CISA + Five Eyes publient le premier guide commun sur l'adoption des IA agentiques
Le 1er mai 2026, CISA, NSA et les agences cyber des Five Eyes ont publié 'Careful Adoption of Agentic AI Services' — une taxonomie en 5 risques et un manuel de déploiement que les opérateurs d'infrastructures critiques sont désormais censés intégrer à leurs cadres de cybersécurité existants.
De quoi parle-t-on ?
Le 1er mai 2026 (le document lui-même est daté du 30 avril), la Cybersecurity and Infrastructure Security Agency (CISA) américaine et la National Security Agency (NSA) ont co-publié Careful Adoption of Agentic AI Services conjointement avec les quatre autres agences cyber des Five Eyes : l’ASD ACSC australienne, le Canadian Centre for Cyber Security, le NCSC néo-zélandais et le NCSC britannique.
Il s’agit du premier document Five Eyes spécifiquement consacré à l’IA agentique — définie par le guide comme les logiciels bâtis sur des grands modèles de langage capables de planifier, décider et exécuter des actions en plusieurs étapes à travers des outils, des données et d’autres agents sans supervision humaine continue. Le document fait 22 pages, est gratuit, et s’adresse explicitement aux « développeurs, fournisseurs et opérateurs » de ces systèmes, avec un sous-public marqué : les organisations d’infrastructures critiques et de défense qui en déploient déjà. La reprise presse a été immédiate : CyberScoop, Industrial Cyber et le billet d’accompagnement du NCSC britannique l’ont tous relayé entre le 1er et le 4 mai.
Voici l’article qui décrit ce document — ce qu’il dit, où il s’insère dans la pile réglementaire, et ce qu’un opérateur doit faire ce trimestre.
Comment ça fonctionne
Le guide repose sur une taxonomie en cinq catégories de risque et une posture de déploiement que les agences présentent comme une série de refus : refuser les permissions larges, refuser les actions à fort impact entièrement autonomes, refuser les silos « spécifiques à l’IA » qui contournent le programme de sécurité existant.
La taxonomie :
Catégorie de risque Ce qu'elle couvre Mode de défaillance concret
------------------- --------------------------------------------- -------------------------------------------
Privilège Accès trop large accordé à l'agent Une seule compromission hérite des droits
de l'agent — modifier des contrats, valider
des paiements, latéraliser, avec des logs
d'apparence légitime
Conception / Décisions d'architecture peu sûres prises au Vérifications de rôle trop larges,
configuration moment du déploiement segmentation faible, un outil tiers mal
configuré qui cascade jusqu'à la facturation
ou l'IAM
Comportement L'agent atteint son objectif d'une façon que Goal hacking, mauvaise interprétation
le concepteur n'avait pas prévue d'instructions ambiguës, actions non
autorisées via prompt injection, tromperie
stratégique
Structurel Défaillance en cascade à travers un système Un agent hallucine, les agents en aval
multi-agent interconnecté traitent la sortie comme vérité, un outil
tiers injecte le long de la chaîne
Responsabilité Incapacité à reconstituer ce qui s'est passé Logs fragmentés, décisions distribuées,
raisonnement opaque — conformité et
attribution échouent toutes les deuxLa posture de déploiement s’appuie sur cette taxonomie. Trois éléments comptent particulièrement pour un opérateur :
L’identité est par-agent, cryptographique, et de courte durée. Chaque agent (et chaque sous-agent engendré) doit porter une identité vérifiée ancrée cryptographiquement, utiliser des identifiants à courte durée de vie, et chiffrer tout le trafic inter-agent et agent-vers-service. Cela tue le motif « compte de service partagé » qui s’est insinué dans les premiers déploiements d’agents, et aligne la flotte d’agents sur le même socle d’identité que celui que vous appliquez déjà aux humains et aux charges de travail sous zero trust.
L’approbation humaine est réservée aux actions à fort impact — et c’est le concepteur qui décide. Le guide est inhabituellement direct ici : la décision sur quelles actions exigent une validation humaine « est le travail des concepteurs du système, pas de l’agent ». Un agent ne doit jamais avoir le pouvoir de déclarer qu’une action qu’il souhaite entreprendre est suffisamment peu impactante pour sauter le point de contrôle humain.
