CERTFR-2026-ACT-016 : comment appliquer les recommandations ANSSI sur les agents IA autonomes (OpenClaw, Claude Cowork)

Qu’est-ce que le bulletin CERTFR-2026-ACT-016 ?

Le bulletin CERTFR-2026-ACT-016 est un avis d’actualité publié par le CERT-FR (ANSSI) le 13 avril 2026. Il alerte sur les vulnérabilités des agents IA autonomes type OpenClaw et Claude Cowork sur les postes de travail et recommande leur proscription en production.

Par Mohamed Ali Ksouri, Directeur Associé d’i-lead Consulting , Publié le 26 avril 2026 · 14 min de lecture · Sources principales : CERT-FR, MITRE ATLAS, OWASP Top 10 LLM, AI Act

⚡ L’essentiel en 30 secondes • 📅 Bulletin ANSSI publié le 13 avril 2026 par le CERT-FR  (cert.ssi.gouv.fr) • 🎯 Cible : OpenClaw, Claude Cowork et agents IA autonomes en sources ouvertes • 🚫 Position ANSSI : déploiement proscrit sur postes de travail en production • ✅ Usage toléré : sandbox isolé, sans données sensibles, sous validation DSI/RSSI • ⚠ 5 risques principaux : compromission, fuite données, droits excessifs, fuite secrets, actions destructrices • 🛡 Levier majeur ANSSI : durcissement de configuration • 📋 Articulation réglementaire : NIS2 + AI Act + LPM + RGPD article 32

Ce que dit le bulletin CERTFR-2026-ACT-016 de l’ANSSI

Le 13 avril 2026, le CERT-FR – entité de l’ANSSI chargée de la veille et de la réponse aux incidents — a publié le bulletin CERTFR-2026-ACT-016, intitulé « Vulnérabilités et risques des produits d’automatisation par IA agentique sur les postes de travail »(CERT-FR). Quatre pages d’apparence sobre, mais une portée considérable pour quiconque pilote la sécurité d’un système d’information aujourd’hui.

La position de l’ANSSI tient en une phrase : les agents IA autonomes type OpenClaw ou Claude Cowork ne doivent pas être déployés sur les postes de travail en production. Pas demain, pas avec des précautions — pas du tout, tant que ces produits ne sont pas stabilisés.

Cet article n’est pas un nouveau résumé du bulletin (vous en trouverez plusieurs très bien faits ailleurs). C’est un guide opérationnel pour les RSSI, DSI et responsables cybersécurité qui doivent traduire ces recommandations en politique d’entreprise dès maintenant. Concrètement : qui décide ? quoi bloquer ? comment auditer ? quel plan d’action sur 90 jours ? Et pour les structures sans RSSI dédié, comment s’adapter ?

Les produits visés

Le bulletin de l’ANSSI vise nommément deux catégories de produits actuellement en forte croissance d’adoption en entreprise :

• OpenClaw : framework open source d’agents IA autonomes capables d’orchestrer des outils système. Selon Palo Alto Networks, le projet est référencé sous l’historique « MoltBot » et « Clawdbot ».
• Claude Cowork : produit Anthropic conçu pour automatiser les tâches bureautiques sur poste de travail.

Et plus largement : « d’autres solutions en sources ouvertes » du même type, selon la formulation du CERT-FR.

OpenClaw vs Claude Cowork — comparatif

Critère	OpenClaw	Claude Cowork
Éditeur	Open source (anciennement MoltBot/Clawdbot)	Anthropic
Modèle	Framework agentique extensible	Produit bureautique intégré
Plugins tiers	Oui — chargés dynamiquement	Limités à l’écosystème Anthropic
Maturité sécurité	Bêta — non éprouvée	Bêta — non éprouvée
Position ANSSI	Proscrit en production	Proscrit en production
Disponible dans Claude.ai ?	Non — Anthropic l’a explicitement exclu	Oui — produit officiel

Le constat fondateur de l’ANSSI

Le CERT-FR pose dès le résumé une distinction qui structure tout le bulletin : ces outils ne sont pas des chatbots. Ils ne se contentent pas de répondre. Ils agissent. Concrètement, ils peuvent – selon la formulation officielle du CERT-FR – exécuter des commandes, contrôler le navigateur, lire et écrire des fichiers, gérer le calendrier et envoyer des courriels, le tout déclenché par un message texte via des applications très variées (Slack, WhatsApp, Discord, etc.).

