
Derrière les agents conversationnels se déploient des architectures de plus en plus sophistiquées, et de plus en plus exposées. Génération augmentée, agents autonomes, protocole MCP : trois technologies qui transforment l’IA en infrastructure critique — avec, à l’appui, des incidents bien réels.
Point de départ : ce que sait, et ce que peut, un LLM « classique »
Un LLM fonctionne à partir de ce qu'il a appris lors de son entraînement. Il maîtrise une masse de connaissances générales, mais se heurte à deux limites : il ne connaît ni vos documents internes ni vos données récentes, et il ne sait rien faire d'autre que produire du texte. Les trois technologies abordées ici lèvent ces limites. Chacune apporte une capacité nouvelle — et un risque corrélatif.
RAG : donner une mémoire documentaire à l’IA
RAG, pour Retrieval-Augmented Generation (génération augmentée par récupération), consiste à donner au modèle accès à une base documentaire et à lui fournir les passages pertinents au moment de répondre. Un collaborateur pose une question ; le système recherche dans la base de connaissance de l’entreprise les documents utiles, les insère dans le prompt, et le modèle répond en s’appuyant sur ces sources. On obtient un assistant qui « connaît » les données internes sans avoir été entraîné dessus.
Le risque est l’injection indirecte, et il n’a rien de théorique. EchoLeak, la faille zéro clic de Microsoft 365 Copilot divulguée par Aim Security en juin 2025, en est l’archétype : Copilot s'appuie sur une architecture RAG, et un e-mail malveillant — automatiquement intégré au contexte de récupération — suffisait à détourner l'assistant pour exfiltrer des données internes, sans le moindre clic de la victime. Sécuriser un système RAG impose donc de contrôler rigoureusement ce qui entre dans la base, de filtrer sémantiquement les tentatives d’injection, et de journaliser requêtes et documents récupérés.
Les agents autonomes : l’IA qui agit
Un agent n’est plus un simple générateur de texte : il prend des décisions, mobilise des outils, agit. Il peut chercher sur le web, lire et envoyer des e-mails, créer des tickets, exécuter du code, interroger des bases. La promesse est immense ; le risque, à sa mesure. Un agent compromis ne se contente pas d’une mauvaise réponse : il agit. La campagne GTG-1002 dévoilée par Anthropic en novembre 2025 l’a prouvé à grande échelle — des instances de Claude Code orchestrées comme agents autonomes ont conduit l’essentiel d’une opération d’espionnage, l’humain n’intervenant qu’à quelques points de décision.
MCP : le protocole qui standardise l'interconnexion
Le Model Context Protocol (MCP), standard ouvert introduit par Anthropic fin 2024, définit la manière dont les LLM communiquent avec des outils et des données externes. On peut le voir comme un « port universel » pour l’IA. Son adoption a été fulgurante. Mais standardiser les connexions, c’est aussi standardiser les points d’entrée : chaque serveur MCP est une porte potentielle. Fait notable, la campagne GTG-1002 reposait précisément sur un cadre MCP pour enchaîner les agents et les outils d’attaque. Au Pwn2Own Berlin 2026, plusieurs produits d’IA (OpenAI Codex, LiteLLM, LM Studio…) sont tombés là où ils accordaient une confiance inconditionnelle à un outil ou un protocole externe.
Le sujet brûlant : l’IAM des agents
C'est sans doute le chantier le plus pressant, et le moins traité. Un agent qui agit a besoin d'une identité et de droits — et nous reproduisons, à grande vitesse, une erreur que la cybersécurité connaît bien. Souvenons-nous des annuaires Active Directory : pour que « ça fonctionne », on a accordé des droits excessifs, sans appliquer le moindre privilège, parfois parce qu'un éditeur l’exigeait et qu’on lui faisait confiance un peu naïvement. Des années plus tard, plus personne n'ose y toucher, de peur de tout casser. Les agents IA suivent aujourd’hui le même chemin : comptes de service surdimensionnés, autorisations permanentes, portées d’accès jamais revues. La gestion des identités et des accès des agents — ces « identités non humaines » qui se multiplient — doit être pensée dès maintenant, faute de quoi nous léguerons à la prochaine décennie un héritage de privilèges dormants ingérable.
Ce qu'il faut retenir, et ce qu'il faut demander à ses équipes
- Quelles données alimentent ce système, et qui contrôle ce qui entre dans la base de connaissance ?
- Quelles actions cet agent peut-il exécuter ? Quelle identité porte-t-il, et quels droits lui sont attachés ?
- Quels outils externes sont raccordés, via MCP ou autrement, et ces éditeurs tiers ont-ils été audités ?
- Les autorisations de l'agent sont-elles revues périodiquement, ou s'accumulent-elles comme jadis dans l’AD ?
- Existe-t-il une journalisation exhaustive des actions de l’agent, et une supervision humaine des décisions à fort impact ?
En synthèse — RAG, agents et MCP font passer l’IA du statut d’outil de génération de texte à celui d’infrastructure active, connectée à vos données et à vos systèmes. EchoLeak et GTG-1002 ont montré que les attaques ne sont plus hypothétiques. Leur sécurisation — au premier rang de laquelle l’IAM des agents — appelle la rigueur d’une infrastructure critique, et doit être pensée dès la conception.