Résumé exécutif
Les entreprises déploient Microsoft Copilot et des agents personnalisés plus rapidement qu'elles ne sont capables de les gouverner.
Microsoft a répondu à ce besoin avec Agent 365, présenté comme une vue centralisée des agents présents dans l'ensemble de l'environnement Microsoft. Il s'agit d'une avancée utile qui répond en partie à la problématique de l'inventaire.
En revanche, Agent 365 ne répond pas à la problématique opérationnelle.
Agent 365 constitue essentiellement une couche de registre reposant sur Microsoft Purview, Entra et Defender. Il ne découvre pas les agents dont l'organisation ignore l'existence, n'automatise pas les actions correctives, ne couvre pas les plateformes d'IA non Microsoft et ne fournit ni l'attribution des coûts ni les contrôles de cycle de vie dont la plupart des équipes de gouvernance ont besoin.
Notre solution est conçue pour répondre à cette réalité opérationnelle. Il inventorie, surveille et gouverne les agents issus des environnements Microsoft comme non Microsoft, en réunissant dans un même plan de contrôle les politiques, les responsabilités, la gestion du cycle de vie et la remédiation automatisée, tout en assurant la gouvernance de Microsoft 365 et de Power Platform.
Ce que vous trouverez dans ce document
Une comparaison factuelle de ce que couvre actuellement Microsoft Agent 365, des lacunes opérationnelles qui subsistent et de la manière dont Rencore Governance prend en charge l'ensemble du cycle de vie des agents et de Copilot.
Ce document s'adresse aux responsables de la gouvernance, de la sécurité et des plateformes qui doivent prendre, à court terme, des décisions concernant la gouvernance des agents d'IA.
Le déficit de contrôle
L'adoption de Copilot et des agents d'IA progresse plus vite que les capacités de gouvernance disponibles. Il en résulte un écart grandissant entre ce que les entreprises déploient et ce qu'elles sont réellement capables d'identifier, d'attribuer et de contrôler.
L'adoption devance la gouvernance
- 72 % des entreprises expérimentent ou déploient Copilot.
- 86 % ne disposent d'aucun contrôle de gouvernance pour les agents d'IA.
- x3 : croissance typique du nombre d'agents sur une période de 12 mois.
Les conséquences apparaissent rapidement :
- des agents se multiplient sans propriétaire clairement identifié ;
- les coûts augmentent sans possibilité d'attribution ;
- des données sensibles deviennent accessibles via des agents configurés par des utilisateurs métier ;
- la mise hors service des agents reste manuelle, voire inexistante.
Ces risques ne sont pas théoriques : ils sont déjà observés dans des environnements d'entreprise en production.
Exemple concret
Un agent déployé dans un tenant Microsoft 365 a fonctionné pendant une heure et généré 15 000 $ de coûts liés à la consommation de messages.
L'équipe responsable ne disposait d'aucune visibilité sur l'origine de ces coûts ni d'aucun mécanisme permettant de les plafonner ou de les attribuer.
À l'échelle d'un environnement comptant 2 500 agents, ce type de situation représente un risque opérationnel et financier majeur.
Ce que fournit Microsoft Agent 365
Microsoft Agent 365 constitue la réponse de Microsoft au besoin d'un inventaire centralisé des agents.
Il est important de comprendre ce qu'il est... et ce qu'il n'est pas, avant d'évaluer les besoins complémentaires en matière de gouvernance.
Une couche d'agrégation reposant sur des services existants
Agent 365 est avant tout une couche d'abstraction qui rassemble les fonctionnalités de trois services Microsoft existants.
Service sous-jacent
Contribution à Agent 365
Microsoft Purview (AI SPM)
Gestion de la posture de sécurité des charges de travail IA
Microsoft Entra (Agent ID)
Gestion des identités et des accès des agents et des principaux de service
Defender for Cloud Apps
Découverte des applications cloud et signaux de risque
Pour les organisations déjà équipées de Purview, Entra et Defender, Agent 365 offre une vue consolidée ainsi qu'une fonction de registre.
Cette approche permet notamment de répondre plus rapidement à la question :
« Quels agents existent actuellement dans notre environnement Microsoft ? »
Dans sa version actuelle, Agent 365 est principalement un outil de visualisation et d'inventaire.
Il ne permet notamment pas :
- de découvrir les agents "shadow" créés en dehors des processus de déclaration officiels ;
- de couvrir les plateformes d'IA non Microsoft telles qu'OpenAI, Anthropic, Gemini, Glean, Langdock, ServiceNow ou Palantir ;
- de proposer un provisionnement basé sur des modèles avec attribution automatique des propriétaires et processus d'approbation ;
- d'assurer une gestion complète du cycle de vie, incluant les revues d'accès, les recertifications périodiques et la mise hors service automatisée ;
- de disposer d'un moteur de politiques capable d'effectuer des remédiations automatiques plutôt que de simples alertes ;
- d'attribuer précisément les coûts par agent, créateur ou département.
Enfin, Agent 365 est commercialisé sous la forme d'une licence supplémentaire venant s'ajouter aux investissements Microsoft existants, ce qui constitue un élément important dans l'évaluation du coût global de la gouvernance des agents.
