Beaucoup d’analyses ont évoqué ces derniers mois les risques liés à l’IA agentique en cybersécurité. PwC propose une lecture différente. Plutôt que de rester sur une approche technologique classique, le cabinet replace cette transformation dans une réflexion sur la gouvernance, l’organisation, la responsabilité et la façon dont les équipes sécurité devront travailler demain avec des agents capables d’initiatives autonomes.
Depuis un an, la littérature professionnelle sur les risques de l’IA agentique s’est surtout attachée aux capacités techniques des agents et aux dérives possibles. Agents capables de contourner des contrôles, d’étendre la surface d’attaque, de mener des actions non supervisées. Dans une publication intitulée « Acteurs du changement : l’essor de l’intelligence artificielle agentique dans la cybersécurité », PwC change le cadre d’analyse. Le cabinet ne demande pas uniquement ce que les agents peuvent faire. Il demande ce que leur présence change dans la conduite de la cybersécurité, dans la manière de décider, de superviser et d’assumer les choix opérationnels.
Cette approche place l’IA agentique au cœur d’une transformation organisationnelle fondamentale. Les RSSI et les équipes de sécurité ne pilotent plus seulement des outils. Ils doivent désormais cohabiter avec des entités numériques investies de capacités d’action dans certaines situations. Le cabinet d’étude explique que cela impose une reconfiguration des processus internes, des chaînes de décision et des responsabilités. La cybersécurité cesse d’être uniquement un domaine de maîtrise technique. Elle devient un domaine où l’on doit gouverner des systèmes capables d’initiatives.
Dans ce cadre, PwC souligne que cette évolution transforme profondément la fonction sécurité. Elle oblige à définir des règles d’encadrement précises pour ce qui n’est pas explicitement programmé. Elle oblige aussi à clarifier les mécanismes de supervision humaine, les modèles d’escalade et la responsabilité en cas de décision prise par un agent autonome. C’est ce déplacement conceptuel qui constitue l’apport original du document PwC.
Nouvelle menace interne et nouvelle ressource défensive
Pwc décrit une dualité centrale. Les agents autonomes deviennent d’abord une nouvelle forme de menace interne. Leur accès étendu aux systèmes critiques et leur capacité d’action rapide créent un risque inédit. Un agent mal configuré, détourné ou compromis peut agir avec une efficacité et une vitesse difficiles à égaler humainement. La menace interne n’est plus seulement humaine. Elle devient également algorithmique. Cette réalité impose une vigilance renforcée, structurée et permanente.
La même technologie représente cependant un levier défensif puissant. PwC insiste sur la capacité des agents bien encadrés à renforcer les défenses. Surveillance continue, détection avancée, adaptation dynamique, réaction en temps proche du temps réel. L’IA agentique introduit une cybersécurité plus fluide et plus réactive, capable de réduire les délais entre détection et remédiation. À condition que cette puissance soit gouvernée et surveillée avec rigueur.
Gouvernance et responsabilité au cœur du changement
C’est sur ce point que PwC apporte sa contribution la plus originale. L’enjeu ne se limite plus à la performance technologique. L’enjeu devient la gouvernance. Qui est responsable lorsqu’un agent autonome prend une décision opérationnelle majeure. Comment superviser un système capable de comportements partiellement imprévus. Comment formaliser des mécanismes fiables d’arrêt, de contrôle et d’audit dans un environnement où la vitesse d’exécution dépasse largement les processus humains traditionnels.
Pwc explique que les directions cybersécurité doivent adopter une posture nouvelle. Elles doivent assumer un rôle plus politique et plus organisationnel. Il ne s’agit plus seulement de déployer des solutions techniques. Il s’agit de diriger un système où humains et agents numériques partagent l’action. Cela impose des cadres de leadership explicites, une responsabilité clairement attribuée, et des dispositifs d’audit conçus spécifiquement pour analyser les comportements des agents.
Comportements imprévus et coordination entre agents
Autre apport notable, PwC ne se limite pas à l’analyse de l’agent isolé. Le cabinet souligne les risques des environnements multi-agents. Lorsque plusieurs agents coopèrent, leurs interactions peuvent générer des comportements émergents imprévus. Ces enchaînements peuvent affecter des systèmes critiques si aucune supervision cohérente n’est mise en place. PwC explique que gouverner l’IA agentique signifie gouverner un écosystème. Pas une simple addition d’outils.
Ce point reste encore peu développé dans la majorité des analyses actuelles. PwC lui donne au contraire une importance stratégique. L’entreprise ne doit pas seulement contrôler chaque agent. Elle doit contrôler la dynamique collective des agents que ses équipes déploient. Cela implique de nouvelles méthodes d’audit, de vérification comportementale et de cohérence opérationnelle.
L’IA agentique du côté des attaquants
Pwc rappelle également que cette transformation ne concerne pas uniquement les défenseurs. Les cybercriminels utilisent les mêmes mécanismes. Agents offensifs automatisés, reconnaissance intelligente, propagation adaptative de maliciels, industrialisation des campagnes d’attaque. L’IA agentique devient un multiplicateur de puissances offensives. Le niveau de pression opérationnelle augmente mécaniquement pour les organisations.
Dans cette configuration, PwC explique que les entreprises doivent renforcer la maîtrise de leurs propres agents défensifs. Gestion stricte des privilèges, cloisonnement fonctionnel, supervision spécifique et capacité d’intervention rapide deviennent indispensables. L’agent doit être surveillé au même titre que toute entité disposant d’un pouvoir opérationnel.
Une transformation de la fonction sécurité
En conclusion, PwC ne décrit pas seulement une nouvelle génération d’outils cyber. Le cabinet décrit un changement de régime. L’IA agentique impose une évolution profonde de la gouvernance, une clarification des responsabilités, et l’adoption de nouveaux standards d’audit et de supervision. Les organisations capables d’intégrer cette logique pourront en tirer des bénéfices concrets. Détection plus rapide, réaction plus efficace, équipes humaines recentrées sur des tâches d’analyse et de stratégie, résilience globale renforcée.
La question centrale ne concerne donc plus uniquement les capacités techniques des agents IA. Elle concerne la manière dont les entreprises assument, encadrent et gouvernent leur présence au cœur de leurs dispositifs de sécurité. C’est cette mise en perspective organisationnelle et politique qui fait la singularité de l’analyse PwC.
