamais. Les attaquants l’ont compris, mais trop de programmes de conformité gouvernent des systèmes en temps réel avec des hypothèses figées.
Agentique ne signifie pas confier un jugement à un perroquet stochastique. La majeure partie du travail reste déterministe. Le modèle apporte le raisonnement, la synthèse et l’orchestration. Les décisions politiques, les seuils et les contrôles doivent toujours venir des humains.
La GRC est remplie de travaux répétitifs à haut volume, réalisés sur des bases de référence connues. C’est précisément le type de problème que les machines résolvent bien. Nous faisons déjà confiance à l’IA pour détecter des anomalies, prioriser des alertes et trier d’immenses volumes de données.
L’utiliser pour aider les analystes à identifier des lacunes dans les preuves ou tracer la dérive des contrôles n’est pas un saut radical.
En résumé, l’IA ne doit pas remplacer le jugement. Elle doit offrir aux praticiens plus d’occasions de l’appliquer avec créativité.
Trois Changements Concrets
Le travail de l’analyste passe de la collecte à la gestion. Personne ne rejoint la GRC pour traquer des captures d’écran et mettre à jour des feuilles de calcul. Le travail de l’analyste évolue, mais pas comme certains le craignent.
Les agents ne transforment pas les praticiens en superviseurs passifs. Ils ne les remplacent pas ; ils leur rendent du temps pour appliquer leur jugement sur les points critiques.
La conformité passe du périodique au continu. Historiquement, les cycles annuels ou trimestriels existaient parce que les humains ne pouvaient pas évaluer en continu chaque contrôle et chaque changement. Les agents étendent massivement cette capacité.
Quand cette contrainte disparaît, la question « sommes-nous conformes à l’instant présent ? » devient une question à laquelle on peut répondre, et non un instantané à défendre trois mois après qu’il est devenu obsolète.
La confiance devient le facteur limitant. Rappelez-vous : réussite/échec est un résultat de conformité. La confiance est un résultat de sécurité.
Les gens sous-estiment ce point. Quand l’effort devient peu coûteux, la vraie question est : faites-vous confiance à l’action de l’agent et pouvez-vous le prouver, ou avez-vous simplement déplacé le travail manuel vers une taxe de vérification ? C’est un problème de gouvernance, et c’est celui qui mérite votre attention.
La Construction d’un Agent
La théorie est facile à consommer. Voici la version concrète, avec l’Agent Studio d’Anecdotes, un constructeur sans code en accès anticipé. La mécanique est importante, suivez la structure même avec un autre outil.
Le développement d’un agent repose sur trois décisions :
Choisir un déclencheur. C’est la condition qui active l’agent. Ce peut être un calendrier (exécution tous les lundis) ou un événement dans votre programme (un niveau de risque change, ou une preuve pour un contrôle devient obsolète). Je préfère les déclencheurs par événement car ils s’activent au moment du changement.
Décrire la tâche en langage clair. Vous écrivez l’instruction comme pour un analyste débutant, sans code. Prenons le contrôle A.8.5 de l’ISO 27001:2022 sur l’authentification sécurisée.
L’instruction pourrait être : « Quand la preuve MFA pour A.8.5 a plus de 24 heures, interroger le fournisseur d’identité sur la politique d’application du MFA, comparer avec la référence obligatoire de l’organisation, et si un groupe n’est plus sous enforcement, créer un constat et assigner une tâche de correction au propriétaire du contrôle. »
Déployer et observer. Ensuite, tracez ce que l’agent fait réellement quand le déclencheur s’active.
Il lit la politique MFA en direct depuis votre fournisseur d’identité via un connecteur, récupère l’état d’application pour chaque groupe, le compare à la référence A.8.5 définie, et constate qu’un nouveau groupe administrateur a été créé sans politique MFA. Il ouvre un constat, attache la capture de politique comme preuve, la lie à A.8.5 et assigne la correction au responsable IAM.
Chacune de ces étapes est enregistrée dans un journal d’exécution : l’événement déclencheur, les données lues, la comparaison effectuée, la décision prise et l’action réalisée.
Cette seule exécution marque la différence entre « nous avons réussi A.8.5 à la dernière évaluation » et « A.8.5 est appliqué maintenant, et voici la preuve horodatée. »
La Réserve Légitime des Experts Sécurité
Si votre réaction est : « Je ne confie pas des décisions de conformité à une boîte noire », c’est bon. Gardez cette intuition.
La GRC agentique est défendable pour une raison : le travail est observable. Un journal d’exécution utile capture le déclencheur activé, les entrées exactes lues par l’agent, la règle ou référence évaluée, la décision prise et sa raison, l’action engagée et les preuves concernées ; le tout horodaté. Ce registre permet de reconstruire toute décision après coup et de la présenter à un auditeur sans se fier à la parole de l’agent.
Deux règles de cadrage assurent la sécurité. Accordez à l’agent le privilège minimum : un accès en lecture seule aux systèmes évalués, et un accès en écriture uniquement aux objets GRC qu’il peut créer, comme des constats ou tâches. Ensuite, soumettez toute action conséquente à validation humaine. Détecter une dérive et ouvrir un constat peut être automatisé ; clôturer un risque ou valider un contrôle efficace doit être signé par une personne.
Prévoyez que l’agent puisse se tromper, car un modèle non déterministe le fera parfois. S’il ouvre un constat erroné sur A.8.5, le journal montre exactement ce qu’il a lu et conclu, ce qui vous permet de corriger l’instruction au lieu de deviner.
Une action que l’on peut tracer est une action que l’on peut annuler. C’est pourquoi le journal importe plus que le modèle.
Comment Commencer
Ne commencez pas avec votre contrôle le plus sensible. Commencez par la tâche fastidieuse, répétitive, que votre équipe exécute chaque semaine de la même manière et déteste.
Pensez à la détection de lacunes dans les preuves, l’extraction de constats de rapports d’audit, ou la génération de règles d’analyse pour des preuves sans procédure de test. Validez le principe là, lisez les journaux, construisez la confiance, puis étendez le périmètre.
Je ne suis pas revenue à la GRC parce que c’était confortable. Je suis revenue parce que c’était inachevé. Les agents sont la première fois que les outils commencent à suivre la vitesse, l’échelle et la nature interconnectée des systèmes que nous tentons de gouverner.
Mon conseil ? Construisez d’abord l’agent le plus ennuyeux. Puis voyez ce qui change.
Maril Vernon est une ancienne opératrice d’équipes rouge et violette et la principale Évangéliste en Ingénierie GRC chez Anecdotes. Elle écrit et intervient sur l’Ingénierie GRC, la surveillance continue des contrôles et la modernisation de la conformité.