Retour au blog
AI Automation2026-03-2714 min read

Le déficit de responsabilité des AI agents : 74 % des travailleurs du savoir utilisent l'IA, mais personne n'en est responsable

Voici la question à laquelle personne dans votre organisation ne peut répondre : quel agent IA a accédé à quelles données, quand, et sous l'autorité de qui ?

Aujourd'hui — 26 mars 2026 — Fortune a publié une étude réalisée avec Accenture et Wharton qui met en lumière l'ampleur du problème. Près de 74 % des travailleurs du savoir utilisent désormais l'IA. Non pas de manière sanctionnée et gouvernée. Mais dans l'ombre : apportez-votre-propre-IA, déployé par les unités métier, sans approbation informatique, sans examen de sécurité, sans aucune discussion sur ce qui se passe quand ça tourne mal.

Parallèlement, à la RSAC 2026 à San Francisco cette semaine, CSA et Aembit ont publié des données d'enquête auprès de 228 professionnels IT et sécurité qui rendent la réalité organisationnelle encore plus nette. Soixante-huit pour cent des organisations ne peuvent pas distinguer clairement l'activité d'un agent IA de l'activité humaine dans leurs propres systèmes. Quatre-vingt-quatre pour cent doutent de pouvoir réussir un audit de conformité axé sur le comportement des agents IA et les contrôles d'accès.

Soixante-quatorze pour cent de vos travailleurs du savoir utilisent l'IA. Soixante-huit pour cent des organisations ne peuvent pas savoir si les actions dans leurs systèmes ont été accomplies par un humain ou un agent IA. Personne n'en est responsable.

Voilà le déficit de responsabilité. Et ce n'est pas un problème technologique. C'est un problème de conception organisationnelle.

Les chiffres du déficit de responsabilité

74 % des travailleurs du savoir utilisent l'IA — dont la plupart sans gouvernance

Le rapport Accenture et Wharton Global Products, publié aujourd'hui dans Fortune, est le point d'ancrage de cette section. James Crowley, co-auteur : « L'intelligence peut être scalable, mais pas la responsabilité. » Cette phrase est la thèse.

La portée : 120 millions de travailleurs dans 18 secteurs d'activité. Plus de 50 % des heures de travail dans l'économie américaine sont en jeu — susceptibles d'être remodelées par des agents IA. Banque et marchés des capitaux : plus de 45 % des heures impactées par les agents numériques seuls. D'ici 2028, environ une application d'entreprise sur trois devrait intégrer des capacités agentiques.

La réponse de gouvernance à ce déploiement n'a pas kept pace. La majorité des travailleurs du savoir utilisant l'IA le font via des outils non sanctionnés. Les unités métier adoptent l'IA plus vite que l'IT ne peut l'évaluer. Les équipes sécurité n'ont aucune visibilité sur les agents en cours d'exécution, ce qu'ils accèdent, ou quelles décisions ils prennent.

85 % ont des agents en production. 68 % ne peuvent pas dire si c'est humain ou IA.

L'enquête CSA/Aembit, publiée le 24 mars à la RSAC 2026 et couverte par Help Net Security le 26 mars, est le pendant opérationnel des données Fortune.

Quatre-vingt-cinq pour cent des organisations ont des agents IA fonctionnels en environnement de production. Ce chiffre est cohérent avec la结论 de Accenture+Wharton — les agents sont déployés, opérationnels, ils prennent des décisions.

Mais 68 % ne peuvent pas distinguer clairement entre une activité initiée par un humain et une activité initiée par un agent IA dans leurs propres systèmes. Ce n'est pas un écart mineur. C'est un problème fondamental d'identité. Si vous ne pouvez pas distinguer ce qu'un humain a fait de ce qu'un agent a fait, vous ne pouvez pas imputer d'actions, appliquer la responsabilité, ni enquêter sur des incidents.

La donnée aggravante : 73 % s'attendent à ce que les agents IA deviennent vitaux pour leurs organisations dans l'année à venir. Le rythme de déploiement s'accélère. L'écart de gouvernance s'élargit avec.

91 % utilisent des agents. 10 % ont une gouvernance efficace.

Le webinaire conjoint Okta et Accenture, du 23 janvier 2026, nous a donné le contraste d'efficacité de gouvernance : 91 % des organisations utilisent déjà des agents IA. Seulement 10 % estiment avoir une stratégie efficace de gouvernance des agents IA.

Dix pour cent. C'est le chiffre qui devrait tenir éveillé chaque RSSI cette nuit. Presque toutes les entreprises font tourner des agents IA. Presque aucune n'a de gouvernance qui fonctionne.

