L’OWASP Top 10 for Agentic Applications 2026 identifie les vulnérabilités de sécurité critiques dans les systèmes d’IA autonomes. Ces systèmes fonctionnent en planifiant, en décidant et en agissant sur de multiples tâches grâce à une orchestration complexe et une autonomie multi-étapes. Les menaces découlent de l’interaction entre les agents, des chaînes d’approvisionnement étendues, de la mémoire persistante et de la possibilité de manipuler les entrées et les actions. La protection nécessite des contrôles spécifiques adaptés à la nature autonome des agents et à leur intégration distribuée.

Les 10 principales vulnérabilités selon l’OWASP

ASI01 : Agent Goal Hijack (Détournement d’objectif de l’agent)

Les attaquants manipulent les objectifs, les tâches ou les décisions d’un agent via des injections de prompt indirectes, des sorties d’outils trompeuses, des documents empoisonnés, des artefacts malveillants ou des données externes manipulées. L’agent, incapable de distinguer les instructions légitimes du contenu toxique en langage naturel, peut dévier de ses objectifs initiaux, provoquant l’exfiltration de données, des actions financières frauduleuses, le contournement des objectifs via des e-mails et des documents, ou la production d’informations fausses.

Atténuations : traiter chaque entrée comme non fiable, valider avec des mécanismes anti-injection de prompt, appliquer le principe du moindre privilège aux outils, exiger une confirmation pour les actions à fort impact, auditer les changements d’objectifs, valider les intentions au moment de l’exécution (runtime), assainir les sources de données, assurer un journalisation et une surveillance continues, et effectuer des tests de red teaming sur le contournement d’objectifs.

ASI02 : Tool Misuse & Exploitation (Mauvaise utilisation et exploitation des outils)

Les agents peuvent utiliser des outils légitimes de manière malveillante en raison d’injections de prompt, d’un mauvais alignement ou d’une validation insuffisante. Cela inclut la suppression de données critiques, des appels répétés et coûteux, l’invocation de shells malveillants, l’empoisonnement de données via des contenus externes et l’utilisation excessive des privilèges accordés aux outils.

Atténuations : moindre privilège pour les outils, sandboxing, authentification sur chaque action, application de politiques, gestion d’identifiants éphémères liés à la session, validation sémantique, audit continu de toutes les actions des outils et journaux immuables.

ASI03 : Identity & Privilege Abuse (Abus d’identité et de privilèges)

L’héritage et la délégation de privilèges peuvent conduire les agents à utiliser des identifiants pour effectuer des actions non autorisées. Cela exploite les failles entre les systèmes d’identité et la conception agentique (contextes d’authentification, mise en cache, confiance inter-agents). Les risques incluent l’abus de rôle via des chaînes de délégation, la rétention de clés en mémoire et le phishing entre agents.

Atténuations : sandbox par session, limitation de la durée et de la portée des identifiants, isolation des identités par agent, centralisation des autorisations et des approbations sur les étapes privilégiées, liaison des intentions aux autorisations, détection des escalades anormales ou du phishing par code d’appareil sur les agents.

ASI04 : Agentic Supply Chain Vulnerabilities (Vulnérabilités de la chaîne d’approvisionnement agentique)

L’agent peut être exposé à des composants, outils, modèles ou registres externes chargés dynamiquement et potentiellement malveillants ou manipulés. Des risques tels que des modèles de prompt empoisonnés, des injections dans les métadonnées des outils, l’usurpation d’identité d’agents ou le typo-squatting augmentent la surface d’attaque.

Atténuations : signer et attester chaque composant via SBOM/AIBOM, isoler les agents dans des sandbox, authentification mutuelle entre pairs, validation continue, épinglage (pinning) des contenus, mécanisme de “kill switch” pour une révocation d’urgence.

ASI05 : Unexpected Code Execution (RCE) (Exécution de code inattendue)

Les agents qui génèrent ou exécutent du code sont exposés à des exploits en raison d’injections de prompt, de désérialisation non sécurisée, de l’utilisation de fonctions “eval” non sécurisées, de l’installation de paquets malveillants et de commandes shell non validées. Les scénarios incluent l’exécution de code imprévue et la compromission persistante de la machine hôte.

Atténuations : interdire “eval” en production, sandbox pour le code, privilèges minimaux, analyse statique de la sortie générée, approbation humaine sur les actions critiques, analyse dynamique et liste de blocage des paquets suspects.

