Sécurité des agents IA : une nouvelle surface d'attaque
Un agent connecté à des outils, données et paiements devient une cible. Les risques ne sont plus seulement XSS et SQL injection : prompt injection, secrets, webhooks et actions irréversibles entrent dans le jeu.
Sécuriser une application classique est déjà difficile. Sécuriser une application avec agents IA ajoute une couche nouvelle : l'agent lit du texte, suit des instructions, appelle des outils et peut confondre contenu utilisateur et commande. La surface d'attaque change.
Le prompt injection devient un risque produit
Un document importé peut contenir une instruction malveillante. Un commentaire client peut essayer de forcer l'agent à révéler un secret. Un ticket peut demander de contourner une règle. Le système doit traiter tout contenu externe comme non fiable, même s'il est formulé poliment.
Les outils doivent être limités
Un agent ne devrait jamais recevoir un accès global à tous les outils. Il lui faut une liste d'actions autorisées, des scopes, des budgets, des limites de fréquence et des validations humaines. L'agent de résumé n'a pas besoin de déployer. L'agent de facturation n'a pas besoin de lire tous les documents projet.
Les secrets ne doivent jamais devenir du contexte
Une clé API, un token client, un webhook secret ou une variable serveur ne doit pas être injecté dans un prompt. Le BYOK doit rester côté serveur, chiffré ou éphémère, avec des métadonnées suffisantes pour auditer sans exposer le secret.
Les webhooks sont des portes d'entrée
Stripe, GitHub et autres intégrations doivent vérifier les signatures, refuser le mode non signé en production, journaliser les événements et être idempotents. Un webhook qui accepte tout parce que le secret manque est acceptable en local. En production, c'est une porte ouverte.
L'action irréversible doit attendre l'humain
Supprimer, publier, payer, envoyer, déployer : ces verbes doivent déclencher une étape de validation. La sécurité ne consiste pas à ralentir tous les agents. Elle consiste à reconnaître les moments où une erreur coûte cher.
Le bon modèle : moindre privilège et traçabilité
Chaque agent doit avoir un rôle, des permissions, un budget, un journal et un propriétaire humain. C'est le même principe que pour les comptes utilisateurs, appliqué aux travailleurs IA. Plus l'agent devient utile, plus il doit être gouverné.