88 % des organisations signalent des incidents de sécurité liés aux agents d’IA. La plupart des équipes IT n’ont aucune visibilité lorsque cela se produit.
Mai 2026 | 8 min de lecture
En un coup d’œil
Les chiffres ne sont plus théoriques. En 2026, 88 % des organisations ont signalé des incidents liés aux agents IA, les attaques par injection de prompt ont bondi de 340 %, et 73 % des systèmes IA ont échoué aux audits de sécurité. Les cadres de gouvernance intégrant les risques agents ne sont plus optionnels.
1. Les agents reposent sur la confiance — et les attaquants le savent
Lorsque Microsoft a lancé les agents Copilot Studio en disponibilité générale, l’entreprise a donné aux organisations la possibilité de créer des systèmes IA autonomes capables de lire des documents, d’interroger des données, d’envoyer des e-mails et de déclencher des flux de travail. Ces agents ne se contentent pas de répondre à des instructions : ils agissent en fonction d’elles.
C’est un changement majeur. Un chatbot qui donne une mauvaise réponse est embarrassant. En revanche, les risques liés à l’injection de prompt Microsoft agents sont bien plus graves : un agent qui agit sur la base d’une instruction manipulée peut exfiltrer des données, exécuter des actions non autorisées ou biaiser silencieusement de futures recommandations, sans que l’utilisateur ne s’en aperçoive.
En février 2026, 80 % des entreprises du Fortune 500 utilisaient déjà des agents IA actifs (Microsoft Security Blog). La plupart de ces organisations ne disposent d’aucun cadre pour régir ce à quoi ces agents peuvent accéder, qui peut leur donner des instructions, ou ce qui se passe lorsque l’instruction est malveillante. C’est précisément cette lacune que les attaquants ciblent désormais. Un cadre solide de gouvernance Microsoft 365 constitue le fondement pour y remédier.
2. Injection de prompt Microsoft agents : l’attaque que Microsoft a déjà corrigée deux fois
Une attaque par injection de prompt Microsoft agents se produit lorsqu’une instruction malveillante est intégrée dans un contenu traité par un agent IA, qu’il s’agisse d’un document, d’un e-mail, d’une page web ou d’un champ de données, et que l’agent traite cette instruction comme légitime. L’agent ne sait pas qu’il est manipulé. Il exécute simplement l’instruction reçue.
En 2026, les attaques par injection de prompt ont augmenté de 340 % (Practical DevSecOps). Ce n’est pas un risque théorique. Microsoft a attribué à Copilot Studio la CVE-2026-21520, une vulnérabilité d’injection de prompt Microsoft agents indirecte avec un score CVSS de 7,5, corrigée en janvier 2026. Deux autres CVE critiques, CVE-2026-25592 et CVE-2026-26030, ont été identifiées peu après, permettant toutes deux l’exécution de code à distance via des attaques par injection sur les agents.
RISQUE : L’injection de prompt Microsoft agents permet l’exfiltration de données dans 40 % des attaques réussies liées à l’IA. Les agents ayant accès à Exchange, SharePoint et Teams peuvent être instruits de transmettre des contenus sensibles à des destinataires externes, silencieusement, dans le cadre d’un chemin d’exécution normal.
Une attaque par injection de prompt Microsoft agents indirecte réussie, également appelée attaque par injection de prompt inter-domaines (XPIA), peut instruire un agent d’envoyer des données internes à des destinataires externes, de modifier des enregistrements ou d’élever des permissions, le tout dans le cadre du chemin d’exécution normal. Copilot Studio contient des mécanismes de détection intégrés pour les attaques par prompt utilisateur (UPIA) et les injections inter-domaines (XPIA), et Microsoft a ajouté une protection en quasi-temps réel via l’intégration Defender. Ces contrôles sont utiles, mais n’éliminent pas le risque d’injection de prompt Microsoft agents, en particulier pour les agents personnalisés disposant d’un accès étendu aux données. Consultez la documentation de sécurité Copilot de Microsoft pour connaître l’ensemble des contrôles disponibles.
3. Empoisonnement de la mémoire : quand l’attaque survit à la conversation
La plupart des attaques par injection de prompt Microsoft agents n’affectent que la conversation en cours. L’agent est manipulé, exécute l’instruction, et la session se termine. L’empoisonnement de la mémoire est différent. Il persiste.
En février 2026, Microsoft a publié des résultats identifiant 31 entreprises dont la mémoire IA avait été manipulée via de faux boutons d’interface « Résumer avec l’IA ». Les attaquants ont utilisé ces points d’entrée pour injecter des instructions persistantes dans le stockage mémoire de l’agent, biaisant toutes les interactions futures sans déclencher aucune alerte de sécurité.
« L’empoisonnement de la mémoire survit d’une session à l’autre, biaisant silencieusement les futures recommandations de l’assistant sans que l’utilisateur ne s’en aperçoive. » (Microsoft Security Blog, février 2026)
Pour les organisations utilisant des agents avec une mémoire persistante, les risques d’injection de prompt Microsoft agents constituent un problème de gouvernance à longue traîne. Un agent dont la mémoire a été manipulée peut formuler des recommandations subtilement erronées pendant des semaines ou des mois. Il n’existe pas de piste d’audit par défaut. Pas d’alerte. Le biais est invisible à moins d’un suivi actif. Cela rejoint directement le problème de visibilité de la gouvernance : si vous ne pouvez pas voir ce que font vos agents, vous ne pouvez pas détecter quand ils ont été compromis.
