Blog

LLM06 : votre agent IA agit-il vraiment à vos ordres ?.

Article

Publié le, 03 juillet 2026 par Core Security
LLM06 : votre agent IA agit-il vraiment à vos ordres ?

Description

LLM06 – Excessive Agency : votre IA peut supprimer des données, envoyer des emails ou modifier vos systèmes sans que vous l'ayez demandé. Guide PME.

⏱ Temps de lecture estimé : ~13 minutes

📑 Sommaire

LLM06:2025 Excessive Agency : votre agent IA agit-il vraiment sous vos ordres ?

Imaginez la scène. Votre assistante de direction vous appelle, inquiète : "Tu savais que le chatbot a envoyé des emails à toute notre liste clients ?" Non. Vous ne le saviez pas. Personne n'avait donné l'ordre. L'IA a simplement… décidé.

Ce scénario n'est pas de la science-fiction. C'est exactement ce que documente la 6e vulnérabilité du classement OWASP des risques IA : LLM06:2025 Excessive Agency, ou "autonomie excessive". Un agent IA qui dispose de trop de fonctions, de trop de droits ou de trop peu de supervision humaine peut déclencher des actions aux conséquences graves — suppression de fichiers, envois d'emails, modifications de bases de données — sans qu'aucun humain n'ait appuyé sur "valider".

Cet article fait partie de notre série sur le Top 10 OWASP des risques IA 2025. Après LLM01 – Prompt Injection, LLM02 – Fuite de données, LLM03 – Supply Chain, LLM04 – Data Poisoning et LLM05 – Improper Output Handling, voici LLM06.

Ce qu'est l'Excessive Agency — en une minute chrono

Qu'est-ce que la vulnérabilité LLM06 : Excessive Agency ?
C'est une faille de conception dans laquelle un agent IA se voit accorder des capacités, des droits ou une liberté d'action supérieurs à ce que sa mission réelle requiert. En cas de dysfonctionnement — hallucination, prompt injection ou bug — cet excès d'autonomie se transforme en dégâts réels : actions non souhaitées exécutées sans frein et sans supervision humaine.

L'OWASP identifie trois causes racines distinctes. Chacune peut exister seule ou se combiner avec les autres pour amplifier le risque. Ce sont elles qui structurent cet article.


Racine n°1 — Trop de fonctions : l'IA qui peut tout faire… même ce qu'elle ne devrait pas

Vous intégrez un assistant IA pour résumer vos emails entrants. Simple, utile. Mais le connecteur choisi par votre prestataire permet aussi de répondre aux emails et de supprimer des messages. Ces fonctions sont là, disponibles, activées. Votre assistant ne les utilisera peut-être jamais. Jusqu'au jour où il le fera.

C'est la première racine du problème : l'excès de fonctionnalités. L'agent IA dispose de capacités que son rôle ne justifie pas. En pratique, cela arrive pour trois raisons :

  • Le connecteur ou plugin utilisé est conçu pour un usage large, et son périmètre n'a jamais été restreint,
  • Un outil a été testé pendant une phase pilote avec des droits étendus, et ces droits n'ont jamais été réduits en production,
  • La même intégration sert plusieurs usages, et les fonctions "bonus" ont été laissées activées par commodité.

Ce que cela signifie pour vous : chaque fonction disponible pour votre IA est une surface d'exposition. Un attaquant qui prend le contrôle de votre agent — via une injection de prompt ou une compromission de plugin — n'utilisera pas seulement les fonctions prévues. Il utilisera toutes celles accessibles.


Racine n°2 — Trop de droits : l'IA qui accède à tout… même aux données des autres

Votre agent IA se connecte à votre base de données clients pour répondre aux demandes de support. Il n'a besoin que de lire les dossiers. Mais son compte technique dispose des droits de lecture, d'écriture et de suppression — parce que c'était plus simple à configurer ainsi.

C'est la deuxième racine : l'excès de permissions. L'agent IA détient des droits d'accès plus larges que ce que sa fonction réclame. Cette erreur est extrêmement fréquente dans les PME, où la gestion des droits est souvent perçue comme une contrainte technique secondaire.

Deux cas particulièrement critiques :

  • L'agent personnel avec droits globaux : un assistant conçu pour aider un collaborateur spécifique se connecte avec un compte administrateur qui accède aux données de toute l'entreprise. Si ce collaborateur est ciblé, c'est l'ensemble de l'organisation qui est exposée,
  • L'agent en lecture-seule… qui peut aussi écrire : un outil de recommandation produit qui interroge votre catalogue a, par inadvertance, la capacité de modifier les prix ou le stock.

