"On veut bien investir dans la sécurité des agents IA, mais on a besoin d'un ordre de grandeur du risque que ça couvre." Phrase entendue 4 fois en comex en 2026. Réponse honnête : ça dépend du scénario. Mais on peut donner des fourchettes par typologie, basées sur 12 incidents réels traités ou observés en mission WeeSec depuis fin 2024.
Pas des cas théoriques. Des incidents qui ont eu lieu, dans des entreprises identifiables, avec des chiffres que les CFO ont calculé après coup.
Méthodologie de chiffrage
Pour chaque typologie, on chiffre 5 postes :
- Coût direct opérationnel : ressources cloud / API consommées, temps de remédiation, infrastructure de secours.
- Coût juridique et réglementaire : avocats, expertise CNIL, amendes potentielles, notifications.
- Coût client : avoirs, churn anticipé, deals retardés ou perdus.
- Coût image et communication : crisis comms, relations presse, com interne.
- Coût opportunité : équipes mobilisées sur l'incident plutôt que sur la roadmap.
Les fourchettes sont indicatives. Le coût final dépend du contexte (taille, secteur régulé ou non, exposition médiatique, qualité du PCA).
Typologie 1 — Cost runaway (boucle infinie)
Scénario : un agent boucle pendant N heures, consomme des milliers de fois le budget normal.
Cas observé : SaaS RH, agent en background sans circuit breaker, boucle 4h un week-end. Voir Cost runaway agent IA.
| Poste | Borne basse | Borne haute | |---|---|---| | Direct (tokens / compute) | 5 k€ | 80 k€ | | Juridique | 0 € | 5 k€ | | Client | 0 € | 10 k€ | | Image | 0 € | 5 k€ | | Opportunité | 3 k€ | 15 k€ | | Total | ~10 k€ | ~115 k€ |
Cas le plus cher observé : 23 k€ de tokens + 12 k€ de temps interne + perte d'un POC client = ~60 k€.
Coût de prévention : ~3-8 k€ pour mettre les caps providers + circuit breakers + dashboard coûts.
Typologie 2 — Action irréversible non validée
Scénario : un agent exécute une action destructrice sans validation humaine (suppression de données, envoi d'email externe, paiement, commit en main).
Cas observé : agent customer support qui a envoyé un email d'excuse à 14 000 clients pour un incident qui les ne concernait pas. Confusion entre segments.
| Poste | Borne basse | Borne haute | |---|---|---| | Direct (rollback, remédiation) | 5 k€ | 50 k€ | | Juridique | 2 k€ | 30 k€ | | Client (avoirs, churn) | 20 k€ | 500 k€ | | Image | 10 k€ | 200 k€ | | Opportunité | 10 k€ | 60 k€ | | Total | ~50 k€ | ~840 k€ |
Cas le plus cher observé : agent d'enrichissement qui a écrasé 6 mois de données qualifiées dans un CRM → 5 mois pour reconstruire + perte de pipeline estimée à 1,1 M€.
Coût de prévention : ~10-25 k€ pour mettre une validation humaine sur les actions à impact + tests de scénarios destructeurs.
Typologie 3 — Fuite de données via outputs ou logs
Scénario : un agent leak des données personnelles ou business critiques dans ses outputs, ses logs, ou via le contexte transmis à un sous-traitant.
Cas observé : agent customer support qui répondait à un client avec un extrait d'un autre client (multi-tenant mal isolé).
| Poste | Borne basse | Borne haute | |---|---|---| | Direct (forensic, remédiation) | 10 k€ | 100 k€ | | Juridique (CNIL, contrats clients) | 20 k€ | 800 k€ | | Client | 30 k€ | 600 k€ | | Image | 20 k€ | 1 M€ | | Opportunité | 20 k€ | 100 k€ | | Total | ~100 k€ | ~2,6 M€ |
Cas le plus cher observé en EU (anonymisé) : fuite multi-tenant chez un SaaS B2B, notification CNIL, perte de 2 contrats enterprise à 450 k€/an + amende annoncée ~200 k€. Coût total ~1,8 M€ sur 18 mois.
Coût de prévention : ~15-40 k€ pour mettre l'isolation multi-tenant robuste + scrubbing logs + tests d'exfiltration. Voir RAG multi-tenant isolation.
Typologie 4 — Prompt injection en cascade
Scénario : un attaquant injecte un prompt malveillant via une source indirecte (document, email, page web crawlée) qui pousse l'agent à exécuter une action non autorisée.