4. Le risque injection de prompt Microsoft agents du « double agent » : quand votre IA travaille contre vous
Le Top 10 OWASP pour les applications agentiques 2026, publié en mars, identifie dix catégories de risques critiques pour les systèmes IA autonomes. Plusieurs correspondent directement aux risques auxquels font face les équipes IT qui utilisent des agents Microsoft 365 Copilot Studio. Le plus significatif est le détournement d’objectif de l’agent : un agent qui a été instruit, via une injection de prompt Microsoft agent sou une manipulation de mémoire, de poursuivre des objectifs différents de ceux prévus par l’utilisateur ou l’organisation.
Les risques d’injection de prompt Microsoft agents sont particulièrement préoccupants, car un agent détourné fonctionne de manière autonome et n’a aucun intervenant humain pour intercepter les instructions malveillantes. Dans un environnement Microsoft 365, cet agent peut avoir accès à Exchange, SharePoint, Teams et Entra ID : le même périmètre d’accès qui le rend utile, et qui le rend dangereux lorsqu’il est compromis.
Le cadre OWASP couvre le détournement d’objectif, le mauvais usage des outils, l’abus d’identité et de privilèges, l’empoisonnement de la mémoire, la communication inter-agents non sécurisée et les défaillances en cascade. Rien de cela n’est théorique. Le propre blog de sécurité de Microsoft a documenté l’exploitation concrète de ces vecteurs en 2026. Le travail de préparation à Copilot qui prépare un tenant au déploiement de Copilot, classification des données, hygiène des accès, gouvernance des licences, prépare également à limiter le rayon d’explosion d’un agent compromis.
5. Ce que le cadre OWASP recommande aux organisations
Le Top 10 OWASP pour les applications agentiques 2026 n’est pas un cadre théorique. C’est une liste validée par des pairs, reconnue mondialement, de risques que les organisations rencontrent déjà. Microsoft a publié des recommandations faisant correspondre les contrôles Copilot Studio au cadre OWASP, mais lire ces recommandations nécessite de comprendre au préalable ce que vous exposez.
Les étapes pratiques que l’OWASP et Microsoft recommandent aux organisations utilisant des agents dans des environnements Microsoft 365 :
- Inventorier tous les agents actifs : savoir ce qui existe, qui l’a créé et à quelles données il peut accéder
- Appliquer des permissions de moindre privilège à chaque agent : les agents ne doivent accéder qu’aux données nécessaires à leur mission définie
- Activer la surveillance Microsoft Defender for Cloud Apps sur l’activité des agents Copilot Studio
- Définir une politique de cycle de vie des agents couvrant la création, la révision périodique et la désactivation
- Auditer régulièrement les mémoires des agents, en particulier pour ceux déployés sur des données sensibles
- Traiter l’injection de prompt comme une surface d’attaque équivalente à l’injection SQL : la tester explicitement
Les risques de sécurité des agents IA Microsoft liés à la gouvernance Copilot sont réels et documentés. La question n’est pas de savoir si votre organisation est exposée. C’est de savoir si vous avez la visibilité nécessaire pour en mesurer l’étendue du risque. Un cadre de gouvernance Microsoft 365 intégrant l’inventaire des agents et l’hygiène des permissions est le point de départ. Consultez la vue d’ensemble des solutions d’audit Microsoft Purview pour les contrôles de journalisation disponibles.
6. La parallèle avec la gouvernance que les équipes IT connaissent déjà
Le problème de sécurité des agents n’est pas nouveau. C’est la reformulation de problèmes que les équipes IT gèrent dans l’espace des licences et des identités depuis des années, avec une vélocité plus élevée et moins de contrôles natifs.
Les licences inutilisées s’accumulent. Les agents inutilisés aussi. Les identifiants périmés survivent aux employés pour lesquels ils ont été créés. Les identités d’agents privilégiées également. Les droits d’accès accordés pour un projet et jamais retirés ont créé des risques d’injection de prompt Microsoft agents lié à la sécurité dans SharePoint. Le même schéma se reproduit dans les déploiements d’agents. Les agents héritent des mêmes défaillances de gouvernance. Ils les exécutent simplement plus vite, et à grande échelle.
Les organisations qui ont déjà établi des disciplines de gouvernance autour de la gestion des licences, de l’hygiène du stockage et du cycle de vie des identités sont mieux positionnées pour étendre ces disciplines à leur infrastructure d’agents. Les contrôles sont les mêmes. Les enjeux sont plus élevés.
Prêt à voir cela dans votre tenant ? Lancez une analyse gratuite de votre environnement M365 avec TeamsFox, sans contrat ni modification de compte. Vous visualiserez votre exposition en 30 minutes.
Conclusion
L’injection de prompt Microsoft agents est documentée. L’empoisonnement de la mémoire est documenté. Le risque de « double agent » est documenté. Le cadre OWASP existe. Microsoft a publié trois CVE sur sa propre plateforme Copilot Studio en moins de six mois. Il ne s’agit pas d’une spéculation sur de futures menaces. C’est une description de l’état actuel.
Les organisations les mieux placées pour gérer le risque de sécurité d’injection de prompt Microsoft agents sont celles qui ont déjà établi les fondations de gouvernance : inventaire des agents, accès de moindre privilège, gestion du cycle de vie et surveillance comportementale. Les disciplines de gouvernance Microsoft 365 qui protègent contre le gaspillage de licences et l’étalement des données sont les mêmes qui protègent contre les agents compromis. Elles passent à l’échelle.
À propos de TeamsFox
TeamsFox GmbH est une plateforme de gestion Microsoft 365 dont le siège est à Düsseldorf, en Allemagne. TeamsFox aide les équipes IT à prendre le contrôle de leur environnement Microsoft 365 : gestion des licences, optimisation du stockage, application de la gouvernance et préparation des tenants au déploiement de Copilot. Les clients enregistrent en moyenne une réduction de 30 % des coûts de licences et de 40 % des dépenses de stockage dès la première année.