Greg Callegari d'Accenture a posé le diagnostic clairement lors de ce webinaire : « Les agents agissent comme des employés, ils effectuent des tâches que les humains feraient. Donc la façon de les sécuriser, c'est de les gérer comme des identités. » Les organisations qui n'ont pas accepté ce principe sont celles qui fonctionnent à 10 % d'efficacité de gouvernance.

Pourquoi personne n'est responsable de la responsabilité des agents IA

Le déficit de responsabilité n'est pas accidentel. Il est structurel. Les données CSA rendent visible la fragmentation de la propriété en chiffres : la responsabilité de la gouvernance des agents IA est dispersée entre quatre composantes, aucune n'en faisant un mandat principal.

Les équipes sécurité : 28 %. Développement et ingénierie : 21 %. IT : 19 %. Équipes IAM : 9 %.

Neuf pour cent. L'équipe la plus qualifiée pour gérer la gouvernance des identités non-humaines — IAM — dirige la gouvernance des agents IA dans seulement 9 % des organisations. Tout le monde improvise.

Kevin Werbach, du Wharton Accountable AI Lab, a décrit la dynamique organisationnelle qui crée ce vide : « Mon responsable de programme métier crée des agents et les lance là-dehors. » Le processus traditionnel de révision de release IT ne peut pas suivre le rythme auquel les agents sont construits en interne. Quand une révision de gouvernance est planifiée, l'agent tourne en production depuis six semaines.

Le résultat : une responsabilité qui est la responsabilité de tous et le travail de personne. La sécurité pense que IAM en est responsable. IAM pense que la sécurité en est responsable. Le développement en a built certains. Les unités métier en ont built d'autres. Personne n'a convoqué de réunion pour décider qui était responsable de ce qui se passerait si l'agent faisait quelque chose d'inattendu.

L'écart d'authentification

La dimension technique du problème de responsabilité est tout aussi nette.

D'après la recherche Strata Identity et CSA, publiée le 5 février 2026 : 44 % des organisations utilisent des clés API statiques pour authentifier les agents IA. Quarante-trois pour cent utilisent des combinaisons nom d'utilisateur et mot de passe. Ce ne sont pas des systèmes legacy. Ce sont des agents IA en production, fonctionnant de manière autonome, utilisant le même modèle d'identification que la connexion d'un employé humain.

Les clés API statiques n'expirent pas automatiquement. Les identifiants nom d'utilisateur et mot de passe ne sont pas liés à l'identité d'un agent spécifique. Quand un agent est compromis, ces identifiants restent actifs jusqu'à ce que quelqu'un les révoque manuellement. Eric Olden, PDG de Strata Identity : « Les identifiants statiques, le provisioning manuel et les politiques en silos ne peuvent pas suivre le rythme et l'autonomie des systèmes agentiques. »

Trente et un pour cent des organisations permettent aux agents IA de fonctionner sous des identités d'utilisateurs humains. Cela signifie que l'agent utilise les mêmes identifiants qu'un employé spécifique — pas une identité de service, pas une identité d'agent, mais la connexion réelle d'un humain. Quand quelque chose tourne mal, le journal d'audit affiche un nom humain. L'humain était en réunion à ce moment-là.

Les implications sécurité — Quand les agents déraillent

Le déficit de responsabilité n'est pas seulement un problème de conformité. C'est une surface d'attaque.

Les données CSA/Aembit : 74 % des organisations signalent que les agents IA reçoivent souvent plus d'accès que nécessaire pour leur tâche spécifique. Soixante-dix-neuf pour cent disent que les agents créent de nouveaux chemins d'accès difficiles à surveiller. Ce ne sont pas des cas isolés. C'est la norme opérationnelle.

Un agent IA avec des permissions trop larges, fonctionnant de manière autonome sur plusieurs systèmes, c'est la définition même d'une surface d'attaque élargie. Ce n'est pas un insider malveillant. Ce n'est pas un attaquant externe. C'est un système autonome faisant exactement ce pour quoi il a été conçu — avec un accès que personne n'a correctement défini.

Le risque de manipulation de prompts aggrave encore cela. Quatre-vingt-un pour cent des organisations sont d'accord : la manipulation de prompts pourrait inciter un agent IA à révéler des identifiants ou jetons sensibles. L'agent utilise de vrais identifiants via un vrai chemin d'accès. Aucun malware n'a été placé. Aucun code d'exploitation n'a été utilisé. L'agent a été manipulé pour agir contre les intérêts de l'organisation via la même interface qu'il est censé utiliser.

