Résumé
- La pile agentique se compose de trois couches : Le Cerveau (LLM), Les Mains (serveurs MCP) et la Couche d'Action (API).
- Agents IA diffèrent des chatbots car ils ne se contentent pas de parler ; ils exécutent de manière autonome des flux de travail en plusieurs étapes à travers ces couches.
- Risque de sécurité se propage à travers la pile, ce qui signifie qu'un "cerveau sain" peut toujours exécuter des actions malveillantes si les Mains ou la Couche d'Action ne sont pas sécurisées.
- La Couche d'Action est le plan de contrôle principal pour la sécurité, car c'est là que l'intention autonome se transforme en conséquence pour l'entreprise.
Le terme agent IA est dominant dans le discours actuel sur la cybersécurité. Les fournisseurs, les analystes et les RSSI utilisent tous cette appellation, mais une confusion technique persiste quant au fonctionnement réel des agents et à l'emplacement des risques de sécurité. Sous cette familiarité de surface, il y a souvent une confusion significative quant à ce qu'est réellement un agent IA, comment il fonctionne techniquement, et surtout pour les équipes de sécurité, où réside réellement le risque.
Pour prendre des décisions de sécurité éclairées, les organisations doivent regarder au-delà de l'interface et comprendre l'architecture sous-jacente. Ce cadre architectural est connu sous le nom de Pile Agentique. Cet article ne concerne aucun fournisseur ou plateforme en particulier. C'est une tentative de cartographier clairement l'architecture, car on ne peut pas prendre de bonnes décisions de sécurité concernant un système que l'on ne comprend pas entièrement.
Qu'est-ce qu'un agent IA ?
Un agent IA est un système logiciel conçu pour poursuivre des objectifs de manière autonome en raisonnant sur une tâche et en exécutant des actions à l'aide d'outils externes.
À un niveau élevé, nous pouvons décrire un agent IA comme un système capable de raisonner sur son environnement pour poursuivre de manière autonome un objectif en sélectionnant des actions et en les exécutant à l'aide des outils et services auxquels il a accès. La capacité d'exécuter des actions distingue un agent d'un chatbot standard ou d'un assistant IA basique. Alors qu'un chatbot génère des réponses textuelles, un agent effectue un travail.
Ces actions peuvent inclure la recherche sur internet, l'exécution d'une requête de base de données, l'envoi d'un e-mail, la mise à jour d'un enregistrement CRM, le déclenchement d'un flux de travail financier ou l'appel d'un service web externe. L'agent peut enchaîner de nombreuses actions pour atteindre un objectif. Il peut décider quoi faire à chaque étape en fonction du résultat de l'étape précédente.
Cette capacité est aussi ce qui rend les agents suffisamment puissants pour être déployés à l'échelle de l'entreprise. Et c'est ce qui les rend fondamentalement différents des systèmes d'IA qui les ont précédés. Cette autonomie crée un changement fondamental dans la surface d'attaque de l'entreprise. Les équipes de sécurité ne protègent plus seulement le trafic utilisateur-application. Elles protègent les flux de travail agent-à-agent (A2A) et agent-à-API.
Les trois couches de la pile agentique
Pour comprendre comment les agents fonctionnent et où ils peuvent échouer, il est utile de les considérer comme un système à trois couches. Chaque couche a une fonction distincte, un ensemble de technologies distinct et un profil de risque distinct. La pile agentique se compose du cerveau, des mains et la couche d'action.
Couche 1 : Le Cerveau (Le LLM)
Le Grand Modèle Linguistique (LLM) sert de cerveau à l'agent. Face à un objectif ou une instruction, il raisonne sur les étapes qu'il doit suivre pour l'atteindre et les outils qu'il devrait utiliser à chaque étape. Il apprend et s'adapte en fonction des résultats de ses actions précédentes et du contexte de son environnement.
Le LLM est la couche que la plupart des gens imaginent lorsqu'ils pensent à la sécurité de l'IA. Les préoccupations concernant l'injection de prompt, où un contenu malveillant dans l'environnement manipule le comportement du modèle, se situent ici. Il en va de même pour les questions d'alignement du modèle, de sécurité des sorties et de garde-fous. Ce sont des préoccupations réelles et importantes.
