Alors que 91 % des entreprises utilisent déjà des agents IA, 90 % ne disposent d’aucune gouvernance appropriée. Cette adoption massive sans cadre de sécurité expose les organisations à des risques majeurs en matière de cybersécurité et de gestion des identités numériques.
90 % des entreprises sans gouvernance des agents IA, selon un rapport
By
Published on 23 mai 2026 17h35
NIS2L'EU IA Act et la directive NIS2 imposent des exigences strictes que beaucoup peinent encore à intégrer dans leur organisation.
L'adoption massive de l'IA agentique révèle un paradoxe inquiétant
L'IA agentique s'installe durablement dans le paysage économique mondial, mais cette révolution technologique charrie avec elle un paradoxe saisissant. Selon le rapport « Businesses at Work 2026 » d'Okta, 91 % des entreprises recourent déjà à des agents d'intelligence artificielle — et pourtant, 90 % d'entre elles ne disposent d'aucune stratégie de gouvernance adaptée pour encadrer ces nouveaux outils. Une lacune qui expose les organisations à des risques considérables en matière de cybersécurité et de gestion des identités numériques.
Cette dichotomie entre adoption fulgurante et vide sécuritaire s'explique par « un schéma classique d'innovation non maîtrisée », analyse Xavier Mathis, directeur général France d'Okta. « Les métiers testent, industrialisent vite, souvent via des API ou des copilotes intégrés, sans passer par les cycles de validation habituels », précise-t-il dans un entretien exclusif. Les agents IA sont ainsi perçus comme de simples accélérateurs de productivité, alors qu'ils se comportent en réalité comme des utilisateurs autonomes à part entière au sein des systèmes d'information. Une nuance de taille, aux conséquences potentiellement lourdes.
Une adoption prudente mais désormais généralisée dans les organisations
Les données du rapport dressent un portrait nuancé : si 91 % des organisations ont franchi le pas, 82 % des dirigeants déclarent maintenir un usage « modéré » ou « limité » de ces technologies. Cette retenue traduit une évaluation minutieuse des risques — en matière de sécurité et d'identité notamment — avant tout déploiement à grande échelle en environnement de production.
L'industrie pharmaceutique et la recherche scientifique illustrent parfaitement cette dynamique mesurée. Deux architectures multiagents, baptisées Co-Scientist et Robin, visent désormais à « automatiser la découverte » médicamenteuse, démontrant le potentiel transformateur de ces technologies tout en rappelant l'impérieuse nécessité d'un cadre rigoureux pour les gouverner.
Identités machines : le défi invisible qui menace la cybersécurité des entreprises
Le principal obstacle à une adoption sereine ne réside pas dans les capacités techniques de l'IA, mais bien dans la gouvernance de ces systèmes. Le rapport révèle que 58 % des dirigeants placent en tête de leurs préoccupations la gestion des identités et les risques liés aux accès. Cette inquiétude trouve son terreau dans l'explosion des identités non humaines : les entreprises gèrent désormais en moyenne 109 identités machines pour une seule identité humaine, selon une étude de Palo Alto Networks.
Cette multiplication exponentielle ouvre des brèches inédites. « Quand un agent a accès à plusieurs systèmes — la base clients, les contrats, la messagerie interne —, un attaquant qui comprend ce fonctionnement n'a plus besoin de forcer la porte », explique Xavier Mathis. Il lui suffit de « prendre le contrôle de l'agent pour circuler librement dans le système d'information, sans déclencher aucune alarme ». Un scénario aussi discret qu'inquiétant. À ce sujet, notre analyse sur la gouvernance de l'IA, où 90 % des entreprises naviguent encore à vue, apporte un éclairage complémentaire.
Menaces en hausse, protections à la traîne : l'équation impossible
Les chiffres du rapport témoignent d'une accélération préoccupante des menaces. Neuf organisations sur dix déclarent avoir subi au moins une compromission liée aux identités au cours des douze derniers mois — et pour trois quarts d'entre elles, ce sont au moins trois incidents distincts qui ont été recensés sur la même période.
Les secteurs traditionnellement moins exposés subissent aujourd'hui une pression sans précédent. Les organisations à but non lucratif ont vu leur ratio menaces détectées/authentifications bondir à 78 % cette année, contre seulement 18 % l'année précédente — une progression vertigineuse. Le commerce de gros suit avec un ratio de 44 %, tandis que les acteurs du secteur énergétique affichent 29 %.
Cette vulnérabilité accrue tient en partie à l'inadéquation des systèmes d'authentification traditionnels face aux volumes actuels. Si l'adoption d'une authentification multi-facteurs à niveau d'assurance élevé a progressé de 41 % à 58 %, la masse des authentifications traitées chaque jour transforme le moindre maillon faible en faille béante.
Entre exigences réglementaires et silos organisationnels, les entreprises peinent à s'adapter
Au-delà des aspects techniques, les entreprises font face à des défis organisationnels d'une ampleur inédite. Les demandes d'accès ont été multipliées par plus de 12 et les certifications d'accès par plus de 9 au cours des deux dernières années. Cette inflation des flux rend les approbations manuelles non seulement inefficaces, mais potentiellement dangereuses pour l'intégrité des systèmes.
Le cadre réglementaire vient accentuer cette pression. L'EU IA Act et la directive NIS2 imposent des exigences strictes que beaucoup peinent encore à intégrer dans leur organisation. « Les entreprises avancent encore en silos — conformité, cybersécurité et IA — alors que les textes imposent une approche unifiée », observe Xavier Mathis. Cette fragmentation ralentit la capacité de détection et de réponse aux incidents, au moment précis où la rapidité devient un avantage décisif.
Vers un écosystème unifié des identités : la voie de sortie pour les organisations
Malgré ce tableau sombre, des solutions concrètes se dessinent. L'automatisation complète de la gestion des certificats numériques s'impose comme un impératif opérationnel, d'autant que leur durée de vie se réduit progressivement à 47 jours. Les cyber-assureurs exercent également une pression salutaire en conditionnant l'assurabilité des organisations à l'adoption d'une authentification résistante au phishing.
L'évolution vers un « écosystème de sécurité des identités » unifié apparaît comme la réponse stratégique à ces enjeux. Cette approche permettrait de combler les lacunes dans la gestion des connexions, des autorisations et de la supervision automatisée, assurant une cohérence de traitement entre identités humaines et non humaines. Concrètement, cela suppose de déployer une gouvernance automatisée des agents d'IA, d'unifier la gestion des identités humaines et machines, de renforcer l'authentification multi-facteurs résistante au phishing, d'instaurer une supervision comportementale en temps réel des agents autonomes et d'assurer une traçabilité complète de leurs actions — autant de piliers d'une architecture de confiance adaptée à l'ère agentique.
« Dans cinq ans, nous allons vers un monde majoritairement composé d'identités non humaines », prédit Xavier Mathis. « L'humain restera central, mais différemment : au cœur de la gouvernance, de la supervision et de la définition des politiques. » Une transformation qui appelle, dès aujourd'hui, une préparation stratégique sérieuse — pour que l'innovation technologique ne se mue pas en vulnérabilité organisationnelle. Car si les agents IA promettent de révolutionner la productivité des entreprises, l'histoire récente montre que les failles de sécurité peuvent surgir là où on les attend le moins, comme l'illustre la fuite de données subie par McDonald's France, qui a privé des milliers de clients de leurs points fidélité.