IA agentique au bureau : l'ANSSI déconseille formellement tout déploiement en production
L'ANSSI met les pieds dans le plat. Dans son bulletin d'actualité CERTFR-2026-ACT-016 publié le 13 avril 2026, l'agence nationale déconseille formellement le déploiement en production des agents IA autonomes — de type OpenClaw ou Claude Cowork — sur les postes de travail des entreprises. Un avis rare dans sa fermeté, qui tranche avec l'engouement actuel pour ces assistants personnels capables d'exécuter des actions au niveau du système d'exploitation.
Ce qui s'est passé
Le CERT-FR constate depuis début 2026 une adoption soutenue des assistants personnels autonomes (APA) dans les environnements bureautiques. Contrairement aux chatbots classiques, ces agents ne se contentent pas de répondre : ils exécutent des commandes, contrôlent le navigateur, lisent et écrivent des fichiers, gèrent le calendrier, envoient des courriels — le tout déclenché par un simple message texte via Slack, WhatsApp ou Discord.
L'ANSSI identifie cinq risques majeurs : compromission du poste utilisateur via les vulnérabilités des outils en version bêta, fuite de données sensibles vers des ressources externes non maîtrisées, droits d'accès démesurés aux applications bureautiques (messagerie, agenda, RH, applications métier), partage de secrets d'authentification, et perte de maîtrise des actions réalisées sur le poste — avec un risque d'actions destructrices irréversibles.
La recommandation est sans ambiguïté : « En l'état, les assistants personnels autonomes tels qu'OpenClaw ne doivent pas être déployés sur des postes de travail et leur usage doit être proscrit, tant que le produit n'est pas stabilisé et éprouvé du point de vue de la sécurité. » L'usage doit être cantonné à des environnements de test isolés, sans aucune donnée sensible.
Pourquoi c'est important
Ce bulletin arrive dans un contexte réglementaire chargé. Les entreprises qui déploient des agents IA sur des données personnelles sont déjà tenues de se conformer à l'AI Act, dont les obligations de gouvernance et de documentation technique entrent progressivement en application. L'alerte ANSSI vient durcir le message : il ne s'agit plus seulement de documenter les systèmes d'IA, il faut évaluer leur surface d'attaque avant toute mise en production.
Le problème soulevé n'est pas nouveau mais change d'échelle. Les agents IA chargent dynamiquement des greffons (plugins), souvent exécutés avec les privilèges de l'application hôte. C'est exactement le profil de risque du Shadow IT que les DSI connaissent bien, mais démultiplié : un seul prompt mal intentionné peut déclencher une cascade d'actions système, de l'exfiltration de fichiers à l'envoi d'emails frauduleux.
Pour un DPO ou un RSSI, l'enjeu est double. Côté RGPD, l'agent IA devient un sous-traitant de fait, avec un accès transversal aux traitements. Côté sécurité, il ouvre une voie d'attaque inédite — les juristes de Norton Rose Fulbright parlaient récemment d'une approche « sparadrap » de la gouvernance des agents IA qu'il est urgent de remplacer par des contrôles intégrés dès la conception.
Ce que ça change pour les organisations
Concrètement, le bulletin CERTFR-2026-ACT-016 impose trois chantiers immédiats aux DSI, RSSI et DPO.
Cartographier et proscrire le Shadow IT IA. Tout agent IA installé sans validation des équipes IT et RSSI doit être identifié et neutralisé. Les outils grand public comme OpenClaw, Claude Cowork ou leurs équivalents en version bêta doivent être retirés des postes de production. Une politique de durcissement (maîtrise du parc, contrôle des installations, moindre privilège) devient un prérequis, pas une option.
Isoler les usages légitimes. Pour les équipes qui ont un vrai besoin métier (R&D, data science, tests d'intégration), l'usage doit être cantonné à des bacs à sable sans aucune donnée de production, secret, donnée personnelle ou donnée bancaire. L'exécution des actions à effet de bord — commandes système, envois d'emails, modifications de fichiers — doit toujours passer par une validation humaine explicite.
Sensibiliser les utilisateurs. L'injection de prompt est la faille structurelle des LLM : un message piégé peut contourner les garde-fous défensifs du modèle. Les équipes doivent comprendre que déléguer à un agent IA l'accès à leur boîte mail revient à donner les clés à un sous-traitant dont on ne maîtrise ni le code, ni les décisions. Un programme de sensibilisation IA structuré devient indispensable, au même titre que celui sur le phishing.
Les entreprises régulées (banque, santé, OSE/OIV au titre de NIS 2) devront tracer ces décisions dans leur AIPD et leur analyse de risques — l'absence de mesure face à un risque identifié par l'ANSSI se défendra mal devant un contrôle.
Ce que Leto pense de cette décision
L'ANSSI a raison de poser un interdit clair. L'industrie de l'IA agentique fonctionne sur un pari : celui que la productivité gagnée compense le risque pris. Mais ce risque n'est pas encore mesuré, et les attaques documentées (exploitations de greffons malveillants, détournement d'agents via des emails piégés) prouvent que la surface d'exposition est réelle. Proscrire temporairement ces outils n'est pas un refus de l'innovation — c'est le seul moyen de la rendre responsable. Les DSI et DPO qui adopteront cette ligne maintenant gagneront un double bénéfice : éviter l'incident, et construire le cadre de gouvernance qui rendra ces agents déployables quand ils seront réellement sûrs.
Sources :
