BLOG

Les opportunités et les risques des systèmes multi-agents

Miniature de Mark Toler
Mark Toler
Publié le 31 juillet 2025

Imaginez que vous confiez les clés de votre voiture à quelqu’un en lui demandant de faire des courses. Si le magasin est proche et que votre liste est simple, le risque d’erreur reste faible. Mais dès que la tâche devient plus complexe, avec des marques précises, des restrictions alimentaires et un budget strict, la difficulté augmente. Les conséquences d’une mission apparemment banale qui déraille peuvent aller d’achats non autorisés jusqu’à la destruction totale du véhicule.

Beaucoup d’organisations rencontrent actuellement des défis similaires dans le déploiement de leurs agents IA. Concevoir des agents capables d’accomplir toutes les tâches d’un flux de travail à un niveau d’excellence reste coûteux et complexe. De plus, jusqu’à récemment, les échanges entre agents et outils souffraient de l’absence de standards uniformes, un équivalent IA de ce que représente HTTP pour la connexion web.

Découvrez les systèmes multi-agents (MAS), un nouveau paradigme d’IA qui répartit les responsabilités entre plusieurs agents très spécialisés, collaborant pour fournir des résultats plus précis et pertinents. MAS atteint cet objectif en limitant volontairement le champ d’action, l’accès et la formation spécifique de chaque agent, tout en améliorant l’évolutivité grâce à une exécution modulaire des tâches. La promesse des MAS est séduisante, mais quand vous confiez les « clés du château » à l’IA agentique, elle s’accompagne d’un flot de défis en matière de sécurité. Cette promesse cache un risque : l’élargissement des surfaces d’attaque impose de repenser la sécurité, la confiance et la responsabilité au sein des systèmes d’IA agentique.

Que sont les systèmes multi-agents ?

Fondamentalement, MAS est un cadre pour concevoir des systèmes d’IA agentique distribués. Plutôt que de dépendre d’agents d’IA monolithiques qui réalisent de nombreuses tâches de façon sous-optimale, MAS répartit les tâches entre des agents spécialisés dans un ou plusieurs domaines, souvent organisés en hiérarchies ou en groupes de sous-agents. Ces agents agissent de manière autonome tout en coopérant pour atteindre leurs objectifs individuels et communs. Voici les principales catégories d’agents à considérer dans MAS : 

  • Super agents – Orchestrateurs des processus au sein d’un MAS. Leur degré de centralisation dépend du cas d’usage ; certains MAS simples accordent une autonomie équivalente à tous les agents. 
  • Agents de triage – Ce sont des répartiteurs de ressources qui garantissent à chaque agent l’accès aux outils et ressources nécessaires pour accomplir ses tâches efficacement. 
  • Agents gardiens – Validateurs qui assurent la responsabilité en vérifiant la précision des résultats et en garantissant que l’intention de l’utilisateur est respectée. 

Pourquoi le MAS devient-il soudainement viable ?

Le concept de système distribué ou de panel d’experts n’est pas nouveau, mais jusqu’à présent, la communication entre agents d’IA manquait de standards uniformes pour être viable. Avec le Model Context Protocol (MCP) d’Anthropic, l’accès aux données et aux outils sur des sources structurées repose désormais sur une norme universelle. Par ailleurs, grâce au framework Agent-to-Agent (A2A) de Google, les agents d’IA disposent d’un cadre indépendant du modèle pour communiquer en langage naturel entre eux. Pour faire simple, MCP désigne la communication agent-vers-données, tandis que A2A correspond à la communication agent-à-agent.

Trois raisons qui font de l'adoption du MAS une étape incontournable

Les principaux freins à un retour sur investissement positif avec l'IA autonome sont la précision, le coût et la capacité à monter en charge. Le MAS, malgré les complexités qu’il engendrera, représente l’une des meilleures solutions pour optimiser ces trois aspects :

  1. Précision – Les agents spécialisés apportent une couche modulaire qui réduit les risques et garantit la qualité, adaptable selon vos besoins opérationnels. En limitant la responsabilité de chaque agent, le MAS diminue les risques d’hallucinations ou de mauvaises interprétations par rapport aux modèles monolithiques (Yang et al., 2025).
  2. Coût – Même si les coûts de formation de plusieurs agents spécialisés par rapport à un agent généraliste peuvent varier, nous limitons probablement le coût de l'inférence dans un environnement MAS distribué grâce à un taux plus faible de redondance et de surtraitement (Gandhi, Patwardhan, Vig, & Shroff, 2024).
  3. Évolutivité – MAS révolutionne la montée en charge dans les écosystèmes d’IA. Au lieu de remplacer ou de réentraîner des systèmes entiers, vous pouvez ajouter des agents de façon modulaire pour répondre aux nouvelles exigences métier tout en maîtrisant les coûts