Cette capacité d’action change tout. Un chatbot mal sécurisé qui se fait manipuler par un attaquant peut au pire produire un texte trompeur. Un agent autonome qui se fait manipuler peut envoyer des emails, exfiltrer des fichiers ou exécuter des commandes système avec les privilèges de l’utilisateur.

Citation directe du bulletin « En l’état, les assistants personnels autonomes tels qu’OpenClaw ne doivent pas être déployés sur des postes de travail et leur usage doit être proscrit, tant que le produit n’est pas stabilisé et éprouvé du point de vue de la sécurité. » CERT-FR (ANSSI), bulletin CERTFR-2026-ACT-016, 13 avril 2026

À noter : les recommandations de l’ANSSI s’appliquent également aux déploiements sur mobiles.

Pourquoi les agents IA autonomes changent la donne sécurité

Qu’est-ce qu’un agent IA autonome ? Un agent IA autonome est un logiciel basé sur un grand modèle de langage (LLM) capable d’exécuter des actions concrètes sur un système — exécuter des commandes, lire et écrire des fichiers, envoyer des emails, contrôler le navigateur — sans intervention humaine pour chaque étape, sur la base d’instructions textuelles.

Pour bien comprendre pourquoi l’ANSSI a haussé le ton, je vous propose de partir d’un cas concret. Il y a quelques mois, lors d’un audit chez un grand industriel, nous avons découvert qu’un membre du COMEX avait installé sur sa machine un agent IA autonome — installé en quelques clics, sans validation IT — pour automatiser sa veille concurrentielle.

Le scénario était banal : l’agent surveillait sa boîte mail, identifiait les emails de veille, en faisait un résumé matinal. Productivité réelle. Mais l’agent avait aussi accès — sans que l’utilisateur ne s’en rende compte — à l’ensemble du dossier OneDrive synchronisé sur sa machine. Un dossier contenant des fichiers M&A confidentiels. Un attaquant qui aurait envoyé un email piégé contenant une instruction cachée aurait pu déclencher une exfiltration silencieuse, sans aucune anomalie détectable côté EDR.

Ce cas n’est pas isolé. Il illustre trois ruptures fondamentales que les agents IA autonomes introduisent par rapport aux assistants conversationnels classiques.

De la réponse à l’action

Un assistant conversationnel produit du texte. Un agent autonome déclenche des appels système. La même requête utilisateur — « envoie un récapitulatif au comité » — provoque dans un cas l’affichage d’un brouillon, dans l’autre l’envoi effectif d’un email aux destinataires inférés par le modèle. Si le modèle se trompe sur le destinataire, la fuite est immédiate.

L’élargissement de la chaîne d’approvisionnement logicielle

Le bulletin de l’ANSSI l’écrit clairement : des greffons (plugins) peuvent être chargés dynamiquement et exécutés comme du code de confiance, avec les mêmes privilèges que ceux de l’application. Les analyses publiées par Trend Micro sur la distribution d’Atomic macOS Stealer via des skills OpenClaw confirment que cette surface est déjà activement exploitée.

La vulnérabilité intrinsèque aux injections de prompt

C’est le point le plus sous-estimé. Un agent IA peut être manipulé via une injection de prompt cachée dans un email, un document, une page web. Le framework MITRE ATLAS recense désormais ces techniques sous l’identifiant LLM Prompt Injection. La défense par le prompt système (« tu ne dois jamais… ») est facilement contournable. Le seul vrai garde-fou est l’isolation technique.

Le mécanisme IDOR : un pattern partagé avec les grandes fuites 2026

Au-delà du prompt injection, les agents IA autonomes exposent un autre risque structurel : la faille IDOR (Insecure Direct Object Reference). Quand un agent expose une API où un identifiant d’objet est directement manipulable par l’utilisateur, sans contrôle d’autorisation côté serveur, l’attaquant peut accéder à des ressources qui ne lui appartiennent pas. Ce mécanisme a été à l’origine des deux plus grandes fuites administratives françaises de 2026 : ÉduConnect (3,5 millions d’élèves, 14 avril 2026) et ANTS / France Titres (11,7 millions de comptes, 15 avril 2026). Les agents IA autonomes, par leur nature même, démultiplient cette surface d’attaque.

