OWASP Agentic AI Top 10 et les risques des agents

Résumer cet article avec :

La semaine dernière, l’OWASP a publié son premier « Top 10 for Agentic Applications 2026 », un cadre dédié aux risques liés aux agents d’IA autonomes. Cette initiative vise un public déjà familier des modèles de langage, mais désormais confronté à des systèmes capables de planifier et d’agir sans intervention humaine. En France et en Europe, la montée de ces agents pose des défis nouveaux en matière de souveraineté numérique, d’efficacité opérationnelle et de sécurité.

À retenir
Agentic AI : systèmes qui planifient, décident et exécutent des tâches, contrairement aux LLM classiques.
Least‑Agency : principe d’accorder uniquement l’autonomie indispensable.
Observabilité continue : suivi en temps réel du comportement de l’agent.
ASI01/ASI06 : détournement d’objectifs et empoisonnement de mémoire.
ASI02/ASI05 : mauvais usage d’outils et exécution de code à la volée.
ASI03/ASI04 : abus d’identités et vulnérabilités de la chaîne d’approvisionnement.
Stratégies clés : kill‑switch, sandboxing, Human‑in‑the‑loop et audits continus.
Risque d’erreurs en cascade : une défaillance peut se propager à l’ensemble du réseau d’agents.

Définition et périmètre

Les agents d’IA autonomes se distinguent des modèles de langage traditionnels par leur capacité à utiliser des outils externes et à conserver une mémoire persistante. Cette autonomie ouvre des perspectives d’efficacité, mais élargit aussi le champ des risques de sécurité et des enjeux de souveraineté technologique pour les organisations privées comme pour les administrations.

Ingénieurs français analysant sur un ordinateur le cycle d’action d’un agent d’IA autonome reliant planification, exécution d’outils et mémoire longue durée — Comprendre le cercle d’action d’un agent autonome — planificateur, outils et mémoire persistante — est essentiel pour cerner le périmètre de risques décrits par l’OWASP.

Qu’est‑ce qu’un agent d’IA autonome ?

Un agent autonome possède un cercle d’action composé d’un planificateur, d’un exécuteur d’outils et d’une mémoire longue durée. Contrairement à un simple chatbot qui répond à des prompts, l’agent peut appeler des API, manipuler des bases de données ou encore interagir avec un shell pour accomplir des tâches complexes et répétitives.

Pourquoi un Top 10 spécifique ?

Les attaques classiques de prompt injection ne suffisent plus à décrire le paysage actuel. Les nouveaux vecteurs, tels que le goal hijacking ou l’empoisonnement de la mémoire, sont propres aux agents et à leurs boucles d’action persistantes. L’OWASP a réuni plus de 100 experts internationaux pour identifier les vulnérabilités les plus critiques, en anticipant une adoption massive des agents d’ici 2027.

Lisez aussi Abderrahmane Mounir : le numérique, un nouveau pilier pour le PIB du Maroc

Les enjeux de la souveraineté et de la sécurité

En France, la loi « Loi n° 2024‑15 » sur la protection des données impose que les agents « traitant des données sensibles » soient certifiés locaux. Le Top 10 cherche à donner un cadre commun afin que les entreprises européennes puissent déployer des agents sans dépendre de serveurs étrangers, tout en renforçant leur conformité réglementaire et leur résilience cyber.

Notions clés et fonctionnement

La sécurisation des agents repose sur un double axe : limiter leur autonomie effective et surveiller finement leurs actions. Les catégories ASI couvrent un spectre large de menaces, allant de la manipulation d’intention à la propagation de bugs en cascade entre plusieurs agents interconnectés.

Principes de « Least‑Agency » et d’observabilité

Le principe de Least‑Agency impose que l’agent ne possède que les capacités strictement nécessaires à une tâche donnée. Couplé à une observabilité continue — logs détaillés, métriques d’usage et audits comportementaux réguliers —, il permet de détecter rapidement les dérives et de limiter l’impact d’un incident sur l’ensemble du système.

