← Tous les articles Sécurité & IA agentique

Claude Cowork en environnement financier : quand l’agent devient un vecteur de risque.

1 juillet 20268 min de lectureF6 Ingénieurs
Illustration IA agentique et risques financiers

L’IA ne se contente plus de répondre : elle agit. Avec l’avènement des agents autonomes comme Claude Cowork, la surface d’attaque se redéfinit entièrement — en particulier dans les environnements où le secret professionnel n’est pas une option.

Nous quittons l’ère des chatbots passifs pour entrer dans celle de l’IA agentique. Claude Cowork d’Anthropic ne répond plus à une question : il accède à votre système de fichiers, navigue de façon autonome, se connecte à vos bases de données internes via le Model Context Protocol (MCP). Les gains de productivité sont réels. Les nouveaux vecteurs de risque aussi.

Le changement de paradigme : des mains, des droits, une autonomie

Traditionnellement, l’utilisation d’un grand modèle de langage en finance restait cloisonnée : un texte dépersonnalisé, une analyse, une session fermée. L’agent agentique brise ce cloisonnement. Il dispose désormais de capacités d’exécution concrètes :

  • Accès au système de fichiers local : lecture, modification, structuration de documents directement sur le poste ou les serveurs partagés.
  • Persistance et automatisation : exécution de scripts de fond, flux de travail asynchrones, tâches planifiées.
  • Intégration d’écosystème via MCP : pont entre applications tierces, API et bases de données d’entreprise.

Donner des droits d’action à un modèle statistique, c’est créer un nouveau type d’exposition. Ce n’est pas une raison de refuser la technologie — c’est une raison de l’encadrer chirurgicalement.

Introduire un agent IA sans stratégie de confinement équivaut à inviter un tiers inconnu à s’asseoir devant votre poste de travail.

Les trois failles critiques à connaître

L’injection de requêtes indirecte. C’est le risque le plus insidieux. Si l’agent analyse un document externe — rapport tiers, e-mail de prospection, code source — ce document peut contenir des instructions malveillantes invisibles à l’œil nu. L’IA, en lisant le fichier, priorise ces instructions cachées et peut recevoir l’ordre d’aller fouiller le disque local à la recherche de fichiers .env, de rapports d’audit ou de données d’identification, puis de les exfiltrer.

L’extension des privilèges par commodité. Par souci d’efficacité, les utilisateurs accordent souvent à l’IA des accès élargis à des répertoires entiers. En finance, ces dossiers contiennent fréquemment des données non chiffrées de manière transitoire. Un accès permanent à ces espaces crée une mine d’or pour toute tentative d’exfiltration automatisée.

Le déficit d’auditabilité. Les solutions DLP et SIEM sont conçues pour surveiller des actions humaines ou des processus standards. Lorsqu’un agent IA exécute des requêtes locales complexes ou transmet des données via ses propres canaux d’API, la traçabilité devient opaque. En cas de fuite, reconstituer la chaîne de causalité s’avère extrêmement difficile.

Le spectre du CLOUD Act : une couche supplémentaire

Au-delà des risques techniques, l’introduction d’un agent conçu par une entreprise américaine au cœur d’un environnement financier européen ou suisse soulève une question géopolitique que l’on ne peut pas ignorer. Même si l’agent opère sur des fichiers locaux, l’inférence s’effectue sur les infrastructures cloud d’Anthropic, soumises au droit américain.

Les invites et les extraits de documents contextuels transitent donc par des entités auxquelles le CLOUD Act peut s’appliquer. Pour les institutions soumises au secret bancaire strict, au RGPD ou à la DORA, cette transmission — même transitoire — peut constituer une rupture de conformité caractérisée. La manipulation de stratégies de fusion-acquisition ou de portefeuilles d’actifs dans ce contexte ne peut pas être traitée comme un cas anodin.

Quatre principes pour une gouvernance Zero-Trust

L’interdiction pure de l’IA agentique est souvent contre-productive : elle pousse les collaborateurs vers le Shadow AI, c’est-à-dire l’usage d’outils grand public non sécurisés. La seule réponse viable est architecturale :

  • Sandboxing strict : l’agent ne doit jamais accéder à la racine d’un poste ou à un réseau partagé global. Son environnement de fichiers doit être étanche, éphémère et limité au projet en cours.
  • Validation humaine systématique : les fonctionnalités d’automatisation autonome (envoi d’e-mails, exécution de requêtes, modification de bases de données) doivent exiger une approbation explicite avant chaque action critique.
  • Passerelles de contrôle : des outils de filtrage capables d’analyser les flux sortants vers les API et d’anonymiser en temps réel toute transmission de données sensibles.
  • Alternatives souveraines pour les données critiques : pour les pans d’activité exigeant un secret absolu, le déploiement de modèles open-source hébergés localement ou sur des clouds souverains audités reste la seule option véritablement imperméable.

En matière d’IA financière, le mot d’ordre ne doit plus être l’agilité à tout prix, mais la précaution absolue. Les institutions qui sauront ériger des barrières techniques et juridiques étanches autour de ces agents seront les seules à transformer ce saut technologique en avantage compétitif durable.

L’IA agentique vous intéresse, mais pas à n’importe quel prix ?

Nous déployons des architectures d’IA sur mesure, confinées et souveraines, adaptées aux environnements où la confidentialité n’est pas négociable.

En parler avec nous