Passer au contenu principal

Sécuriser l'IA autonome : le Top 10 Agentic de l'OWASP et les correspondances avec les CVE réels

17 avril 2026
Andrew Heller
Raúl Redondo, ingénieur senior en simulation d'adversaire I Andrew Heller, responsable marketing

L'intégration de l'intelligence artificielle dans les entreprises évolue rapidement, passant des grands modèles linguistiques (LLM) statiques à des systèmes autonomes de type agent. Contrairement aux applications LLM traditionnelles qui fournissent une réponse unique, linéaire et réactive, les applications agentiques sont autonomes et proactives. Elles décomposent de manière autonome les objectifs en sous-tâches, font appel à des outils externes, conservent une mémoire persistante d'une session à l'autre et se coordonnent avec d'autres agents.

Comme l'a déclaré John Sotiropoulos, co-responsable de l'OWASP ASI : « Dès que l'IA a commencé à agir, la nature même de la sécurité a changé à jamais ». Actuellement, 84 % des développeurs utilisent des outils de codage basés sur l'IA (Stack Overflow). Cependant, avec 35 % des incidents liés à l'IA causés par de simples invites, cette évolution architecturale introduit un modèle de menace fondamentalement nouveau.

Pour remédier à cela, Lares, le pôle de Damovo dédié au conseil en cybersécurité et aux tests d'intrusion, a mis en correspondance les nouvelles normes OWASP Agentic Top 10 avec les vulnérabilités et expositions courantes (CVE) réelles et les références de défense.

L'évolution de la menace : chatbots contre agents

Les contrôles de sécurité standard conçus pour l'IA conversationnelle ne suffisent pas pour les systèmes autonomes. La boucle autonome de planification, de recherche et d'exécution crée de nouveaux vecteurs d'attaque dynamiques.

Chaque outil accessible à un agent constitue une faille potentielle, chaque entrée en mémoire peut être corrompue de manière persistante, et chaque message inter-agents représente un vecteur d'attaque potentiel qui nécessite des contrôles stricts.

Le Top 10 d'OWASP Agentic : cartographie complète des menaces

Pour modéliser efficacement les menaces liées aux déploiements d'agents, les équipes de sécurité doivent combler le fossé entre les comportements propres à l'IA et la gestion traditionnelle des vulnérabilités. Vous trouverez ci-dessous la cartographie complète des risques identifiés par l'OWASP Agentic Security Initiative (ASI), ainsi que les CVE réels et les voies d'exploitation identifiées par les recherches adversariales de Lares.

Phase 1 : Objectifs, outils et identités

Cette catégorie permet aux équipes de rester honnêtes quant à ce que les agents sont réellement capables de faire et quant à l'image qu'ils donnent d'eux-mêmes.

ASI01 : Détournement de l'objectif de l'agent

La porte d'entrée vers toutes les autres vulnérabilités. Les attaquants manipulent les cibles car les agents ne sont pas en mesure de distinguer de manière fiable les instructions légitimes du contenu contrôlé par les attaquants.

  • L'exploit : Les attaquants intègrent des instructions cachées pour contourner discrètement les objectifs d'un agent, ce qui conduit à une exfiltration de données sans clic.

  • Correspondance CVE : CVE-2025-64660 (GitHub Copilot) et CVE-2025-61590 (Cursor).

ASI02 : Utilisation abusive et exploitation des outils

Les agents agissant dans le cadre de leurs autorisations peuvent utiliser des outils légitimes de manière non sécurisée.

  • L'exploit : Un agent enchaîne des commandes PowerShell et cURL à l'aide d'identifiants valides, ce qui permet une exfiltration de données contournant complètement la détection EDR.

  • Correspondance CVE : CVE-2025-8217 (Amazon Q).

ASI03 : Usurpation d'identité et abus de privilèges

Une incompatibilité architecturale entre les systèmes d'identité centrés sur l'utilisateur et la conception orientée agent. Les agents opèrent dans un vide d'attribution qui rend impossible l'application du principe du privilège minimal.

  • L'exploitation : Les attaquants exploitent la confiance dynamique pour élever leurs privilèges d'accès à l'aide d'identités non humaines (NHI).

  • Référence CVE : CVE-2025-32711 (Microsoft 365 Copilot).

Phase 2 : Chaîne d'approvisionnement et mémoire

La chaîne d'approvisionnement et la mémoire sont toujours prises en compte. Les équipes de sécurité doivent tout vérifier.

ASI04 : Vulnérabilités liées à la chaîne d'approvisionnement

Les écosystèmes d'agents chargent dynamiquement des outils externes et des profils d'agents lors de l'exécution. Cela crée une chaîne d'approvisionnement en temps réel qui propage les vulnérabilités.