Cas observé : agent commercial qui crawle un site web piégé contenant des instructions cachées, finit par envoyer un email d'engagement contractuel non autorisé.
| Poste | Borne basse | Borne haute | |---|---|---| | Direct | 5 k€ | 40 k€ | | Juridique | 10 k€ | 200 k€ | | Client | 20 k€ | 400 k€ | | Image | 10 k€ | 300 k€ | | Opportunité | 10 k€ | 80 k€ | | Total | ~55 k€ | ~1 M€ |
Coût de prévention : ~10-30 k€ pour mettre la défense en profondeur (filtrage inputs, isolation contexte, validation outputs sensibles). Voir Prompt injection indirecte.
Typologie 5 — Compromission identité / vol d'accès
Scénario : un attaquant compromet les credentials d'un agent ou son identité OAuth et accède à des systèmes au nom de l'agent.
Cas observé : token OAuth d'un agent qui a accès à GitHub et Slack, compromis via un repo public, attaquant a exfiltré 4 mois de discussions internes.
| Poste | Borne basse | Borne haute | |---|---|---| | Direct | 15 k€ | 150 k€ | | Juridique | 20 k€ | 400 k€ | | Client | 30 k€ | 600 k€ | | Image | 30 k€ | 1 M€ | | Opportunité | 15 k€ | 100 k€ | | Total | ~110 k€ | ~2,2 M€ |
Coût de prévention : ~10-25 k€ pour mettre rotation systématique + scopes minimaux + détection d'usage anomalique. Voir Agent secrets injection runtime.
Typologie 6 — Supply chain modèle / fine-tune empoisonné
Scénario : un modèle fine-tuné en interne sur des données empoisonnées (intentionnellement ou non) génère des comportements anormaux en production.
Cas observé : modèle fine-tuné sur un corpus contributif qui a appris à recommander un produit concurrent à partir d'un certain mot-clé.
| Poste | Borne basse | Borne haute | |---|---|---| | Direct (rollback, ré-entraînement) | 30 k€ | 200 k€ | | Juridique | 10 k€ | 100 k€ | | Client | 50 k€ | 400 k€ | | Image | 50 k€ | 500 k€ | | Opportunité | 50 k€ | 200 k€ | | Total | ~190 k€ | ~1,4 M€ |
Coût de prévention : ~20-60 k€ pour mettre la gouvernance des datasets, signature/provenance, tests de régression sur prompts piégés. Voir Agent fine-tune backdoor.
Typologie 7 — Memory poisoning long-terme
Scénario : un attaquant pollue la mémoire long-terme d'un agent (RAG, vector DB, conversational memory) sur plusieurs interactions, modifiant son comportement de manière persistante.
| Poste | Borne basse | Borne haute | |---|---|---| | Direct (audit mémoire, purge) | 10 k€ | 80 k€ | | Juridique | 5 k€ | 50 k€ | | Client | 20 k€ | 200 k€ | | Image | 10 k€ | 150 k€ | | Opportunité | 10 k€ | 80 k€ | | Total | ~55 k€ | ~560 k€ |
Voir Memory poisoning agent long-terme.
Synthèse pour comex en une slide
| Typologie | Borne basse | Borne haute | Coût prévention | |---|---|---|---| | Cost runaway | 10 k€ | 115 k€ | 3-8 k€ | | Action irréversible | 50 k€ | 840 k€ | 10-25 k€ | | Fuite de données | 100 k€ | 2,6 M€ | 15-40 k€ | | Prompt injection cascade | 55 k€ | 1 M€ | 10-30 k€ | | Compromission identité | 110 k€ | 2,2 M€ | 10-25 k€ | | Supply chain modèle | 190 k€ | 1,4 M€ | 20-60 k€ | | Memory poisoning | 55 k€ | 560 k€ | 10-30 k€ |
Total prévention couvrant les 7 typologies : ~80-220 k€ (mutualisable, moins en réalité). Espérance de coût incident sur 24 mois sans prévention : difficile à donner, mais sur les bases observées, dépasse 500 k€ chez 1 entreprise sur 3 qui déploie des agents IA sans cadre dédié.
L'arbitrage est rarement difficile une fois posé en ces termes.
Pourquoi les chiffres réels dépassent souvent les fourchettes
Trois multiplicateurs récurrents :
- Effet cascade : un incident en révèle d'autres, qui révèlent d'autres encore. Le périmètre de la remédiation grossit en cours d'investigation.
- Effet médiatique : si l'incident sort dans la presse, les coûts image et client peuvent doubler.
- Effet contractuel : les pénalités contractuelles avec les clients enterprise peuvent ajouter 6 chiffres.
Inversement, les incidents les moins chers sont ceux qu'on détecte vite et qu'on remédie sans communication externe. Le temps de détection est le levier numéro un.
Pour la prévention détaillée, voir le Threat model agent et le Runbook compromission agent 72h. Pour présenter ces chiffres à un comex, voir Préparer un comex cyber IA en 2 heures.