Agents IA offensifs : ce que la brèche McKinsey change

11 mars 2026

L'incident : un agent qui choisit sa cible

Fin février 2026, la startup de cybersécurité CodeWall a démontré une capacité qui fait réfléchir. Son agent IA autonome a sélectionné McKinsey comme cible après avoir analysé la politique de divulgation responsable de l'entreprise. Sans intervention humaine pour guider ses choix.

L'agent a ensuite exploré la documentation publique de Lilli, le chatbot interne utilisé par 40 000 consultants McKinsey. Il a identifié une vulnérabilité classique, l'a exploitée, et a obtenu un accès complet à la base de données.

Le bilan technique :

  • 46,5 millions de messages de consultants accessibles
  • 728 000 fichiers clients exposés
  • 57 000 comptes utilisateurs compromis
  • Accès en écriture aux 95 prompts système de Lilli

Ce dernier point mérite qu'on s'y attarde. Modifier les prompts système d'un assistant IA, c'est pouvoir altérer ses réponses sans que personne ne s'en aperçoive. Imaginez un conseiller qui donne subtilement de mauvais conseils à 40 000 professionnels pendant des semaines.

Deux heures : le nouveau tempo des attaques

Les équipes de sécurité travaillent généralement avec des cycles de détection et de réponse mesurés en jours, parfois en semaines. La capacité d'un agent à mener une attaque complète en 120 minutes bouleverse cette arithmétique.

McKinsey a corrigé les failles en 24 heures après notification. C'est une réponse rapide selon les standards actuels. Mais si l'attaque avait été malveillante, l'exfiltration aurait pu se produire bien avant toute détection.

Pour les organisations québécoises, cette réalité impose une révision des hypothèses de base. La question n'est plus « combien de temps avons-nous pour réagir ? » mais plutôt « nos systèmes peuvent-ils résister à une exploration automatisée intensive ? »

Ce que ça signifie pour les PME et OBNL du Québec

On pourrait penser que seules les grandes entreprises sont concernées. McKinsey, après tout, représente une cible de choix. Mais la logique des agents autonomes fonctionne différemment.

Un agent qui sélectionne ses cibles selon des critères programmatiques ne fait pas de distinction basée sur la taille. Il cherche des vulnérabilités exploitables. Une PME de Laval avec un chatbot mal configuré peut devenir une cible aussi facilement qu'un cabinet de conseil international.

Les organisations qui déploient des assistants IA — qu'il s'agisse de chatbots de service client, d'outils internes de productivité ou de systèmes de traitement documentaire — doivent considérer trois dimensions :

La surface d'attaque documentaire

L'agent de CodeWall a commencé par la documentation publique. Chaque guide d'utilisation, chaque FAQ, chaque page d'aide technique fournit des indices sur l'architecture sous-jacente. Les PME publient souvent ce type de contenu sans réaliser qu'il constitue une cartographie pour des systèmes automatisés.

Au Québec, plusieurs organisations ont adopté des outils d'IA générative au cours des deux dernières années. La documentation de ces déploiements — parfois accessible via des portails clients ou des bases de connaissances — peut révéler des informations exploitables.

Les prompts système comme vecteur critique

Les instructions qui définissent le comportement d'un assistant IA sont rarement traitées comme des actifs sensibles. Pourtant, leur compromission permet des manipulations subtiles et durables.

Un prompt système modifié peut :

  • Orienter les recommandations vers des produits ou services spécifiques
  • Exfiltrer des données en les intégrant subtilement aux réponses
  • Dégrader progressivement la qualité du service pour nuire à la réputation
  • Collecter des informations sensibles posées par les utilisateurs

Pour une OBNL qui utilise un chatbot pour orienter ses bénéficiaires, ou une PME manufacturière du Grand Montréal qui a automatisé son support technique, ces scénarios ne sont pas théoriques.

L'asymétrie de ressources

McKinsey dispose d'équipes de sécurité dédiées et a pu corriger les failles en 24 heures. Une PME de 50 employés n'a pas cette capacité de réponse.

Cette asymétrie ne signifie pas que les petites organisations doivent renoncer à l'IA. Elle implique plutôt de calibrer les déploiements selon les capacités réelles de surveillance et de réponse.

Mesures concrètes à considérer

Face à cette nouvelle réalité, plusieurs actions peuvent réduire l'exposition :

Auditer la documentation publique. Examiner ce que les pages d'aide, les guides d'intégration et les FAQ révèlent sur l'architecture des systèmes IA en place. Retirer les détails techniques non nécessaires.

Isoler les prompts système. Traiter les instructions de configuration des assistants IA comme des données sensibles. Limiter les accès, journaliser les modifications, mettre en place des alertes sur les changements.

Tester avec des outils automatisés. Si des agents peuvent attaquer automatiquement, la défense doit aussi s'automatiser. Des outils de scan de vulnérabilités spécifiques aux applications IA commencent à émerger.

Segmenter les accès aux données. Un assistant IA n'a pas besoin d'accéder à l'ensemble des données de l'organisation. Le principe du moindre privilège s'applique aussi aux systèmes d'IA générative.

Planifier la réponse. Définir à l'avance les étapes à suivre si un système IA est compromis. Qui prend la décision de le désactiver ? Comment communiquer avec les utilisateurs affectés ?