La sécurité de l’IA agentique est intégrée au programme cyber existant, pas isolée à côté. Le document est explicite : « les systèmes d’IA sont fondamentalement des systèmes IT » et doivent être gouvernés par les mêmes cadres qu’une organisation utilise déjà — secure-by-design, défense en profondeur, IAM, supervision continue, réponse à incident. Le risque de tenir une filière « sécurité IA » parallèle, selon la lecture des agences, est de laisser la capacité agentique contourner les contrôles que le reste de l’organisation a passé une décennie à durcir.
La cadence de déploiement recommandée par le document est progressive : démarrer par des cas d’usage à faible risque et non sensibles, étendre uniquement quand l’opérateur a gagné en confiance sur le comportement de l’agent, modéliser les menaces avant l’intégration, fail-safe par défaut (escalade vers un humain en cas de doute), et retester continuellement contre un modèle de menace qui évolue.
Pourquoi c’est important
Trois éléments rendent ce document digne d’intérêt même si vous n’êtes pas opérateur d’infrastructure critique.
C’est la première fois que les Five Eyes parlent d’une seule voix sur l’IA agentique. Les précédents produits communs de cette coalition ont façonné les décisions d’achat dans les secteurs régulés — secure-by-design, réponse aux rançongiciels, sécurité de la chaîne d’approvisionnement. Careful Adoption of Agentic AI Services rejoint désormais cette étagère et sera cité dans les appels d’offres, audits et briefings de comex bien avant qu’une réglementation spécifique à l’IA agentique n’arrive. Si vous construisez ou vendez des agents pour des secteurs régulés, le document fait maintenant partie de la check-list achats de votre client.
La taxonomie des risques sera réutilisée. Les cinq catégories (privilège, conception/configuration, comportement, structurel, responsabilité) sont assez générales pour s’aligner directement sur l’OWASP Top 10 pour les applications LLM et MITRE ATLAS, et assez spécifiques pour produire une check-list de contrôles utilisable. Attendez-vous à la voir intégrée dans des modèles de menace internes et dans les scanners commerciaux dans les deux prochains trimestres. La catégorie « structurel » en particulier — défaillance en cascade dans des maillages d’agents — est la première fois qu’un document gouvernemental nomme ce risque distinctement de la prompt injection sur agent unique.
Le document est honnête sur ce qui reste non résolu. Deux passages se distinguent. D’abord : « tant que les pratiques de sécurité, les méthodes d’évaluation et les standards n’ont pas mûri, les organisations doivent supposer que les systèmes d’IA agentique peuvent se comporter de manière inattendue et planifier leurs déploiements en conséquence, en priorisant la résilience, la réversibilité et la maîtrise du risque sur les gains d’efficacité ». Ensuite : les agences reconnaissent explicitement que certains risques spécifiques aux agents ne sont pas encore couverts par les cadres existants et appellent à plus de recherche. C’est un signal significatif — lu en parallèle des révélations du même CyberScoop selon lesquelles certains éditeurs admettent désormais en privé que la prompt injection pourrait ne jamais être complètement résolue, les Five Eyes disent discrètement aux opérateurs de planifier comme si l’écart de capacité sous-jacent allait persister.
Défenses
Le document est lui-même un manuel défensif. La liste d’actions condensée, traduite en ce qu’un opérateur peut faire ce trimestre :
-
Inventoriez vos agents et leurs privilèges. Construisez (ou mettez à jour) un registre de chaque agent déployé, des outils et données qu’il peut atteindre, des identifiants qu’il porte, et des sous-agents qu’il peut engendrer. La catégorie privilège existe parce que la plupart des premiers déploiements ont accordé un périmètre excessif par défaut. Réduisez au moindre privilège et retestez.
-
Émettez des identités cryptographiques par-agent avec des identifiants de courte durée. Remplacez toute clé d’API longue durée ou jeton de compte de service partagé par des identités de charge de travail (mTLS, JWT signés avec TTL court, ou votre plan d’identité zero trust existant). Traitez chaque sous-agent engendré comme un nouveau principal, pas comme une continuation du parent.
-
Codifiez une matrice d’approbation humaine que l’agent ne peut pas réécrire. Décidez, au moment de la conception, quelles actions exigent un humain dans la boucle — mouvement de fonds, modifications IAM, suppressions de fichiers, communications sortantes, modifications de configuration sur les systèmes de production. Faites appliquer la matrice dans la couche d’orchestration, pas dans le prompt ou la description d’outil de l’agent.