Arize a publié « 100 AI Agents Per Employee » le 21 mars 2026. La prédiction de Jensen Huang : environ 100 agents IA par employé dans les grandes entreprises dans quelques années. L'estimation de McKinsey pour l'état actuel : 25 000 agents travaillant aux côtés de 60 000 humains dans une grande entreprise typique. Appliquez ce calcul à votre organisation. Chaque agent a un certain niveau d'accès système. La plupart en ont plus qu'ils n'en ont besoin. La plupart ne sont pas surveillés. La plupart fonctionnent avec des identifiants que personne n'a définis.

Ce n'est pas une posture de sécurité. C'est une surface d'attaque en attente d'un déclencheur.

La solution de gouvernance — Traiter les agents IA comme des employés

Le cadre de Greg Callegari issu du webinaire Okta est le principe de gouvernance le plus actionnable que j'ai vu formulé pour les agents IA : « Les agents ont besoin de leur propre identité. Une fois que vous l'avez accepté, tout le reste en découle — contrôle d'accès, gouvernance, audit et conformité. »

Traitez les agents IA comme des employés. Pas métaphoriquement. Opérationnellement.

Aucune organisation n'embaucherait un employé, ne lui donnerait les identifiants admin sur chaque système, et espérerait que tout se passe bien. Elle définirait un rôle. Appliquerait le moindre privilège. Surveillerait l'activité. Établirait qui est responsable quand quelque chose tourne mal.

Les agents IA ont exactement besoin du même traitement. Voici à quoi cela ressemble en pratique.

Étape 1 : Donner à chaque agent sa propre identité formelle

Pas un compte de service partagé. Pas la connexion d'un employé humain. Une identité distincte et attribuable — avec ses propres identifiants, sa propre portée d'accès, et sa propre chaîne de propriété.

C'est le fondement. Chaque autre étape de gouvernance en dépend. Sans identité au niveau de l'agent, vous ne pouvez pas imputer d'actions, appliquer de contrôles d'accès, ni mener des enquêtes d'incident significatives.

Étape 2 : Définir les accès comme vous le faites pour un nouvel employé

Définissez exactement à quoi chaque agent doit avoir accès, pour exactement quelles tâches. Les agents doivent fonctionner sur un accès au moindre privilège — exactement ce que leur fonction requiert, rien de plus.

Les données CSA — 74 % des agents reçoivent plus d'accès que nécessaire — reflètent le comportement par défaut actuel : les agents reçoivent un accès large parce que c'est plus facile à configurer. C'est le même raisonnement qui a créé le problème des permissions excessives pour les employés humains dans les années 1990. Nous l'avons résolu à l'époque avec le contrôle d'accès basé sur les rôles. Nous devons le résoudre maintenant pour les agents IA.

Étape 3 : Définir la gestion du cycle de vie des agents

Les agents ont des dates de début. Les agents ont des périodes de révision. Les agents ont des dates de fin.

Quand la tâche assignée à un agent IA est terminée, son accès doit être révisé et, le cas échéant, révoqué. Quand un agent est decommissionné, son identité doit être formellement retirée — identique à lorsqu'un employé part.

La plupart des organisations n'ont aucun processus de cycle de vie pour les agents. La plupart des agents tournent jusqu'à ce que quelque chose se rompe ou que personne ne se souvienne qu'ils existent. Les agents qui continuent à tourner indéfiniment avec des identifiants actifs sont ceux qui deviennent des incidents de sécurité.

Étape 4 : Surveillance continue et imputation

Le comportement des agents doit être consigné, imputé à une identité d'agent spécifique, et surveillé en continu — pas révisé après un incident, mais suivi en temps réel comme pratique opérationnelle standard.

C'est là que les 68 % — organisations qui ne peuvent pas distinguer l'activité des agents de l'activité humaine — doivent commencer. Vous ne pouvez pas surveiller ce que vous ne pouvez pas distinguer. Construisez d'abord l'infrastructure d'imputation.

Étape 5 : Assigner un propriétaire unique avec pleine responsabilité

La fragmentation de la propriété — sécurité 28 %, dev/eng 21 %, IT 19 %, IAM 9 % — est la raison structurelle de l'échec de la gouvernance. Une gouvernance sans propriétaire nommé est une gouvernance sans application.

Une équipe doit posséder la gouvernance des agents IA. Pour la plupart des organisations, c'est IAM — l'équipe déjà responsable de la gestion des identités non-humaines. Pour d'autres, ce pourrait être la sécurité. L'équipe spécifique compte moins que le principe : un propriétaire, avec responsabilité explicite, avec autorité pour appliquer les politiques.

