Connect with us

Le changement architectural requis pour gouverner les agents IA

Leaders d’opinion

Le changement architectural requis pour gouverner les agents IA

mm
Published
A photorealistic widescreen image of a technician viewed from behind, seated at a dark command center with multiple monitors. A large glass wall in front of him displays a complex, glowing architectural blueprint made of blue and green light. The hologram features intricate pathways, interconnected nodes, and two small silhouettes of figures standing together, representing a human and an AI

L’IA n’est plus seulement un chatbot qui génère du texte. Dans les environnements d’entreprise, les agents IA effectuent des actions telles que la récupération de données sensibles, le déclenchement de flux de travail, l’appel d’outils et la journalisation d’activités à travers les systèmes. L’autonomie change entièrement la discussion sur la gouvernance ; les contrôles et les procédures initialement conçus pour les utilisateurs humains et les applications traditionnelles n’ont pas été conçus pour gouverner les logiciels qui peuvent exécuter des actions multétapes à l’exécution.

Le risque n’est pas théorique. De petites lacunes dans la visibilité, le contrôle d’accès et la traçabilité peuvent s’accumuler rapidement, se transformant en défaillances à l’exécution qui sont difficiles à détecter et encore plus difficiles à inverser.

Pour suivre ce nouvelle ère, la gouvernance des agents IA ne peut pas se faire en ajoutant plus de documents de politique. Cela nécessite une gouvernance par conception : une approche architecturale dans laquelle les contrôles sont intégrés dans le plan de contrôle et appliqués en continu à l’exécution. Si les agents doivent agir comme des collègues numériques, ils doivent hériter des mêmes garde-fous d’entreprise que les humains, ainsi que d’une surveillance plus forte à l’exécution.

Pourquoi la gouvernance échoue à l’ère de la convergence

L’architecture d’entreprise est entrée dans une ère de convergence. Les données et les charges de travail s’étendent maintenant sur plusieurs nuages, centres de données privés et environnements de bord.

Il existe des organisations qui exécutent leurs plateformes dans des systèmes parallèles car elles ont plusieurs processus à gérer simultanément. Cela inclut des systèmes d’identité séparés, des pipelines de journalisation, des catalogues et des processus approuvés. Le résultat est ce que certains appellent une « plateforme Frankenstein », où la charge d’intégration augmente avec chaque nouvel outil ou environnement de nuage. En fait, cette fragmentation se manifeste dans la réalité quotidienne.

Selon une enquête récente, 47 % des répondants citent des exigences d’accès compliquées et des processus, et 44 % citent une visibilité limitée sur l’emplacement des données comme des obstacles à l’utilisation efficace des données.

C’est exactement là que les agents exposent les coutures entre les systèmes.

Pour répondre à une question commerciale, un agent peut devoir extraire des données d’un système ERP sur site, d’un CRM dans le nuage, d’une télémétrie opérationnelle dans un autre nuage et de documents dans un ensemble de collaboration. Si l’organisation applique la politique de manière différente dans chaque endroit, l’agent échouera ou, pire, réussira de manière que vous ne pouvez pas expliquer ou contrôler.

C’est le moment où les dirigeants d’entreprise doivent prêter attention. Les agents obligent à un niveau plus élevé qui exige de la cohérence entre les environnements et de la responsabilité à l’exécution.

La gouvernance, pour cette raison, est mise en avant par les régulateurs et les agences de sécurité. Un exemple de cela est le cadre de gestion des risques IA du NIST, qui met l’accent sur la gestion des risques tout au long du cycle de vie de l’IA, et non seulement au moment de la construction. C’est un rappel que la conformité et la confiance sont des responsabilités opérationnelles, et non des listes de vérification à usage unique.

De la politique à la plateforme

La gouvernance par conception signifie que la gouvernance accompagne la charge de travail plutôt que d’être réimplémentée dans chaque silo. Dans la pratique, cela repose sur trois éléments de base :

  • Un plan de contrôle unifié

Un endroit pour définir et appliquer l’identité, l’accès, la politique, les catalogues et les droits sur les nuages et les centres de données.

L’objectif est d’écrire des politiques une seule fois et de les appliquer partout où les données et les modèles s’exécutent, plutôt que de reconstruire les systèmes de contrôle système par système. Cela empêche le dérive du comportement de l’agent, où le même agent se comporte de manière sûre dans un environnement mais de manière dangereuse dans un autre.

Un test pratique est simple : si un utilisateur ne peut pas accéder à une colonne, vérifiez que l’agent agissant en son nom ne peut pas non plus y accéder. Cela devrait indiquer si les politiques écrites sont appliquées sur tout le plan.

  • Un tissu de données ancré dans les normes ouvertes

Les agents ont besoin de contexte pour fonctionner. Lorsque ce contexte est réparti sur différentes structures appartenant à différentes équipes, un tissu de données aide à normaliser les sémantiques et les modèles d’accès, de sorte que les agents n’aient pas à apprendre un nouveau ensemble de règles pour chaque ensemble de données.

Les formats de table ouverts comme Apache Iceberg soutiennent cela en permettant à plusieurs moteurs de partager les mêmes données gérées sans les copier dans un nouveau silo. C’est important car la duplication des données est là où la gouvernance échoue généralement. Une fois que les équipes commencent à copier « juste ce dont l’agent a besoin », vous avez créé un nouvel environnement moins géré.