MCP, function calling, browser-use : les protocoles sous-jacents

Pour décider ce qu’il faut bloquer, encore faut-il comprendre comment ces agents techniquement s’interfacent avec le poste utilisateur. Trois protocoles structurent l’écosystème IA agentique en 2026.

MCP — Model Context Protocol

Le Model Context Protocol (MCP) est un standard ouvert publié par Anthropic en 2024 et largement adopté en 2025-2026. Il permet à un modèle IA d’accéder à des outils externes (lecture/écriture fichiers, requêtes API, exécution de commandes) via un protocole client-serveur normalisé. C’est l’équivalent d’USB pour les LLM. Pour un RSSI, l’enjeu est clair : auditer la liste des serveurs MCP autorisés en entreprise et bloquer ceux qui exposent des outils sensibles.

Function calling

Le function calling est le mécanisme générique par lequel un LLM appelle une fonction externe. OpenAI a popularisé l’API. Anthropic propose l’équivalent (« tool use »). Quand un agent IA décide d’envoyer un email, il invoque la fonction send_email() de l’application qui l’héberge. La sécurité repose sur (1) la validation des arguments passés à la fonction, (2) le périmètre d’autorisation OAuth attaché au token utilisé.

Browser-use et Computer-use

Browser-use et Computer-use sont les capacités les plus inquiétantes du point de vue sécurité. Elles permettent à un agent IA de contrôler littéralement le navigateur ou le système d’exploitation (clics, frappes clavier, captures d’écran, lecture du DOM). Anthropic a lancé Computer-use en bêta fin 2024 ; OpenAI a suivi. Ces capacités, combinées à une injection de prompt, transforment l’agent en attaquant interne avec les droits de l’utilisateur.

Action RSSI immédiate sur les protocoles Cartographier dans votre SI : quels postes utilisent MCP ? quels serveurs MCP sont accessibles ? quelles applications activent le function calling ? quelles installations ont activé browser-use ou computer-use ? L’inventaire de ces protocoles est la base pour appliquer les recommandations ANSSI.

Les 5 risques identifiés par l’ANSSI — analyse RSSI

Les 5 risques identifiés par l’ANSSI 1. Compromission du poste utilisateur via vulnérabilité de l’outil agent 2. Fuite de données sensibles vers des ressources externes non maîtrisées 3. Droits d’accès démesurés donnés aux applications de l’utilisateur 4. Partage de secrets d’authentification (login, mots de passe, jetons)Perte de maîtrise des actions et risque d’actions destructrices

Le bulletin de l’ANSSI liste cinq catégories de risques. Voici notre lecture côté RSSI, avec pour chacun la référence au framework MITRE ATLAS ou OWASP Top 10 LLM correspondant, et le contrôle compensatoire à mettre en place.

Risque ANSSI	Lecture RSSI	Référence	Contrôle
Compromission du poste	Vulnérabilités outil agent (souvent en bêta), exécution code arbitraire	OWASP LLM03 Supply Chain	Whitelisting strict, blocage installation
Fuite de données sensibles	Agent envoie données vers ressources externes non maîtrisées	OWASP LLM06 Sensitive Info	DLP renforcé sortie réseau
Droits d’accès démesurés	L’agent accède messagerie, agenda, fichiers, RH, métier	OWASP LLM08 Excessive Agency	Moindre privilège, comptes scope réduit
Partage de secrets	Login/mdp confiés à l’agent, fuite via plugins	MITRE ATLAS Credentials Access	OAuth scope-limité, rotation
Perte de maîtrise actions	Actions destructrices, perte d’intégrité	MITRE ATLAS LLM Prompt Injection	Validation humaine effet de bord

Ces cinq risques se cumulent. Un agent IA installé sans validation, configuré avec les credentials professionnels, ayant accès en lecture/écriture à la messagerie et au gestionnaire de fichiers, et sans validation humaine pour les actions sortantes, présente l’ensemble du profil de menace décrit par l’ANSSI.

Statut juridique : NIS2, AI Act, LPM, RGPD

Question récurrente que nous recevons depuis la publication : le bulletin CERTFR-2026-ACT-016 a-t-il une portée juridique contraignante ? La réponse mérite quelques nuances selon le statut de votre organisation et le cadre réglementaire applicable.