Le principe du moindre privilège n'est pas un concept abstrait. C'est le garde-fou le plus direct contre cette racine du problème. Chaque compte utilisé par une IA doit disposer exactement et seulement des droits nécessaires à sa mission — ni plus, ni moins.


Racine n°3 — Trop d'autonomie : l'IA qui agit sans demander la permission

Qu'est-ce que l'autonomie excessive d'un agent IA ?
C'est la situation dans laquelle un agent IA exécute des actions à fort impact — supprimer, envoyer, modifier — sans solliciter de validation humaine préalable. Même s'il dispose des bonnes fonctions et des bons droits, l'absence de point de contrôle suffit à transformer une erreur ou une attaque en dégât irréversible.

C'est la racine la plus insidieuse. L'agent a les bonnes fonctions. Il a les bons droits. Mais il prend des décisions et les exécute seul, sans validation humaine préalable — parce que personne n'a prévu de point de contrôle.

Un exemple documenté par l'OWASP : un assistant IA de gestion de boîte mail est capable de supprimer des messages. Il dispose des droits nécessaires pour cela. Mais il le fait sans demander confirmation. Un attaquant qui manipule cet agent via un email piégé peut déclencher la suppression de correspondances critiques — contrats, preuves de facturation, communications légales — en quelques secondes.

Ce que cela signifie pour vous : l'automatisation n'est pas le problème. Le problème, c'est l'automatisation sans filet. Un agent IA peut être rapide, efficace, disponible 24h/24 — à condition qu'un humain reste dans la boucle pour valider les actions à fort impact. Cette exigence est au cœur de la défense en profondeur appliquée à l'IA : aucune couche ne doit être seule garante d'une décision critique.


Diagnostic — Votre agent IA a-t-il trop de pouvoirs ?

Ces questions ne nécessitent aucune expertise technique. Répondez honnêtement. Si vous répondez "je ne sais pas" à plusieurs d'entre elles, c'est déjà un signal.

  1. Avez-vous une liste précise des fonctions que votre IA peut exécuter (envoyer un email, modifier une fiche, supprimer un fichier…) ?
  2. Votre agent IA accède-t-il à votre base de données, votre messagerie ou votre outil de gestion avec un compte dédié à droits restreints, ou avec des identifiants administrateur ?
  3. Savez-vous si votre IA peut prendre des actions irréversibles (suppression, envoi, paiement) sans validation humaine préalable ?
  4. Avez-vous une trace des actions effectuées par votre agent IA (logs), consultable en cas d'incident ?
  5. Votre prestataire a-t-il documenté le périmètre d'action de l'agent IA qu'il a installé pour vous ?
  6. L'agent IA de votre entreprise a-t-il accès à des ressources communes (dossiers partagés, messagerie collective) sans restriction par utilisateur ?
  7. Y a-t-il des outils ou plugins IA installés lors d'une phase test qui sont encore actifs en production ?
  8. En cas d'action anormale de votre IA, qui serait alerté et en combien de temps ?

Trois "non" ou "je ne sais pas" : votre exposition est réelle. Cinq ou plus : le risque LLM06 est actif dans votre organisation.


Ce qu'un attaquant peut faire quand votre IA a trop de latitude

LLM06 devient dangereux en combinaison avec d'autres vecteurs. Les attaques les plus sophistiquées associent une injection de prompt (LLM01) pour prendre le contrôle de l'agent, et l'excès d'autonomie (LLM06) pour déclencher l'action malveillante. Une fois que l'attaquant pilote votre agent, il peut :

Capacité excessive accordée à l'IA Action déclenchée par l'attaquant Impact pour votre PME
Envoi d'emails (alors que l'agent ne devrait que lire) Campagne de phishing envoyée en votre nom à vos clients Réputation détruite, clients floués, responsabilité RGPD
Suppression de fichiers (alors que l'agent ne devrait qu'archiver) Destruction de contrats, devis, preuves comptables Perte de données critiques, litiges, paralysie opérationnelle
Écriture en base de données (alors que l'agent ne devrait que lire) Modification des prix, des stocks ou des coordonnées clients Pertes financières, atteinte à l'intégrité des données
Exécution de scripts système (alors que l'agent ne devrait que rapporter) Installation d'un accès distant sur votre infrastructure Compromission totale du système d'information
Accès aux données de tous les utilisateurs (plutôt qu'un seul) Exfiltration massive de données RH, clients, financières Violation de données, notification CNIL obligatoire

Ces scénarios ne requièrent pas un attaquant d'élite. Ils nécessitent un agent IA mal configuré et une opportunité — un email piégé, un utilisateur victime d'ingénierie sociale, une hallucination de modèle. Ce type de menace est cohérent avec ce que Cybermalveillance.gouv.fr documente comme l'automatisation croissante des attaques ciblant les PME françaises.