Les exigences d'une gouvernance opérationnelle
Un registre n'est qu'un point de départ. La gouvernance opérationnelle regroupe l'ensemble des mécanismes nécessaires pour exploiter des agents d'IA de manière sécurisée et maîtrisée à grande échelle.
Cinq capacités distinguent une simple vue d'inventaire d'une véritable plateforme de gouvernance.
1. Découverte au-delà du registre
Une plateforme de gouvernance doit être capable d'identifier les agents qui n'ont pas été déclarés par leurs propriétaires.
Le même phénomène est déjà apparu avec Power Platform, où les applications et les flux « shadow » se sont multipliés.
Se limiter aux agents enregistrés de manière proactive conduit inévitablement à un inventaire incomplet.
2. Responsabilité et attribution
Chaque agent doit disposer :
- d'un propriétaire clairement identifié ;
- d'un objectif métier défini ;
- d'un cycle de vie documenté.
Ces informations devraient être renseignées dès la création de l'agent et faire l'objet de revues périodiques, plutôt que d'être reconstituées a posteriori.
3. Des politiques accompagnées de remédiations automatiques
Des politiques qui se limitent à générer des alertes ne passent pas à l'échelle.
Dans la mesure du possible, les actions correctives doivent être automatisées, par exemple :
- suppression des autorisations excessives ;
- désactivation des agents inutilisés ;
- obligation d'approbation avant l'utilisation de connecteurs donnant accès à des données sensibles.
4. Attribution et maîtrise des coûts
La consommation (par message ou par appel) doit pouvoir être ventilée :
- par agent ;
- par créateur ;
- par département.
Les coûts sont ainsi imputés à la bonne entité métier.
Sans cette visibilité, toute démarche de maîtrise des coûts reste essentiellement réactive.
5. Une couverture de l'ensemble de l'écosystème IA
L'intelligence artificielle en entreprise ne se limite pas à Microsoft.
OpenAI, Anthropic, Gemini, Glean, Langdock, ServiceNow, Palantir et d'autres plateformes sont aujourd'hui déployés aux côtés de Copilot.
Une solution de gouvernance qui s'arrête aux seules technologies Microsoft laisse se développer un angle mort de plus en plus important.
Comment notre solution répond à ces besoins
Notre solution constitue un plan de contrôle unifié pour Microsoft 365, Power Platform et les agents d'IA.
Elle a été conçue spécifiquement pour répondre aux besoins opérationnels de la gouvernance, en réunissant dans un même environnement :
- la découverte des ressources ;
- la gestion des propriétaires ;
- le cycle de vie ;
- les politiques de gouvernance ;
- la remédiation automatisée.
Trois piliers réunis au sein d'une même plateforme
Notre modèle opérationnel couvre les trois domaines de gouvernance essentiels pour la plupart des entreprises grâce à :
- une plateforme unique ;
- un moteur de politiques unique ;
- une expérience d'administration unifiée.
Domaine
Ressources gouvernées
Collaboration Microsoft 365
Teams, SharePoint, OneDrive, Exchange, Planner, Loop, Entra ID, Viva Engage
Power Platform
Power Apps, Power Automate, Power BI, Microsoft Fabric
IA et Agents
Microsoft Copilot, Copilot Studio, SharePoint Agents, Microsoft Foundry ainsi que, prochainement, OpenAI, Anthropic, Gemini, Glean, Langdock, ServiceNow et Palantir
Comment les deux solutions fonctionnent ensemble
Le déploiement de notre solution ne nécessite pas de remplacer Microsoft Agent 365 ni aucun autre service Microsoft.
Les deux solutions interviennent à des niveaux différents et sont complémentaires.
Les services natifs Microsoft restent en place
- Purview continue d'assurer la gestion de la posture de sécurité des environnements IA (AI SPM).
- Entra reste responsable de la gestion des identités des agents.
- Defender continue de fournir les signaux de sécurité relatifs aux applications cloud.
Ces services constituent les fondations de l'écosystème Microsoft.
Notre solution s'intègre à ces services sans chercher à les remplacer.
Notre solution apporte la couche opérationnelle
Notre solution ajoute les mécanismes opérationnels qui font aujourd'hui défaut :
- un inventaire transversal incluant les plateformes d'IA non Microsoft ;
- la découverte des agents non déclarés (« shadow agents ») ;
- la gestion des propriétaires et du cycle de vie ;
- un moteur de politiques avec remédiation automatisée ;
- l'attribution détaillée des coûts.
Les organisations continuent ainsi de tirer parti de leurs investissements Microsoft tout en comblant les lacunes opérationnelles, sans attendre les futures évolutions de Microsoft Agent 365.
En résumé
Microsoft fournit la plateforme technologique.
Notre solution apporte la gouvernance et le contrôle opérationnel nécessaires à son exploitation.
Les deux approches sont complémentaires et non concurrentes.
Les organisations qui disposent déjà de Purview, Entra et Defender conservent pleinement la valeur de ces solutions, tandis que notre solution ajoute une couche de gouvernance et de contrôle opérationnel couvrant également les plateformes d'IA non Microsoft.