ia

Agents IA dans les navigateurs : cap sur la sécurité

ParGrégoire Sillard Heures le

Navigateurs augmentés : productivité promise, risques à maitriser

Les navigateurs intègrent désormais des agents d’intelligence artificielle (IA) capables d’agir sur le Web à la place de l’utilisateur. Ce saut fonctionnel apporte des gains concrets, mais augmente la surface d’attaque et l’exposition réglementaire. Pour un comité de direction (CODIR), un directeur des systèmes d’information (DSI) et un service juridique, l’enjeu est immédiat : décider en moins de 90 jours des usages autorisés, du budget de tests et des clauses contractuelles, tout en déployant des contrôles techniques adaptés.

Ce qui s’est passé : des agents autonomes qui bousculent le modèle du navigateur

Depuis 2024, de grands acteurs (OpenAI, Anthropic, Perplexity, Opera) proposent des navigateurs et modules d’agentisation capables de planifier des tâches multi-étapes, remplir des formulaires, réserver des services et gérer des emails. Ces agents s’appuient sur des modèles de langage de grande taille (LLM) qui lisent la structure des pages et prennent des décisions d’action.

Les équipes de sécurité et de normalisation ont documenté des risques spécifiques, en premier lieu les attaques par injection d’invite (prompt injection). Microsoft décrit comment des instructions malveillantes cachées dans une page, un document ou une image peuvent détourner un agent pour exfiltrer des données ou exécuter des actions non souhaitées, sans faille logicielle classique mais par manipulation sémantique de l’entrée ( guides Microsoft ). Le projet Open Worldwide Application Security Project (OWASP) a placé la prompt injection en tête de son Top 10 des risques liés aux LLM ( OWASP Top 10 LLM ).

Côté conformité, la loi européenne sur l’intelligence artificielle (AI Act) entre en vigueur par étapes et impose des obligations proportionnées au risque, dont gestion des risques, documentation et supervision humaine pour les usages sensibles ( fiche du Parlement européen ). Le règlement général sur la protection des données (RGPD) demeure le socle pour tout traitement de données personnelles ( texte officiel ). Le National Institute of Standards and Technology (NIST) a publié un cadre de gestion des risques de l’IA (AI RMF) utilisable comme méthode d’évaluation continue ( NIST AI RMF ). L’Organisation internationale de normalisation a, de son côté, publié la norme de système de management de l’IA ISO/IEC 42001, utile pour structurer la gouvernance ( ISO/IEC 42001 ).

Pour l’entreprise : ce que ça change concrètement (tech, juridique, orga)

Dans les faits, l’agent agit avec les mêmes privilèges que l’utilisateur, agrège plusieurs sessions authentifiées et garde parfois une mémoire des interactions. Un seul détournement par prompt injection peut donc permettre d’accéder à des emails, à un agenda, à des outils internes ou à des portails financiers. Ce modèle déplace le risque de la vulnérabilité applicative vers l’orchestration des actions et la confiance accordée à des contenus tiers.

Sur le plan technique, les contrôles habituels du navigateur ne suffisent pas. Il faut traiter l’agent comme un nouveau type d’identité applicative : lui appliquer le principe du moindre privilège, journaliser chaque action, isoler ses capacités d’exécution et surveiller ses exfiltrations. Les mécanismes d’interface de programmation d’application (API) exposés aux agents doivent être bornés par des politiques d’accès, des quotas, des listes d’autorisation et des validations explicites pour toute action sensible.

Sur le plan conformité, les traitements de données personnelles via agent doivent être documentés, justifiés par une base légale, minimisés, et assortis de durées de conservation maîtrisées. Si les traitements ou inférences se font hors de l’Union européenne, il faudra des garanties de transfert conformes au RGPD.

Sur le plan contractuel, la bascule vers des agents impose de revisiter le contrat de niveau de service (SLA), les clauses de responsabilité et d’indemnisation, la propriété des données et les engagements de conformité AI Act/RGPD. Les contrats standard des éditeurs tendent à plafonner la responsabilité à des montants faibles par rapport aux risques d’usage : une renégociation ciblée est nécessaire pour sécuriser les cas d’usage critiques et obtenir des engagements vérifiables (journaux d’audit, mécanisme d’arrêt d’urgence, délais de correction).

Points de vigilance pour un déploiement responsable:

  • Gouvernance: cadrer les cas d’usage autorisés, définir les rôles, valider un plan de gestion des risques aligné sur le cadre du NIST et la norme ISO/IEC 42001.
  • Accès: appliquer le moindre privilège, tokens à durée limitée, délégations temporaires, périmètres d’API stricts, révocation centralisée.
  • Isolation: bac à sable (sandbox) d’exécution, microsegmentation réseau, limitation d’egress, politiques d’accès dynamiques.
  • Supervision: journaux signés et horodatés, détection d’anomalies, règles de prévention des fuites de données (DLP), tests d’intrusion spécifiques aux agents.
  • Conformité: analyse d’impact RGPD, documentation AI Act, traçabilité des décisions, processus de recours humain sur actions sensibles.
  • Contrats: clauses sur prompt injection, engagement de sécurité mesurable, propriété/usage des données, droit d’audit, mécanisme d’arrêt d’urgence.

