La plateforme d’automatisation UiPath vient d’obtenir la certification AIUC-1, devenant la première solution d’automatisation à satisfaire cette norme de vérification pour le déploiement sécurisé des agents d’IA. Élaborée par l’Artificial Intelligence Underwriting Company avec des experts en sécurité, en gestion des risques et en droit, AIUC-1 repose sur plus de 2 000 évaluations techniques et un audit des politiques d’IA.
L’IA agentique a changé d’échelle dans les organisations. Les agents s’intègrent dans des chaînes de traitement critiques, accèdent à des données sensibles et prennent des décisions sans supervision humaine directe. Cette évolution oblige les responsables de la sécurité des systèmes d’information à poser une question que les cadres de gouvernance généralistes ne permettaient pas encore de trancher avec précision. Comment vérifier, de manière indépendante et reproductible, que des agents d’IA se comportent correctement sous pression, dans des environnements de production ?
C’est précisément le périmètre que couvre la certification AIUC-1. Contrairement aux référentiels de gouvernance IA à vocation large, cette norme est relative au comportement des agents, évalué selon des critères précis répartis en quatre domaines, à savoir la protection des données, les limites opérationnelles, la résistance aux attaques et la prévention des erreurs. L’audit a été conduit par Schellman, premier organisme de certification ISO 42001 accrédité par l’ANAB au niveau mondial.
Plus de 2 000 scénarios de risques testés
Le périmètre soumis à évaluation englobe trois composantes de la suite UiPath, à savoir Intelligent Extraction Processing (IXP), Agents et Autopilot. L’ensemble a été exposé à plus de 2 000 scénarios de risques par des évaluateurs tiers indépendants. La certification intègre par ailleurs un mécanisme de réévaluation trimestrielle, garantissant que les mesures de protection évoluent à mesure que les capacités de l’IA et que les vecteurs d’attaque se transforment.
Scott Roberts, Chief Information Security Officer de UiPath, identifie la confiance comme le déterminant principal du déploiement à l’échelle. Selon lui, les agents d’IA sont désormais utilisés pour des flux de travail sensibles traversant l’ensemble de l’organisation, et la certification AIUC-1 apporte à ses clients une validation indépendante que ces agents sont conçus pour protéger leurs données, rester dans les limites approuvées et résister aux attaques sophistiquées. Cette formulation traduit un changement de registre dans la communication de l’éditeur, la sécurité n’étant plus présentée comme une caractéristique du produit, mais comme une condition de l’adoption.
Rajiv Dattani, cofondateur de l’AIUC, précise que l’obtention de cette certification impliquait de soumettre la suite d’IA agentique de UiPath à plus de 2 000 évaluations techniques et à un audit complet des politiques d’IA et des garde-fous techniques. Il y lit une démonstration de l’engagement de l’éditeur en faveur d’un déploiement responsable dans les environnements d’entreprise, une formulation qui pèse son poids dans un marché où les déclarations d’intention sur la sécurité des agents restent largement non étayées.
Une norme construite avec Stanford, le MIT et la Cloud Security Alliance
La norme AIUC-1 a été élaborée par l’Artificial Intelligence Underwriting Company, fondée par des experts issus notamment d’Anthropic, en partenariat avec le cabinet Orrick, Stanford, le MIT, la Cloud Security Alliance et MITRE. Ce positionnement académique et institutionnel lui confère une légitimité que n’ont pas les certifications produites en interne par des acteurs de l’industrie. L’ambition affichée est de constituer une infrastructure de confiance pour l’adoption sécurisée de l’IA, articulée autour de trois piliers que sont la certification, l’audit et l’assurance, conçus spécifiquement pour les agents d’IA.
Pour les équipes de sécurité et de conformité, la distinction avec les cadres généraux est à prendre en compte. Un référentiel comme l’ISO 42001 couvre la gestion des systèmes d’IA dans sa globalité, là où l’AIUC-1 descend au niveau du comportement de l’agent dans des conditions dégradées, sous attaque ou lors du traitement de données confidentielles. Les deux certifications se complètent et UiPath détient désormais les deux, mais elles ne répondent pas aux mêmes questions de vérification.
Démythifier l’automatisation agentique
UiPath occupe pour l’instant la position du premier certifié, mais la logique même de l’AIUC-1 suggère que cette solitude sera temporaire. La certification a précisément été conçue pour devenir un standard ouvert, applicable à l’ensemble des plateformes d’automatisation agentique, et non un avantage concurrentiel réservé à son premier lauréat. Son objectif affiché est de démythifier les craintes que les entreprises projettent sur les agents d’IA en production, en substituant à des engagements contractuels une vérification technique indépendante et reproductible. Pour les organisations européennes, ce premier pas reste cependant insuffisant en l’état.
L’AIUC-1 n’a pas été construite dans le cadre réglementaire de l’AI Act, elle ne couvre pas les exigences de transparence algorithmique ni les obligations de traçabilité imposées aux systèmes d’IA à haut risque, et elle ne répond pas aux questions de localisation des données qui conditionnent la conformité en Europe. Elle constitue un socle de confiance technique solide, mais les DSI et les RSSI opérant sous droit européen devront la combiner avec d’autres cadres pour satisfaire l’ensemble de leurs obligations.
