Thématique

Gouvernance des agents IA

La gouvernance ne sert pas à ralentir les agents IA. Elle sert à rendre leur travail explicite, contrôlable et acceptable dans un système réel.

Ce qu'il faut gouverner

Un agent IA peut lire du code, modifier des fichiers, appeler des outils, manipuler des données et influencer des décisions. La gouvernance doit donc couvrir le périmètre de travail, les permissions, les données accessibles, les validations attendues et les conditions d'arrêt.

L'article gouvernance, sécurité et économie du risque relie ces sujets au dossier économique des agents de codage IA.

Règles simples pour commencer

  • définir un owner humain par workflow agentique ;
  • séparer lecture, proposition, modification et automatisation ;
  • limiter les accès outils au besoin réel ;
  • exiger une trace des validations exécutées et non exécutées ;
  • prévoir une revue humaine sur les zones sensibles.

La checklist de gouvernance orchestration Codex et la matrice de délégation agentique peuvent aider à transformer ces règles en décisions concrètes.

Permissions et blast radius

Le risque n'est pas seulement que l'agent se trompe. Le risque est qu'il puisse se tromper trop loin : mauvais dépôt, mauvais environnement, secret exposé, migration trop large, commande destructive ou patch non relu. Le blast radius doit être conçu avant l'automatisation.

Avant d'exposer un outil externe à un agent, utilisez la checklist MCP avant intégration pour vérifier le besoin, les permissions, les traces et les limites.

Orchestration d'équipe

Lorsque plusieurs agents, subagents ou automations interviennent, il faut gérer l'état, les responsabilités, les conflits de fichiers et l'observabilité. L'article orchestrer à l'échelle d'une équipe aborde cette gouvernance technique côté développement.

Le bon niveau de contrôle

Une gouvernance utile est proportionnée. Une correction de typo ne demande pas le même dispositif qu'une migration transverse, un accès production ou une automatisation récurrente. Le contrôle doit suivre le risque, pas la peur générique de l'IA.

FAQ

La gouvernance doit-elle être définie avant tout usage ?

Pas entièrement. Mais quelques règles minimales sont nécessaires dès le départ : périmètre, validation, review, données interdites et owner humain.

Comment éviter une gouvernance trop lourde ?

En la liant au niveau de risque. Plus l'agent peut modifier, automatiser ou accéder à des données sensibles, plus les règles doivent être explicites.

Qui doit porter la décision finale ?

Un humain identifié. L'agent peut préparer, exécuter et documenter, mais la décision d'accepter le risque doit rester attribuable.