Modèle de maturité agentique OWASP : ne restez pas dans les cases rouges
Le rapport State of Agentic AI d'OWASP (juin 2026) ajoute un modèle de maturité d'adoption : une grille à deux axes où l'autonomie des agents dépasse la gouvernance, créant des « cases rouges » que personne ne supervise.
De quoi s’agit-il ?
Le 1er juin 2026, l’OWASP GenAI Security Project a publié la version 2.01 de son rapport State of Agentic AI Security and Governance. La nouveauté marquante n’est pas une menace inédite, mais un outil de décision : un modèle de maturité d’adoption en entreprise que la co-responsable Ariel Fogel (Pillar Security) a présenté au OWASP GenAI Security Summit lors d’Infosecurity Europe, le 4 juin. Le contexte compte : l’édition 2025 recensait des menaces plausibles ; celle de 2026 rattache un CVE, un avis éditeur ou un incident de production à presque chaque catégorie. Le risque est désormais empirique, et la thèse du rapport est nette : la plupart des organisations déploient des agents plus vite qu’elles ne peuvent les gouverner.
Comment ça marche
Le modèle cartographie la gouvernance sur deux axes liés.
Le premier axe est ce que vous déployez, en six niveaux d’autonomie croissante : AT0 shadow AI (adopté hors de toute gouvernance), AT1 assistant embarqué éditeur (vous le consommez), AT2 plateforme intégrée (plateforme native IA sur vos données, sans code arbitraire), AT3 agent citizen-developer (flux low-code agissant sur des données réelles), AT4 agent exécutant du code (génère et exécute du code avec des privilèges locaux ou cloud), et AT5 agent maison sur mesure (vous l’avez construit ; vous maîtrisez identité, outils et frontières).
Le second axe est la maturité de gouvernance, en quatre niveaux : Niveau 0 inconscient/ad hoc (aucune politique IA, journalisation minimale), Niveau 1 expérimentation sans garde-fous (pilotes sans limites d’autonomie ni critères d’escalade), Niveau 2 politiques définies avec humain dans la boucle (cas d’usage mappés sur l’AI Act/RGPD, un responsable nommé type CAIO, AI-SBOM en place), et Niveau 3 supervision continue intégrée (workflows à niveaux de risque, tableaux de bord de dérive en temps réel, kill switches, gouvernance-as-code).
Placez un agent sur l’axe de déploiement, puis vérifiez l’alignement de la gouvernance. Fogel présente le résultat sous forme de grille colorée : vert lorsque la gouvernance correspond au déploiement, jaune lorsque les équipes sécurité et gouvernance manquent de visibilité, rouge lorsque l’autonomie est livrée sans les contrôles correspondants. Sa formule : « N’opérez pas dans les cases rouges. » Une gouvernance de Niveau 1 faisant tourner un agent AT4 exécutant du code est une case rouge typique — l’agent exécute du code arbitraire pendant que personne ne surveille, à vitesse machine.
Pourquoi c’est important
Les données du rapport expliquent pourquoi les cases rouges sont si peuplées. Sur 53 projets agentiques suivis par OWASP, 28 sont des agents de codage, et les dépôts cumulant le plus d’avis de sécurité sont des plateformes de workflow et d’agents (n8n à 57, Claude Code à 22, AutoGPT à 15). Sept projets publient des mises à jour quotidiennement ou plus, dépassant les pipelines classiques d’analyse de composition logicielle. Le prompt injection couvre six des dix catégories du Top 10 OWASP pour applications agentiques, car le modèle traite le prompt système, la requête utilisateur et le texte récupéré comme un seul flux de tokens indifférencié — la « lethal trifecta » de Simon Willison et l’« Agents Rule of Two » de Meta décrivent la même exposition. Pourtant, selon les données IBM citées, seules 37 % des organisations disposent d’une politique de détection du shadow AI — autrement dit, beaucoup de déploiements AT0 stationnent en gouvernance Niveau 0 à l’insu de tous.
Défenses
Le modèle est prescriptif sur le remède. Quand la gouvernance est insuffisante pour le niveau de déploiement, OWASP ne propose que deux réponses : investir dans des contrôles conçus pour les systèmes agentiques, ou réduire les permissions et l’autonomie de l’agent jusqu’à ce que les contrôles existants suffisent. Pas de troisième option fondée sur l’espoir.
Surtout, le rapport souligne que les contrôles nécessaires ne sont pas des versions renforcées de la sécurité traditionnelle. Parce que les agents agissent à vitesse et échelle machine, il faut : des bases comportementales en temps réel plutôt qu’une revue périodique ; des mécanismes de confinement et d’arrêt immédiats (kill switches) ; une réponse à incident conjointe entre équipes sûreté et sécurité, le même choix d’architecture créant souvent les deux expositions ; et une meilleure hygiène d’identité — identifiants éphémères et attestation cryptographique pour que chaque action soit traçable et bornée. Le co-responsable John Sotiropoulos résume l’objectif comme une réduction de la « taxe cognitive » d’une documentation toujours plus volumineuse : repérez vos agents les plus avancés, priorisez les charges les plus risquées, puis décidez d’investir dans des contrôles plus rapides ou de contraindre le déploiement. En pratique : inventoriez chaque agent, placez-le sur les deux axes, et traitez toute case rouge comme une action immédiate, pas comme une ligne de backlog.
Statut
| Élément | Détail |
|---|---|
| Rapport | State of Agentic AI Security and Governance v2.01 |
| Éditeur | OWASP GenAI Security Project |
| Publication | 1er juin 2026 ; modèle présenté le 4 juin (Infosecurity Europe) |
| Axe déploiement | AT0–AT5 (shadow AI → agent maison sur mesure) |
| Axe gouvernance | Niveau 0–3 (ad hoc → supervision continue) |
| Règle d’action | « N’opérez pas dans les cases rouges » |