  • Cartographie des incidents : Le Attaque de la chaîne d'approvisionnement Postmark MCP , au cours de laquelle un serveur malveillant se faisant passer pour un outil légitime a été chargé lors de l'exécution afin d'envoyer secrètement des e-mails en Cci à un attaquant.

ASI05 : Exécution de code non autorisée (RCE)

Les outils de codage Vibe et les systèmes agentiques génèrent et exécutent du code en temps réel.

  • La faille : les pirates contournent le sandboxing pour exécuter du code à distance. Les mesures d'atténuation nécessitent une interdiction eval() fonctions et désérialiseurs non sécurisés.

  • Référence CVE : CVE-2025-53773 (GitHub Copilot).

ASI06 : Empoisonnement de la mémoire et du contexte

Les adversaires corrompent le contexte stocké, ce qui fausse le raisonnement ultérieur.

  • L'exploit : les pirates injectent des données malveillantes. Le contexte corrompu survit aux réinitialisations de session, ce qui nécessite un suivi cryptographique de la provenance pour le détecter.

  • Référence CVE : CVE-2025-54136 (Cursor IDE).

Phase 3 : Comportement au niveau du système

Lorsque les agents communiquent entre eux, les défaillances se propagent à grande échelle.

ASI07 : Communication non sécurisée entre agents

Les systèmes multi-agents reposent sur une communication continue. Sans validation sémantique ni authentification mutuelle, les attaquants interceptent et manipulent les messages.

  • Correspondance CVE : CVE-2025-52882 (Claude Code).

ASI08 : Défaillances en cascade :

Une seule défaillance se propage et s'aggrave, causant des dommages à l'ensemble du système. Comme les agents agissent de manière autonome, les erreurs contournent les contrôles humains étape par étape et nécessitent des tests de relecture sur jumeau numérique pour être corrigées en toute sécurité.

Phase 4 : Les humains et la gouvernance

Remettre les êtres humains et les mécanismes politiques rigides au centre des préoccupations.

ASI09 : Exploitation de la relation de confiance entre l'humain et l'agent

Les agents instaurent une relation de confiance solide grâce à leur maîtrise du langage naturel et à l'anthropomorphisme. Les attaquants exploitent ce biais d'automatisation pour manipuler les humains afin qu'ils effectuent l'action finale faisant l'objet d'un audit, rendant ainsi le rôle de l'agent invisible aux analyses forenses.

ASI10 : Agents rebelles

Les agents compromis s'écartent de leur champ d'application prévu, créant ainsi une faille de confinement pour les systèmes de surveillance traditionnels basés sur des règles. Pour limiter les risques liés aux agents malveillants, il faut des certificats de comportement et des agents de surveillance indépendants.

Le plan d'action en 5 étapes d'Agentic

Pour combler le fossé entre l'adoption rapide de l'IA et la sécurité de niveau entreprise, nous vous recommandons d'aligner vos défenses sur le principe fondamental du « Zero Trust » : concevoir des systèmes dotés d'une tolérance aux pannes qui anticipent la défaillance ou l'exploitation de n'importe quel composant.

Les organisations devraient mettre en œuvre sans délai le plan d'action en cinq étapes suivant:

  1. Découverte et inventaire : Répertoriez tous les agents IA, les serveurs MCP, les identités non humaines (NHI) et les outils.

  2. Modèle de menace avec ASI : Utilisez les modèles ASI01 à ASI10 comme liste de contrôle pour les déploiements d'agents spécifiques avant de passer en production.

  3. Appliquer le principe de l'autonomie minimale : N'accorder que l'autonomie minimale nécessaire. Utilisez des identifiants à durée de vie limitée et un accès « juste à temps » (JIT).

  4. Mettre en place des dispositifs d'arrêt d'urgence : Mettre en place des disjoncteurs entre les flux de travail, des limites de rayon d'impact et des mécanismes d'arrêt d'urgence qui sont testés régulièrement.

  5. Surveillance et intervention : Mettez en place une observabilité approfondie du comportement des agents à l'aide d'agents de surveillance, de la traçabilité distribuée et de guides d'intervention spécifiques à l'IA.

Évaluez votre surface d'attaque en matière d'IA

Le déploiement d'agents autonomes nécessite de passer d'un filtrage des résultats à une validation des intentions et à des limites d'exécution strictes. Si votre organisation développe ou teste des systèmes d'IA agentique, contactez l'équipe de conseil de Damovo. Nous pouvons vous aider à mettre en place une gouvernance axée sur le principe de l'« agence minimale », à tester des mécanismes d'arrêt d'urgence pour prévenir les défaillances en cascade, et à planifier un entretien préliminaire afin de déterminer la phase de test la mieux adaptée à votre environnement.

Parlez à nos experts
Demander un exemple de rapport
Rejoignez plus de 10 000 autres personnes sur la liste de diffusion Damovo pour recevoir les dernières informations et du contenu exclusif.
Abonnez-vous dès maintenant