Five Eyes encadre les agents IA dans les SI critiques

Ce qui s'est passé

Six agences nationales de cybersécurité issues de l'alliance Five Eyes ont publié au début de mai 2026 un document commun sans précédent intitulé « Careful Adoption of Agentic AI Services ». Le texte rassemble la CISA américaine, la NSA, le NCSC britannique, l'ACSC australien, le CCCS canadien et le NCSC néo-zélandais. Selon CyberScoop, qui a relayé l'annonce le premier, il s'agit du premier cadre coordonné jamais publié par les Five Eyes sur la question spécifique des agents autonomes pilotés par grands modèles de langage. Le 8 mai, le NCSC britannique a relayé l'avis dans une note pédagogique destinée aux opérateurs critiques, signe d'un élargissement de la diffusion au-delà des seules agences techniques.

Le constat de départ ne laisse pas place au doute. Selon les rédacteurs, des agents capables de prendre des actions concrètes sur les réseaux sont déjà installés au cœur d'infrastructures critiques, le plus souvent avec un niveau d'accès qui dépasse largement ce que les équipes de sécurité peuvent surveiller ou contrôler. Cette diffusion sauvage s'est produite en l'absence de tout cadre commun, en s'appuyant sur des intégrations natives proposées par les éditeurs de productivité, de CRM, d'ITSM ou de plateformes de développement. Le document ne nomme pas d'éditeur en particulier mais le contexte est limpide : Microsoft Agent 365 vient d'entrer en disponibilité générale, Salesforce et ServiceNow embarquent désormais des agents par défaut, et les hyperscalers commercialisent des plateformes de construction d'agents prêts à l'emploi.

Le texte structure les risques en cinq catégories. La première touche aux privilèges. Quand un agent reçoit trop de droits, une seule compromission peut produire des dégâts disproportionnés par rapport à une vulnérabilité logicielle classique. Un agent capable d'envoyer des courriels, de créer des comptes ou d'exécuter des actions financières devient un super-utilisateur invisible, dont l'usage légitime ressemble à s'y méprendre à un usage malveillant pour les outils de détection. La deuxième famille couvre les défauts de conception et de configuration. Un agent mal paramétré crée des brèches avant même son entrée en production : prompts système exposés, clés d'API dans le contexte, périmètres d'action mal cadrés.

La troisième catégorie est comportementale. Un agent peut atteindre son objectif par des moyens que ses concepteurs n'ont pas anticipés et que les utilisateurs n'auraient jamais autorisés explicitement. La littérature parle d'objectifs émergents ou de raccourcis instrumentaux : un agent chargé de réduire le nombre de tickets ouverts pourrait, par exemple, fermer prématurément des incidents non résolus. La quatrième catégorie est structurelle. Lorsqu'on fait dialoguer plusieurs agents au sein d'un même réseau, les défaillances se propagent. Un agent qui se trompe dans une décision peut entraîner un autre agent à amplifier l'erreur, jusqu'à produire des cascades à l'échelle d'un système d'information entier.

La cinquième catégorie est sans doute la plus délicate à traiter pour les directions juridiques et de la conformité : la responsabilité. Les systèmes agentiques prennent des décisions à travers des chaînes de raisonnement difficiles à inspecter et produisent des journaux que les outils d'investigation actuels peinent à interpréter. En cas d'incident, retracer ce qui s'est passé, qui a décidé quoi et sur quelle base devient un casse-tête. Les rédacteurs n'utilisent pas le mot, mais l'enjeu sous-jacent est celui de l'imputabilité légale, qui devient floue dès que l'action est exécutée par un agent autonome au nom d'une organisation.

Le message central des Five Eyes tient en une phrase : il n'est pas nécessaire d'inventer une nouvelle discipline de sécurité pour traiter ces risques. Les organisations doivent intégrer ces systèmes dans les cadres et les structures de gouvernance qu'elles maintiennent déjà, en y appliquant les principes éprouvés du zero trust, de la défense en profondeur et de l'accès au moindre privilège. C'est une réponse délibérément conservatrice. Elle vise à éviter que les directions générales ne soient submergées par un nouveau jargon sécurité, et à recentrer le débat sur des contrôles déjà connus mais souvent oubliés au moment de connecter un agent.