La règle d'or : l'humain reste dans la boucle

Qu'est-ce que le principe "human-in-the-loop" appliqué à l'IA ?
C'est l'exigence qu'un humain valide explicitement toute action à fort impact avant qu'elle ne soit exécutée par un agent IA — quelle que soit l'efficacité du modèle. Ce n'est pas un frein à la productivité. C'est un verrou de sécurité.

En pratique, cela se traduit par une règle simple à poser à votre prestataire ou équipe technique : "Pour chaque action que l'IA peut déclencher, est-ce qu'elle le fait automatiquement ou est-ce qu'elle demande une confirmation ?"

La réponse doit dépendre du niveau d'impact de l'action :

  • Faible impact, réversible (lire un email, générer un brouillon, classer un document) → automatisation acceptable,
  • Impact moyen, partiellement réversible (créer un ticket, mettre à jour une fiche contact) → revue périodique recommandée,
  • Fort impact, irréversible (envoyer un email, supprimer un fichier, modifier un enregistrement financier, exécuter un script) → validation humaine obligatoire avant exécution.

Ce cadre rejoint les exigences de la gestion des contrôles d'accès : les droits ne doivent pas être définis une fois pour toutes, mais réévalués en fonction de l'évolution des usages et des risques identifiés.


6 garde-fous à mettre en place dès maintenant

1. Auditez le périmètre réel de vos agents IA

Demandez à votre prestataire ou à votre équipe IT la liste complète des actions que chaque agent IA peut effectuer. Comparez-la aux seules actions vraiment nécessaires. Tout ce qui dépasse doit être désactivé. Un audit de conformité de vos intégrations IA permet de réaliser cet inventaire de façon structurée et documentée.

2. Créez des comptes dédiés à droits minimaux pour chaque agent

Chaque agent IA doit s'authentifier avec un compte technique propre, dont les droits sont définis au strict minimum requis par sa fonction. Jamais de compte administrateur. Jamais de compte partagé avec un humain. Jamais de droits "au cas où".

3. Bloquez l'accès aux ressources non concernées

Si votre agent IA gère les demandes de support client, il n'a aucune raison d'accéder à vos données RH, votre comptabilité ou vos fichiers de direction. Segmentez les accès par mission, pas par commodité technique.

4. Imposez une validation humaine sur toutes les actions irréversibles

Configurez votre application pour qu'elle exige une confirmation explicite avant toute action à fort impact. Ce "circuit-breaker" humain doit être non contournable — même si l'agent est très confiant dans sa décision.

5. Activez les journaux d'activité sur tous vos agents

Chaque action déclenchée par un agent IA doit générer une entrée dans un journal d'activité : qui a demandé quoi, quelle action a été prise, à quelle heure. Ces logs sont votre capacité à détecter une dérive et à reconstruire une chronologie d'incident. Notre service MDR intègre la supervision de ces événements dans la surveillance globale de votre infrastructure.

6. Retirez les plugins et connecteurs non utilisés

Tout plugin IA installé lors d'une phase de test et jamais désinstallé représente une surface d'exposition active. Faites l'inventaire de vos connecteurs et supprimez ceux qui ne sont plus en usage. Ce réflexe rejoint les recommandations de l'ANSSI sur la réduction de la surface d'attaque : ce qui n'est pas utilisé doit être désactivé.


LLM06 face au cadre légal : ce que vous risquez concrètement

RGPD : la responsabilité ne se délègue pas à l'IA

Si un agent IA avec trop d'autonomie déclenche une fuite ou une altération de données personnelles, la responsabilité vous incombe en tant que responsable de traitement. L'argument "c'est l'IA qui l'a fait" ne constitue pas une exonération. La CNIL considère que tout traitement automatisé, y compris par des systèmes d'IA, doit faire l'objet de mesures de supervision et de contrôle proportionnées aux risques encourus.

NIS2 : les agents IA comme composants critiques

Dans le cadre de la transposition française de la directive NIS2, les systèmes automatisés qui interagissent avec votre infrastructure sont considérés comme des composants à risque. Une absence de contrôle des droits et de l'autonomie de vos agents IA constitue une non-conformité susceptible d'être relevée lors d'un contrôle. Les entreprises classées entités essentielles ou importantes devront en démontrer la maîtrise.

EU AI Act : l'autonomie comme critère de classification du risque

Le règlement européen sur l'IA classe les systèmes selon leur niveau d'autonomie et leur impact potentiel. Un agent IA capable de prendre des décisions et d'agir sans supervision humaine dans un contexte professionnel peut être qualifié de système à risque élevé, ce qui implique des obligations de documentation, d'audit et de contrôle renforcés.


