Xavier Mathis, Directeur Général France, Okta
L’IA n’est plus un outil, c’est un opérateur
Ce qui change aujourd’hui, ce n’est pas seulement la puissance de l’IA, mais sa place dans l’entreprise. Pendant des années, elle a été perçue comme un simple outil : elle suggérait, analysait, optimisait… toujours sous supervision humaine. Ce cadre est dorénavant dépassé. Les agents IA ne se contentent plus de recommander, ils exécutent, accèdent aux systèmes métiers, interagissent avec les clients, déclenchent des flux de travail et prennent parfois des décisions opérationnelles sans validation explicite. Ils sont devenus de véritables opérateurs autonomes. Le problème, c'est que cette bascule s'est faite sans que les mécanismes de contrôle suivent. Dans la plupart des organisations, personne n'a aujourd'hui de vision consolidée du nombre d'agents actifs, de leurs périmètres d'action ou de leur niveau réel de privilèges. Selon Gartner, près de 7 entreprises sur 10 ont déjà identifié ou suspecté l’usage d’outils d’IA non autorisés en interne. Cette IA fantôme prospère dans un angle mort organisationnel que la plupart des directions n'ont pas encore mesuré.
Un vide de gouvernance aux conséquences juridiques concrètes
Chaque agent IA dispose de droits d'accès aux systèmes, de manipulation des données, d'action en nom de l'entreprise. Dans la majorité des organisations, ces droits échappent encore aux contrôles appliqués aux collaborateurs humains : ils ne sont pas inventoriés, rarement revus et souvent excessifs. Ce déséquilibre n'est pas seulement technique mais aussi juridique. L'AI Act européen, dont le calendrier de montée en charge court jusqu'en 2027, impose aux organisations utilisant des systèmes d'IA à haut risque des exigences explicites de traçabilité, de supervision humaine et de documentation des décisions automatisées. Les entreprises qui n'ont pas cartographié leurs agents aujourd'hui s'exposent demain à des mises en conformité coûteuses et à une responsabilité personnelle de leurs dirigeants en cas d'incident documenté. Car lorsqu'un agent IA provoque une fuite de données, une transaction inappropriée ou une interaction problématique avec un client, la question posée par les régulateurs est simple : qui savait, et qui contrôlait ?
Trois exigences non négociables
La réponse ne peut pas être uniquement technologique. Ajouter des outils de surveillance ne suffit pas si la gouvernance reste floue. Le levier est organisationnel, et il repose sur trois exigences concrètes.
La première est la visibilité. Une organisation ne sécurise que ce qu'elle connaît. Cela implique un inventaire exhaustif des agents déployés y compris ceux issus d'initiatives personnelles ou expérimentales, souvent les plus exposés. Concrètement : un registre tenu à jour, au même titre qu'un registre des traitements RGPD.
La deuxième est la maîtrise des accès. Il s'agit de comprendre précisément ce que chaque agent peut faire, d'identifier les excès de privilèges et de cartographier les dépendances entre systèmes. Une analogie utile : aucune entreprise ne donnerait à un prestataire externe un accès illimité à l'ensemble de ses bases de données sans contrat ni périmètre défini. C'est pourtant ce que font de nombreuses organisations avec leurs agents IA.
La troisième, souvent la plus négligée, est l'attribution claire de la responsabilité. Chaque agent doit être rattaché à un propriétaire humain identifié, avec un nom, une fonction, une ligne managériale, responsable de son périmètre d'action et de son suivi dans le temps. Sans cette attribution, aucun pilotage réel n'est possible, et la responsabilité en cas d'incident reste dans le vide.
Ce sujet dépasse largement les équipes techniques. Les organisations qui prendront ce virage tôt traiteront les agents IA avec le même niveau d’exigence que n’importe quel risque financier, réglementaire ou opérationnel. Elles y gagneront en contrôle, en résilience et en crédibilité. Mais soyons lucides : cela suppose d’être capable de répondre à trois questions simples — où sont nos agents, à quoi ont-ils accès et que peuvent-ils réellement faire. Derrière leur apparente simplicité, ces questions révèlent souvent un manque de visibilité, de contrôle et de responsabilité. Et le jour où la question sera posée par un conseil d’administration ou un auditeur ne pas savoir deviendra un problème en soi. Certaines entreprises ont déjà pris la mesure du sujet. Elles traitent les agents IA comme de véritables identités, avec des droits encadrés et des mécanismes de contrôle continus. Les autres continueront d’empiler de l’automatisation sans en maîtriser les implications. Jusqu’au moment où un incident viendra rappeler que cet angle mort n’en était pas un.
