Les opportunités et les risques des systèmes multi-agents

Imaginez que vous confiez les clés de votre voiture à quelqu’un en lui demandant de faire des courses. Si le magasin est proche et que votre liste est simple, le risque d’erreur reste faible. Mais dès que la tâche devient plus complexe, avec des marques précises, des restrictions alimentaires et un budget strict, la difficulté augmente. Les conséquences d’une mission apparemment banale qui déraille peuvent aller d’achats non autorisés jusqu’à la destruction totale du véhicule.

Beaucoup d’organisations rencontrent actuellement des défis similaires dans le déploiement de leurs agents IA. Concevoir des agents capables d’accomplir toutes les tâches d’un flux de travail à un niveau d’excellence reste coûteux et complexe. De plus, jusqu’à récemment, les échanges entre agents et outils souffraient de l’absence de standards uniformes, un équivalent IA de ce que représente HTTP pour la connexion web.

Découvrez les systèmes multi-agents (MAS), un nouveau paradigme d’IA qui répartit les responsabilités entre plusieurs agents très spécialisés, collaborant pour fournir des résultats plus précis et pertinents. MAS atteint cet objectif en limitant volontairement le champ d’action, l’accès et la formation spécifique de chaque agent, tout en améliorant l’évolutivité grâce à une exécution modulaire des tâches. La promesse des MAS est séduisante, mais quand vous confiez les « clés du château » à l’IA agentique, elle s’accompagne d’un flot de défis en matière de sécurité. Cette promesse cache un risque : l’élargissement des surfaces d’attaque impose de repenser la sécurité, la confiance et la responsabilité au sein des systèmes d’IA agentique.

Fondamentalement, MAS est un cadre pour concevoir des systèmes d’IA agentique distribués. Plutôt que de dépendre d’agents d’IA monolithiques qui réalisent de nombreuses tâches de façon sous-optimale, MAS répartit les tâches entre des agents spécialisés dans un ou plusieurs domaines, souvent organisés en hiérarchies ou en groupes de sous-agents. Ces agents agissent de manière autonome tout en coopérant pour atteindre leurs objectifs individuels et communs. Voici les principales catégories d’agents à considérer dans MAS : 

• Super agents – Orchestrateurs des processus au sein d’un MAS. Leur degré de centralisation dépend du cas d’usage ; certains MAS simples accordent une autonomie équivalente à tous les agents. 
• Agents de triage – Ce sont des répartiteurs de ressources qui garantissent à chaque agent l’accès aux outils et ressources nécessaires pour accomplir ses tâches efficacement. 
• Agents gardiens – Validateurs qui assurent la responsabilité en vérifiant la précision des résultats et en garantissant que l’intention de l’utilisateur est respectée. 

Le concept de système distribué ou de panel d’experts n’est pas nouveau, mais jusqu’à présent, la communication entre agents d’IA manquait de standards uniformes pour être viable. Avec le Model Context Protocol (MCP) d’Anthropic, l’accès aux données et aux outils sur des sources structurées repose désormais sur une norme universelle. Par ailleurs, grâce au framework Agent-to-Agent (A2A) de Google, les agents d’IA disposent d’un cadre indépendant du modèle pour communiquer en langage naturel entre eux. Pour faire simple, MCP désigne la communication agent-vers-données, tandis que A2A correspond à la communication agent-à-agent.

Les principaux freins à un retour sur investissement positif avec l'IA autonome sont la précision, le coût et la capacité à monter en charge. Le MAS, malgré les complexités qu’il engendrera, représente l’une des meilleures solutions pour optimiser ces trois aspects :

1. Précision – Les agents spécialisés apportent une couche modulaire qui réduit les risques et garantit la qualité, adaptable selon vos besoins opérationnels. En limitant la responsabilité de chaque agent, le MAS diminue les risques d’hallucinations ou de mauvaises interprétations par rapport aux modèles monolithiques (Yang et al., 2025).
2. Coût – Même si les coûts de formation de plusieurs agents spécialisés par rapport à un agent généraliste peuvent varier, nous limitons probablement le coût de l'inférence dans un environnement MAS distribué grâce à un taux plus faible de redondance et de surtraitement (Gandhi, Patwardhan, Vig, & Shroff, 2024).
3. Évolutivité – MAS révolutionne la montée en charge dans les écosystèmes d’IA. Au lieu de remplacer ou de réentraîner des systèmes entiers, vous pouvez ajouter des agents de façon modulaire pour répondre aux nouvelles exigences métier tout en maîtrisant les coûts

Chacun de ces agents en aval compte des hiérarchies et des groupes de sous-agents dédiés à des tâches précises comme la personnalisation ou l’analyse des actualités, certains collaborant entre eux, d’autres restant isolés.

Une fois que vous assemblez le rapport, nous l’envoyons à l’agent de conformité pour vérifier qu’il respecte toutes les exigences réglementaires, puis l’agent gardien ou l’intervenant humain valident l’exactitude du résultat et sa conformité à votre demande. Ainsi, vous bénéficiez d’une livraison précise et personnalisée d’un actif précieux.

