À mesure que les agents IA assument davantage de responsabilités, la question de la gouvernance devient incontournable. Il ne s'agit pas ici de gouvernance au sens abstrait, mais bien de gouvernance pratique et opérationnelle : qui a autorisé cette action ? À quelles données a-t-on accédé ? Quand cela s'est-il produit, et quel en a été le résultat ? Ce sont là des questions auxquelles les secteurs réglementés ont toujours dû répondre pour leurs employés humains. Désormais, ils doivent y répondre également pour leurs logiciels.
Il s'agit du dernier article d'une série en trois parties consacrée à la gouvernance des agents IA. Les deux premiers articles traitaient de l'accès et de l'identité: comment gérer qui sont vos agents IA et à quoi ils ont accès. Cet article se concentre sur le troisième pilier : mettre en place un contrôle au niveau de la couche d'exécution afin de répondre aux normes rigoureuses des équipes de conformité modernes.
Le déploiement d'agents IA dans des environnements réglementés pose autant un défi en matière de responsabilité qu'un défi technique. Par exemple, le :
- L'équipe de sécurité posera des questions auxquelles vos agents devront répondre
- L'équipe chargée de la conformité demandera les journaux
- Les auditeurs voudront que ces journaux aient un sens
Pour répondre à ces exigences, il faut commencer par considérer le contrôle comme une priorité absolue dès la phase initiale de conception de tout déploiement d'agent.
Inscrivez-vous à notre webinar intitulé «La gestion des agents IA pour la sécurité d'entreprise », diffusé en Amérique du Nord et dans la région EMEA.
Les 3 questions auxquelles tout déploiement devrait répondre
Les cadres de gouvernance portent généralement sur les politiques et les autorisations : qui peut accéder à quoi, et dans quelles conditions. Le contrôle va encore plus loin. En cas de problème, ou si une autorité de régulation le demande, l'organisation doit pouvoir retracer exactement ce qu'ont fait ses agents IA, pourquoi ils l'ont fait, et si ces actions relevaient de leur champ d'action.
Cette reconstruction n'est possible que si le contrôle est intégré dès le départ dans l'architecture d'exécution. Un contrôle efficace des agents d'IA repose sur la capacité à répondre clairement à trois questions fondamentales :
1. Qu'a fait cet agent ?
Une piste d'audit complète consigne l'action spécifique effectuée, le système concerné, l'heure à laquelle elle a été effectuée et le résultat obtenu. Elle indique l'outil utilisé, les paramètres transmis, la réponse reçue et l'action en aval qui a été entreprise.
2. Qui a donné son accord ?
Comme l'expliquait la deuxième partie de cette série, la chaîne d'autorisation doit pouvoir être retracée jusqu'à une personne identifiée. Un agent agissant au nom d'un utilisateur doit transmettre l'identité de ce dernier à chaque système qu'il rencontre, tout au long de la chaîne.
3. Cela relevait-il du champ d'application ?
C'est là que la politique d'accès et l'identité se rejoignent. La piste d'audit doit permettre de vérifier que les actions effectuées étaient autorisées par les politiques définies lors du déploiement, et que tout écart par rapport à ce cadre est immédiatement détectable.
L'adoption d'une architecture qui répond à ces trois questions garantit que vos agents IA fonctionnent dans un cadre de gouvernance solide et transparent.
Pourquoi cela revêt une importance particulière dans les secteurs réglementés
Cambridge & Counties Bank, client de SnapLogic, incarne l'excellence dans les environnements réglementés en veillant à ce que chaque processus automatisé soit entièrement documenté. Les entreprises du secteur des services financiers respectent leurs obligations réglementaires spécifiques en conservant la capacité de retracer chaque décision prise ou prise en charge par des systèmes automatisés.
Lorsque la Cambridge & Counties Bank a étudié le fonctionnement des agents IA au sein de son environnement de données, la traçabilité n’était pas une considération secondaire. Il s’agissait d’une exigence de déploiement. Chaque action d’un agent devait pouvoir être attribuée, ciblée et vérifiée. Pas à terme. Dès le premier jour.
Pour respecter ces normes, il faut disposer d'une infrastructure capable de générer des journaux d'audit détaillés et pertinents au niveau des actions des agents, garantissant ainsi la transparence et la responsabilité dans tous les contextes.
La couche d'exécution fiable
Une gouvernance efficace nécessite une couche intermédiaire entre les agents d'IA et les systèmes d'entreprise auxquels ils accèdent, qui assure le respect des politiques, gère les identités et consigne systématiquement chaque action. Il s'agit de la couche d'exécution, où la gouvernance s'exerce concrètement.
