Un agent d’IA est un système logiciel qui utilise l’intelligence artificielle, le plus souvent un grand modèle de langage comme cœur de raisonnement, pour percevoir de manière autonome les entrées de son environnement, planifier une suite d’actions, exécuter ce plan à l’aide des outils ou des API disponibles et itérer en fonction des retours jusqu’à ce qu’un objectif soit atteint. Contrairement à un simple chatbot qui répond à une requête unique, un agent d’IA maintient un état sur plusieurs étapes, peut invoquer des outils externes (recherche web, interpréteurs de code, bases de données, plateformes de communication) et peut générer des sous-agents pour paralléliser des tâches complexes. Le degré d’autonomie va de conceptions « avec intervention humaine » nécessitant une approbation aux points de décision clés jusqu’à des agents pleinement autonomes qui fonctionnent sans intervention humaine.
Les agents d’IA sont de plus en plus déployés en entreprise pour des cas d’usage tels que l’automatisation du support client, la génération et la revue de code, les pipelines d’analyse de données, les flux de recherche et les opérations informatiques. Ils offrent des gains de productivité importants en automatisant un travail de connaissance en plusieurs étapes qui nécessitait auparavant un jugement humain à chaque étape. Cependant, cette autonomie introduit aussi de nouveaux risques : les agents peuvent entreprendre des actions non souhaitées et difficiles à annuler, accumuler des autorisations au-delà de ce qui est nécessaire pour une tâche donnée, être manipulés par des attaques par injection de requête intégrées dans les données qu’ils traitent, et fonctionner hors de la visibilité des équipes informatiques et de sécurité lorsqu’ils sont déployés en tant que Shadow AI.
La gouvernance des agents d’IA en entreprise nécessite un cadre de politiques spécialement conçu qui traite des caractéristiques propres aux systèmes agentiques. Les exigences clés de gouvernance comprennent : un accès à privilèges minimaux (les agents ne devraient disposer que des autorisations nécessaires à chaque tâche spécifique), des journaux d’audit des actions (chaque appel d’outil et chaque transition d’état devraient être enregistrés), des déclencheurs d’escalade humaine (les actions à fort enjeu ou irréversibles devraient nécessiter une approbation humaine), une surveillance des entrées pour détecter l’injection de requête (les données que l’agent lit depuis des sources externes peuvent contenir des instructions malveillantes) et des registres d’agents approuvés (un processus formel d’évaluation et d’homologation des agents d’IA avant leur déploiement en entreprise). Des cadres réglementaires, dont l’EU AI Act, commencent à traiter les agents autonomes comme une catégorie distincte de système d’IA assortie d’exigences de supervision renforcées.