L’IA agentique désigne les systèmes d’intelligence artificielle conçus pour fonctionner avec un haut degré d’autonomie : percevoir leur environnement, formuler des plans en plusieurs étapes, exécuter des séquences d’actions et s’adapter aux retours sans nécessiter de direction humaine à chaque étape. Contrairement aux outils d’IA traditionnels qui répondent à des requêtes uniques, les systèmes agentiques poursuivent des objectifs sur de longs horizons temporels, en faisant souvent appel à des outils externes tels que la recherche web, l’exécution de code, l’accès aux fichiers, les API et les bases de données pour mener à bien des objectifs complexes. Le terme couvre un spectre allant de simples assistants à appel d’outils jusqu’à des agents pleinement autonomes capables de générer des sous-agents et d’orchestrer des flux de travail entiers.
Du point de vue de la gouvernance d’entreprise, l’IA agentique introduit un profil de risque qualitativement nouveau. Lorsqu’un système d’IA peut naviguer sur le web, écrire et exécuter du code, envoyer des e-mails ou interagir avec des plateformes SaaS, le rayon d’impact d’une instruction mal alignée ou d’une injection de requête malveillante s’étend considérablement. L’exfiltration de données, les transactions financières non souhaitées, la suppression accidentelle de dossiers critiques et les violations réglementaires peuvent toutes résulter de systèmes agentiques agissant sur des instructions ambiguës ou conçues de manière adverse. La Shadow AI agentique, à savoir des employés déployant des agents autonomes en dehors des canaux informatiques approuvés, aggrave ce risque car les équipes de sécurité peuvent n’avoir aucune visibilité sur les actions que ces agents entreprennent au nom de l’organisation.
Gouverner l’IA agentique impose aux organisations d’étendre leurs cadres de gouvernance de l’IA existants au moyen de contrôles propres aux agents : des modèles d’autorisation à périmètre restreint qui limitent les outils et les sources de données auxquels un agent peut accéder, des points de contrôle avec intervention humaine pour les actions à fort enjeu, des journaux d’audit qui consignent chaque action entreprise par un agent, une surveillance des entrées et des sorties pour détecter l’injection de requête et les fuites de données, et des politiques claires définissant les cas d’usage approuvés pour les agents autonomes. Des cadres tels que le NIST AI RMF et les orientations émergentes de l’EU AI Act traitent de plus en plus les systèmes agentiques comme un défi de gouvernance distinct. Les entreprises qui déploient ou autorisent des outils d’IA agentique sans supervision appropriée s’exposent à des risques cumulés liés à la fois à la technologie elle-même et au paysage réglementaire qui se forme autour d’elle.