Un agent IA qui se contente de discuter n'est qu'un chatbot bavard. Ce qui le rend utile, c'est le jour où il accède à vos e-mails, votre agenda, vos fichiers ou votre CRM — et agit à votre place. Mais chaque accès que vous lui accordez est une clé remise à un système que vous ne contrôlez pas entièrement. Bien connecté, l'agent vous fait gagner des heures. Mal connecté, il devient une porte d'entrée vers vos données. Voici comment lui ouvrir les bonnes portes, et garder la main sur celles qui engagent.
Un agent utile est un agent connecté
Sous le capot, tous les grands assistants fonctionnent de la même façon. Le mécanisme s'appelle function calling chez les uns, tool use chez les autres, mais le principe est identique (Fig. 1) : face à votre demande, le modèle décide qu'il a besoin d'un outil, émet un appel structuré (« lis ce dossier », « envoie ce message »), un connecteur l'exécute sur vos systèmes, puis lui renvoie le résultat. L'agent enchaîne ainsi les étapes jusqu'à accomplir la tâche.
En pratique, cet accès prend la forme de connecteurs prêts à l'emploi. ChatGPT les regroupe désormais sous le nom d'« apps » (un renommage de fin 2025) ; Gemini parle de « Workspace apps » (ex-« extensions »), disponibles depuis mai 2025 selon la licence et l'accord de l'administrateur ; Claude propose un annuaire de connecteurs. Bonne nouvelle de fond : un standard ouvert de connexion s'est imposé, adopté par plusieurs éditeurs, ce qui limite l'enfermement. Et sur les offres entreprise, les données consultées via un connecteur ne servent pas, par défaut, à entraîner le modèle. C'est le prolongement direct de ce qui distingue un agent d'un assistant qui se contente de répondre : l'action a un prix, on l'a vu pour le coût réel d'un agent ; elle a aussi une surface de risque.
Donner une clé, c'est ouvrir une porte
Trois portes méritent une vigilance particulière (Fig. 2), et elles portent des noms précis dans les référentiels de sécurité. Le cadre de référence sur les risques des applications à base de modèles de langage — l'OWASP, dans son édition 2025 — les classe parmi ses dix premières menaces.
La première est la sur-permission, ce que l'OWASP nomme « agentivité excessive » : on donne à l'agent plus de droits que la tâche n'en exige — un accès en écriture à toute la boîte mail alors qu'il devait seulement lire un dossier. La deuxième est plus insidieuse.
Un agent lit tout ce qu'on lui donne — et il ne distingue pas toujours vos instructions de celles cachées dans un document. C'est l'injection de prompt indirecte : un e-mail, une page web ou une fiche contient des consignes dissimulées que l'agent exécute comme si elles venaient de vous. Ce n'est pas théorique. En juin 2025, des chercheurs en sécurité ont dévoilé une faille baptisée « EchoLeak » dans l'assistant IA de la suite bureautique de Microsoft : un simple e-mail piégé suffisait à lui faire exfiltrer des données internes sans aucune action volontaire de la victime — l'attaque se déclenchait au fil d'un usage normal de l'assistant. Microsoft l'a classée critique et corrigée côté serveur. Quelques mois plus tard, un scénario jumeau — « ForcedLeak » — a visé l'agent de Salesforce : des instructions cachées dans le champ d'un formulaire de contact détournaient l'agent pour extraire des données du CRM. Salesforce a colmaté la brèche. Même mécanique dans les deux cas : une donnée connectée pilote l'agent qui, lui, a les droits.
La troisième porte est celle des actions irréversibles. Un message envoyé, un paiement validé, un fichier supprimé ne se rattrapent pas d'un clic. Plus l'agent est autonome, plus une erreur — la sienne, ou celle qu'on lui a soufflée — se propage vite. C'est le vieux problème du « délégué confus » : un système à qui l'on a confié une forte autorité peut être manœuvré pour en abuser.
