Tu as des agents IA dans ta stack. Notion, Slack, GitHub, Linear — chaque plateforme a rendu leur déploiement plus simple que de remplir un ticket IT le trimestre dernier. Personne n'a demandé si la DSI était au courant. Aujourd'hui, poser la question « combien d'agents tournent dans ton organisation ? » provoque le même silence gêné que « qui a validé cette facture AWS ? »

Ce silence vient de devenir une opportunité de marché. En 72 heures, deux des plus gros fournisseurs d'infrastructure ont lancé indépendamment le même produit : un registre d'agents.

Deux registres, une semaine, zéro coïncidences

Le 9 avril, AWS a dévoilé en preview son Agent Registry — un catalogue cloud-agnostique où les agents démarrent en « brouillon » et doivent passer des portes de validation avant d'atteindre la production. Justin Bundick, VP IA de Southwest Airlines, y voit un moyen de « prévenir la prolifération des agents dans l'organisation ». Quand une compagnie aérienne réputée pour son efficacité opérationnelle s'inquiète de la prolifération, c'est que le problème a quitté le labo depuis longtemps.

Le 11 avril, Microsoft a poussé Entra Agent ID en preview — étendant aux programmes autonomes la même gouvernance d'identité que celle des humains. Politiques de connexion, accès conditionnel, journaux d'audit. Ton bot qui écrit du code a désormais son badge employé.

Les deux sont en preview. Aucun ne parle à l'autre. Mais le fait que les deux aient été lancés la même semaine te dit tout ce que les entreprises hurlaient en coulisses depuis des mois.

Tu as déjà vu ce film trois fois

Les années 2000 : les départements achetaient leurs propres serveurs et les planquaient sous les bureaux. La DSI l'a découvert quand la facture d'électricité a explosé. La solution : virtualisation et provisionnement centralisé.

Les années 2010 : les équipes s'inscrivaient sur Dropbox, Slack et les add-ons Salesforce avec la carte bleue de la boîte sans prévenir les achats. Le Shadow SaaS est devenu une catégorie à part entière. Okta, OneLogin et toute une vague de fournisseurs de gestion d'identité ont bâti des empires à coups de milliards sur un principe simple : quelqu'un doit être le videur à l'entrée.

Les années 2020 : les agents. Même schéma, conséquences pires. Un abonnement SaaS fantôme dort tranquillement jusqu'à ce qu'un humain se connecte. Un agent fantôme, lui, ne s'arrête jamais. Il hérite des identifiants, appelle des API, touche aux bases de données, et opère à la vitesse de la machine sans personne pour surveiller. Simon Willison a baptisé ça le « triptyque mortel » — accès aux données privées, exposition à du contenu non fiable, et capacité de communiquer avec l'extérieur. La plupart des agents d'entreprise cochent les trois cases sans même transpirer.

L'enquête de Gravitee de février 2026, menée auprès de 919 organisations, a mis un chiffre sur les dégâts : 88 % ont déjà signalé des incidents de sécurité confirmés ou suspectés liés aux agents. Seuls 14,4 % des agents ont été déployés avec une vraie validation de la DSI. Le reste a poussé comme des champignons après la pluie — discrètement, partout, et personne ne les avait semés volontairement.

Ce qu'aucun des deux éditeurs ne dira à voix haute

AWS Agent Registry catalogue les agents construits sur AWS. Entra Agent ID gouverne les agents dans le périmètre d'identité Microsoft. Tes agents Notion, tes automatisations Linear, tes Anthropic Managed Agents qui tournent à $0.08 la session-heure — aucun d'entre eux n'apparaît dans l'un ou l'autre registre.

C'est là que se trouve la faille. Le fournisseur qui livrera un vrai registre d'agents cross-platform — un catalogue unique inventoriant les agents à travers chaque outil, chaque cloud, chaque SaaS — possédera la couche de gouvernance comme Okta a possédé la gestion d'identité il y a dix ans. Ce n'est pas une feature request. C'est une entreprise qui attend d'être créée.

Et personne dans la ruée vers l'or actuelle des agents n'est incité à la construire. GitHub vient d'étendre l'agent cloud de Copilot avec de la recherche autonome et de la génération de code. Linear rapporte que 25 % des nouvelles issues proviennent désormais d'agents, pas d'humains. Anthropic a rendu le déploiement d'agents persistants aussi simple qu'un seul appel API. Chaque plateforme veut plus d'agents, plus vite. La gouvernance, c'est le problème de quelqu'un d'autre — jusqu'au jour où ça ne l'est plus.

Le décompte a commencé

AWS et Microsoft viennent d'admettre, de la manière la plus corporate qui soit, que l'industrie a un problème d'inventaire. Deux previews de registres en une semaine, ce n'est pas une coïncidence. C'est un signal.

Les organisations qui comptent leur flotte d'agents ce trimestre la feront évoluer le trimestre prochain en toute confiance. Les autres découvriront le total lors de leur première réponse à incident — ce qui, si les chiffres se confirment, est déjà arrivé à la plupart d'entre vous. La version années 2020 du Shadow IT n'attend pas que tu te connectes. Elle tourne déjà.