Décryptage : pourquoi les protections classiques ne suffisent pas, et comment y répondre

Les navigateurs traditionnels rendaient le contenu et exécutaient du code côté client ; les agents, eux, interprètent des instructions en langage naturel et planifient des actions. La frontière entre données et commandes devient poreuse : un texte lu par un LLM peut être perçu comme une instruction. C’est la nature même de la prompt injection, documentée par OWASP et par les guides de Microsoft, et qui échappe aux filtres habituels de sécurité applicative.

Côté entreprises, il faut accepter qu’il n’existe pas de protection parfaite contre la prompt injection aujourd’hui. La stratégie gagnante est la défense en profondeur et la limitation du rayon d’impact. Sur l’identité, traitez l’agent comme un compte sensible : provisioning formalisé, séparation des environnements, accès time-boxés, revue périodique. Sur l’exécution, isolez l’agent dans un bac à sable (sandbox) avec un réseau contraint, bloquez par défaut l’accès à des domaines à risque, exigez des confirmations humaines pour publier, acheter, transférer ou supprimer.

Dès la conception, découpez les capacités de l’agent en outils restreints, chacun exposant une interface de programmation d’application (API) à faible portée. Par exemple, un module qui ne peut que lire des métadonnées d’agenda n’a pas besoin d’écrire ni de partager ; un module de paiement ne doit jamais voir une base de contacts. Toute élévation de privilège doit être justifiée, tracée et temporaire.

Le parcours d’audit doit être irréprochable : journaux immuables, corrélation entre action de l’agent et contexte (source, contenu lu, justification), alertes en temps réel en cas de déviation. Une prévention des fuites de données (DLP) adaptée aux flux de l’agent est essentielle pour détecter encodages discrets et exfiltrations vers des domaines non approuvés. Les tests doivent inclure des red teams spécialisées, des corpus d’attaques textuelles et multimodales, et des scénarios d’ingénierie sociale.

Pour l’encadrement réglementaire, classez les cas d’usage : assistance à la lecture et à la synthèse (risque plus faible) versus actions financières, RH ou santé (risque élevé). Les cas risqués exigent un dossier de gestion des risques AI Act, une analyse d’impact RGPD, des mécanismes de supervision humaine et des plans de surveillance post-déploiement. Pour les métiers, traduisez cela en politiques d’usage simples : qui peut lancer un agent, sur quel type de données, avec quel niveau d’autonomie et quelle revue humaine obligatoire.

Le contenu contractuel doit évoluer en conséquence. Exigez des indicateurs de sécurité spécifiques aux agents dans le contrat de niveau de service (SLA) : taux de blocage des tentatives d’injection, délais de correction, fréquence de red team, publication des notes de version sécurité. Prévoyez un droit d’audit technique, la fourniture de journaux détaillés, un bouton d’arrêt d’urgence et une notification rapide en cas d’incident.

Enfin, appuyez-vous sur des référentiels reconnus. Le cadre Adversarial Threat Landscape for Artificial-Intelligence Systems (MITRE ATLAS) aide à cartographier les tactiques d’attaque propres aux systèmes IA et à définir des contrôles associés ( MITRE ATLAS ). Le Top 10 des LLM d’OWASP fournit une check-list des failles les plus probables et des contre-mesures minimales. En combinant ces référentiels avec le cadre de gestion des risques du NIST et la norme ISO/IEC 42001, vous obtenez une ossature robuste de pilotage des risques.

Décider en 90 jours : une trajectoire réaliste et actionnable

Concrètement, segmentez la décision en trois temps. Jours 0–30 : inventaire des agents et connecteurs existants, cartographie des données et des interfaces, politique d’accès par défaut restrictive, démarrage des journaux d’audit et d’une veille sécurité dédiée. Jours 31–60 : bac à sable (sandbox) pour les pilotes, confirmations humaines obligatoires sur les actions sensibles, tests d’injection structurés, déploiement d’alertes DLP et de blocages d’egress. Jours 61–90 : cadrage contractuel final (SLA, responsabilités, droit d’audit, conformité AI Act/RGPD), go/no-go par cas d’usage, plan de surveillance continue et de réponse à incident.

Dans cette fenêtre, gardez en tête trois principes : démarrer petit avec des cas à faible impact, mesurer objectivement la sécurité et l’utilité, et n’accorder l’autonomie que lorsque les preuves sont là. Les gains de productivité existent, mais ils se capturent durablement avec une gouvernance ferme, des garde-fous techniques explicites et des contrats qui alignent responsabilités et contrôle.

En bref : adopter sans s’exposer

  • Les navigateurs à agents réinventent l’expérience, mais aussi la menace. La prompt injection n’est pas un bug isolé : c’est un risque de conception qu’il faut contenir.
  • Pour l’entreprise, la priorité est double : limiter les privilèges et l’impact des agents, et verrouiller contrats et conformité AI Act/RGPD.
  • La bonne approche tient en trois mots : gouverner, isoler, superviser. C’est la condition pour décider sereinement du déploiement dans les 90 jours.
Logo carre - BGTconsult.AI

Avatar photo
Grégoire Sillard

Directeur de production

Grégoire Sillard, directeur de production chez BGT, conjugue 15 ans d'expertise en projets digitaux avec sa passion pour l'IA. Animé par une curiosité insatiable pour la technologie, il s'attache à réinventer la créativité et l'efficacité en entreprise à travers l'intelligence artificielle.

Publications similaires