Pour les Opérateurs d’Importance Vitale (OIV)

Les OIV sont soumis aux obligations de la Loi de Programmation Militaire (LPM) et aux Politiques de Sécurité des Systèmes d’Information (PSSI) imposées par l’ANSSI.

Un bulletin du CERT-FR n’est pas un texte réglementaire au sens strict, mais il fait référence — en cas d’incident, l’autorité administrative compétente examinera votre conformité aux recommandations. Le fait de ne pas avoir suivi un bulletin officiel de l’ANSSI peut être retenu comme un défaut de diligence.

Pour les Opérateurs de Services Essentiels (OSE) sous NIS2

La directive NIS2 (Directive UE 2022/2555), transposée en droit français, impose aux OSE et aux entités essentielles ou importantes de mettre en œuvre « des mesures techniques et organisationnelles appropriées et proportionnées ».

Les recommandations de l’ANSSI constituent l’état de l’art reconnu. Un manquement aux recommandations du bulletin pourrait être qualifié d’absence de mesures appropriées en cas de contrôle.

L’AI Act européen — un cadre nouveau qui change la donne

Le Règlement (UE) 2024/1689 sur l’intelligence artificielle — l’AI Act — entre progressivement en application depuis 2025 et s’applique à tout déploiement d’IA en entreprise.

Les agents IA autonomes type OpenClaw ou Claude Cowork relèvent potentiellement de plusieurs catégories : systèmes d’IA à usage général (GPAI), systèmes à haut risque si utilisés dans des contextes sensibles (RH, finance, santé), voire interdits si utilisés pour de la manipulation comportementale.

Concrètement, l’AI Act impose plusieurs obligations qui résonnent avec le bulletin ANSSI : documentation technique des systèmes d’IA déployés, gestion des risques (notamment cybersécurité), surveillance humaine pour les usages à haut risque, transparence vis-à-vis des utilisateurs finaux.

Pour un RSSI, l’AI Act fournit un cadre juridique européen qui complète les recommandations techniques de l’ANSSI.

Combinaison gagnante : ANSSI + AI Act L’ANSSI vous dit comment sécuriser techniquement (sandbox, durcissement, validation humaine). L’AI Act vous oblige à documenter, gérer les risques, surveiller. Combiner les deux cadres dans une politique IA d’entreprise unifiée est la trajectoire que nous recommandons à nos clients i-leadconsulting.

Pour les autres organisations (entreprises classiques)

Le bulletin n’est pas juridiquement contraignant, mais il est référencé. Concrètement : votre RSSI engage sa responsabilité s’il choisit de ne pas suivre une recommandation explicite de l’ANSSI publiée publiquement. Vos commissaires aux comptes, vos auditeurs externes (ISO 27001), vos clients (clauses cyber dans les contrats) pourront s’y référer.

Articulation avec le RGPD (article 32)

Les agents IA autonomes manipulent souvent des données personnelles (emails, agenda, contacts). Le RGPD impose une analyse d’impact (AIPD) pour tout traitement présentant un risque élevé. Un déploiement d’agent IA non encadré pourrait être qualifié de manquement à l’obligation de sécurité de l’article 32 du RGPD. La CNIL n’a pas encore publié de doctrine spécifique mais s’aligne historiquement sur les recommandations ANSSI.

En résumé sur le statut juridique • OIV : recommandation forte, défaut de conformité opposable (LPM) • OSE / NIS2 : recommandation forte, intégrée à l’état de l’art • Toutes entreprises déployant de l’IA : obligations documentaires AI Act • Tout traitement de données personnelles : article 32 RGPD • Recommandation pratique : tracer les décisions prises (ou non prises) en réaction au bulletin dans le registre des risques cyber et le registre AI Act.

Que doit faire un RSSI cette semaine — actions immédiates

5 actions immédiates RSSI face au bulletin ANSSI 1. Diffuser une note interne RSSI rappelant l’interdiction provisoire 2. Lancer un audit Shadow IT ciblé via EDR, proxy et MDM 3. Bloquer en proxy/DNS les domaines des installeurs Open 4. ClawInscrire le sujet à l’ordre du jour du COMEX cyber 5 Documenter une procédure d’exception sandbox pour la R&D

Le bulletin de l’ANSSI est sorti le 13 avril 2026. Si vous lisez cet article et que vous n’avez encore rien fait, voici les actions à conduire dans les 7 jours qui suivent. Ce sont des actions à coût nul ou très faible, qui ne nécessitent pas de projet.

