Cyber-security-sicurezza-delle-informazioni-protezione-dati

GenAI Security : Gartner prédit davantage d’incidents d’ici 2028

ParSteven de Simseo

D’ici 2028, 25 % des applications d’IA générative d’entreprise connaîtront au moins cinq incidents de sécurité « mineurs » chaque année. En 2025, la part s’arrête à 9%. L’estimation provient de Gartner, une société de recherche et de conseil en technologie.

Cette croissance est liée à l’adoption rapide des solutions GenAI dans les entreprises, souvent intégrées dans des processus sans un niveau adéquat de maturité en matière de pratiques de sécurité.

Le rôle des architectures d’agents et du protocole MCP

Les organisations développent des applications basées sur l’IA agentique à l’aide de technologies telles que le Model Context Protocol (MCP). Cette approche facilite l’interopérabilité et la vitesse de développement, mais introduit de nouveaux vecteurs d’attaque.

Aaron Lord, analyste directeur principal chez Gartner, rapporte que MCP est conçu avant tout pour la flexibilité et la facilité d’utilisation. En l’absence de surveillance continue, des erreurs de sécurité peuvent survenir lors de l’utilisation courante des applications.

D’ici 2029, 15 % des applications GenAI d’entreprise devraient connaître au moins un incident de sécurité majeur par an, contre 3 % en 2025.

Risques concrets : données exposées et composants vulnérables

L’adoption croissante de cadres tels que MCP expose les entreprises à des risques opérationnels spécifiques. Parmi ceux-ci :

  • exposition de données sensibles
  • vulnérabilités dans les composants tiers
  • communications incontrôlées entre les agents et les systèmes externes

Les risques augmentent lorsqu’une application combine accès à des données sensibles, ingestion de contenu non vérifié et interactions externes dans un même flux opérationnel. Dans ces cas, Gartner suggère d’éviter complètement la mise en œuvre en raison du risque élevé d’exfiltration de données.

Gouvernance et contrôles : les mesures nécessaires

Gartner présente quelques priorités pour les leaders du génie logiciel :

  • introduire des processus formels d’examen de la sécurité pour les cas d’utilisation de MCP
  • privilégier les applications à faible risque
  • Renforcer l’authentification et l’autorisation spécifiques pour les agents IA
  • surveiller et limiter l’utilisation de composants externes

Les autorisations, en particulier, ne doivent pas être héritées de rôles humains, mais conçues spécifiquement pour des agents, avec des privilèges limités et bien définis.

Vulnérabilités typiques des applications GenAI

Les principales menaces identifiées concernent des schémas déjà connus en matière de sécurité informatique, mais appliqués à de nouveaux contextes :

  • attaques par injection de contenu
  • risques dans la chaîne d’approvisionnement des logiciels
  • accès inapproprié à des données sensibles
  • Élévation de privilèges provoquée par des erreurs d’agent

Ces scénarios découlent souvent de comportements « collaboratifs » de l’IA, qui peuvent effectuer des actions inattendues pour tenter d’être utiles.

Le nœud de la responsabilité et de la conformité

La complexité croissante des architectures d’agents rend plus difficile la gestion de l’accès aux données et la conformité réglementaire. Gartner suggère d’attribuer la responsabilité des serveurs MCP à des domaines spécifiques, avec des règles définies par des experts du secteur.

Ces experts doivent établir à l’avance les limites opérationnelles et les contrôles, avant de permettre aux agents d’IA d’accéder aux données et aux ressources de l’entreprise.

Vers la sécurité « by design »

Pour résoudre le problème à grande échelle, Gartner recommande une approche « sécurisé par défaut » : les interactions entre agents doivent être conçues dès le départ avec des contraintes claires.

La définition préventive de règles et de contrôles devient une étape essentielle pour éviter que la vitesse d’adoption de GenAI ne dépasse la capacité des entreprises à gérer ses risques.

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.