+33 9 84 25 52 61
Se connecter
Gouvernance des agents IA

Gardez chaque agent IA sous contrôle.

Les agents autonomes agissent avec leurs propres identifiants, à vitesse machine. Obexal donne à votre équipe sécurité la supervision, la détection et le kill switch pour garder la maîtrise d'une flotte qui grandit.

Une gouvernance pensée pour les identités machine

Chaque contrôle ci-dessous s'applique par agent, évalué au niveau du fournisseur d'identité, pas rajouté après coup.

Visibilité complète

Voyez chaque agent, son propriétaire humain, ses scopes, son allowlist d'audience et sa dernière activité dans un annuaire unifié.

Détection d'anomalies

Six règles déterministes : réveil d'un agent dormant, agent expiré ou secret expiré en usage, activité malgré un kill switch, horaires inhabituels, pic de volume. En dérive extrême, confinement automatique.

Révocation temps réel

Suspendez ou révoquez un agent instantanément. L'introspection et la révocation des jetons se propagent aux services consommateurs.

Kill switch

Une seule action coupe un agent : plus aucun jeton émis, les jetons encore en circulation deviennent inertes à l'introspection, la délégation est retirée.

Supervision des délégations

Les autorisations « pour le compte de » sont explicites et révisables. Les propriétaires humains restent responsables de ce que l'agent peut faire.

Revue périodique

Des revues d'accès attestées, tous les 90 jours, empêchent scopes, audiences et plafonds de durée de dériver hors limites.

Limiter le rayon d'impact par défaut

La gouvernance commence avant l'émission du premier jeton. Obexal applique des réglages fail-closed pour qu'un agent ne dépasse jamais discrètement son mandat.

Une politique par agent, appliquée à l'émission

Chaque agent porte sa propre politique, appliquée au moment où le jeton est émis : plafond de scopes, plafond de durée (TTL) et allowlist d'audience. Toute requête hors mandat échoue en mode fermé. Le modèle d'identité complet (propriétaire humain, expiration, statuts de cycle de vie, secrets) est détaillé sur la page Identité des agents IA.

  • Plafond de scopes, plafond de durée et allowlist d'audience : fail-closed
  • Kill switch immédiat : les jetons en circulation deviennent inertes à l'introspection
  • Rotation des secrets avec coupure immédiate de l'ancien
Identité
OAuth 2.1 client credentials + PAR
Délégation
Token Exchange RFC 8693, claim act chaîné
Audience
RFC 8707 + allowlist par agent
Posture par défaut
Fail-closed
Kill switch
Effet immédiat, jetons en circulation inertes
Audit
Journal en ajout seul + flux d'évènements temps réel

Du signal à la mise sous contrôle

Une boucle reproductible que votre SOC peut appliquer à chaque agent.

1

Baseline

Obexal apprend le schéma normal de scopes, d'audiences et de cadence de requêtes de chaque agent.

2

Détecter

Les écarts par rapport à la baseline sont remontés au regard de la politique de l'agent et de son activité récente.

3

Investiguer

Suivez la chaîne de délégation et le flux d'audit en direct pour voir exactement ce que l'agent a fait, et pour le compte de qui.

4

Contenir

Déclenchez le kill switch ou resserrez le plafond de scopes et l'allowlist d'audience de l'agent, sans le redéployer.

5

Revoir

Resserrez la politique si nécessaire : chaque changement crée une nouvelle version de la politique, tracée dans le journal d'audit en ajout seul, et la prochaine revue périodique est planifiée.

Mardi, 3 h 12 : l'agent achats interroge l'API RH

Un scénario d'incident en cinq temps, tel que votre SOC le vivrait dans Obexal.

1

Baseline

L'agent achats n'a jamais émis de jeton à cette heure. Sa baseline connaît ses scopes, ses audiences, sa cadence et ses horaires habituels.

2

Détection

La règle « horaires inhabituels » ouvre une anomalie : demande de jeton à 3 h 12, vers une audience que l'agent ne sollicite jamais la nuit.

3

Investigation

La chaîne de délégation (claim act) montre qui a délégué quoi à l'agent, et le journal forensic rejoue chaque émission de jeton de la nuit.

4

Confinement

Kill switch : plus aucun jeton n'est émis, et les jetons encore en circulation deviennent inertes à l'introspection.

5

Revue

La politique de l'agent est resserrée (plafond de scopes réduit), la nouvelle version de la politique est enregistrée et la revue est attestée.

Soutenir vos obligations AI Act

Obexal ne prétend pas vous rendre conforme. Il fournit les contrôles techniques sur lesquels repose la supervision des systèmes autonomes.

Traçabilité

Un journal d'audit en ajout seul enregistre qui a fait quoi, quand et pour le compte de qui, par agent.

Supervision humaine

Propriétaires et réviseurs restent dans la boucle via la délégation, la revue périodique et les autorisations self-service.

Capacité d'intervention

Le kill switch et la révocation temps réel donnent à un humain le moyen d'arrêter un agent à tout instant.

UE par conception

Conçu et hébergé dans l'UE, aucune dépendance hors UE, police auto-hébergée et aucun CDN. Aligné RGPD.

Questions des équipes sécurité et conformité

Quelle différence avec votre produit d'identité des agents IA ?

L'identité, c'est la façon dont chaque agent s'authentifie et ce qu'il a le droit de demander. La gouvernance, c'est la supervision de la flotte dans le temps : détection, révocation, kill switch, supervision des délégations et audit. Les deux fonctionnent ensemble. Commencez par le modèle d'identité sur notre page Identité des agents IA.

En combien de temps la révocation prend-elle effet ?

Un kill switch ou une révocation stoppe immédiatement l'émission de nouveaux jetons, et les services consommateurs peuvent vérifier le statut via l'introspection et l'endpoint de révocation. Les plafonds de durée gardent tout jeton déjà émis à courte vie.

Sur quoi repose la détection d'anomalies ?

Six règles déterministes, évaluées contre la baseline de comportement de chaque agent : réveil d'un agent dormant, agent expiré en usage, secret expiré en usage, activité malgré un kill switch, horaires inhabituels et pic de volume. Les anomalies sont remontées pour revue humaine ; seule une dérive extrême déclenche un confinement automatique.

Obexal se déclare-t-il conforme à l'AI Act ?

Non. La conformité dépend de votre organisation, de votre cas d'usage et d'une validation juridique. Obexal fournit des contrôles de soutien : traçabilité, journal d'audit, kill switch et supervision humaine des agents.

Dans quelle offre la gouvernance des agents IA est-elle disponible ?

La gouvernance des agents IA est disponible à partir de l'offre Business, qui inclut l'identité et la gouvernance des agents, la détection d'anomalies, le policy-as-code et le flux d'audit temps réel. Voir les offres et tarifs.

Où les données sont-elles hébergées ?

Obexal est hébergé en France, dans un datacenter en région parisienne, et les données résident dans l'UE. Aucune dépendance hors UE dans le chemin des requêtes, aucun CDN externe, polices auto-hébergées. Côté certifications : non certifié ISO 27001, SOC 2 ou HDS à ce jour ; la correspondance ISO 27001:2022 est documentée et la feuille de route SecNumCloud est engagée. Plus de détails sur la page Souveraineté.

Voyez le kill switch sur vos propres agents.

Créez un espace d'essai, déclarez un agent et déclenchez le kill switch : l'effet est immédiat et tracé.