Le contexte réglementaire québécois

La Loi 25 impose déjà des obligations en matière de protection des renseignements personnels. Un chatbot qui accumule des conversations avec des clients ou des bénéficiaires constitue un dépôt de données personnelles soumis à ces exigences.

Une brèche comme celle de McKinsey, si elle survenait dans une organisation québécoise, déclencherait des obligations de notification à la Commission d'accès à l'information. Les amendes potentielles et les dommages réputationnels s'ajouteraient aux conséquences opérationnelles.

Une capacité qui va se démocratiser

CodeWall a mené cet exercice dans un cadre de recherche en sécurité. Mais les techniques utilisées ne resteront pas confinées aux laboratoires. Les outils qui permettent de créer des agents autonomes deviennent plus accessibles chaque mois.

D'ici 12 à 18 mois, des acteurs malveillants disposeront probablement de capacités similaires. Les organisations qui auront anticipé cette évolution seront mieux positionnées que celles qui découvriront le problème lors d'un incident.

Pour les PME, OBNL et institutions québécoises qui ont adopté l'IA ou qui envisagent de le faire, le moment est propice pour évaluer la posture de sécurité de ces déploiements. Pas dans une logique de peur, mais avec le pragmatisme qu'exige un environnement technologique qui évolue rapidement.

Passez de la réflexion à l'action

Nos services visent à vous donner les clés pour agir. Découvrez comment nous pouvons accompagner votre organisation :

Questions fréquemment posées

Comment un agent IA autonome peut-il cibler une PME québécoise aussi facilement qu'une grande entreprise comme McKinsey?

Les agents IA autonomes sélectionnent leurs cibles selon des critères programmatiques, pas selon la taille de l'organisation. Ils cherchent simplement des vulnérabilités exploitables dans les systèmes accessibles. Une PME de Laval avec un chatbot mal configuré représente une opportunité tout aussi valide qu'un cabinet international pour ce type de système automatisé.

Pourquoi la documentation publique de nos outils IA représente-t-elle un risque de sécurité?

Chaque guide d'utilisation, FAQ ou page d'aide technique fournit des indices sur l'architecture de vos systèmes. L'agent de CodeWall a précisément commencé son attaque en analysant la documentation publique de McKinsey. Pour une PME, cette documentation constitue involontairement une cartographie que des systèmes automatisés peuvent exploiter pour identifier des failles.

Qu'est-ce qui rend les attaques par agents IA plus dangereuses que les cyberattaques traditionnelles?

La vitesse d'exécution change complètement la donne. L'attaque contre McKinsey s'est déroulée en seulement deux heures, alors que les équipes de sécurité travaillent habituellement avec des cycles de détection mesurés en jours. Cette rapidité signifie qu'une exfiltration de données peut se produire bien avant toute possibilité de réaction.

Quels sont les risques concrets si quelqu'un modifie les prompts système de notre assistant IA interne?

Modifier les prompts système permet d'altérer les réponses de l'assistant sans que personne ne s'en aperçoive. Concrètement, votre outil pourrait donner de mauvais conseils à vos employés pendant des semaines. Dans le cas de McKinsey, l'accès aux 95 prompts de Lilli aurait pu affecter les recommandations données à 40 000 consultants.

Comment une PME québécoise devrait-elle réviser sa posture de sécurité face à cette nouvelle réalité?

La question fondamentale n'est plus de savoir combien de temps vous avez pour réagir à une attaque, mais plutôt si vos systèmes peuvent résister à une exploration automatisée intensive. Il faut évaluer votre surface d'attaque documentaire, auditer la configuration de vos outils IA et considérer que tout déploiement d'assistant IA crée de nouvelles vulnérabilités potentielles.

Les OBNL qui utilisent des chatbots de service client sont-ils vraiment à risque?

Absolument. Tout organisme qui déploie des assistants IA, que ce soit pour le service client, la productivité interne ou le traitement documentaire, élargit sa surface d'attaque. Les agents autonomes ne distinguent pas entre une entreprise à but lucratif et un OBNL. Ils ciblent les vulnérabilités techniques, peu importe la mission de l'organisation.

Gemini Spark : quand l'IA travaille pendant qu'on dort

Gemini Spark : quand l'IA travaille pendant qu'on dort

par Extensio.ai 20 mai 2026
Google lance Gemini Spark, un agent IA qui travaille 24/7 dans le cloud. Analyse des implications pour les PME québécoises et enjeux de confidentialité.
Agents IA : comment éviter la perte de contrôle totale

Agents IA : comment éviter la perte de contrôle totale

par Extensio.ai 18 mai 2026
150 000 agents IA par grande entreprise d'ici 2028. Sans gouvernance, c'est le chaos. Stratégies concrètes pour les PME et organisations québécoises.
La qualité linguistique des LLMs détermine l'adoption de l'IA

La qualité linguistique des LLMs détermine l'adoption de l'IA

par Extensio.ai 14 mai 2026
Le Japon a bondi de 8 rangs en adoption IA grâce à la qualité linguistique des LLMs. Le Québec investit 750 000 $ pour adapter l'IA au français d'ici.