Les agents IA commencent à s’intégrer aux outils métiers avant que les entreprises n’aient pleinement adapté leur gouvernance des accès. Selon Saviynt, cette avance des usages sur les contrôles crée un défi direct pour les DSI, qui doivent désormais intégrer les identités IA dans leurs politiques de sécurité.
Pour les directions informatiques, l’IA générative a d’abord été un sujet d’usage, de productivité et d’intégration applicative. Avec les agents IA, elle devient aussi un sujet d’architecture et de gouvernance. Ces systèmes ne se contentent plus d’assister les collaborateurs : ils peuvent accéder à des applications critiques, manipuler des données et exécuter des actions dans les environnements métiers. Le rapport 2026 CISO AI Risk Report de Saviynt illustre ce changement de nature. 86 % des organisations ne disposent pas de politiques d’accès complètes et effectivement appliquées aux identités IA. Ce chiffre montre que de nombreuses entreprises déploient ou laissent se déployer des agents sans cadre suffisamment robuste pour définir leurs droits, suivre leurs actions et limiter leur périmètre d’intervention.
Le défi est d’autant plus important que les agents IA peuvent s’intégrer à des outils déjà centraux dans le quotidien des métiers. Salesforce, SAP, applications internes, plateformes collaboratives ou outils de support peuvent devenir des points d’exécution pour des agents capables d’automatiser des tâches. Pour les DSI, cela signifie que la gouvernance de l’IA ne peut pas rester séparée de la gouvernance du système d’information. La visibilité reste le premier obstacle. 92 % des organisations indiquent ne pas avoir une vue complète sur leurs identités IA. Sans inventaire fiable, il devient difficile de savoir quels agents existent, quels accès leur ont été accordés, s’ils sont encore utilisés et s’ils respectent le principe du moindre privilège. Le risque est alors de voir se multiplier des droits dormants, des usages non documentés ou des accès trop larges.
Saviynt insiste sur la nécessité d’adapter les pratiques IAM à cette nouvelle réalité. Les entreprises doivent inventorier les agents et applications d’IA, cartographier les accès associés, surveiller les activités en continu et automatiser la suppression des droits inutilisés. Cette approche permet de rapprocher les agents IA des autres identités déjà gouvernées dans l’entreprise.
Pour les DSI, l’enjeu sera de trouver le bon équilibre. Bloquer les agents IA freinerait l’innovation et les gains attendus par les métiers. Les laisser se développer sans gouvernance créerait un risque difficile à maîtriser. La prochaine étape consiste donc à intégrer les agents IA dans un cadre de contrôle clair, capable de soutenir leur adoption tout en préservant la sécurité des systèmes critiques.