Action 1 — Diffuser une note interne courte

Une communication d’une page maximum, signée du RSSI ou de la DSI, qui rappelle trois choses : (1) l’existence du bulletin ANSSI et son contenu, (2) l’interdiction provisoire d’installer OpenClaw, Claude Cowork et équivalents, (3) le canal pour signaler tout usage déjà en cours.

Action 2 — Lancer un audit Shadow IT ciblé

Interroger l’EDR, l’inventaire SCCM/Intune ou tout outil de gestion de parc, sur la présence d’exécutables liés aux agents IA autonomes. Une recherche par signatures, processus connus et destinations réseau permet en quelques heures d’identifier les premiers cas.

Action 3 — Bloquer en proxy / DNS les domaines à risque

Sans verser dans la posture du « tout interdire », il est légitime de bloquer en proxy d’entreprise les domaines associés aux installeurs d’OpenClaw et aux dépôts de plugins non validés. Cela ne bloque pas Claude.ai ou ChatGPT — qui sont des assistants conversationnels — mais empêche l’installation locale d’agents autonomes.

Action 4 — Inscrire le sujet à l’ordre du jour du COMEX cyber

L’IA agentique est désormais un sujet de gouvernance, pas seulement un sujet IT. Le RSSI doit porter le sujet au COMEX cyber avec une lecture du bulletin ANSSI et une proposition d’orientation.

Action 5 — Documenter une exception sandbox si besoin

Pour les équipes R&D, IA et innovation qui ont besoin d’expérimenter, formaliser une procédure d’exception : VM dédiée, données fictives, validation préalable RSSI, durée limitée, reporting d’usage.

Si vous ne deviez faire qu’une seule chose cette semaine Diffuser la note interne (Action 1) et bloquer les domaines à risque en proxy (Action 3). Ces deux actions combinées vous permettent de déclarer auprès de votre DG et de vos commissaires aux comptes que vous avez pris position sur le bulletin ANSSI.

Plan d’action 30 / 60 / 90 jours

Plan d’action RSSI 30 / 60 / 90 jours — bulletin CERTFR-2026-ACT-016 J+30 — Recensement Shadow IT, blocage proxy/DNS, première politique interne J+60 — Validation DG, sandbox dédiée, procédure d’exception, sensibilisation J+90 — Comité trimestriel, veille active, audit configuration, cartographie risques

Au-delà des actions de la première semaine, voici la feuille de route que nous proposons aux RSSI accompagnés par i-leadconsulting.

J+30 — Cadrage et premières mesures techniques

• Recensement complet des usages d’agents IA autonomes (Shadow IT inclus).
• Mise en place du blocage proxy/DNS sur les domaines des installeurs et dépôts de plugins.
• Communication interne formelle (note RSSI + email DG si pertinent).
• Inscription du sujet au COMEX cyber et au comité d’éthique IA si existant.
• Première version de la politique interne « Agents IA autonomes ».

J+60 — Politique d’entreprise et environnements maîtrisés

• Validation par la DG de la politique interne.
• Mise en place d’un environnement sandbox dédié pour les expérimentations métier.
• Procédure d’exception formalisée.
• Intégration du sujet dans le programme de sensibilisation utilisateurs.
• Définition des indicateurs de pilotage (KPI Shadow IT IA, exceptions, incidents).

J+90 — Gouvernance pérenne et veille

• Comité de revue trimestriel des usages IA agentique en entreprise.
• Veille technique sur OpenClaw, Claude Cowork, NemoClaw, Microsoft Copilot Studio, Google Vertex AI Agent.
• Audit de configuration des sandbox autorisés.
• Intégration du sujet dans la cartographie des risques cyber.
• Réévaluation de la politique en fonction des futures publications CERT-FR.

Politique d’entreprise sur les agents IA — kit ISO 27001

Voici la structure d’une politique interne « Agents IA autonomes » conforme aux recommandations de l’ANSSI et mappée sur les contrôles ISO 27001:2022.