L'auto-évaluation de la responsabilité — 8 questions auxquelles chaque exécutif devrait pouvoir répondre

Utilisez ces huit questions pour évaluer où en est votre organisation. Un « non » ou « je ne sais pas » sur la plupart d'entre elles est un diagnostic, pas un verdict.

1. Quel pourcentage des agents IA tournant dans votre environnement de production a fait l'objet d'une révision formelle IT et sécurité avant le déploiement ?

Si la réponse est « la plupart d'entre eux » ou « je ne sais pas », vous avez un problème de gouvernance. Les données Accenture+Wharton suggèrent que c'est plutôt le latter.

2. Pouvez-vous distinguer, en temps réel, quelles actions dans vos systèmes ont été accomplies par un humain versus un agent IA ?

Si non, vous ne pouvez pas imputer d'actions, enquêter sur des incidents, ni mener des audits de conformité. Les 68 % qui ne peuvent pas distinguer constituent votre groupe de pairs.

3. Qui possède la gouvernance des agents IA dans votre organisation ?

Si la réponse implique le mot « nous » — comme dans « nous le faisons tous » — personne ne le possède. La propriété exige un nom unique.

4. Quel pourcentage de vos agents IA fonctionnent sous leur propre identité formelle versus un compte de service partagé ou les identifiants d'un employé humain ?

Si la plupart des agents utilisent des identifiants partagés, vous ne pouvez pas imputer d'actions à des agents spécifiques. Vous ne pouvez pas révoquer un identifiant partagé sans affecter chaque agent qui l'utilise.

5. Pourriez-vous réussir un audit de conformité axé spécifiquement sur le comportement des agents IA et les contrôles d'accès ?

Les données CSA : 84 % des organisations doutent de pouvoir le faire. Si votre réponse est autre chose que « oui », l'écart est votre exposition.

6. Vos agents IA ont-ils des portées d'accès définies — ou ont-ils plus d'accès que leurs tâches spécifiques requièrent ?

Si les agents ont un accès blanket aux systèmes plutôt qu'un accès spécifique aux tâches, vous avez le problème des 74 % — des permissions excessives qui créent une surface d'attaque inutile.

7. Que se passe-t-il pour l'accès d'un agent IA une fois sa tâche terminée ?

Si la réponse est « il continue de tourner », vous avez des agents avec des identifiants actifs et aucun état final défini. C'est le problème du cycle de vie.

8. Avez-vous un plan de réponse aux incidents spécifiquement pour un agent IA compromis ?

Si la réponse est « nous le gérerions comme n'importe quel autre incident de sécurité », vous n'avez pas de plan spécifique à l'IA. Un agent compromis fonctionne différemment que des identifiants humains compromis — votre réponse devrait le refléter.

En conclusion

Le déficit de responsabilité n'est pas un écart technologique. C'est un écart de conception organisationnelle.

Soixante-quatorze pour cent des travailleurs du savoir utilisent l'IA. Soixante-huit pour cent des organisations ne peuvent pas savoir si les actions dans leurs propres systèmes ont été accomplies par un humain ou un agent IA. Quatre-vingt-quatre pour cent doutent de pouvoir réussir un audit de conformité. Dix pour cent estiment avoir une gouvernance efficace.

Ces chiffres ne sont pas abstraits. Ils décrivent la posture réelle de votre organisation en ce moment.

La solution n'est pas un nouveau document de politique. C'est une décision organisationnelle : traiter les agents IA comme des employés, avec des identités formelles, des accès définis, une gestion du cycle de vie, et une responsabilité attribuée. Le cadre Callegari fonctionne. Les organisations qui l'ont implémenté sont les 10 % qui estiment que leur gouvernance est efficace.

Tout le reste compte sur le bon comportement des agents. Ce n'est pas une stratégie de gouvernance. C'est une responsabilité.

Votre entreprise est-elle prête pour l'ère de la responsabilité des agents IA ? Parlez à Agencie pour une évaluation de gouvernance des agents IA — incluant une analyse du déficit de responsabilité, la conception d'un cadre d'identité, et une feuille de route pour traiter les agents comme des employés →

Ready to let AI handle your busywork?

Book a free 20-minute assessment. We'll review your workflows, identify automation opportunities, and show you exactly how your AI corps would work.

Book Free AssessmentView pricing

From $199/month ongoing, cancel anytime. Initial setup is quoted based on your requirements.