Le serveur MCP de SnapLogic est conçu pour remplir ce rôle. Il garantit le respect systématique de trois principes lors de chaque interaction avec un agent :
- Politique définie lors de la création. Les limites de débit , les restrictions d'adresse IP, les contrôles basés sur les rôles et les autorisations au niveau des outils sont définis lors de la configuration et appliqués à chaque requête. Il n'y a aucune configuration de gouvernance facultative à retenir pour plus tard.
- Propagation de l'identité tout au long du processus. Grâce à la délégation OAuth 2.0, comme expliqué dans la deuxième partie, l'identité de l'utilisateur qui donne son autorisation est transmise avec la requête à tous les systèmes en aval, et pas seulement au premier maillon de la chaîne.
- La journalisation des audits est activée par défaut. Chaque utilisation d'un outil est enregistrée : quel outil a été utilisé, avec quels paramètres, par quel utilisateur et avec quel résultat. Le journal est créé automatiquement, que l'on ait prévu ou non d'en avoir besoin.
Ensemble, ces caractéristiques offrent à des organisations telles que Cambridge & Counties Bank les bases nécessaires pour déployer en toute confiance des agents d'IA dans des environnements réglementés. La couche d'exécution garantit la traçabilité dont l'entreprise a besoin.
Prêt pour l'audit par défaut
Chez SnapLogic, nous affirmons depuis longtemps que l'IA ne doit pas être considérée comme un simple projet technique se déroulant en coulisses. Il en va de même pour l'observabilité et l'auditabilité. Si les journaux n'étaient accessibles qu'aux personnes sachant où les trouver dans notre outil Monitor, leur utilité s'en trouverait limitée. C'est pourquoi nous facilitons également l'exportation de ces journaux d'agents, afin qu'ils puissent être conservés ou corrélés en dehors de la plateforme SnapLogic.
En utilisant des normes ouvertes telles qu'OpenTelemetry, nous permettons aux entreprises de mettre en place et de maintenir, au fil du temps, le niveau de visibilité nécessaire pour instaurer la confiance dans les systèmes d'IA autonomes.
La possibilité de partager les journaux d'événements fournit aux auditeurs les éléments dont ils ont besoin pour valider en toute confiance le déploiement d'agents IA dans des domaines sensibles ou réglementés. Cela leur permet de prendre ces décisions en toute sérénité, sachant que tout comportement inattendu peut être rapidement identifié et suivi longtemps après les faits, y compris tous les aspects mentionnés ci-dessus.
Jeter les bases de la gouvernance de l'IA
Le déploiement d'agents IA dans des environnements réglementés ne se limite pas à des modèles performants et à les workflows bien conçus. Il nécessite un cadre de gouvernance intégré dès le départ à l'architecture, qui englobe l'accès, l'identité et le contrôle au sein d'un ensemble cohérent.
Récapitulons notre parcours vers la gouvernance :
- Accès : les agents ne doivent avoir accès qu'aux systèmes et aux actions dont ils ont besoin. Principe du moindre privilège, appliqué dès la configuration.
- Identité : les agents doivent agir dans le cadre des autorisations déléguées par l'utilisateur, avec une traçabilité totale permettant d'identifier une personne physique.
- Contrôle : chaque action d'un agent doit être consignée, attribuable et vérifiable au regard des politiques définies lors du déploiement.
Chacune de ces caractéristiques dépend de la couche d'exécution qui relie les agents aux systèmes d'entreprise. Une gouvernance qui se limite à la documentation ou à des modèles de politique, plutôt qu'à l'infrastructure elle-même, ne résistera pas à la pression opérationnelle ni au contrôle réglementaire.
Les organisations qui posent ces bases dès le départ sont celles qui seront en mesure de développer leurs programmes d'IA en toute confiance, en tenant compte des audits, de l'élargissement du champ d'application des agents et de l'évolution des exigences de conformité auxquelles l'IA d'entreprise sera inévitablement confrontée. Les mécanismes de contrôle intégrés dès le départ à l'architecture deviennent alors un catalyseur de cette croissance, plutôt qu'un frein.
Rejoignez-nous pour une discussion plus approfondie
Rejoignez mon collègue Matt Sager et moi-même pour une démonstration en direct du fonctionnement concret de cette architecture de gouvernance, illustrée par des exemples concrets tirés de déploiements dans des entreprises soumises à une réglementation. Inscrivez-vous à notre webinar intitulé «Governing AI Agents for Enterprise Security », diffusé en Amérique du Nord et dans la région EMEA.
Cet article fait partie d'une série en trois volets consacrée à la gouvernance des agents :






