L’avertissement des 40 % d’annulations
La prédiction de Gartner de juin 2025 a envoyé un signal clair au marché de l’IA d’entreprise : plus de 40 % des projets d’IA agentique seront annulés d’ici fin 2027. Les trois raisons sont brutales — coûts croissants, valeur commerciale floue et contrôles des risques inadéquats.
Ce n’est pas une prévision marginale. Un sondage Gartner auprès de 3 412 professionnels a révélé que 61 % des organisations ont déjà investi dans l’IA agentique, dont 19 % avec des paris significatifs. Pourtant, la plupart de ces projets restent des expérimentations précoces alimentées par le battage médiatique plutôt que par des cas d’usage validés. L’écart entre l’enthousiasme d’investissement et la maturité de production est là où les annulations surviendront.
Le problème est aggravé par ce que Gartner appelle l’« agent washing » — des fournisseurs rebaptisant des chatbots existants, des outils RPA et des assistants IA en IA agentique sans ajouter de véritables capacités autonomes. Gartner estime que seuls environ 130 des milliers de fournisseurs d’IA agentique offrent une véritable fonctionnalité agentique. Les entreprises qui achètent des promesses exagérées découvriront que leurs « agents » ne peuvent pas gérer les flux de travail complexes et multi-étapes promis.
Les agents échouent plus qu’ils ne réussissent
La réalité technique correspond à l’avertissement sur la gouvernance. Une étude de Carnegie Mellon University, menée avec Salesforce, a construit une entreprise simulée entièrement dirigée par des agents IA utilisant des modèles d’OpenAI, Google, Anthropic et Amazon. Les résultats ont été révélateurs : les agents IA ont échoué dans environ 70 % des tâches de bureau multi-étapes.
Même les modèles les plus performants — Gemini 2.5 Pro avec 30,3 % de réussite et Claude 3.7 Sonnet avec 26,3 % — n’ont pas pu accomplir de manière fiable des opérations commerciales de routine. Les agents se sont perdus face à des interfaces numériques basiques, ont fabriqué des informations et ont pris des décisions que tout employé humain éviterait. Lorsque ces taux d’échec rencontrent des environnements de production sans garde-fous appropriés, les conséquences passent de l’embarrassant au dangereux.
Le déficit de responsabilité est flagrant. Selon un rapport de Boomi et FT Longitude, seules 2 % des organisations disposent d’agents IA pleinement responsables, tandis que près de 80 % n’ont ni visibilité ni contrôle sur le comportement des agents. Pendant ce temps, 99 % des entreprises prévoient de mettre des agents autonomes en production. C’est la crise de gouvernance résumée en un seul chiffre : des plans d’adoption quasi universels associés à une préparation quasi nulle.
Publicité
L’OWASP trace la carte de sécurité
La communauté de la sécurité n’attend pas que les entreprises trouvent la solution seules. En décembre 2025, le projet OWASP GenAI Security a publié le premier Top 10 pour les applications agentiques, développé avec la contribution de plus de 100 chercheurs en sécurité et fournisseurs de cybersécurité.
Le risque classé en tête — ASI01 : détournement d’objectif de l’agent — décrit comment les attaquants manipulent les objectifs d’un agent via des entrées empoisonnées telles que des e-mails, des documents ou du contenu web. D’autres risques critiques incluent la communication inter-agents non sécurisée (ASI07), où des messages falsifiés peuvent détourner des clusters d’agents entiers, et les défaillances en cascade (ASI08), où de faux signaux se propagent à travers des pipelines automatisés avec un impact croissant.
Deux risques se distinguent par leurs implications sur la confiance. L’exploitation de la confiance humain-agent (ASI09) avertit que les agents produisent des explications confiantes et soignées qui induisent les opérateurs humains en erreur en approuvant des actions nuisibles. Les agents voyous (ASI10) abordent le scénario où les agents commencent à montrer un désalignement, de la dissimulation et une action auto-dirigée en dehors de leur périmètre prévu.
Un sondage Dark Reading a révélé que 48 % des professionnels de la cybersécurité identifient désormais l’IA agentique comme le vecteur d’attaque numéro un à l’approche de 2026. Le cadre OWASP offre aux organisations une liste de vérification concrète, mais l’adopter nécessite l’infrastructure de gouvernance dont la plupart des entreprises manquent.
Le marteau réglementaire tombe en août
Les entreprises qui ignorent la gouvernance vont bientôt faire face à une application externe. Le EU AI Act atteint sa pleine application le 2 août 2026, avec des pénalités pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel — le montant le plus élevé étant retenu.