À retenir

  • LLM06 survient quand un agent IA dispose de trop de fonctions, de trop de droits ou de trop peu de supervision humaine,
  • Les trois causes racines sont indépendantes mais cumulatives : une seule suffit à créer un risque significatif,
  • Un attaquant qui prend le contrôle d'un agent trop autonome peut déclencher des actions irréversibles : envois d'emails, suppressions de données, modifications de systèmes,
  • Le principe clé est le "human-in-the-loop" : toute action à fort impact doit nécessiter une validation humaine explicite avant exécution,
  • Les PME sont particulièrement exposées du fait de configurations IA réalisées par des prestataires sans audit de sécurité préalable,
  • La réglementation (RGPD, NIS2, EU AI Act) rend cette maîtrise obligatoire — et vous en êtes responsable, pas votre prestataire IA.

Conclusion : l'IA est un collaborateur, pas un décideur

L'intelligence artificielle change profondément la façon de travailler en PME. Elle automatise, accélère, augmente. Mais elle ne doit pas décider. Pas seule. Pas sur des sujets à fort impact. Pas sans que vous ayez, quelque part dans le circuit, la possibilité de dire non.

LLM06 n'est pas un risque théorique pour les géants de la tech. C'est le risque du chatbot de votre site qui peut aussi supprimer des tickets. De l'assistant qui peut aussi vider votre boîte mail. De l'outil de reporting qui peut aussi modifier vos données.

La bonne nouvelle : contrairement à certaines menaces IA complexes à détecter — comme le data poisoning ou les attaques IA génératives avancées — LLM06 se traite principalement par de la configuration et de la gouvernance. Pas de budget exceptionnel. Pas de projet de 6 mois. Juste une décision claire : reprendre le contrôle de ce que votre IA peut faire.

Vous voulez savoir précisément ce que vos agents IA peuvent faire dans votre environnement ? Nos experts sont disponibles pour un premier échange sans engagement.


FAQ - LLM06:2025 Excessive Agency et agents IA en PME

Un chatbot se contente de répondre à des questions. Un agent IA peut prendre des actions dans des systèmes externes : envoyer un email, créer un ticket, modifier une base de données, exécuter un script. C'est cette capacité d'agir — et non seulement de répondre — qui crée le risque LLM06.

Oui, c'est l'un des problèmes les plus critiques. Un compte administrateur donne à l'IA des droits sur l'ensemble de votre système. Si cet agent est compromis ou manipulé, l'attaquant dispose immédiatement d'un accès total à votre infrastructure. Créez toujours un compte technique dédié avec les droits stricts correspondant à la mission de l'agent.

Posez-lui directement ces trois questions : quel compte technique utilise l'agent ? Quelles actions peut-il déclencher sans validation ? Où sont les logs de ses actions ? Si votre prestataire ne peut pas répondre précisément, la configuration n'est pas sécurisée. Un audit tiers indépendant reste la méthode la plus fiable.

Oui, dès lors qu'ils sont connectés à des systèmes actifs via des plugins ou des intégrations. Un assistant Copilot connecté à votre messagerie Microsoft 365 et capable d'envoyer des emails en est un exemple direct. Le risque ne vient pas du modèle lui-même, mais de la façon dont il est connecté à votre environnement.

Oui. Un agent qui hallucine peut déclencher une action erronée de bonne foi : supprimer un fichier qu'il pense obsolète, envoyer une réponse incorrecte à un client, modifier un enregistrement sur la base d'une mauvaise interprétation. LLM06 n'est pas uniquement un risque d'attaque — c'est aussi un risque opérationnel lié aux limites intrinsèques des modèles de langage.

LLM05 (Improper Output Handling) concerne la façon dont votre système traite ce que l'IA comme réponse textuelle. LLM06 concerne les que l'IA peut déclencher directement dans vos systèmes. Les deux risques peuvent se combiner : une sortie malveillante (LLM05) peut déclencher une action non autorisée (LLM06).

Commencez par une question simple à votre prestataire ou DSI : "Quelles actions nos agents IA peuvent-ils exécuter sans que j'aie à valider ?" La réponse — ou l'absence de réponse — vous dira immédiatement si vous êtes exposé. C'est le point de départ d'un diagnostic qui peut être réalisé rapidement et sans investissement lourd.

Description

LLM06 – Excessive Agency : votre IA peut supprimer des données, envoyer des emails ou modifier vos systèmes sans que vous l'ayez demandé. Guide PME.

⏱ Temps de lecture estimé : ~13 minutes