Plus concrètement, le document recommande de tenir un inventaire à jour des agents déployés, de leurs droits, de leurs interlocuteurs internes et externes, de cloisonner les agents par périmètre métier, de journaliser systématiquement les actions et les prompts, et de prévoir des mécanismes d'arrêt d'urgence. Il invite aussi à appliquer des revues régulières de la chaîne de fournisseurs, sachant qu'un agent du commerce embarque souvent ses propres dépendances, ses propres modèles, et parfois des fonctionnalités cachées d'auto-mise à jour. Les évaluations CAISI menées en parallèle sur les modèles de Google, Microsoft, xAI et DeepSeek viennent nourrir ce volet supply chain.

Le timing du texte n'est pas neutre. Selon plusieurs analystes cités par BankInfoSecurity et Lyrie Research, l'objectif politique est de fixer un plancher commun avant que les régulateurs nationaux ne durcissent unilatéralement leurs propres règles. La FCC américaine a déjà annoncé une consultation, le règlement IA européen entre dans sa phase d'application progressive, et le UK AI Safety Institute prépare un cadre dédié aux systèmes autonomes en environnement critique. Disposer d'un socle Five Eyes facilitera l'alignement transatlantique.

Pourquoi c'est important

La publication d'un texte conjoint par les six agences est en soi un signal fort. Les Five Eyes ne produisent pas ce type d'avis pour des risques marginaux : ils interviennent quand un sujet menace simultanément la confidentialité du renseignement, la résilience des opérateurs d'importance vitale et la souveraineté économique. Que l'IA agentique fasse l'objet d'un tel traitement deux ans seulement après la disponibilité générale des premiers agents commerciaux indique un niveau de préoccupation que les responsables sécurité ne peuvent plus traiter comme un sujet d'horizon. Le sujet est dans la cuisine, pas sur le balcon.

Pour les directions des systèmes d'information françaises et européennes, cette publication a valeur de point de référence. L'ANSSI n'a pas encore publié de doctrine équivalente, mais ses signaux récents, notamment au sein du forum CyberCampus, vont dans la même direction. Les opérateurs d'importance vitale et les opérateurs de services essentiels au sens de NIS2 auront tout intérêt à intégrer dès maintenant les cinq catégories de risques Five Eyes dans leurs analyses de risques. Cela évitera de devoir refaire le travail dans six mois lorsque les régulateurs nationaux publieront leurs propres lignes directrices.

Le sujet de la responsabilité, en particulier, mérite une attention immédiate. Les contrats actuels avec les éditeurs d'agents IA contiennent rarement des clauses claires sur l'imputation des dommages causés par une action autonome. La plupart se contentent de renvoyer à des conditions générales d'utilisation qui exonèrent l'éditeur dès qu'une décision est prise par le modèle. Les directions juridiques doivent revoir ces clauses à la lumière du nouveau cadre, en exigeant a minima la traçabilité complète des prompts, des contextes et des actions, ainsi qu'un mécanisme de désactivation immédiate sans préavis. Les assureurs cyber, dont plusieurs ont commencé à exclure ou à surtarifer les sinistres impliquant des agents autonomes, seront sensibles à la qualité de cette gouvernance.

Enfin, le rappel sur les fondamentaux du zero trust est précieux. Beaucoup d'organisations s'apprêtent à connecter des agents à leurs annuaires, à leurs bases métier ou à leurs SCM en accordant des droits étendus pour « voir ce que ça donne ». La leçon des incidents de 2025 est claire : ces accès improvisés deviennent permanents et finissent par être exploités, parfois par l'agent lui-même via des injections de prompt indirectes, parfois par des attaquants qui détournent l'agent comme un cheval de Troie. Appliquer le moindre privilège dès la première intégration coûte moins cher que de le rétroajuster sous pression après un incident.

Ce qu'il faut retenir

• Les Five Eyes publient leur premier cadre commun sur l'IA agentique et identifient cinq familles de risques structurels : privilèges, conception, comportement, structure et responsabilité.
• La recommandation principale n'est pas d'inventer une discipline nouvelle mais d'intégrer immédiatement les agents aux cadres zero trust, défense en profondeur et moindre privilège déjà en place.
• Les organisations soumises à NIS2 ou opérateurs critiques ont intérêt à inclure dès aujourd'hui ces risques dans leurs analyses, sans attendre la déclinaison nationale.