Cependant, elles ne représentent qu'une des trois couches. Un LLM bien sécurisé, connecté à des outils et services mal sécurisés, reste vulnérable. Le cerveau peut être parfaitement sain tandis que les mains et la couche d'action restent exposées. Le modèle fournit l'intention, mais il n'exécute pas le changement. Si un attaquant peut manipuler le processus de raisonnement, il peut, en théorie, forcer l'agent à halluciner un besoin d'effectuer une action malveillante, mais les dommages réels se produisent ailleurs dans la pile.
Couche 2 : Les Mains (Serveurs MCP)
Le Protocole de Contexte de Modèle (MCP) est un standard ouvert qui est apparu comme le principal moyen pour les agents d'IA de se connecter à des outils externes, des sources de données et des services. Si le LLM est le cerveau, les serveurs MCP sont les mains.
Le serveur MCP agit comme un intermédiaire entre le LLM et le monde extérieur. Il expose une liste de capacités que l'agent peut invoquer. Ces capacités peuvent inclure la lecture d'un système de fichiers, l'exécution d'une requête de base de données, l'appel d'un service, l'envoi d'une notification ou le déclenchement d'un flux de travail. Sans serveurs MCP, un agent peut penser mais ne peut pas agir. Avec eux, il peut accéder à pratiquement n'importe quel système auquel l'organisation le connecte.
Du point de vue de la sécurité, les serveurs MCP sont importants pour plusieurs raisons :
- Portée de l'autorisation : Définit la portée de ce qu'un agent peut faire et gère l'authentification aux services auxquels il se connecte.
- Gestion des identifiants : Ils peuvent contenir leurs propres configurations, identifiants et paramètres d'autorisation.
- Lacunes de visibilité : Parce qu'ils se situent entre le modèle et les systèmes avec lesquels il interagit, un serveur MCP mal configuré ou compromis donne à un attaquant un levier sur tout ce que l'agent peut atteindre.
L'écosystème MCP se développe rapidement. Les équipes les intègrent dans les flux de travail des agents, souvent sans supervision centralisée. Cela signifie que l'ensemble des outils auxquels un agent donné peut accéder croît plus vite que la plupart des organisations ne peuvent le suivre. Les serveurs MCP déterminent ce qu'un agent peut toucher, ce qui en fait l'un des points les plus stratégiques de toute la pile.
Couche 3 : La Couche d'Action (API)
Les API représentent la Couche d'Action. C'est l'interface réelle par laquelle les agents interagissent avec les systèmes d'entreprise, les données et les flux de travail. Lorsqu'un agent lit un enregistrement client, il appelle une API. Lorsqu'il écrit dans une base de données, il appelle une API. Lorsqu'il déclenche une transaction financière, initie un déploiement ou envoie un message, il appelle une API.
Les API ne sont pas nouvelles. Les entreprises construisent et gèrent des parcs d'API depuis des décennies. Mais les agents d'IA modifient la nature du risque lié aux API de deux manières importantes.
Premièrement, les agents augmentent considérablement le volume et la vélocité des appels API. Là où un utilisateur humain pourrait effectuer une poignée d'appels API par session, un agent poursuivant un objectif complexe pourrait en effectuer des centaines en quelques minutes. Cette échelle amplifie les conséquences de toute vulnérabilité ou mauvaise configuration dans les API que l'agent peut atteindre. Si une API présente une vulnérabilité de type Broken Object Level Authorization (BOLA), un agent peut l'exploiter à une échelle et une vitesse qu'aucun humain ne pourrait atteindre.
Deuxièmement, les agents effectuent des appels d'API de manière autonome, sans qu'un humain n'examine chaque action avant son exécution. Les décisions d'autorisation importantes, comme la question de savoir si un système doit effectuer une action spécifique maintenant, sont prises par l'agent en fonction de son objectif et de ses permissions. Si ces permissions sont trop permissives, ou si les points d'accès API auxquels ils ont accès ne sont pas correctement sécurisés, il existe de nombreuses opportunités de malveillance involontaire ou intentionnelle.
