estonie agent ia

Data / IA

L’Estonie veut immatriculer chaque agent IA

Par Guillaume Perissat, publié le 06 juillet 2026

L’Etat balte prépare un dispositif inédit : donner à chaque agent IA un identifiant unique. Le gouvernement estonien entend ainsi mieux encadrer leurs droits d’accès, tracer leurs actions et clarifier les responsabilités. Une initiative pionnière qui répond à l’essor de l’IA agentique, mais qui soulève encore de nombreuses questions techniques et juridiques.

On sait l’Estonie en avance sur le numérique, à la pointe notamment sur les sujets d’identité. Aussi il n’est guère surprenant que l’Etat balte veuille devenir « le premier pays au monde à créer une identité numérique pour les agents d’IA », selon le premier ministre estonien, Kristen Michal.
Celui-ci a donné son feu vert à une proposition de loi en ce sens. « Il est hors de question qu’une personne soit contrainte d’accorder à son assistant IA un accès à l’ensemble de ses droits, services et données » justifie-t-il. « Les agents doivent disposer d’autorisations limitées, contrôlables et auditables ».

L’objectif est de préparer l’arrivée d’une nouvelle génération d’agents autonomes capables de réaliser des tâches administratives, de préparer des déclarations, de rédiger des documents ou encore d’interagir directement avec des systèmes d’information. Pour Tallinn, il devient indispensable de savoir « qui agit, au nom de qui, avec quels droits et qui est responsable ».

Adapter l’identité numérique à l’ère agentique

L’initiative s’inscrit dans la continuité de la stratégie numérique estonienne. Depuis plus de vingt ans, le pays balte a construit une administration largement dématérialisée reposant sur l’identité numérique, la signature électronique et la plateforme d’échange de données X-Road.

Pour le gouvernement estonien, l’émergence des agents IA pose désormais les mêmes enjeux de confiance que ceux qui avaient accompagné la généralisation de l’identité numérique. Mais, dès lors, il ne suffit plus de d’identifier un citoyen ou une entreprise, mais les logiciels autonomes qui agissent en leur nom.

« Le fait d’accorder ce type d’identifiants à l’agent, c’est un premier pas dans l’audit », estime Aziz Si Mohammed, Senior Manager Solutions Engineering chez Okta. Pouvoir identifier un agent et savoir au nom de qui il agit constitue un prérequis indispensable pour sa gouvernance.

Un défi de traçabilité

Pour Olivier Daloy, CISO de Zscaler France, l’identification des agents répond à plusieurs enjeux de sécurité majeurs. Le premier est celui de la traçabilité. « C’est comme une plaque d’immatriculation », explique-t-il. En cas d’incident, une identité propre permettrait de remonter plus facilement à l’origine d’une action et d’en comprendre les responsabilités.

Le deuxième enjeu concerne la gestion des privilèges. « Il faut bien comprendre qu’on a introduit des agents qui tournent avec des privilèges qui sont ceux de leurs utilisateurs humains » souligne Olivier Daloy. Or un agent peut interagir simultanément avec un nombre bien plus important d’applications et de données qu’un utilisateur classique. « En termes de sécurité, le fait de ne pas donner les mêmes droits à un seul agent, c’est une bonne idée », poursuit-il. « Mais pour ségréger les droits, il faut une identité différente de celle de l’humain ».

Olivier Daloy

CISO de Zscaler France

« En termes de sécurité, le fait de ne pas donner les mêmes droits à un seul agent, c’est une bonne idée. Mais pour ségréger les droits, il faut une identité différente de celle de l’humain ».

Dans le même ordre d’idée, l’identification offrirait un moyen de distinguer les activités réalisées par des humains de celles effectuées par des agents autonomes. Une séparation qui pourrait devenir essentielle pour les fonctions d’audit, de supervision et de conformité.

L’identité ne règle pas la question de la responsabilité

Pour autant, plusieurs experts soulignent que l’identité numérique n’est qu’une première étape. L’attribution d’un identifiant ne suffit pas à résoudre la question de la responsabilité. « Pouvoir détecter un agent, c’est un premier pas, mais il reste énormément d’autres question à résoudre » soutient Aziz Si Mohammed.

« Un agent est conçu pour atteindre un objectif dans un périmètre donné où il a autorité à agir » précise le Senior Manager Solutions Engineering d’Okta. « A qui incombe donc la responsabilité en cas de défaillance d’un agent ? ». A l’utilisateur qui lui a donné l’objectif ? A l’entreprise qui l’exploite ? Aux équipes qui l’ont configuré ou encore celles qui ont défini son périmètre d’action ?

D’autant qu’il faut également séparer les cas d’usage personnels et professionnels. A l’image de l’humain, qui a aussi bien une adresse email dans son entreprise et une autre dans sa vie privée. « Il n’y a pas de législation unifiée en la matière en Europe, même si l’IA Act commence à défricher le sujet ».

Selon Okta, l’enjeu est désormais de construire un véritable cadre de gouvernance autour de ces nouvelles identités : inventaire des agents déployés, définition précise de leurs droits, suivi de leurs actions et mécanismes de désactivation en cas de comportement anormal.

Vers un futur standard ?

Reste une interrogation de taille : un Etat seul peut-il imposer une immatriculation pour des agents IA ? Pour Olivier Daloy, la question dépasse largement le cadre national. Si l’identification constitue « la base de tout », la mise en œuvre d’un système universel se heurte à l’absence de normes communes et à la diversité des législations. Comme pour les adresses IP ou les protocoles Internet, l’adoption d’un standard mondial nécessiterait un consensus difficile à obtenir.

Aziz Si Mohammed

Senior Manager Solutions Engineering d’Okta

« Un agent est conçu pour atteindre un objectif dans un périmètre donné où il a autorité à agirA qui incombe donc la responsabilité en cas de défaillance d’un agent ? »

Un élément de réponse pourrait venir de l’industrie elle-même. Peut-on imposer au développeur d’un agent une signature unique ? Sans laquelle l’agent en question serait bloqué par les MCP ? Le passage du SSL au TLS en est un bon exemple, mais on pourra prendre en contre-exemple DMARC, et sa faible adoption, pour les messageries électroniques.

Un élément de réponse pourrait venir de l’industrie elle-même. Peut-on imposer au développeur d’un agent une signature unique ? Sans laquelle l’agent en question serait bloqué par les MCP ? Le passage du SSL au TLS en est un bon exemple, mais on pourra prendre en contre-exemple DMARC, et sa faible adoption, pour les messageries électroniques.

Le débat est ouvert

La question se poserait également pour les agents IA déjà existants : « comment fait-on un rétrofit de ce qui existe et qui n’a pas une identité reconnue ? » interroge Olivier Daloy. Le sujet est donc complexe et le gouvernement estonien n’est pas encore entré dans le détail de l’implémentation technique de ce système d’identification.

Néanmoins l’initiative estonienne a le mérite d’ouvrir le débat sur l’identité des agents IA. Le pays met en lumière un sujet encore largement absent des réglementations actuelles. Alors que les agents autonomes s’apprêtent à accéder aux ERP, CRM et applications métier des entreprises, la question de leur identification va rapidement devenir aussi incontournable que celle des identités humaines et machine dans les architectures de cybersécurité modernes.

À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights