L’IA d’entreprise a quitté la démonstration pour entrer dans les droits d’accès. Des agents IA consultent des données, lancent des actions et frôlent des systèmes critiques sans toujours laisser de trace nette.
Le chiffre pique, 92 % des organisations n’auraient pas une visibilité complète sur ces identités. Quand 71 % des RSSI signalent déjà des accès à Salesforce ou SAP, seules 16 % des entreprises les jugent gouvernés, alors que la sécurité des identités reste pensée pour des comptes humains. Et 5 % seulement se disent prêtes à gérer un agent compromis.
Des agents IA déjà connectés à Salesforce et SAP
Selon le 2026 CISO AI Risk Report de Saviynt, les agents IA ne restent plus cantonnés aux laboratoires. 71 % des RSSI interrogés déclarent déjà leur présence dans des outils centraux comme Salesforce et SAP.
Ces agents obtiennent un accès aux applications, lisent des données sensibles et déclenchent des actions dans des environnements critiques. Pour les équipes sécurité, ces outils d’IA ressemblent désormais moins à des assistants qu’à de nouveaux comptes actifs, capables d’agir vite et sans intervention humaine directe.
La gouvernance des accès ne suit pas le rythme
Le rapport met en lumière un écart net entre le rythme des déploiements et le pilotage des droits. Seuls 16 % des répondants estiment que les accès des agents IA sont correctement gouvernés.
Les dispositifs existants ont été pensés pour des utilisateurs humains et des comptes de service plus prévisibles. Face à l’autonomie des agents, les modèles traditionnels montrent leurs limites, notamment pour la gouvernance des accès et le contrôle des privilèges accordés aux systèmes IA.
Le manque de visibilité fragilise les RSSI
Les identités IA se créent parfois sans apparaître dans les inventaires de sécurité. Il indique que 92 % des organisations n’ont pas de visibilité complète sur ces comptes et leurs usages réels.
Le risque augmente quand les identités numériques liées à l’IA échappent aux revues internes. Selon l’étude, 86 % des organisations n’appliquent pas de politiques d’accès complètes, 95 % doutent de leur capacité à repérer un abus et seules 5 % se disent prêtes face à un agent compromis.
Les entreprises doivent identifier leurs identités IA, connaître les accès qui leur sont accordés et détecter les comportements anormaux avant qu’ils ne deviennent des incidents.
Jean-François Pruvot, Vice-Président Europe du Sud de Saviynt
Des incidents liés à l’IA déjà repérés en entreprise
Les signaux d’alerte relevésdépassent le stade de l’hypothèse. 75 % des RSSI interrogés disent avoir déjà découvert de l’IA générative non autorisée dans leur environnement professionnel.
Les dérives prennent plusieurs formes, depuis des comportements inattendus jusqu’à des usages hors cadre. 47 % des répondants signalent des actions non autorisées d’agents IA, 33 % évoquent des incidents ou quasi-incidents de sécurité sur douze mois, et seuls 25 % disposent d’une supervision dédiée.
Les accès IA doivent être traités comme des identités numériques
Un agent IA qui consulte, modifie ou transmet des informations doit entrer dans le périmètre de gestion des identités. L’inventaire des agents, de leurs droits et de leurs applications devient alors le premier repère opérationnel.
Les mesures recommandées portent sur le moindre privilège, la surveillance continue et la suppression automatisée des accès inutilisés. Des contrôles adaptés aux agents autonomes permettent de limiter les privilèges excessifs, d’accélérer les enquêtes et de réduire l’impact d’une compromission.
