Créer un registre des agents : le filet de sécurité le plus simple pour l'IA agentique au travail

Qu'est-ce qu'un registre des agents ?

Un registre des agents est une source unique d'informations fiables pour chaque assistant IA de votre organisation : qui en est le propriétaire, ce qu'il est autorisé à faire et les garde-fous qui l'entourent. Si vous ne devez faire qu'une seule chose pour réduire les risques liés aux agents ce trimestre, faites cela. Considérez-le comme un mélange entre un annuaire du personnel et une liste d'autorisations.

Pourquoi en avez-vous besoin ?

Sans lui, les agents « utiles » peuvent discrètement augmenter en nombre, en portée et en risque. Grâce à lui, les dirigeants peuvent répondre en un coup d'œil à des questions telles que : qui gère chaque agent, pourquoi il existe, quelles données il peut traiter et quand un humain doit approuver des tâches sensibles.

Les 10 champs essentiels

1. Nom de l'agent : rendez-le lisible par l'homme (par exemple, « FinanceBot – Rapports de paie »).

2. Objectif commercial – en une phrase : quel résultat fournit-il ?

3. Propriétaire (personne et équipe) – qui est responsable au quotidien.

4. Données auxquelles il peut accéder – niveaux simples : public / interne / sensible.

5. Actions autorisées – lire, créer, mettre à jour, exporter (être explicite au sujet de l'exportation).

6. Où il peut envoyer les résultats – groupes de messagerie, dossiers, systèmes (les nommer).

7. Transferts : peut-il demander de l'aide à d'autres agents ? Si oui, lesquels et pour quoi.

8. Quand un humain doit approuver : par exemple, toute exportation de données sensibles ou tout transfert entre agents.

9. Couverture de la journalisation : confirmez qu'il enregistre qui a demandé, quel plan a été établi, quel outil a été utilisé et combien d'enregistrements ont été touchés.

10. Cycle de vie et révision : pilote / production / retiré ; date de la dernière révision ; date de la prochaine révision.

    
    

Bon à savoir : modèle/fournisseur, version, emplacement d'hébergement, ID du compte de service, niveau de risque (faible/moyen/élevé).

Exemple rapide d'entrée

• Nom de l'agent : FinanceBot – Rapports sur les salaires

• Objectif commercial : envoie un résumé mensuel des effectifs au service financier.

• Propriétaire : Pat Lee (opérations financières)

• Données : internes (tableaux récapitulatifs HRIS uniquement)

• Actions autorisées : lecture du récapitulatif HRIS ; pas d'exportation de la paie complète ; envoi par e-mail de la liste Finance-Metrics uniquement

• Transferts : peut demander à TriageBot de mettre de l'ordre dans les fichiers CSV ; ne peut pas demander à FinOps d'effectuer des exportations

• Approbation humaine requise : toute demande concernant des données sensibles ou tout nouveau destinataire

• Journalisation : plans + appels d'outils + destinataires enregistrés ; nombre de lignes capturé

• Cycle de vie et révision : Production ; révisé le 01/02/2026 ; prochaine révision le 01/05/2026

Comment mettre cela en place en une semaine :

Jours 1 et 2 : inventaire.

Demandez à chaque équipe de dresser la liste des agents qu'elle utilise en trois points : nom, objectif, propriétaire.

Jours 3 et 4 : remplissez les 10 champs.

Utilisez des termes simples ; si un champ semble « trop technique », reformulez-le en termes commerciaux.

Jour 5 : ajoutez deux garde-fous.

• Toute exportation de données sensibles nécessite un clic humain.

• Tout transfert d'agent à agent doit être structuré (pas de messages en texte libre).

Jours 6-7 : révision et publication.

Partagez le registre en interne ; ajoutez une révision mensuelle de 30 minutes avec les propriétaires pour le maintenir à jour.

Les signaux d'alerte que votre registre devrait révéler

• Les agents sans propriétaire clairement identifié.

• Les agents qui peuvent exporter des données mais qui ne disposent d'aucune étape d'approbation.

• Les agents qui peuvent envoyer des messages à d'autres agents librement (sans structure).

• Les sorties vers de larges listes de diffusion « au cas où ».

• Les « pilotes temporaires » qui sont devenus permanents d'une manière ou d'une autre.

Qui fait quoi

• Cadres : approuver la politique selon laquelle chaque agent doit être inscrit dans le registre avant de pouvoir l'utiliser.

• Responsables : maintenir à jour les entrées de votre équipe ; les examiner tous les trimestres.

• Personnel de première ligne : demander des modifications via un simple formulaire (« nous avons besoin que cet agent envoie un e-mail au fournisseur X — pourquoi ? »).

• Informatique/Sécurité : appliquez les deux garde-fous ci-dessus et assurez-vous que les journaux racontent l'histoire, et pas seulement le résultat.

Restez aligné (léger, pas bureaucratique)

Si vous suivez déjà des cadres tels que NIST (gouverner → cartographier → mesurer → gérer) ou si vous vous inspirez des scénarios MITRE ou du thème « agence excessive » dans OWASP, votre registre d'agents est l'endroit où ces idées deviennent une page de réalité pratique.