Un agent IA qui travaille en continu, c'est séduisant : il enchaîne les étapes, appelle des outils, écrit, envoie, relance — sans que vous ayez à cliquer. Mais un agent laissé seul finit par dériver : il agit sur une donnée fausse, exécute une action qu'on ne lui demandait pas, ou tourne en boucle et fait grimper la facture. La bonne réponse n'est pas de tout surveiller — c'est impossible et vous perdriez le bénéfice. Elle consiste à décider où l'humain valide : quelques nœuds de vérification, bien placés, valent mieux qu'une surveillance de tous les instants.
Pourquoi un agent autonome dérive
Le fonctionnement d'un agent est une boucle : il décompose un objectif en étapes, propose une action, l'exécute, observe le résultat, recommence (Fig. 1). Tant que les étapes sont réversibles — lire un fichier, interroger une base, rédiger un brouillon — le laisser tourner seul ne coûte pas grand-chose. Le problème surgit quand une étape agit sur le monde : envoyer un message, modifier un enregistrement, déclencher un achat. C'est le prolongement direct de ce qu'on disait sur connecter un agent à vos outils et à vos données : dès qu'il peut agir, il peut agir à tort.
Le référentiel de sécurité de l'OWASP a un nom pour ce risque : l'agentivité excessive (excessive agency), classée parmi les principales vulnérabilités des applications à base de grands modèles de langage. Elle naît de trois racines : une fonctionnalité excessive (l'agent a accès à des outils au-delà de son besoin), des permissions excessives (ses outils opèrent avec des droits plus larges que nécessaire) et une autonomie excessive (des actions à fort impact s'exécutent sans humain dans la boucle). Là où l'agent devient dangereux, c'est quand ces trois facteurs se combinent — et un déclencheur suffit.
Trois dérives qui transforment un gain en risque
Le danger n'est pas que l'agent réfléchisse mal en permanence : la plupart du temps, il fait ce qu'on attend. C'est qu'un seul écart, sur une action irréversible, suffit à causer un dégât (Fig. 2). Trois dérives reviennent.
D'abord l'agentivité excessive : un agent doté d'outils ou de droits trop larges peut supprimer, envoyer ou acheter alors que sa tâche ne l'exigeait pas. Ensuite l'action irréversible déclenchée à tort : comme tout grand modèle de langage, un agent est sujet à la « confabulation » — la génération d'un contenu plausible mais divergent du réel, un travers que le NIST décrit comme une conséquence naturelle du mode de génération de ces modèles. Il peut aussi être détourné par une injection de consignes (prompt injection), que l'OWASP classe au premier rang des risques : un texte glissé dans une page ou un document — parfois invisible pour un humain — suffit à faire dévier son comportement et à lui faire exécuter une action non prévue. Sur une opération réversible, ce n'est qu'une gêne ; sur un envoi ou une suppression, c'est un incident. Enfin le coût qui s'emballe : un agent bloqué se relance en boucle, et chaque itération est un appel facturé — un point développé dans combien coûte réellement un agent IA.
Ces trois dérives ont un point commun : elles ne se voient pas tant que l'agent semble « faire son travail ». Un agent qui tourne sans erreur visible peut très bien opérer avec des droits qu'il ne devrait pas avoir.
La méthode : des garde-fous aux bons nœuds
Bien encadré, un agent en continu vous fait gagner un temps réel — à condition de placer les garde-fous là où ils comptent. Quatre leviers suffisent, et aucun ne demande de surveiller l'agent en permanence.
- Limitez les permissions et les scopes. Appliquez le moindre privilège recommandé par l'OWASP : n'accordez que les outils et les droits strictement nécessaires à la tâche. Un agent qui lit une base n'a pas besoin du droit d'y supprimer des lignes.
- Placez des points d'arrêt humains. Laissez tourner les étapes réversibles ; interposez une validation devant chaque action à fort impact ou irréversible. C'est le principe du human-in-the-loop : l'humain aux nœuds, pas partout.
- Journalisez chaque action. Gardez une trace datée de chaque appel d'outil, de ses paramètres et de son résultat. Sans journal, une dérive est indétectable après coup — et impossible à expliquer.
- Fixez un budget et gardez un kill switch. Plafonnez le nombre d'appels, la dépense et la durée ; prévoyez un bouton d'arrêt qui stoppe l'agent immédiatement et le ramène à un état sûr.
Ces garde-fous ne sont pas que de bonnes pratiques. Le règlement européen sur l'IA en fait, pour les systèmes à haut risque, des obligations : son article 14 impose une supervision humaine effective, avec la possibilité d'ignorer, d'annuler ou d'inverser la sortie du système, et d'interrompre celui-ci via un bouton d'« arrêt » — tout en restant conscient du « biais d'automatisation », cette tendance à trop se fier à la machine. Son article 12 impose par ailleurs l'enregistrement automatique des événements tout au long de la vie du système, pour en tracer le fonctionnement. La logique rejoint celle que l'on posait à propos de la confiance qu'on peut accorder à un agent IA : elle se construit sur des preuves vérifiables, pas sur l'impression que « ça marche ». Et quand plusieurs agents travaillent ensemble, les nœuds de contrôle comptent plus encore — voir orchestrer plusieurs agents IA.
Un agent autonome est un formidable renfort : il abat un travail répétitif que personne n'aime faire, en continu, sans se lasser. Mais son autonomie n'a de valeur que si vous savez où elle s'arrête. Avant de le lancer, posez-vous la seule question qui compte : « quelles actions ne doivent jamais s'exécuter sans que je les aie validées ? » La réponse dessine vos nœuds de vérification.
- Un agent seul dérive : il agit à tort, se laisse détourner ou tourne en boucle — l'autonomie totale n'est pas un objectif.
- Agentivité excessive : trop d'outils, trop de droits — appliquez le moindre privilège (OWASP).
- Action irréversible : confabulation ou injection de consignes peuvent déclencher un envoi ou une suppression — validez-la à un point d'arrêt humain.
- Coût qui s'emballe : plafonnez appels, dépense et durée, et gardez un kill switch.
- La règle : superviser, ce n'est pas tout regarder — c'est placer l'humain, le journal et les limites aux bons nœuds (AI Act art. 14 et 12).
Dans la même logique « l'agent agit, vous gardez la main » : connecter un agent à vos outils et à vos données, peut-on faire confiance à un agent IA. Et sur ce que coûte cette autonomie : combien coûte réellement un agent IA.
Cette analyse fait partie de notre veille Outils & IA. Pour encadrer vos agents sans leur céder le volant, téléchargez l'Atlas IA 2026 et abonnez-vous à la newsletter AISKILLSPRO.
Au-delà de l'IA, retrouvez nos guides, tutoriels et modules Odoo sur OdooSkills, le blog Odoo ↗ (nouvel onglet).