Dans son premier rapport intitulé Cyber Pulse : An AI Security Report, Microsoft a indiqué que plus de 80 % des entreprises du classement Fortune 500 disposent d'agents IA actifs utilisant des outils low-code/no-code. L'éditeur prévoit que plus de 1,3 milliard d'agents IA autonomes seront en service d'ici 2028 et que les services financiers sont devenus l'un des secteurs pionniers en matière d'adoption d'agents, représentant environ 11 % de tous les agents IA actifs dans le monde. Certes, cette prolifération d'agents IA multiplie les opportunités de transformation mais la sécurité deviendra fondamentale pour mettre en place les contrôles adéquats. Selon ce rapport, les entreprises ont un besoin urgent d'une gouvernance et d'une sécurité efficaces, en effet, tout comme les utilisateurs humains, les agents d'IA nécessitent d'être protégés et sécurisés.

En attendant, selon l'indice de données de sécurité 2026 de Microsoft, 47 % des entreprises mondiales ne disposent pas de contrôles de sécurité spécifiques à l'IA générative, tels que des politiques ou une surveillance des agents non autorisés. La prochaine étape de l'adoption de l'IA consistera à réunir les équipes commerciales, IT, de sécurité et de développement afin d'observer, de gérer et de sécuriser leur transformation par l'IA, indique le rapport. Sans cette agilité, la croissance rapide du déploiement d'agents IA peut dépasser les contrôles de conformité, augmentant ainsi les risques liés à l'IA parallèle. Selon Cyber Pulse, des acteurs malveillants pourraient exploiter les accès et les privilèges des agents, les transformant ainsi en agents doubles involontaires. Tout comme les employés humains, un agent disposant de trop d'accès - ou de mauvaises instructions - peut devenir une vulnérabilité. Ces résultats illustrent pourquoi il est essentiel pour les entreprises de disposer d'une observabilité et d'une gestion complètes de tous les agents IA. Microsoft a souligné que ces contrôles peuvent être appliqués de manière centralisée et permettre de gérer les risques selon une approche intégrée.

Le rôle essentiel des partenaires

Le rapport met fortement l'accent sur les investissements continus de Microsoft dans le développement de son infrastructure et de ses capacités pour les services cloud et d'IA, tout en plaçant la sécurité au premier plan. Pour les partenaires de tous les secteurs d'activité, les petites et moyennes entreprises devront comprendre les implications en matière de sécurité liées à l'utilisation de Microsoft 365 Copilot ou d'Azure AI Foundry. Dans une interview accordée à notre confrère ARN, Domenico Scriva, analyste principal chez Gartner, a déclaré que les partenaires ne doivent pas se contenter de vendre des produits ; ils doivent accompagner leurs clients dans la compréhension des changements de comportement et des nouveaux risques, particulièrement avec l'IA. « Copilot est un exemple frappant, car il n'applique des restrictions d'accès qu'en fonction des permissions déjà définies sur les sites SharePoint. En tant qu'utilisateur final, Copilot ne sait pas ce qu'il devrait voir, il voit simplement ce qu'il a le droit de voir. Je pourrais lui poser une question sur des projets futurs, et il peut accidentellement me donner une erreur suffisante pour que les plans futurs internes de l'entreprise, qui sont confidentiels, soient pris en compte », explique-t-il.

Dans ce contexte, Domenico Scriva insiste sur le fait que les partenaires doivent monter en compétence. Il ne s'agit plus seulement de cliquer sur un bouton pour configurer Copilot, mais de maîtriser l'interaction complexe avec SharePoint, l'architecture globale de la sécurité et la gestion des flux de données. « Les partenaires devraient d'abord tester ces solutions sur leurs propres ressources internes. En mettant à jour leurs propres systèmes, ils apprendront bien plus et pourront présenter des cas concrets à leurs clients pour instaurer un véritable climat de confiance », a-t-il déclaré. Pour tirer pleinement parti des agents IA dans les discussions sur la cybersécurité, les partenaires doivent les traiter comme des outils structurels et non de simples gadgets. Cette approche permet d'aider les clients à comprendre non seulement ce qu'ils font, mais surtout pourquoi ils le font dans le domaine de l'IA.