Offre émergente

Sécurité des agents IA : cartographier, tester, suivre

Cursor, Claude Code, serveurs MCP, copilots métiers, agents d'orchestration : vos équipes utilisent déjà des automations IA qui agissent à vitesse machine sur vos environnements cloud. Cette page détaille trois offres complémentaires pour comprendre, tester et maintenir dans le temps la sécurité de ces systèmes.

Demander un audit Voir les trois offres

Pourquoi un audit dédié aux agents IA

Les outils classiques de sécurité applicative (Burp Suite, SAST, scanners de dépendances) ne couvrent pas la classe de vulnérabilités la plus exploitable aujourd'hui : celles qui vivent dans la configuration de l'environnement où les agents opèrent, pas dans le code lui-même.

Permissions héritées trop larges

Un agent invoqué depuis un poste de développement hérite régulièrement de tokens AWS, Railway, GitHub ou Stripe avec des permissions de production. Les scopes ne sont presque jamais réduits au minimum nécessaire.

API non conçues pour des consommateurs autonomes

Mutations destructives sans confirmation, absence de soft-delete, opérations non idempotentes : des API parfaitement sécurisées pour un humain deviennent dangereuses quand un agent les appelle en boucle ou par erreur.

Vecteurs spécifiques aux LLM

Injection de prompt indirecte via pages crawlées, tool poisoning sur les serveurs MCP, contamination des réponses d'API tierces, contournement de garde-fous : autant de surfaces qu'un pentest classique ignore.

Accès rapide

Offre 1 · Point d'entrée recommandé

Cartographie agentic

Format : mission courte, typiquement 3 à 5 jours, sans exploitation active.

Cette offre établit un état des lieux exhaustif des agents et outils IA déjà présents dans votre organisation, souvent à l'insu du RSSI. Elle ne teste pas les vulnérabilités : elle les rend visibles, ce qui est généralement suffisant pour décider des actions correctives prioritaires sans engager un pentest complet.

Ce qui est produit

  • AI BOM (AI Bill of Materials) : inventaire des modèles utilisés, frameworks agentic en place, serveurs MCP installés, copilots dans les IDE
  • Matrice IAM par agent : pour chaque automation, le périmètre IAM effectif et la liste explicite des actions les plus dangereuses techniquement atteignables (blast radius)
  • Cartographie des sources de contexte : bases de données interrogées, pages crawlées, API tierces consommées, donc surfaces possibles d'injection de prompt indirecte
  • Liste priorisée de garde-fous manquants : scoping de tokens, isolation staging/prod, confirmations sur actions destructives, journalisation

Pour qui

RSSI ou CTO qui constate que des outils IA prolifèrent dans les équipes sans cadre, ou qui prépare un déploiement plus large et veut poser les bases avant d'investir dans un pentest.

Demander un devis cartographie

Offre 2 · Exploitation active

Pentest agentic

Format : mission complète, périmètre cadré avec vous, livraison sous 3 à 6 semaines selon l'envergure.

Le pentest va au-delà de l'inventaire : il exploite activement les chemins identifiés pour mesurer l'impact réel. Quand un point faible se traduit par une preuve d'exfiltration, de suppression ou de prise de contrôle, la décision de remédiation devient évidente.

Vecteurs testés

  • Escalade via tokens d'agents : récupération de credentials laissés accessibles dans des fichiers, variables d'environnement ou contextes partagés, puis exploitation des permissions IAM associées. Continuité naturelle avec notre audit IAM AWS.
  • Sémantiques d'API destructives : identification et exploitation des endpoints qui déclenchent une suppression irréversible sans confirmation, et démonstration de l'effet en environnement de test contrôlé.
  • Injection de prompt indirecte : placement de contenu hostile dans les sources que l'agent consomme (pages web, réponses d'API tierces, messages d'erreur, tickets) et mesure de ce qu'il devient possible de lui faire faire.
  • Sécurité des serveurs MCP : tool poisoning, rug pull, schéma d'outil mensonger, données empoisonnées renvoyées par un outil légitime, traversée de scope.
  • Isolation staging vs production : vérification que les contextes de développement ne peuvent pas atteindre les ressources de production, ni directement ni par rebond via un agent.
  • Résilience face à une action destructive : isolation effective des sauvegardes, testabilité de leur restauration, capacité d'arrêter un agent compromis avant qu'il termine sa séquence.

Livrables

  • Rapport détaillé avec preuves d'exploitation (captures, requêtes, traces)
  • Synthèse exécutive priorisée par risque résiduel
  • Recommandations actionnables : politiques IAM cibles, snippets Terraform, modifications d'API proposées
  • Retest post-correction inclus dans le forfait

Ressources associées : notre guide SSRF et IMDSv2 · les erreurs IAM les plus fréquentes.

