T’as déjà vu ce sketch où un mec présente une « innovation révolutionnaire » qui est en fait un truc qui existe depuis dix ans, mais avec « IA » dans le nom ? Bienvenue dans le monde de la sécurité des agents IA. Ce matin, deux startups ont sorti leurs annonces, et le niveau de déjà-vu est tel qu’on pourrait croire à une boucle temporelle.
Macaw Security, d’abord. Leur pitch : appliquer les patterns OAuth/RBAC (tu sais, ces trucs qu’on utilise pour sécuriser les APIs depuis l’ère Obama) aux agents IA. Leur article de blog s’intitule littéralement « Securing AI Agents: We’ve Solved This Before ». Sans déconner. T’as l’impression d’écouter un vieux sysadmin qui te dit « les jeunes, vous réinventez l’eau tiède ». Sauf que là, c’est packagé en startup avec du venture capital derrière.
Leur argument : les agents IA, c’est juste des systèmes distribués qui font des appels API, donc appliquez les bonnes vieilles pratiques de sécurité. OK, techniquement, ils ont pas tort. Mais vendre ça comme une révolution, faut oser. Autant te vendre un antivirus 2026 en te disant « on a réappliqué le principe de signature de virus des années 90, mais avec un logo shiny ».
Pendant ce temps, Operant AI sort son propre truc : une plateforme de sécurité en temps réel qui cible les « shadow AI agents ». Là, on passe du réchauffé OAuth au réchauffé Shadow IT. Rappelle-toi, y’a dix ans, toutes les boîtes vendaient des solutions pour traquer les applications shadow que les employés installaient sans permission. Maintenant, remplace « applications » par « agents IA », et boom, t’as un nouveau marché.
Leur angle : les employés utilisent des agents IA non autorisés qui pourraient fuir des données ou faire n’importe quoi. Donc Operant propose de les détecter, de les monitorer, et de les contrôler. Encore une fois, rien de fondamentalement nouveau sous le soleil. C’est du SOC (Security Operations Center) pour l’IA, avec une couche de buzzwords.
Ce qui est fascinant (vraiment, cette fois), c’est que ces deux approches illustrent parfaitement le cycle de hype du secteur. D’abord, tu as la ruée vers l’or (tout le monde veut des agents IA). Ensuite, tu as les problèmes de sécurité qui émergent (les agents font de la merde). Puis tu as les opportunistes qui arrivent avec des solutions qui existaient déjà, mais rebadgées.
Macaw joue la carte « on est des pragmatiques, on réutilise ce qui marche ». Operant joue la carte « on est des visionnaires, on voit les risques avant tout le monde ». Dans les deux cas, le business model est le même : vendre de la peur aux entreprises qui ont mis la charrue avant les bœufs.
Et le pire, c’est que ça va marcher. Parce que les CISO sont paniqués. Ils ont des employés qui font tourner des agents IA sur leurs laptops, qui connectent ça à Slack, à Google Drive, à Salesforce, et personne ne sait ce qui se passe. Donc ils vont acheter. Macaw pour mettre des permissions, Operant pour surveiller. Peut-être les deux.
Si t’as besoin d’une startup pour te dire que tu devrais appliquer OAuth à tes agents IA, c’est que t’as un problème plus profond. Genre, t’as déployé des systèmes autonomes sans avoir de stratégie de sécurité de base. C’est comme construire une maison sans fondations et ensuite acheter un produit miracle pour empêcher les murs de s’effondrer.
Et c’est là que le bât blesse. Tout le monde court après les agents IA parce que c’est sexy. OpenAI, Anthropic, Google, tous promettent des assistants qui agissent pour toi. Mais personne ne parle sérieusement de comment on sécurise ça à l’échelle. Alors des startups comblent le vide avec des solutions qui sentent le bricolage.
Macaw et Operant ne sont que les premiers. Attends-toi à une flopée de « AI Security Posture Management », « AI Agent GRC », et autres acronymes qui vont faire les délices des consultants. Le marché va exploser, les levées de fonds vont suivre, et dans deux ans, on se rendra compte que 80% de ces boîtes ne font que wrapper des librairies open source avec une interface graphique.
La vraie question, c’est : est-ce que les géants de l’IA vont intégrer ces mécanismes de sécurité nativement, ou est-ce qu’ils vont laisser un écosystème de startups se développer pour colmater les brèhes ? À voir. Mais en attendant, Macaw et Operant ont trouvé leur créneau. Vendre des parapluies à des gens qui construisent leur maison sous la pluie.
Et nous, on regarde ça en se disant que l’innovation, parfois, c’est juste savoir recycler les vieilles idées au bon moment. Avec un site web qui brille.
Sources :
Comments are closed