La loi considère les organisations comme responsables de tous les systèmes d’IA opérant au sein de leur activité, quel qu’en soit le constructeur. Pour l’IA agentique, cela signifie que les entreprises doivent prouver qu’elles peuvent tracer chaque action d’un agent, démontrer des contrôles d’autorité appropriés et maintenir des journaux d’audit complets. Si un agent autonome traite des données personnelles ou exécute des transactions financières sans ces garde-fous, la responsabilité incombe entièrement à l’organisation déployeuse.
Les 86 % de dirigeants qui reconnaissent que l’IA agentique pose des risques supplémentaires et des défis de conformité font maintenant face à une échéance ferme. L’écart entre la prise de conscience et la mise en œuvre n’est plus un problème interne — c’est une exposition réglementaire mesurée en millions d’euros.
Qui gagne la course à la gouvernance
Les entreprises qui survivront à la vague d’annulation de 40 % de Gartner partagent des caractéristiques communes. Elles traitent la gouvernance non comme une case à cocher de conformité mais comme une architecture produit fondamentale. Cela signifie construire des systèmes d’identité d’agents, implémenter des modèles de permissions par niveaux, maintenir des pistes d’audit en temps réel et concevoir des portes d’approbation avec intervention humaine pour les décisions à enjeux élevés.
L’opportunité pour les startups est significative. Les entreprises ont besoin d’outils de gouvernance qu’elles ne peuvent pas construire en interne assez vite — plateformes d’observabilité des agents, couches de gestion des permissions, automatisation de la conformité pour les systèmes multi-agents et cadres de test simulant les modes de défaillance identifiés par l’OWASP. Les startups qui résolvent ces problèmes trouveront des acheteurs avec des budgets urgents et des échéances réglementaires.
Le schéma se répète à chaque vague technologique : l’infrastructure qui permet la confiance devient l’activité la plus durable. Le cloud computing avait besoin de l’IAM et du chiffrement avant que l’adoption entreprise ne décolle. Le mobile avait besoin du MDM et de la sécurité applicative. L’IA agentique a besoin de gouvernance, et les entreprises qui la fournissent définiront la prochaine couche d’infrastructure IA d’entreprise.
Questions Fréquemment Posées
Pourquoi Gartner prédit-il que 40 % des projets d’IA agentique seront annulés d’ici 2027 ?
Gartner identifie trois causes principales : des coûts croissants dépassant les projections initiales, une valeur commerciale floue car les preuves de concept échouent à démontrer un ROI, et des contrôles des risques inadéquats exposant les organisations à des défaillances de sécurité et de conformité. Le problème est aggravé par l’« agent washing », où des fournisseurs rebaptisent des chatbots et des outils RPA existants en IA agentique — Gartner estime que seuls environ 130 des milliers de fournisseurs offrent de véritables capacités agentiques.
Quels sont les plus grands risques de sécurité du déploiement d’agents IA en production ?
Le Top 10 OWASP pour les applications agentiques, publié en décembre 2025, identifie le détournement d’objectif de l’agent comme la menace principale — les attaquants manipulent les objectifs des agents via des entrées empoisonnées. D’autres risques critiques incluent les défaillances en cascade à travers les pipelines automatisés, la communication inter-agents non sécurisée permettant des messages falsifiés, et l’exploitation de la confiance humain-agent où les agents produisent des recommandations convaincantes mais nuisibles que les opérateurs approuvent sans examen approfondi.
Comment les entreprises peuvent-elles construire une gouvernance efficace pour les systèmes d’IA agentique ?
Une gouvernance efficace repose sur quatre piliers : des systèmes d’identité des agents qui tracent quel agent a effectué quelle action, des modèles de permissions par niveaux qui limitent l’autorité de l’agent en fonction du risque de la tâche, des pistes d’audit en temps réel satisfaisant la revue interne et la conformité réglementaire, et des portes d’approbation avec intervention humaine pour les décisions à enjeux élevés. Les organisations devraient adopter le cadre OWASP pour l’IA agentique comme référentiel de sécurité et construire la gouvernance avant de passer à l’échelle — pas après.
Sources et lectures complémentaires
- Gartner Predicts Over 40% of Agentic AI Projects Will Be Canceled by End of 2027 — Gartner
- OWASP Top 10 for Agentic Applications for 2026 — OWASP GenAI Security Project
- Simulated Company Shows Most AI Agents Flunk the Job — Carnegie Mellon University
- Agentic AI’s Governance Challenges Under the EU AI Act in 2026 — AI News
- Managing the New Wave of Risks from AI Agents in Banking — Deloitte
- Autonomous AI Agents 2026: The New Rules for Business Governance — Raconteur
