· le problème

Un agent IA n'est pas un outil. C'est une délégation d'action. Les organisations déploient des agents IA capables d'agir : accéder à des systèmes, envoyer des communications, déclencher des validations, orchestrer des workflows, modifier des données. Ce n'est plus un chatbot qui répond — c'est un système qui fait.

Dans la plupart des cas, personne n'a défini explicitement ce que l'agent peut faire, jusqu'où il peut aller, quand il doit s'arrêter, et qui répond de ses actions. Toute délégation d'action exige des droits définis, des limites, une supervision et une responsabilité explicite. Sans cela, vous avez automatisé le risque, pas seulement la tâche.

Architecture des droits d'action

Une gouvernance des agents IA repose sur cinq décisions que toute organisation doit prendre explicitement — pas par défaut.

Accès

Quels systèmes l'agent peut-il consulter ? Quelles données peut-il lire ? Quelles interfaces peut-il appeler ?

Actions

Quelles actions peut-il déclencher ? Quelles actions nécessitent une validation humaine préalable ?

Limites

Quels seuils déclenchent une escalade automatique ? Quelles actions sont inconditionnellement interdites ?

Journalisation

Quelles actions sont tracées ? Qui peut consulter les logs ? Comment une action est-elle auditée a posteriori ?

Arrêt

Qui peut arrêter l'agent ? Dans quel délai ? Comment reprend-on la main en cas d'erreur ?

Risques spécifiques

Prompt injection — un agent peut être manipulé par des données malveillantes injectées dans son contexte pour déclencher des actions non autorisées.

Escalade de privilèges — un agent peut obtenir des accès dépassant son périmètre initial si les droits ne sont pas définis avec précision.

Responsabilité fictive — si un agent agit sans log exhaustif, prouver ce qui s'est passé devient impossible.

BYOA — les collaborateurs qui connectent leurs agents personnels aux systèmes de l'organisation créent des expositions invisibles.

· lien EU AI Act

Certains agents IA peuvent relever du périmètre des systèmes à haut risque selon leur usage et leur secteur. La supervision humaine effective devient une obligation de gouvernance — pas seulement une bonne pratique.

· livrables

Cartographie des cas agents — ce qui est déployé, prévu ou en cours d'évaluation
Matrice des droits d'action — par agent, par système, par niveau de criticité
Architecture de gouvernance des agents — règles, limites, escalade, arrêt, logs
Modèle de responsabilité — qui répond de quoi, dans quels cas, avec quelles preuves
Analyse de l'exposition EU AI Act — qualification et supervision humaine requise

· cette intervention est faite pour vous si

vous envisagez des agents IA capables d'agir de manière autonome sur des systèmes ou workflows ;
des actions automatisées sont déclenchées sans journalisation exhaustive ni mécanisme d'arrêt documenté ;
vous n'avez pas encore défini les droits d'action, les limites d'autonomie et les conditions d'escalade ;
un risque BYOA existe : des collaborateurs connectent des agents IA personnels aux systèmes de l'organisation ;
vous voulez gouverner les agents IA avant que le premier incident ne vous y oblige.

Gouverner vos agents IA
avant qu'ils gouvernent
pour vous.

Agents IA : gouverner les droits d'actionavant de déléguer.