Ce qui change aujourd’hui, ce n’est pas seulement la puissance de l’IA, mais sa place dans l’entreprise. Pendant des années, elle a été perçue comme un simple outil : elle suggérait, analysait, optimisait… toujours sous supervision humaine. Ce cadre est dorénavant dépassé. Les agents IA ne se contentent plus de recommander, ils exécutent, accèdent aux systèmes métiers, interagissent avec les clients, déclenchent des flux de travail et prennent parfois des décisions opérationnelles sans validation explicite. Ils sont devenus de véritables opérateurs autonomes. Le problème, c'est que cette bascule s'est faite sans que les mécanismes de contrôle suivent. Dans la plupart des organisations, personne n'a aujourd'hui de vision consolidée du nombre d'agents actifs, de leurs périmètres d'action ou de leur niveau réel de privilèges. Selon Gartner, près de 7 entreprises sur 10 ont déjà identifié ou suspecté l’usage d’outils d’IA non autorisés en interne. Cette IA fantôme prospère dans un angle mort organisationnel que la plupart des directions n'ont pas encore mesuré.
Un vide de gouvernance aux conséquences juridiques concrètes
Chaque agent IA dispose de droits d'accès aux systèmes, de manipulation des données, d'action en nom de l'entreprise. Dans la majorité des organisations, ces droits échappent encore aux contrôles appliqués aux collaborateurs humains : ils ne sont pas inventoriés, rarement revus et souvent excessifs. Ce déséquilibre n'est pas seulement technique mais aussi juridique. L'AI Act européen, dont le calendrier de montée en charge court jusqu'en 2027, impose aux organisations utilisant des systèmes d'IA à haut risque des exigences explicites de traçabilité, de supervision humaine et de documentation des décisions automatisées. Les entreprises qui n'ont pas cartographié leurs agents aujourd'hui s'exposent demain à des mises en conformité coûteuses et à une responsabilité personnelle de leurs dirigeants en cas d'incident documenté. Car lorsqu'un agent IA provoque une fuite de données, une transaction inappropriée ou une interaction problématique avec un client, la question posée par les régulateurs est simple : qui savait, et qui contrôlait ?
Trois exigences non négociables
La réponse ne peut pas être uniquement technologique. Ajouter des outils de surveillance ne suffit pas si la gouvernance reste floue. Le levier est organisationnel, et il repose sur trois exigences concrètes.
La première est la visibilité. Une organisation ne sécurise que ce qu'elle connaît. Cela implique un inventaire exhaustif des agents déployés y compris ceux issus d'initiatives personnelles ou expérimentales, souvent les plus exposés. Concrètement : un registre tenu à jour, au même titre qu'un registre des traitements RGPD.
La deuxième est la maîtrise des accès. Il s'agit de comprendre précisément ce que chaque agent peut faire, d'identifier les excès de privilèges et de cartographier les dépendances entre systèmes. Une analogie utile : aucune entreprise ne donnerait à un prestataire externe un accès illimité à l'ensemble de ses bases de données sans contrat ni périmètre défini. C'est pourtant ce que font de nombreuses organisations avec leurs agents IA.
La troisième, souvent la plus négligée, est l'attribution claire de la responsabilité. Chaque agent doit être rattaché à un propriétaire humain identifié, avec un nom, une fonction, une ligne managériale, responsable de son périmètre d'action et de son suivi dans le temps. Sans cette attribution, aucun pilotage réel n'est possible, et la responsabilité en cas d'incident reste dans le vide.
Ce sujet dépasse largement les équipes techniques. Les organisations qui prendront ce virage tôt traiteront les agents IA avec le même niveau d’exigence que n’importe quel risque financier, réglementaire ou opérationnel. Elles y gagneront en contrôle, en résilience et en crédibilité. Mais soyons lucides : cela suppose d’être capable de répondre à trois questions simples — où sont nos agents, à quoi ont-ils accès et que peuvent-ils réellement faire. Derrière leur apparente simplicité, ces questions révèlent souvent un manque de visibilité, de contrôle et de responsabilité. Et le jour où la question sera posée par un conseil d’administration ou un auditeur ne pas savoir deviendra un problème en soi. Certaines entreprises ont déjà pris la mesure du sujet. Elles traitent les agents IA comme de véritables identités, avec des droits encadrés et des mécanismes de contrôle continus. Les autres continueront d’empiler de l’automatisation sans en maîtriser les implications. Jusqu’au moment où un incident viendra rappeler que cet angle mort n’en était pas un.