Trame de politique (5 pages)

• Objet et périmètre — types d’outils visés, terminaux concernés.
• Principes généraux — proscription par défaut sur poste en production.
• Rôles et responsabilités — DSI, RSSI, propriétaire métier, utilisateur.
• Procédure d’autorisation exceptionnelle — formulaire, validation, durée.
• Mesures techniques obligatoires — sandbox, comptes dédiés, validation humaine.
• Mesures organisationnelles — sensibilisation, reporting, contrôle.
• Sanctions — référence règlement intérieur et charte informatique.
• Révision — fréquence (semestrielle minimum).

Mapping ISO 27001:2022 — contrôles applicables

Contrôle ISO 27001	Application aux agents IA	Section politique
A.5.1 Policies	Politique formelle Agents IA validée par DG	§1 Objet
A.5.10 Acceptable use	Charte d’usage IA dans charte informatique	§7 Sanctions
A.5.15 Access control	Moindre privilège pour les comptes utilisés par les agents	§5 Mesures techniques
A.6.3 Awareness	Sensibilisation utilisateurs aux risques agents IA	§6 Mesures organisationnelles
A.8.1 User endpoint	Maîtrise des installations sur poste utilisateur	§5 Mesures techniques
A.8.7 Malware protection	Détection EDR des agents non autorisés	§5 Mesures techniques
A.8.16 Monitoring	Journalisation et supervision des agents autorisés	§5 Mesures techniques
A.8.32 Change management	Validation IT/RSSI obligatoire avant déploiement	§4 Procédure exception

Les 6 garde-fous techniques minimaux

Pour les rares cas où un usage agent IA est autorisé en environnement maîtrisé, ces 6 garde-fous reprennent les recommandations de l’ANSSI :

• Restriction des outils accessibles : l’agent ne doit avoir accès qu’aux outils strictement nécessaires.
• Validation humaine pour les actions à effet de bord : approbation explicite obligatoire.
• Sandbox d’exécution : isolation des processus dans un environnement contrôlé.
• Listes blanches d’interlocuteurs : encadrement des canaux et personnes autorisés.
• Activation explicite : l’agent ne doit s’activer que sur mention explicite (ex : @agent).
• Journalisation et supervision : logs détaillés, alimentation du SIEM, alertes comportements anormaux.

Adapter ces recommandations à une PME sans RSSI dédié

Toutes les organisations n’ont pas de RSSI à temps plein. Pour les PME et ETI qui n’ont pas d’équipe sécurité dédiée, voici une version simplifiée du plan d’action.

Pour une structure de 50 à 250 collaborateurs

• Désigner un référent IA — souvent le DSI, parfois le directeur juridique ou le DAF.
• Communication interne courte — un email du dirigeant suffit pour interdire l’installation d’OpenClaw et équivalents.
• Audit Shadow IT léger — interroger l’antivirus et le pare-feu (Microsoft Defender, Bitdefender) sur les processus inhabituels.
• Charte informatique mise à jour — ajouter un paragraphe interdisant l’installation d’agents IA autonomes.
• Faire-faire ce qui ne peut être fait en interne — un RSSI externalisé en quelques jours par mois suffit souvent.

Pour une TPE (moins de 50 collaborateurs)

Le risque principal n’est pas le déploiement maîtrisé — c’est le Shadow IT. Quelques mesures simples :

• Restreindre les droits administrateur sur les postes.
• Activer le filtrage de contenu dans Microsoft 365 Business / Google Workspace.
• Inscrire dans la charte informatique l’interdiction d’installation sans validation.
• Sensibiliser oralement les équipes lors d’une réunion mensuelle.

Le bulletin ANSSI ne fait pas de distinction de taille d’organisation. Mais en pratique, l’application proportionnée des recommandations est attendue. L’important est de pouvoir démontrer une réflexion et une décision tracée.

Comment détecter un usage Shadow IT d’agents IA

L’enjeu central du bulletin de l’ANSSI n’est pas seulement l’usage validé. C’est le Shadow IT — les outils installés à l’insu de l’IT par des collaborateurs en quête d’automatisation.

Indicateurs côté EDR / poste de travail

• Présence de processus Python, Node.js ou binaires d’agents lancés en arrière-plan.
• Installation de packages npm ou pip liés aux frameworks d’agents.
• Présence de scripts persistants déclenchés par scheduler utilisateur.
• Utilisation anormale de Playwright, Selenium ou Puppeteer côté poste utilisateur.
• Activation détectée du Computer-use ou Browser-use d’Anthropic / OpenAI.