Quand MAS fonctionne parfaitement

Utilisons le schéma ci-dessous pour analyser un cas d’usage hypothétique. Vous êtes conseiller financier et votre cliente Alice souhaite recevoir des rapports personnalisés sur la performance de son portefeuille.

Le super agent reçoit la requête, définit l’objectif global, puis fait appel à l’agent de triage pour identifier les ressources nécessaires. L’agent de triage ou le moteur basé sur des règles décide d’interroger l’agent CRM pour le contexte spécifique à l’utilisateur, l’agent de localisation pour le pays ou la région d’Alice, ainsi que l’agent de portefeuille pour les données de la plateforme de trading. L’agent de conformité vérifie les données et outils autorisés pour cette tâche avant que l’agent de triage ne lance ces appels.

schéma du secteur public

Les systèmes multi-agents se généralisent pour la même raison qui pousse la plupart des organisations à choisir des environnements hybrides : la flexibilité prime lorsqu’il s’agit d’équilibrer performance, sécurité et gestion des coûts.

Chacun de ces agents en aval compte des hiérarchies et des groupes de sous-agents dédiés à des tâches précises comme la personnalisation ou l’analyse des actualités, certains collaborant entre eux, d’autres restant isolés.

Une fois que vous assemblez le rapport, nous l’envoyons à l’agent de conformité pour vérifier qu’il respecte toutes les exigences réglementaires, puis l’agent gardien ou l’intervenant humain valident l’exactitude du résultat et sa conformité à votre demande. Ainsi, vous bénéficiez d’une livraison précise et personnalisée d’un actif précieux.

Que se passe-t-il quand MAS ne fonctionne pas correctement ?

Imaginons que votre flux de travail MAS ne bénéficie pas d’un traitement optimal. Chaque connexion entre vos agents passe par une API standard, souvent exploitée comme vecteur d’attaque auquel beaucoup d’organisations restent vulnérables.

Une attaque par injection a manipulé votre invite initiale en ordonnant d’envoyer le rapport final d’Alice à l’adresse e-mail d’un attaquant. Cela ne poserait pas problème si l’agent de conformité l’identifie, mais une connexion API non sécurisée facilite une attaque par usurpation. En se faisant passer pour l’agent de conformité, l’attaquant permet aux agents en aval d’accéder au compte bancaire et aux informations de carte de crédit d’Alice, tout en supprimant des restrictions supplémentaires.

Sans restrictions, les agents amplifient rapidement leurs privilèges, accédant à tout ce qui est disponible. L’agent de personnalisation peut juger que le solde du compte d’épargne d’Alice représente un contexte pertinent, tandis que l’agent d’analyse financière peut confondre algorithmes de trading propriétaires et accords de partenariat avec des données utiles pour des agents voisins.

Lorsque nous atteignons l’agent humain ou gardien pour validation, le résultat paraît fiable et conforme à l’intention de l’utilisateur, mais la confiance se propage largement, des informations sont divulguées et des privilèges sont escaladés sur plusieurs connexions. En une seule requête, vous compromettez la confiance de vos clients et partenaires, tout en exposant de nombreuses vulnérabilités.

La réalité se trouve entre précision et danger

Le fonctionnement moyen des systèmes multi-agents se situe entre ces deux cas, où la précision des résultats s’améliore nettement, mais où sécuriser la surface d’attaque devient beaucoup plus complexe. Bien que les applications entièrement autonomes soient désormais techniquement réalisables, la solution la plus pragmatique consiste à privilégier une approche hybride—en intégrant à la fois l’infrastructure existante et les composants d’intelligence artificielle. Cette transition ne se fera pas en un jour, mais la complexité du sujet exige une collaboration proactive entre toutes les parties pour concevoir des systèmes autonomes qui apportent une valeur commerciale réelle sans augmenter les risques au-delà des bénéfices.

