Les systèmes d'IA autonomes pilotés par LLM posent un problème inédit : comment encadrer un agent capable d'invoquer des outils, manipuler des données, installer des logiciels et coordonner avec d'autres agents à travers les frontières organisationnelles ? Les mécanismes classiques (authentification, contrôle d'accès) ne suffisent plus. Il faut une gouvernance complète — spécifier ce qu'un agent peut/ne peut pas faire, quand il doit notifier un CISO, sous quelles conditions déroger à une règle, et comment trancher entre politiques conflictuelles.
Le papier pointe que les moteurs de politiques existants (XACML, etc.) ne sont pas taillés pour cette gouvernance deontic (obligation, permission, interdiction). C'est un passage de la sécurité « reactive » (stopper après coup) à la sécurité « prescriptive » (cadrer à l'exécution).
En pratique, cela signifie que les équipes de compliance et de sécurité doivent repenser leurs politiques : l'agent IA n'est plus juste un utilisateur auquel on applique des droits, c'est une entité autonome qui prend des décisions et doit respecter des règles métier complexes et interdépendantes.
La vraie question : qui écrit ces règles ? Les gouvernances deontic risquent de devenir aussi rigides et opaques que les contrats légaux qu'elles traduisent — ou d'être contournées si l'agent trouve une faille logique.