Si les agents peuvent fonctionner sur des ensembles de données sans introduire de nouvelles failles de permission, la gouvernance fonctionne comme prévu.

  • Une observabilité et une lignée en temps réel

Les agents ne sont gouvernables que si vous pouvez voir ce qu’ils font à l’exécution.

L’observabilité ici n’est pas seulement un « agréable à avoir », mais constitue la base des contrôles à l’exécution et de la réponse aux incidents.

Plus précisément, il faut avoir une preuve complète des actions des agents. Les agents doivent être en mesure de prouver les actions, telles que les données auxquelles ils ont accédé et les outils qu’ils ont appelés, et à partir de là, la lignée peut relier les sorties aux entrées. Cela permet aux équipes d’auditer ces décisions et de dépanner les défaillances, si nécessaire, prouvant ainsi la conformité globale.

Traiter les agents comme des « collègues numériques »

L’un des modèles mentaux les plus utiles est de traiter les agents comme des collègues numériques.

Voici une comparaison qui le décompose : tout comme les employés ont des badges d’accès qui leur permettent d’entrer dans certains bâtiments et salles, mais pas d’autres, la gouvernance permet aux agents d’avoir un accès avec des restrictions. Une clé additionnelle est que les agents doivent être conscients de la situation de ce qu’ils sont autorisés à révéler.

Considérez un agent de support. Il peut avoir besoin d’accéder à des cas de support précédents pour résoudre un problème, mais il ne peut pas divulguer des détails privés d’un autre client pendant ce processus. Pour dire les choses autrement, l’agent peut utiliser des connaissances restreintes pour raisonner, mais il a encore besoin d’appliquer les limites de divulgation. Ce n’est pas un problème d’« écriture de invites » que nous avons historiquement su naviguer ; il s’agit plutôt d’un problème d’identité et d’application à l’exécution.

Ce qui change en 2026 : les agents passent des expériences à la production

2026 est l’année où les expériences se terminent et où les agents prennent place dans la production.

Ce changement oblige les entreprises à fonctionner à deux vitesses. L’une est la vitesse de l’innovation, où les équipes testent de nouveaux modèles, outils et flux de travail d’agents pour obtenir un avantage concurrentiel. Et l’autre est la vitesse de la sécurité, où les systèmes doivent répondre aux exigences de conformité et opérationnelles, qui peuvent inclure des contrôles d’accès stricts et des angles morts.

Sans une gouvernance architecturale établie, ces deux vitesses entreront en conflit.

Si les équipes déployeront ces agents avant qu’ils ne soient gérés, il y aura un patchwork de contrôles et de défaillances opérationnelles uniques. Et si le contraire se produit, vous obtiendrez un mode de défaillance dans lequel la sécurité bloque tout, et l’innovation passe à l’IT de l’ombre, sapant la gouvernance.

L’objectif n’est pas de choisir une vitesse. Il s’agit de construire une architecture qui prend en charge les deux.

Une liste de contrôle pratique pour la gouvernance des agents à l’exécution

  • Si vous construisez ou mettez à l’échelle des agents, il est impératif de vous poser les questions suivantes pour révéler si la gouvernance est vraiment architecturale : Pouvez-vous expliquer, de bout en bout, quelles données un agent a accédé pour produire une réponse ou effectuer une action ?
  • Les décisions d’accès sont-elles cohérentes sur des environnements hybrides, ou diffèrent-elles par plateforme ?
  • Avez-vous des télémesures pour les actions des agents, y compris les appels d’outils, les vérifications de politique et les escalades humaines ?
  • Pouvez-vous réguler, suspendre ou mettre en quarantaine un agent à l’exécution s’il se comporte de manière inattendue ?
  • Avez-vous un plan de surveillance post-déploiement qui correspond à vos obligations réglementaires et à votre appétit pour le risque ?

Si vous ne pouvez pas répondre à ces questions, traitez votre déploiement d’agent comme un incident de production qui attend de se produire.

Le changement de gouvernance doit être architectural, sinon il n’existe pas

Les agents deviendront une addition standard aux opérations d’entreprise. La question est de savoir s’ils deviendront une partie fiable des opérations d’entreprise.

Si les agents ne sont pas gérés avec au moins autant de confiance que les humains et les logiciels critiques pour la mission, les conséquences seront réelles. Nous verrons ces répercussions dans les fuites de données, les défaillances de conformité, les pannes opérationnelles et la perte de confiance dans les programmes d’IA.

Les dirigeants doivent cesser de traiter la gouvernance des agents comme un exercice de documentation. À mesure que les capacités de plateforme s’étendent, la gouvernance des agents devrait être l’une de celles qui prend en charge la surveillance des autres rôles. Cela signifie intégrer les contrôles dans le plan de contrôle, rendre les actions observables et les décisions auditable. Et puis mettre à l’échelle.

C’est ainsi que vous obtenez des agents qui bougent rapidement sans casser l’entreprise.

Related Topics:
mm

Sergio Gago est le CTO de Cloudera, apportant plus de 20 ans d'expérience dans l'IA/ML, l'informatique quantique et les architectures axées sur les données. Précédemment directeur général de l'IA/ML et de la quantique chez Moody’s Analytics, il a également occupé des rôles de CTO chez Rakuten, Qapacity et Zinio. Sergio est un fervent défenseur d'une infrastructure de données de confiance, croyant que l'IA évoluera en système d'exploitation de l'entreprise d'ici 2030.