Indicateurs côté réseau / proxy

• Flux sortants vers les API d’OpenAI, Anthropic, autres LLM en mode agent.
• Téléchargement répété de plugins ou skills depuis des dépôts publics.
• Connexions WebSocket persistantes vers des endpoints d’orchestration.
• Trafic vers des messageries (Slack, Discord, Telegram) en dehors du périmètre habituel.
• Connexions vers des serveurs MCP non répertoriés.

Indicateurs côté SaaS et applications métier

• Apparition de nouveaux jetons OAuth associés à des applications inconnues sur Microsoft 365 ou Google Workspace.
• Volumes anormaux de lecture API (Graph API, Gmail API).
• Activité de calendrier ou messagerie en dehors des plages d’usage habituelles.
• Création automatisée de drafts d’emails ou de documents à fréquence inhabituelle.

Erreur classique à éviter Ne pas confondre « usage de Claude.ai ou ChatGPT en mode chatbot » et « usage d’un agent IA autonome ». Le premier est un assistant conversationnel — risques classiques de fuite via copier-coller. Le second peut exécuter des commandes système. Le bulletin de l’ANSSI vise spécifiquement les agents autonomes. Bloquer Claude.ai ou ChatGPT en réaction au bulletin serait un contre-sens.

Le cas particulier des terminaux mobiles

Le bulletin de l’ANSSI précise explicitement que ses recommandations s’appliquent aux déploiements sur mobiles. Or les politiques de mobilité d’entreprise sont souvent moins strictes que celles des postes Windows/Linux.

BYOD et MDM

Sur les flottes BYOD ou avec MDM léger, l’utilisateur peut installer un agent IA autonome sans le moindre garde-fou IT. Si cet agent est connecté à la messagerie professionnelle conteneurisée, l’isolation MDM ne le protège pas.

Applications de messagerie personnelles utilisées en pro

WhatsApp, Telegram, Discord sont mentionnés explicitement par le bulletin comme canaux d’activation typiques. Si vos collaborateurs utilisent ces messageries pour des échanges semi-professionnels, le risque d’injection de prompt via un message reçu existe.

Notifications push et activation passive

Certains agents IA mobiles peuvent être configurés pour réagir à des notifications push. Limitation des permissions de notification au strict nécessaire dans les politiques MDM.

Anthropic exclut OpenClaw : ce que ça change pour les RSSI

Élément factuel sous-traité par la presse française mais critique pour les RSSI : Anthropic, l’éditeur de Claude, a explicitement exclu OpenClaw et les outils tiers de ses abonnements Claude selon les analyses publiées en avril 2026. Cette décision intervient en parallèle du lancement de Cowork, l’agent autonome maison d’Anthropic, et de NemoClaw, le framework open source de NVIDIA destiné à ajouter des garde-fous à OpenClaw.

Implications pour la cartographie de votre SI

Cette segmentation du marché change la lecture du bulletin ANSSI. Si vos utilisateurs souscrivent à Claude (le chatbot conversationnel d’Anthropic), ils ne peuvent plus connecter OpenClaw à leur abonnement. En revanche, ils peuvent installer OpenClaw indépendamment et le pointer vers d’autres LLM. Concrètement :

• Bloquer OpenClaw au niveau du poste reste pertinent — l’outil peut s’auto-héberger.
• Surveiller les tentatives d’activation de Claude Cowork dans Microsoft 365 / Google Workspace — produit officiel Anthropic, en bêta en 2026.
• Auditer les installations de NemoClaw — framework NVIDIA destiné à durcir OpenClaw, mais qui présuppose une décision de déploiement OpenClaw initiale.
• Surveiller Microsoft Copilot Studio et Google Vertex AI Agent — équivalents enterprise avec potentiellement plus de garde-fous mais qui restent à auditer.

Notre lecture i-leadconsulting : la décision d’Anthropic crée une opportunité de gouvernance. Si vos utilisateurs réclament un agent IA, orientez-les explicitement vers les solutions d’éditeur cadrées (Cowork, Microsoft 365 Copilot agents) plutôt que vers des frameworks ouverts auto-hébergés. Vous gardez la traçabilité, l’éditeur prend la responsabilité de la sécurité produit.

