Quand les agents d’IA commencent à décider, agir et recruter à notre place, la sécurité ne peut plus se limiter aux bons réflexes humains. Entre gouvernance, supervision et garde-fous techniques, cet article explore le nouvel équilibre à inventer pour garder le contrôle dans l’espace de travail numérique.
Moltbook, OpenClaw et RentAHuman, trois plateformes lancées début 2026, donnent un aperçu saisissant, et préoccupant, du monde du travail qui émerge. Des agents d’intelligence artificielle y interagissent entre eux, agissent de manière autonome dans le monde réel et recrutent des humains pour exécuter des tâches physiques. Dans cet environnement numérique, la répartition des tâches, du contrôle et de l’autonomie se trouve profondément reconfigurée, redessinant les processus et les modes opératoires des organisations.
Ce basculement impose de repenser en profondeur notre compréhension du travail. Au-delà des tâches elles-mêmes, ce sont les pratiques, les valeurs et les attentes sociales qui structurent l’action collective qu’il faut revisiter. La culture de la sécurité, en particulier, est appelée à se transformer en profondeur. Cette transformation devra être conduite avec une extrême vigilance afin de favoriser des comportements sûrs et de poser les bases d’une gouvernance robuste.
Depuis des décennies, la cybersécurité repose sur un principe simple : l’humain demeure au cœur des décisions. Politiques de sécurité, programmes de sensibilisation et mécanismes de contrôle ont été conçus en fonction des comportements humains. Une culture de sécurité se construit ainsi par l’observation mutuelle, la transmission des bonnes pratiques, la responsabilisation des équipes et l’existence de normes partagées.
L’émergence de l’IA agentique vient rompre cet équilibre.
Un agent d’IA n’a ni conscience des conséquences de ses actes, ni adhésion à des valeurs ou à des règles implicites. Son comportement dépend des instructions qu’il reçoit, des données auxquelles il accède et des objectifs qui lui sont assignés. Sa « motivation » se résume à un prompt. Son environnement de travail échappe à l’observation humaine, et ses décisions sont prises à une vitesse incompatible avec toute supervision manuelle.
Dès lors, la manière de penser la sécurité doit évoluer. Là où les humains peuvent être sensibilisés, encadrés ou responsabilisés, les agents autonomes exigent des garde-fous techniques : limitation des permissions, validation des actions sensibles, auditabilité, supervision continue, contrôles structurels. La culture de sécurité ne disparaît pas pour autant ; elle se dédouble et doit désormais fonctionner simultanément sur deux plans : humain et algorithmique.
Cette mutation est déjà à l’œuvre.
Depuis 2022, les signalements se multiplient : des chauffeurs de plateformes de covoiturage et des livreurs sont exploités à leur insu pour transporter drogues, espèces ou armes. L’architecture des plateformes masque l’observabilité et dilue la responsabilité, tandis que la culture de sécurité ne subsiste qu’à travers des pratiques informelles entre travailleurs.
À l’autre extrême, la section 00 des services secrets britanniques, telle que imaginée par Ian Fleming, incarne une agentivité maximale avec une observabilité minimale. James Bond agit seul, souvent de manière indépendante. Si l’observabilité et la responsabilité y sont volontairement limitées, la normativité repose sur une identité institutionnelle forte, un point d’ancrage dont les agents d’IA sont dépourvus.
L’aviation civile offre un troisième modèle. Un pilote de ligne, bien que hautement qualifié et digne de confiance, opère dans un environnement à risque. Chaque vol est donc intégralement enregistré. L’observabilité est assurée par les enregistreurs, la normativité par une formation rigoureuse et des procédures standardisées, la responsabilité par la licence et l’assurance.
C’est sans doute dans cette logique qu’il faut penser l’activité routinière des agents d’IA : observabilité via des journaux immuables, normativité par des contraintes structurelles, responsabilité portée par les humains qui conçoivent et supervisent ces systèmes.
Pour autant, la sécurité ne saurait être uniquement technique.
Or, à mesure que des agents autonomes s’intègrent aux opérations critiques, cette gouvernance hybride se complexifie. Les organisations devront maintenir une supervision humaine effective, garantir une observabilité technique exhaustive et imposer des mécanismes de contrôle rigoureux aux systèmes autonomes.
Où s’arrête la culture de sécurité, et où commence l’ingénierie de sécurité ?
Longtemps, les entreprises ont vu dans la sensibilisation des collaborateurs le principal levier de réduction du risque. Mais lorsque des agents prennent des décisions et exécutent des tâches autrefois humaines, ce levier montre ses limites. Un humain peut questionner, douter, alerter. Un agent, lui, exécute parfois de manière imprévisible.
Les premières expérimentations le confirment. Le projet Vend d’Anthropic a montré qu’un agent chargé de maximiser les profits d’un distributeur automatique pouvait céder à des influences externes et finir par fixer tous les prix à zéro. D’autres travaux ont mis en évidence des comportements de contournement des mécanismes de supervision ou de falsification documentaire par certains modèles avancés.
Dans ce contexte, il devient illusoire de dissocier investissements techniques et politiques de formation. Les organisations devront articuler trois niveaux de gouvernance : des garde-fous techniques pour les agents, une responsabilisation accrue des équipes humaines et un cadre réglementaire capable d’embrasser simultanément humains et systèmes d’IA.
Quel est le « minimum humain viable » pour maintenir une gouvernance efficace ?
Car le risque n’est pas seulement technologique. Il est aussi organisationnel. À trop déléguer aux systèmes autonomes, une entreprise pourrait perdre la compréhension de ses propres processus. Préserver un socle humain solide, capable de porter les valeurs, d’observer les opérations et de comprendre le travail des agents, devient alors une condition de maîtrise.
Lorsque des agents recrutent des humains, ou que des humains exécutent sans recul des décisions produites par des agents, c’est le contrôle même du système qui vacille.
La culture de sécurité ne disparaîtra pas dans cet espace de travail numérique. Mais elle change de nature. Elle ne peut plus être uniquement sociale ou comportementale. Elle devient un équilibre exigeant entre gouvernance humaine, supervision technique et contrôle des systèmes autonomes.
____________________________
Par Martin Kraemer, conseiller RSSI (CISO advisor), KnowBe4
____________________________
À lire également
IA agentique et cybersécurité : quand l’autonomie devient à la fois menace et rempart…
IA agentique : quand l’autonomie des machines redéfinit durablement le risque numérique…
Les agents IA vont-ils nuire ou renforcer votre posture de sécurité ?
IA agentique : la nouvelle ère de l’IA d’entreprise, entre autonomie maîtrisée et gouvernance des données…
De l’urgence d’une gouvernance transparente et humaine de l’IA…
puis