Manipulation de l’intention et de la mémoire : ASI01 et ASI06

Dans un incident survenu en septembre 2025, un agent de support a été redirigé via une injection d’email afin de modifier des comptes clients sans validation, illustrant le goal hijacking (ASI01). Parallèlement, des attaquants ont introduit des règles erronées dans la mémoire à long terme de l’agent, créant un empoisonnement de contexte (ASI06) qui a influencé ses décisions pendant plusieurs jours avant d’être détecté.

« Injecter de fausses préférences dans la mémoire d’un agent rend l’attaque difficilement détectable »
— Réponse d’un analyste sécurité chez SécuritéIA

Exploitation des outils et exécution de code : ASI02 et ASI05

Les agents peuvent détourner leurs propres outils (ASI02) lorsque les contrôles sont insuffisants. Un cas concret a vu un agent appeler une API CRM avec des paramètres malveillants, provoquant une exfiltration silencieuse de données clients. L’ASI05, quant à lui, expose les agents capables de générer et exécuter du code à la volée à un risque d’exécution de code à distance (RCE) en l’absence de sandboxing strict et de revues automatiques.

Identité, privilèges et défaillances systémiques : ASI03 et ASI04

Les clés API « always‑on » et les autorisations trop larges constituent le risque principal identifié par l’ASI03. Sans séparation claire des rôles, un agent compromis peut accéder à des données sensibles ou déclencher des actions irréversibles. L’ASI04 a été illustré par le serveur MCP Postmark malveillant trouvé sur npm en septembre 2025, qui filtrait secrètement chaque email sortant vers un serveur externe grâce à un package compromis.

Lisez aussi Retour sur l’incident impliquant Claude AI d’Anthropic dans un petit projet

Cas concrets, impacts et pistes d’avenir

Les incidents réels montrent que les agents peuvent devenir des vecteurs d’attaque majeurs si leurs défenses ne sont pas correctement dimensionnées. À l’inverse, lorsqu’ils sont configurés avec parcimonie et entourés de garde‑fous, ils offrent un fort potentiel de productivité et de démocratisation de l’automatisation au sein des équipes métiers.

Exemple de serveur MCP compromis en septembre 2025

Le serveur MCP (Model Context Protocol) de Postmark a été compromis via un package malveillant publié sur npm. Cette attaque a permis de siphonner des emails sans que les utilisateurs ne s’en aperçoivent, l’agent continuant à fonctionner normalement. L’incident a mis en lumière l’importance de signer les packages et de vérifier les dépendances à l’exécution dans toute chaîne d’approvisionnement logicielle impliquant des agents.

Stratégies de défense : kill‑switch, sandboxing, Human‑in‑the‑loop

Les bonnes pratiques recommandent l’implémentation d’un kill‑switch autonome, l’isolation stricte des environnements d’exécution (sandbox) et la mise en place de Human‑in‑the‑loop pour les actions jugées critiques. La politique d’Insecure Output Handling consiste à traiter toute sortie d’agent comme potentiellement non fiable, avec une validation systématique avant exécution dans le système réel.

Ingénieurs cybersécurité en France activant un kill-switch et surveillant des environnements sandboxés pour contrôler des agents d’IA autonomes — Kill-switch, sandboxing et Human-in-the-loop deviennent des briques incontournables pour limiter l’impact d’une attaque sur les agents d’IA autonomes.

« Une seule injection de prompt peut déclencher une chaîne d’erreurs dans plusieurs agents »
— Rapport de Bleeping Computer, 2025

Perspectives d’évolution et alternatives

Le cadre de l’OWASP encourage la mise en place d’exercices de red teaming spécifiques pour tester les cycles multi‑étapes d’une application agentique. À terme, des offres d’agent‑as‑a‑service pourraient proposer des garanties de conformité tout en permettant une décentralisation contrôlée des fonctions critiques. En parallèle, des startups françaises développent des frameworks open‑source garantissant le Least‑Agency par défaut et des politiques de sécurité préconfigurées pour accélérer les déploiements en production.