-
Cartographiez les cinq catégories de risque sur vos contrôles existants. Passez en revue privilège, conception/configuration, comportement, structurel et responsabilité et identifiez lesquels de vos contrôles actuels (IAM, segmentation, observabilité, gestion du changement, runbooks IR) les couvrent et où sont les trous. Traitez les trous comme des éléments dans votre registre de risque existant, pas comme un flux « risque IA » séparé.
-
Instrumentez le raisonnement interne, pas seulement les entrées et sorties. La catégorie responsabilité est insoluble sans télémétrie sur les appels d’outils, le contexte récupéré, les étapes de raisonnement intermédiaire et la dérive d’objectif. Quelle que soit votre plateforme d’agents, exigez des logs structurés à chacune de ces étapes et acheminez-les vers votre SIEM existant. Pour la réponse à incident, la question « qu’a décidé l’agent et pourquoi » a besoin d’une réponse qui ne dépende pas de l’explication a posteriori de l’agent lui-même.
-
Modélisez les menaces avant l’intégration, pas après. Avant de connecter un agent à un nouvel outil ou à une nouvelle source de données, parcourez la chaîne : à quel contenu non fiable cela expose-t-il l’agent (le test de la lethal trifecta reste applicable), quel est le rayon d’impact si l’agent est détourné, l’action peut-elle être rendue réversible. Le guide est explicite : les choix d’intégration faits au moment du déploiement créent des faiblesses structurelles qui persistent longtemps après la mise en production.
-
Adoptez progressivement, fail-safe par défaut. Commencez par des cas d’usage à faible risque et non sensibles. Configurez l’agent pour qu’il escalade vers un relecteur humain en cas de doute plutôt que d’improviser. N’étendez le périmètre que quand la télémétrie opérationnelle le justifie. Résistez à la pression de sauter la rampe progressive parce qu’un concurrent a annoncé un déploiement plus agressif — le guide est sans ambiguïté : la résilience et la réversibilité l’emportent sur l’efficacité à ce stade de la technologie.
Statut
| Élément | Référence | Date | Notes |
|---|---|---|---|
| Publication du document | CISA / NSA / ASD ACSC / CCCS / NCSC-NZ / NCSC-UK | 2026-05-01 (document daté 2026-04-30) | Premier guide commun Five Eyes dédié à l’IA agentique |
| PDF officiel (miroir DoD) | media.defense.gov | 2026-04-30 | 22 pages |
| PDF officiel (miroir ASD) | cyber.gov.au | 2026-05 | Contenu identique |
| Couverture presse | CyberScoop, Industrial Cyber, blog NCSC UK | 2026-05-01 → 2026-05-04 | Lecture alignée de la taxonomie en cinq risques |
| Communiqué CISA | cisa.gov | 2026-05-01 | Confirme le cadrage du directeur par intérim de la CISA Nick Andersen |
Le bon cadrage pour cette publication n’est pas « encore un document de guidance gouvernemental ». C’est le moment où la taxonomie en cinq risques de l’IA agentique est entrée dans le langage des achats des secteurs régulés. Les opérateurs qui veulent avoir une longueur d’avance sur la question d’audit dans six mois devraient déjà cartographier leur flotte d’agents sur les cinq catégories — et réduire les privilèges, durcir l’identité et instrumenter la télémétrie de raisonnement jusqu’à ce que la cartographie revienne propre.
Sources
- → https://www.cisa.gov/news-events/news/cisa-us-and-international-partners-release-guide-secure-adoption-agentic-ai
- → https://www.cisa.gov/resources-tools/resources/careful-adoption-agentic-ai-services
- → https://www.cyber.gov.au/business-government/secure-design/artificial-intelligence/careful-adoption-of-agentic-ai-services
- → https://www.cyber.gov.au/sites/default/files/2026-05/careful_adoption_of_agentic_ai_services.pdf
- → https://media.defense.gov/2026/Apr/30/2003922823/-1/-1/0/CAREFUL%20ADOPTION%20OF%20AGENTIC%20AI%20SERVICES_FINAL.PDF
- → https://cyberscoop.com/cisa-nsa-five-eyes-guidance-secure-deployment-ai-agents/
- → https://industrialcyber.co/ai/cisa-and-partners-release-agentic-ai-security-guidance-to-protect-critical-infrastructure-outline-mitigation-action/
- → https://www.ncsc.gov.uk/blogs/thinking-carefully-before-adopting-agentic-ai