Imaginons que votre flux de travail MAS ne bénéficie pas d’un traitement optimal. Chaque connexion entre vos agents passe par une API standard, souvent exploitée comme vecteur d’attaque auquel beaucoup d’organisations restent vulnérables.

Une attaque par injection a manipulé votre invite initiale en ordonnant d’envoyer le rapport final d’Alice à l’adresse e-mail d’un attaquant. Cela ne poserait pas problème si l’agent de conformité l’identifie, mais une connexion API non sécurisée facilite une attaque par usurpation. En se faisant passer pour l’agent de conformité, l’attaquant permet aux agents en aval d’accéder au compte bancaire et aux informations de carte de crédit d’Alice, tout en supprimant des restrictions supplémentaires.

Sans restrictions, les agents amplifient rapidement leurs privilèges, accédant à tout ce qui est disponible. L’agent de personnalisation peut juger que le solde du compte d’épargne d’Alice représente un contexte pertinent, tandis que l’agent d’analyse financière peut confondre algorithmes de trading propriétaires et accords de partenariat avec des données utiles pour des agents voisins.

Lorsque nous atteignons l’agent humain ou gardien pour validation, le résultat paraît fiable et conforme à l’intention de l’utilisateur, mais la confiance se propage largement, des informations sont divulguées et des privilèges sont escaladés sur plusieurs connexions. En une seule requête, vous compromettez la confiance de vos clients et partenaires, tout en exposant de nombreuses vulnérabilités.

Le fonctionnement moyen des systèmes multi-agents se situe entre ces deux cas, où la précision des résultats s’améliore nettement, mais où sécuriser la surface d’attaque devient beaucoup plus complexe. Bien que les applications entièrement autonomes soient désormais techniquement réalisables, la solution la plus pragmatique consiste à privilégier une approche hybride—en intégrant à la fois l’infrastructure existante et les composants d’intelligence artificielle. Cette transition ne se fera pas en un jour, mais la complexité du sujet exige une collaboration proactive entre toutes les parties pour concevoir des systèmes autonomes qui apportent une valeur commerciale réelle sans augmenter les risques au-delà des bénéfices.

L’histoire des applications modernes révèle un cycle récurrent de consolidation et d’hybridation. Les entreprises démarrent souvent avec une dépendance totale aux plateformes monolithiques, puis adoptent progressivement des portefeuilles hybrides mieux adaptés entre besoins fonctionnels et coûts. L’IA agentique suivra probablement ce même chemin. L’enthousiasme initial pour les plateformes monolithiques fera place à un écosystème distribué d’applications et d’API couvrant sur site, SaaS, edge computing et l’inévitable prolifération d’outils que vous voyez aujourd’hui. En anticipant ce cycle, vous pouvez prendre des mesures proactives pour préparer vos flux de travail pilotés par MAS et l’avenir distribué de l’IA.

1. Sécurisez vos API – La nécessité de sécuriser les API s’intensifie avec l’arrivée des connexions MCP et des systèmes agentiques. Vous avez besoin de solutions complètes couvrant toutes les API, connues ou non, capables de détecter les vulnérabilités en temps réel et d’assurer une visibilité permanente.
2. Exigez un comportement explicable – Bien que la « boîte noire » de l’IA persiste, vous pouvez associer des agents à portées volontairement limitées à un comportement explicable programmable pour renforcer la traçabilité des hallucinations et des résultats nuisibles. Vous devez enregistrer les sorties des agents, signaler tout comportement problématique en temps réel et les analyser afin d’empêcher toute prolifération non autorisée.
3. Mettez en place des politiques pour l’intervention humaine (HITL) – Utilisez-la pour les tâches où de mauvaises décisions ont un impact majeur, où la gouvernance humaine est nécessaire pour garantir la conformité, et où les cas atypiques ne sont pas couverts par des protocoles établis. Les agents gardiens ne remplacent jamais l’intelligence humaine et peuvent attirer l’attention des attaquants. Pour éviter les blocages, nous privilégions encore les systèmes classiques basés sur des règles intégrant HITL, car ils garantissent le maintien du risque sous un seuil déterminé. En-deçà de ces seuils, employez les agents gardiens avec modération pour réduire davantage les risques, tout en évaluant soigneusement la protection qu’ils apportent face au pire scénario d’un agent compromis.
4. Appliquez une politique zero trust pour les données sensibles – Limitez l’accès des agents en appliquant le principe du moindre privilège, vérifiez constamment les droits pour éviter toute escalation, et considérez qu’une violation peut survenir à chaque étape et avec chaque agent.
5. Consolidez des outils dispersés - Avec la multiplication rapide des agents dans la prolifération actuelle des outils, vous ne pouvez plus assurer l'observabilité avec des solutions de fortune. Investissez dans des plateformes de sécurité unifiées qui regroupent les outils et la visibilité essentiels pour que vous puissiez maintenir une posture de sécurité solide face à l’élargissement de la surface d’attaque.