Demander un devis pentest

Offre 3 · Pour organisations en déploiement actif

Suivi continu agentic

Format : abonnement trimestriel ou mensuel, aligné sur le rythme d'ajout de nouveaux outils.

La surface agentic évolue à chaque nouveau tool ajouté, à chaque scope IAM élargi, à chaque serveur MCP installé. Un pentest annuel ne suffit pas. Cette offre fournit le suivi régulier nécessaire pour que la sécurité reste alignée avec l'évolution réelle du système.

Contenu type

  • Revue de tout nouveau tool ou serveur MCP avant mise en production
  • Audit incrémental des nouvelles permissions IAM accordées aux agents
  • Tests ciblés sur les chemins critiques après changement architectural
  • Veille active sur les CVE et incidents agentic publiés, avec lecture appliquée à votre contexte
  • Points réguliers avec votre RSSI ou lead sécurité

Cohérence avec notre offre existante

Ce programme peut être combiné avec notre offre de pentests continus sur le périmètre applicatif classique, pour une couverture complète.

Discuter d'un programme continu

Pourquoi CodiTrust sur ce sujet

Continuité avec notre expertise AWS IAM

La sécurité agentic est avant tout une affaire de permissions cloud mal scopées. Nous auditons les architectures IAM AWS depuis plusieurs années, et les chemins d'escalade que les agents exploitent sont des variations connues des chemins qu'exploite un attaquant humain.

Méthodologie offensive éprouvée

Reconnaissance, cartographie, exploitation contrôlée, preuve d'impact : la démarche est celle de notre méthodologie de pentest web, adaptée aux nouveaux vecteurs. Pas d'outillage propriétaire opaque, pas de sous-traitance, un intervenant unique sur toute la mission.

Questions fréquentes

Idéalement avant le premier déploiement en production. La cartographie est rapide à mener et permet de poser les garde-fous IAM, l'isolation staging/prod et les confirmations sur les actions destructives avant qu'un incident ne les rende coûteux. Si vous utilisez déjà Cursor, Claude Code, un serveur MCP ou un framework agentic en interne, même sur de simples postes de développement, l'audit est urgent : ces outils ont souvent accès à des credentials cloud larges.

Les frameworks agentic principaux (LangChain, LlamaIndex, OpenAI Agents SDK, Anthropic SDK avec tool use, AutoGen, CrewAI) ainsi que les outils du quotidien des équipes dev (Cursor, Claude Code, Windsurf, Copilot Workspace). Les serveurs MCP (Model Context Protocol) sont une cible d'audit à part entière : tool poisoning, rug pull, données empoisonnées dans les réponses d'outils. Les déploiements custom sont également couverts.

Un pentest web traditionnel cible le code applicatif (XSS, SQLi, IDOR, etc.). La sécurité agentic traite d'une question différente : que peut faire un agent IA, légitime ou détourné, avec les permissions qu'on lui a données ? Ce sont deux disciplines complémentaires. Voir notre offre de pentest web pour le périmètre applicatif classique.

Les actions exécutées par des agents IA font partie du périmètre opérationnel à protéger au sens de l'article 21 de NIS2. L'inventaire des agents, la traçabilité de leurs actions et le contrôle de leurs permissions IAM constituent des preuves techniques mobilisables auprès de l'ANSSI ou d'un auditeur ISO. Les livrables sont structurés pour être annexés à un SOC ou un SMSI existant. Voir aussi notre page sur pentest et NIS2.

La Cartographie agentic est le point d'entrée recommandé : courte, peu coûteuse, elle révèle l'essentiel des risques structurels. Le Pentest agentic est pertinent quand des agents sont déjà déployés et qu'il faut prouver la valeur d'exploitation effective des chemins identifiés. Le Suivi continu s'adresse aux organisations qui ajoutent régulièrement de nouveaux outils, scopes ou serveurs MCP et veulent éviter la dérive.

Formation associée

Faire monter vos équipes en autonomie

La formation « Sécuriser vos déploiements d'agents IA » (CT-AISEC-01) reprend les mêmes piliers que cette offre, en un jour, avec 60 % de pratique sur quatre labs vulnérables auto-corrigés. Qualiopi, finançable OPCO.

Voir la formation

Combien d'agents IA agissent sur votre SI sans inventaire ?

Décrivez votre contexte (outils IA en place, stack cloud, périmètre IAM). Réponse sous 24h, et orientation vers l'offre la plus adaptée.

Contacter CodiTrust