ASI06 : Memory & Context Poisoning (Empoisonnement de la mémoire et du contexte)

La mémoire agentique persistante (bases de données vectorielles, sessions, magasins RAG, résumés, contexte partagé) peut être contaminée par des données fausses ou manipulées. Cela altère les décisions futures, le raisonnement ou la sélection d’outils, conduisant à des erreurs systémiques et à des fuites de données entre utilisateurs ou sessions.

Atténuations : chiffrement et segmentation de la mémoire, validation et provenance des informations, isolation des contextes, minimisation de la rétention, retour en arrière (rollback) en cas d’anomalies, dégradation des mémoires non vérifiées et blocage de la réinsertion automatique des sorties auto-générées.

ASI07 : Insecure Inter-Agent Communication (Communication inter-agents non sécurisée)

Les communications non authentifiées ou non intégrées entre agents exposent aux attaques par rejeu (replay), man-in-the-middle, usurpation d’identité, falsification, contrefaçon de schéma et inférences sur les métadonnées. En l’absence d’authentification forte et de canaux chiffrés, les agents peuvent assumer des rôles et des objectifs malveillants, propageant des attaques dans le réseau.

Atténuations : chiffrement de bout en bout avec des identifiants par agent, signatures numériques sur les messages, anti-rejeu, découverte et routage authentifiés, politiques de version et désactivation des protocoles faibles, vérification des descripteurs et des capacités des agents.

ASI08 : Cascading Failures (Défaillances en cascade)

Une erreur unique (hallucination, empoisonnement de la mémoire, compromission d’outil) s’amplifie en se propageant entre les agents, les outils et les flux de travail, causant des impacts systémiques sur la confidentialité, l’intégrité et la disponibilité. Risque de tentatives répétées oscillantes, de boucles de rétroaction et d’escalade des dommages sans contrôle humain.

Atténuations : conception “zero-trust” et résilience, application de politiques externes, points de contrôle et révisions humaines si nécessaire, segmentation, identifiants “just-in-time”, limitation du débit (rate limiting), simulations ex-post pour l’audit et le contrôle des politiques, journaux inviolables.

ASI09 : Human-Agent Trust Exploitation (Exploitation de la confiance humain-agent)

La propension naturelle des humains à faire confiance aux agents autonomes est exploitée par des explications trompeuses, des manipulations émotionnelles ou une autorité perçue. Des actions dangereuses sont ainsi approuvées par l’utilisateur, échappant aux contrôles de sécurité.

Atténuations : confirmations multi-étapes, journaux immuables, détection comportementale, signalement d’anomalies, calibration adaptative de la confiance, application de la provenance des données, séparation entre prévisualisation et action, indices visuels et formation contre la manipulation.

ASI10 : Rogue Agents (Agents malveillants)

Des agents compromis dévient et agissent de manière autonome, malveillante ou collusoire, exploitant les failles de contrôle pour exfiltrer des données, orchestrer des flux de travail illicites, s’auto-répliquer ou saboter des systèmes. Le comportement émergent devient nuisible et difficile à contenir.

Atténuations : audits immuables et signés, zones de confiance et sandbox, surveillance comportementale, confinement et révocation rapide, manifestes comportementaux signés et vérifiés, réintégration uniquement après vérification et approbation humaine.

Atténuations transversales et bonnes pratiques

• Appliquer systématiquement le moindre privilège et la moindre agence : réduire l’autonomie et les privilèges inutiles pour les agents et les outils.
• Assainir et valider toute entrée (prompts, outils, données, documents, canaux de communication).
• Utiliser des sandbox et des politiques d’application à chaque niveau d’action et de communication entre agents.
• Mettre en place une journalisation exhaustive, une traçabilité, des alertes sur les anomalies et des tests périodiques (red teaming et rejeu de jumeaux numériques).
• Intégrer des “kill switches” pour une révocation immédiate, un déploiement progressif, la résilience des dépendances et la gouvernance de la chaîne d’approvisionnement.
• Prévoir une intervention humaine (human-in-the-loop) pour les actions critiques et hors politique, une formation continue et un retour d’information sur les abus de confiance.

Références et approfondissements

• OWASP Top 10 for Agentic Applications 2026 – document officiel du projet OWASP GenAI Security
• ASI Agentic Exploits & Incidents – dépôt GitHub avec les incidents mis à jour et les études de cas

La sécurité des systèmes agentiques nécessite des mesures d’atténuation ciblées pour limiter l’autonomie, isoler les contextes, valider chaque canal et action, surveiller les signaux de déviance et réagir rapidement via des outils d’audit et de contrôle.