ANSSI vs CERT chinois : ce que les deux alertes sur OpenClaw et Claude Cowork imposent aux DPO

25/4/26
👈 les autres actualités

Une semaine après le bulletin CERTFR-2026-ACT-016 sur les agents IA autonomes, la doctrine continue de se durcir. Silicon.fr a relayé le 24 avril 2026 l'alerte du CERT-FR — qui nomme désormais explicitement OpenClaw et Claude Cowork — et la met en miroir d'une notice publiée quelques semaines plus tôt par le CERT chinois. Pour les DPO et RSSI, l'élargissement médiatique de l'alerte officialise ce que la doctrine ANSSI laissait entendre : aucun déploiement de ces assistants en production n'est aujourd'hui considéré comme acceptable.

Ce qui s'est passé

Le bulletin du CERT-FR, rattaché à l'ANSSI, ne se contente plus de viser un produit en particulier. Il étend désormais son propos à l'ensemble des « produits d'automatisation par IA agentique sur les postes de travail », en citant nommément OpenClaw et Claude Cowork. Les risques identifiés sont sans ambiguïté : compromission des systèmes, fuites de données sensibles, actions potentiellement destructrices.

La consigne du CERT-FR est nette : pas d'usage en production. Les assistants IA agentiques doivent être confinés à des environnements de test isolés, sans données sensibles. Les actions et outils accessibles doivent être limités, les canaux de communication et les interlocuteurs autorisés doivent faire l'objet de listes blanches, et toute commande système doit passer par une validation humaine. L'invocation explicite (par mention « @ ») est citée comme bonne pratique pour éviter les déclenchements automatiques. Le CERT-FR rappelle enfin que la formulation défensive des prompts peut atténuer les risques, sans toutefois neutraliser les attaques par injection.

Cette lecture rejoint, en plus restrictif, celle du CERT chinois, qui pointait quelques semaines auparavant la « configuration par défaut extrêmement fragile » d'OpenClaw et ses privilèges élevés (accès au système de fichiers local, lecture des variables d'environnement, installation de plug-ins). L'autorité chinoise n'interdit pas formellement le déploiement en production, mais énonce quatre prérequis : durcissement réseau et fermeture du port de gestion par défaut, isolation par conteneurs pour limiter les privilèges, interdiction de stocker des clés en variables d'environnement, et gouvernance stricte des sources de plug-ins, mises à jour automatiques désactivées.

Pourquoi c'est important

Pour les organisations soumises au RGPD, le sujet sort du seul registre cyber. Un agent IA qui dispose des droits utilisateur sur un poste de travail traite, par construction, des données personnelles : courriels, documents RH, fichiers clients, identifiants. La doctrine ANSSI rejoint ici les principes de l'article 32 RGPD sur la sécurité du traitement et celui de la protection des données dès la conception (article 25). Déployer un agent IA en production sans isolation revient à exposer les données traitées à un risque d'altération, de divulgation ou d'accès non autorisé que l'on ne maîtrise pas — exactement ce que l'analyse d'impact relative à la protection des données (AIPD) est censée écarter avant tout déploiement.

Cet alignement entre cyber et conformité avait déjà été pointé par les juristes de Norton Rose Fulbright, qui dénoncent l'approche « sparadrap » consistant à empiler des contrôles a posteriori plutôt qu'à coder la gouvernance dans le système lui-même. Il rejoint aussi l'analyse du Future of Privacy Forum sur les chaînes d'approvisionnement IA, qui rappelle que les surfaces d'attaque (empoisonnement de données, injection de prompts, compromission de modèles) commandent désormais une cartographie systématique des dépendances. Dans le périmètre AI Act, ces produits, quand ils accèdent à des données sensibles, basculent naturellement vers les obligations applicables aux systèmes d'IA à haut risque dès lors qu'ils interviennent sur des décisions affectant les personnes.

Pour mémoire, la première lecture du bulletin CERTFR-2026-ACT-016 publiée le 19 avril insistait déjà sur cinq risques (compromission, fuite, droits excessifs, partage de secrets, actions non maîtrisées). La couverture par Silicon.fr et la convergence avec le CERT chinois transforment ce signal technique en un message désormais audible par les comités exécutifs.

Ce que ça change pour les organisations

La feuille de route opérationnelle se précise. Quatre chantiers prioritaires se dégagent.

Cartographier le Shadow IT IA. Aucun plan de remédiation n'est possible sans inventaire. Les services Achats, IT et DPO doivent croiser leurs vues : licences d'assistants IA souscrites par les équipes, extensions navigateur, abonnements personnels utilisés en contexte professionnel. La présence d'OpenClaw et Claude Cowork — explicitement nommés — doit faire l'objet d'un signalement au registre des traitements quand des données personnelles sont en jeu.

Isoler les usages légitimes. Conformément aux consignes CERT-FR et CERT chinois, les expérimentations doivent se faire dans des environnements de test, sans données réelles, avec privilèges restreints. L'isolation par conteneur préconisée par le CERT chinois est une bonne pratique transposable à tout assistant IA accédant au système de fichiers ou exécutant des commandes.

Renforcer la doctrine d'usage. Listes blanches d'outils et de canaux, validation humaine systématique des commandes système, interdiction de stocker des secrets dans des variables d'environnement : ces règles doivent figurer dans la politique de sécurité des systèmes d'information (PSSI) et faire l'objet d'une revue annuelle des mesures de sécurité.

Sensibiliser les équipes. L'usage personnel d'assistants IA agentiques sur poste professionnel constitue désormais un risque caractérisé. Les programmes de sensibilisation à la cybersécurité doivent intégrer un module spécifique sur l'IA agentique : ce qui est autorisé, ce qui ne l'est pas, qui contacter en cas de doute. La doctrine ANSSI sert ici de référence opposable en interne.

Ce que Leto pense de cette décision

L'élargissement de l'alerte à des produits explicitement nommés est, en soi, un événement. Le CERT-FR sort de la prudence diplomatique habituelle pour pointer du doigt deux acteurs majeurs du marché — un signal qui doit être lu pour ce qu'il est : une mise en garde franche, pas une posture conjoncturelle. Pour autant, la solution n'est pas l'interdiction généralisée. Les agents IA bien gouvernés apportent une vraie valeur, et les écarter purement et simplement est un pari de court terme. Le bon réflexe pour les DPO et RSSI : transformer cette alerte en cadre interne — sandbox, listes blanches, validation humaine, formation — et documenter cette gouvernance dans l'AIPD avant tout passage en production. C'est exactement ce que demande, en creux, l'article 25 du RGPD.

Sources : Silicon.fr — L'ANSSI alerte à son tour sur les dangers d'OpenClaw… et de Claude Cowork (24 avril 2026) · Bulletin CERT-FR CERTFR-2026-ACT-016

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026