Ton équipe a déployé des agents IA sur Notion, Jira et GitHub ces deux dernières semaines. L'onboarding était presque insultant de facilité — une clé API (un mot de passe qui permet aux logiciels de communiquer entre eux), quelques clics, peut-être une pause café. L'agent lit tes tickets, pousse du code, poste dans Slack. Tu as eu l'impression que le futur était enfin arrivé.

Puis le pilote s'est terminé. Ou ton équipe sécu s'est réveillée. Ou tu as changé de prestataire. Et maintenant tu dois répondre à une question que personne n'avait pensé à poser : comment est-ce qu'on éteint un agent, concrètement ?

L'enquête de la Cloud Security Alliance, publiée hier le 21 avril, met un chiffre sur le vide : seulement 21 % des entreprises ont un processus formel de décommissionnement pour les agents IA. En parallèle, 65 % ont déjà subi des incidents de sécurité liés aux agents au cours de l'année passée. Anthropic a livré Managed Agents le 8 avril, OpenAI a mis à jour son Agents SDK le 15, et Google a dévoilé sa plateforme d'agents au Cloud Next le 22 — trois lancements production-ready en deux semaines. Chaque plateforme a publié des guides d'onboarding détaillés. Aucune — littéralement zéro — n'a publié de guide d'offboarding.

Ce que « éteindre » un agent veut vraiment dire

Décommissionner un agent, ce n'est pas appuyer sur un interrupteur. C'est plutôt comme virer un employé qui a les clés de tous les bureaux, se souvient de chaque conversation, et a mis en place une douzaine de workflows automatisés que personne d'autre ne comprend.

Voici la vraie checklist que personne n'a écrite :

  • Révoquer les tokens OAuth — OAuth est le système qui permet à un agent d'accéder à tes outils (GitHub, Jira, Slack) en ton nom. Quand tu « connectes » un agent à un outil, tu lui accordes un token — un badge numérique. Ce badge n'expire pas quand tu arrêtes de payer pour l'agent. Il reste là, valide et oublié.
  • Purger les mémoires — Les agents ont désormais une mémoire persistante : ils retiennent les conversations passées, les décisions, et tes données. L'API Memory Stores d'Anthropic te permet de supprimer les souvenirs un par un, mais n'offre aucun endpoint de suppression en masse. Tu veux tout effacer ? Énumère chaque souvenir individuellement et supprime-les un à un. Sympa.
  • Annuler les actions programmées — Les agents peuvent tourner sur des cron schedules (des tâches automatiques récurrentes, genre « vérifie ce repo tous les matins à 9h »). Ces schedules persistent sous l'identité de l'utilisateur qui les a créés. L'utilisateur quitte la boîte, le cron continue de tourner.
  • Réassigner le travail en cours — Si l'agent avait des pull requests ouvertes, des tickets assignés ou des reviews en attente, tout ça appartient maintenant à un fantôme.
  • Notifier les agents dépendants — Dans les configurations multi-agents, d'autres agents peuvent appeler celui que tu viens de retirer. Ils vont échouer silencieusement ou, pire, rester bloqués indéfiniment.

Aucune plateforme n'automatise quoi que ce soit de tout ça.

Les chiffres sont pires que tu ne le penses

Selon Itamar Apelblat, CEO de Token Security, interviewé le 9 avril : 65,4 % des chatbots agentiques n'ont jamais été utilisés depuis leur création, mais conservent des identifiants d'accès actifs. Plus de la moitié des actions d'agents externes reposent sur des identifiants codés en dur plutôt que sur OAuth — ce qui signifie que tu ne peux même pas les révoquer via ta gestion d'identités standard.

« Beaucoup d'organisations traitent encore les agents IA davantage comme des expériences de productivité jetables que comme des identités gouvernées », a déclaré Apelblat à Help Net Security.

Il est poli. Ce qu'il veut dire, c'est : tu as configuré un bot avec un accès en lecture à ta base de données de production, tu t'es lassé, et tu l'as laissé tourner avec les clés sur le contact.

La vraie menace : les identifiants zombies

Le danger, ce n'est pas l'agent zombie lui-même. Un agent mort qui ne peut plus s'exécuter est inoffensif. Le danger, ce sont les identifiants zombies — les tokens OAuth, les clés API et les permissions de comptes de service qui survivent à l'agent.

Un agent autorisé à lire ton Jira, pusher sur ton GitHub et poster dans ton Slack ne perd pas ces permissions quand tu arrêtes de payer Anthropic ou OpenAI. Ces autorisations vivent dans ton fournisseur d'identité, tes apps SaaS, ton cloud IAM (Identity and Access Management — le système qui contrôle qui peut accéder à quoi). La plateforme d'agents ne sait même pas qu'elles existent, parce que ce n'est pas elle qui les a accordées.

Microsoft a reconnu le problème il y a trois semaines en open-sourçant son Agent Governance Toolkit le 2 avril — sept packages couvrant les 10 risques OWASP Agentic AI (OWASP est le catalogue de référence des menaces de sécurité applicative), avec un « kill switch » d'urgence et un modèle de « trust decay » qui réduit les permissions de l'agent au fil du temps. Ça sonne bien. Mais lis la doc attentivement : elle couvre la sécurité runtime — ce qui se passe pendant que l'agent est vivant. Elle ne couvre ni le décommissionnement ni le nettoyage des identifiants. Le toolkit t'aide à surveiller l'agent. Il ne t'aide pas à l'enterrer.

Hillary Baron, VP associée Recherche de la CSA, a résumé le 21 avril : « La sécurité et la gouvernance des agents IA englobent un système interconnecté couvrant la visibilité, la gestion du cycle de vie, les politiques et la surveillance. » Traduction : tu dois voir chaque agent, gérer toute sa vie de la naissance à la mort, définir des règles, et tout surveiller. Les entreprises font actuellement à peu près rien de tout ça.

Tu es déjà passé par là

L'offboarding des employés — le processus formel de révocation des accès quand quelqu'un quitte une entreprise — a pris environ 20 ans aux entreprises pour être codifié en standards comme SCIM (un protocole de gestion automatisée des comptes utilisateurs entre services) et le provisioning JML (Joiners, Movers, Leavers — le workflow RH-vers-IT). Vingt ans, et la plupart des boîtes se plantent encore.

L'offboarding des agents en est au jour zéro. Mais les entreprises déploient des agents plus vite qu'elles n'ont jamais embauché d'humains. L'enquête CSA révèle que 51 % des agents fantômes — des agents que personne n'a officiellement approuvés — émergent de l'automatisation et du scripting internes. Tes développeurs créent des agents comme ils lançaient des instances EC2 en 2012 : vite, pas cher, et sans aucune pensée pour qui nettoiera derrière.

La plateforme qui livrera la gestion du cycle de vie des agents — un workflow complet du déploiement au décommissionnement avec cascade d'identifiants, purge mémoire et notification des dépendances — remportera les appels d'offres enterprise. D'ici là, chaque agent retiré est une porte que tu as oublié de verrouiller. Et tu as beaucoup de portes.