Ce que I-leadconsulting propose pour vous accompagner

Le bulletin CERTFR-2026-ACT-016 demande aux organisations de prendre position rapidement, sans nécessairement disposer en interne d’experts dédiés à l’IA agentique en sécurité. Trois formats d’accompagnement disponibles.

Audit flash IA agentique (5 jours) Recensement Shadow IT, lecture du bulletin appliquée à votre contexte, recommandations de blocage immédiat. Livrables : rapport d’audit, note interne prête à diffuser, liste de domaines à bloquer. Profil mobilisé : 1 consultant Senior cybersécurité. Délai de démarrage : sous 2 semaines.

Politique d’entreprise IA agentique (3-4 semaines) Rédaction et validation de votre politique interne « Agents IA autonomes », alignée sur le bulletin ANSSI et mappée sur les contrôles ISO 27001:2022. Livrables : politique formelle (5-8 pages), procédure d’exception, formulaire d’autorisation. Profil mobilisé : 1 Senior cyber + 1 reviewer GRC. Délai de démarrage : sous 3 semaines.

Programme RSSI complet (3 mois) Le plan d’action 30/60/90 jours décrit dans cet article, conduit par nos consultants. Livrables : audit Shadow IT + politique + sandbox sécurisée + sensibilisation + comité gouvernance. Profil mobilisé : 1 Senior cyber + 1 architecte sécurité + 1 expert sensibilisation. Délai de démarrage : sous 4 semaines.

Nous travaillons aujourd’hui avec des organisations des secteurs bancaire, public et industriel. Les premières missions liées au bulletin CERTFR-2026-ACT-016 ont démarré dès la semaine de sa publication.

FAQ — Bulletin CERTFR-2026-ACT-016

Conclusion : 3 take-aways pour votre semaine

Au-delà de la richesse du bulletin, voici trois choses à retenir et à transformer en action concrète dès cette semaine.

1. Tracer une décision est plus important que tout faire

Vous n’aurez pas tout résolu en une semaine. Mais formaliser noir sur blanc votre position — interdiction provisoire, exceptions, calendrier — vous protège. C’est ce qui démontre la diligence en cas d’incident ou d’audit, ANSSI comme AI Act.

2. L’ANSSI ne dit pas non à l’IA — elle demande un cadre

Le bulletin n’interdit pas l’innovation. Il demande un cadre. Les organisations qui sauront ouvrir des sandbox encadrées sortiront gagnantes : elles continueront à innover sans s’exposer.

3. Le Shadow IT est le vrai sujet

Plus que les déploiements officiels — qui sont de toute façon rares aujourd’hui —, c’est le Shadow IT qui doit mobiliser votre attention. C’est par là que les premiers incidents surviendront.

À propos des auteurs

Mohamed Ali Ksouri est Directeur Associé d’i-lead Consulting, ESN généraliste française regroupant une cinquantaine de consultants à Lyon et en Île-de-France. Il porte la marque i-leadconsulting dédiée à la cybersécurité managée et accompagne au quotidien des dirigeants, RSSI et DSI dans la structuration de leur posture cyber.

Sources et références

• CERT-FR (ANSSI) — Bulletin CERTFR-2026-ACT-016, 13 avril 2026
• MITRE ATLAS — Adversarial Threat Landscape for AI Systems
• OWASP Top 10 for Large Language Model Applications, 2025
• Règlement (UE) 2024/1689 — AI Act
• Directive (UE) 2022/2555 — NIS2
• ENISA — AI Threat Landscape Report 2026
• NIST — AI Risk Management Framework (AI RMF 1.0)
• Trend Micro — OpenClaw skills used to distribute Atomic macOS Stealer (2026)
• Palo Alto Networks — Why MoltBot may signal AI crisis (2026)
• Cisco Blogs — Personal AI agents like OpenClaw are a security nightmare (2026)

Pour approfondir — cluster i-leadconsulting

RSSI externalisé pour ETI et PME : guide complet (coûts, délais, NIS2)

IA générative et cybersécurité : les 6 nouvelles attaques que vos équipes ne voient pas encore

Les vulnérabilités Zero‑Day : pourquoi elles inquiètent autant les RSSI