La règle d'or : le moindre privilège
La bonne question n'est pas « à quoi puis-je connecter l'agent ? » mais « de quel accès minimal a-t-il vraiment besoin ? ». Ce principe du moindre privilège n'a rien de nouveau : il structure la sécurité informatique depuis des décennies (le NIST le formalise pour tout processus agissant au nom d'un utilisateur). Cinq réflexes le rendent concret.
- Lecture seule par défaut. Accordez le périmètre le plus étroit — un dossier, pas tout le disque ; consulter, pas modifier. Les autorisations d'accès (les scopes) existent pour ça : on ouvre l'écriture seulement quand elle est indispensable.
- Une validation humaine avant toute écriture. Pour tout ce qui envoie, paie, supprime ou publie, gardez un feu vert humain. Beaucoup de produits présentent déjà une étape de permission ; exigez-la pour les actions à fort impact plutôt que de tout laisser filer.
- Traitez le contenu externe comme non fiable. Un e-mail, une page, un fichier n'ont pas à redéfinir ce que l'agent a le droit de faire. Les droits se règlent en amont, jamais au fil de ce que l'agent lit.
- Gardez une trace. Journalisez les actions de l'agent et surveillez-les. Sans historique, une dérive passe inaperçue — et vous ne pouvez ni la comprendre ni la corriger.
- Rien de confidentiel dans un outil grand public. Données personnelles, dossiers clients, secrets : réservez-les aux offres professionnelles qui n'entraînent pas le modèle, et vérifiez qu'une analyse d'impact (une AIPD, selon la CNIL) n'est pas requise.
Le droit va d'ailleurs dans le même sens : le règlement européen sur l'IA impose, pour les usages sensibles, une supervision humaine réelle — pouvoir comprendre, contredire et arrêter l'agent (article 14) — et, dès le 2 août 2026, d'informer qu'on a affaire à une IA quand elle interagit avec des personnes (article 50). Côté données, connecter un agent à vos fichiers, c'est lui faire traiter des données personnelles : la CNIL rappelle les mêmes exigences que partout — base légale, minimisation, sécurité. Pour aller plus loin sur ce cadrage interne, voir comment encadrer l'usage de l'IA dans votre entreprise et comment faire travailler plusieurs agents ensemble sans multiplier les portes ouvertes.
Connecter un agent, c'est un formidable levier : il cesse de parler pour agir. Mais la valeur vient de la maîtrise, pas du nombre de connecteurs. Ne donnez que les clés nécessaires, gardez la main sur ce qui engage, et souvenez-vous qu'un accès se retire aussi vite qu'il se donne.
- Agent = accès + action : via function calling et des connecteurs, il agit sur vos e-mails, fichiers, CRM — pas seulement dans le chat.
- Trois portes à surveiller : sur-permission (agentivité excessive), injection de prompt indirecte (EchoLeak, ForcedLeak), action irréversible.
- Une donnée connectée peut piloter l'agent qui, lui, détient les droits : le contenu externe est toujours non fiable.
- Moindre privilège : lecture seule par défaut, périmètre minimal, validation humaine avant toute écriture, journal des actions.
- Le cadre suit : supervision humaine et transparence (règlement IA), minimisation et AIPD côté données personnelles.
Dans la même série sur les agents : jusqu'où faire confiance à un agent IA, combien coûte vraiment un agent, faire travailler plusieurs agents ensemble. Et côté gouvernance : encadrer l'usage de l'IA dans votre entreprise.
Cette analyse fait partie de notre veille Outils & IA. Pour connecter vos agents sans ouvrir toutes les portes, téléchargez l'Atlas IA 2026 et abonnez-vous à la newsletter AISKILLSPRO.
Au-delà de l'IA, retrouvez nos guides, tutoriels et modules Odoo sur OdooSkills, le blog Odoo ↗ (nouvel onglet).