Guide de protection

L’histoire des applications modernes révèle un cycle récurrent de consolidation et d’hybridation. Les entreprises démarrent souvent avec une dépendance totale aux plateformes monolithiques, puis adoptent progressivement des portefeuilles hybrides mieux adaptés entre besoins fonctionnels et coûts. L’IA agentique suivra probablement ce même chemin. L’enthousiasme initial pour les plateformes monolithiques fera place à un écosystème distribué d’applications et d’API couvrant sur site, SaaS, edge computing et l’inévitable prolifération d’outils que vous voyez aujourd’hui. En anticipant ce cycle, vous pouvez prendre des mesures proactives pour préparer vos flux de travail pilotés par MAS et l’avenir distribué de l’IA.

  1. Sécurisez vos API – La nécessité de sécuriser les API s’intensifie avec l’arrivée des connexions MCP et des systèmes agentiques. Vous avez besoin de solutions complètes couvrant toutes les API, connues ou non, capables de détecter les vulnérabilités en temps réel et d’assurer une visibilité permanente.
  2. Exigez un comportement explicable – Bien que la « boîte noire » de l’IA persiste, vous pouvez associer des agents à portées volontairement limitées à un comportement explicable programmable pour renforcer la traçabilité des hallucinations et des résultats nuisibles. Vous devez enregistrer les sorties des agents, signaler tout comportement problématique en temps réel et les analyser afin d’empêcher toute prolifération non autorisée.
  3. Mettez en place des politiques pour l’intervention humaine (HITL) – Utilisez-la pour les tâches où de mauvaises décisions ont un impact majeur, où la gouvernance humaine est nécessaire pour garantir la conformité, et où les cas atypiques ne sont pas couverts par des protocoles établis. Les agents gardiens ne remplacent jamais l’intelligence humaine et peuvent attirer l’attention des attaquants. Pour éviter les blocages, nous privilégions encore les systèmes classiques basés sur des règles intégrant HITL, car ils garantissent le maintien du risque sous un seuil déterminé. En-deçà de ces seuils, employez les agents gardiens avec modération pour réduire davantage les risques, tout en évaluant soigneusement la protection qu’ils apportent face au pire scénario d’un agent compromis.
  4. Appliquez une politique zero trust pour les données sensibles – Limitez l’accès des agents en appliquant le principe du moindre privilège, vérifiez constamment les droits pour éviter toute escalation, et considérez qu’une violation peut survenir à chaque étape et avec chaque agent.
  5. Consolidez des outils dispersés - Avec la multiplication rapide des agents dans la prolifération actuelle des outils, vous ne pouvez plus assurer l'observabilité avec des solutions de fortune. Investissez dans des plateformes de sécurité unifiées qui regroupent les outils et la visibilité essentiels pour que vous puissiez maintenir une posture de sécurité solide face à l’élargissement de la surface d’attaque.

Vous ne pouvez pas contrer la prolifération des agents en misant uniquement sur une équipe rouge

Vous ne pouvez pas sécuriser des systèmes aux résultats non déterministes avec des solutions déterministes. Les méthodes de test classiques basées sur des résultats déterministes ne répondent pas à une technologie qui produit des sorties inconsistantes d’une itération à l’autre. Comme une organisation ne détient ni ne contrôle généralement la majorité des API ou agents d’un workflow, le MAS exige une approche de sécurité plus globale.

Les systèmes multi-agents augmentent la complexité en contrepartie de la précision. Chaque nouvelle connexion crée des risques, chaque frontière de confiance accroît la vulnérabilité, et chaque agent élargit la surface d'attaque. Pourtant, les règles nouvelles ne diffèrent pas tant des anciennes—leur respect est simplement devenu plus essentiel. Vous devez sécuriser les API, appliquer la confiance zéro et surveiller les comportements système : ces pratiques fondamentales gagnent en urgence avec l’adoption croissante des MAS.

Même si l’adoption ne sera pas massive du jour au lendemain, préparer votre pile de sécurité à cette possibilité place votre organisation non seulement pour le MAS, mais aussi face aux menaces croissantes des systèmes modernes.

Les déploiements d’IA ont déjà étendu la surface d’attaque, et les systèmes que vous protégez aujourd’hui constitueront le socle de vos défenses de demain. En déployant des applications d’IA à grande échelle, découvrez comment F5 assure la livraison et la sécurité des applications d’IA partout.