Il est également important de noter où l'activité API se produit réellement. La majorité du trafic API agentique est une communication interne "est-ouest" entre les services au sein de l'environnement d'entreprise. Ce trafic transite par des systèmes que les outils de sécurité périmétrique n'ont jamais été conçus pour observer. La sécurité basée sur la périphérie, telle que les WAF, les passerelles et les proxys API à la limite du réseau, ne voit tout simplement pas la majeure partie de ce que les agents font au niveau de la couche d'action.
Comment le graphe de sécurité agentique connecte les couches
Comprendre les trois couches individuellement est important. Mais l'aperçu le plus significatif est la façon dont elles interagissent, car les vulnérabilités dans une couche créent un risque qui se propage à travers les autres.
Un cerveau manipulé émet des instructions malveillantes aux mains (le serveur MCP). Ces mains exécutent ensuite ces instructions via un appel d'API au niveau de la couche d'action. Un serveur MCP compromis peut rediriger les API que l'agent appelle et les actions qu'il entreprend, indépendamment de l'intention du LLM. Et les API vulnérables au niveau de la couche d'action peuvent être exploitées directement, en contournant entièrement les couches du modèle et du MCP, par tout système ou agent pouvant les atteindre.
Cette interdépendance fait de la pile agentique un défi de sécurité véritablement nouveau plutôt qu'une variation des défis existants. Les solutions ponctuelles qui ne traitent qu'une seule couche laissent les deux autres exposées. De plus, puisque chaque couche relie et dépend des autres couches, une défaillance dans un pilier est une défaillance du cadre lui-même.
Pour arrêter ces attaques, les équipes de sécurité ont besoin d'une visibilité sur la "Séquence d'Intention". Cela nécessite de cartographier les relations entre les agents spécifiques, les serveurs MCP qu'ils utilisent et les API qu'ils appellent. Nous appelons cette carte le Graphe de Sécurité Agentique. Sans ce contexte, une équipe de sécurité ne peut pas distinguer un flux de travail complexe légitime d'une exploitation malveillante de la pile.
Ce que cela signifie pour les équipes de sécurité
Pour les professionnels de la sécurité qui cherchent à anticiper les risques agentiques, l'architecture décrite ici met en évidence un ensemble clair d'exigences :
- Visibilité sur les trois couches : La sécurité ne peut pas être cloisonnée uniquement au modèle ou uniquement au périmètre. Vous devez voir le chemin complet, de l'invite du LLM à l'appel API final.
- Inventaire complet : Vous devez maintenir un inventaire de tous les agents, serveurs MCP et API fonctionnant dans l'environnement. Vous ne pouvez pas sécuriser ce que vous ne voyez pas.
- Cartographie des relations : Il est essentiel de comprendre la portée des autorisations de chaque agent. Quels agents se connectent à quels serveurs MCP ? Quels serveurs MCP appellent quelles API ? À quelles données et systèmes ces API accèdent-elles ?
- Surveillance comportementale continue : La surveillance doit s'effectuer sur l'ensemble de la pile, et pas seulement à la périphérie. Cela nécessite d'analyser l'intention derrière les appels d'API pour identifier quand un agent est manipulé ou fonctionne mal.
- Évaluation contextuelle des risques : Le risque doit être évalué en fonction de ce que chaque agent peut réellement faire (son impact potentiel sur la couche d'action), et non pas seulement sur son existence.
La pile agentique n'est pas particulièrement compliquée une fois qu'on la comprend bien. Cependant, la plupart des frameworks et outils de sécurité ont été conçus avant son existence, et ils en sont le reflet. Combler cette lacune commence par comprendre l'architecture, ses trois couches, et élaborer une approche de sécurité qui couvre l'ensemble du tableau.
Si vous souhaitez en savoir plus sur Salt et comment nous pouvons vous aider, veuillez nous contacter, planifier une démo, ou visiter notre site web. Vous pouvez également obtenir une évaluation gratuite de la surface d'attaque API de l'équipe de recherche de Salt Security et découvrir ce que les attaquants savent déjà.
