Tous les articles
agents IA Microsoft 365 gouvernance PME Copilot

Agent 365 de Microsoft : comment reprendre le contrôle des agents IA dans votre PME

Raynald
Réseau géométrique abstrait de nœuds interconnectés sur fond bleu marine — gouvernance des agents IA, visualisation de plan de contrôle Microsoft Agent 365

Agent 365 de Microsoft : comment reprendre le contrôle des agents IA dans votre PME

Vos collaborateurs créent des agents IA. Sans vous le dire. Sans que votre équipe IT le sache. Et sans aucune visibilité sur ce que ces agents peuvent lire, modifier ou déclencher.

C'est le « shadow AI ». Et il est déjà là.

Microsoft Agent 365, disponible depuis le 1er mai 2026, s'attaque directement à ce problème. Pas en bloquant la création d'agents — mais en offrant une couche de gouvernance capable de les inventorier, les sécuriser et les auditer.

Le problème concret : des agents partout, une visibilité nulle part

Copilot Studio permet de créer des agents autonomes sans une ligne de code. Résultat : +340 % de créations d'agents en Europe au premier trimestre 2026, selon Microsoft.

Pour une PME, le scénario est simple. Un collaborateur du marketing configure un agent pour traiter les demandes entrantes. La comptabilité en crée un autre pour extraire les factures des emails. Trois mois plus tard, personne ne sait combien d'agents tournent, à quelles données ils accèdent, ni ce qui arrive quand le créateur quitte l'entreprise.

Selon les données de Microsoft, des dizaines de millions d'agents sont apparus dans le registre Agent 365 en seulement deux mois de preview. IDC projette 1,3 milliard d'agents en circulation d'ici 2028. Le shadow IT des années 2010 était un problème de licences SaaS non approuvées. Le shadow AI de 2026 est un problème d'agents qui agissent avec les permissions complètes de leur créateur — sans supervision.

Ce qui change avec Agent 365

Agent 365 n'est pas un outil pour construire des agents. Copilot Studio et Azure AI Foundry s'en chargent déjà. Agent 365 est la couche de gouvernance qui répond à quatre questions :

  1. Quels agents existent dans l'organisation ?
  2. Qui en est responsable ?
  3. À quelles données accèdent-ils ?
  4. Que se passe-t-il si le créateur part ou change de poste ?

Le piège : beaucoup d'entreprises achètent Copilot Studio sans plan de gouvernance. Elles se retrouvent avec 50 agents non documentés, des permissions héritées et zéro visibilité sur les risques.

Les quatre piliers de la gouvernance

Agent 365 repose sur quatre contrôles opérationnels :

  • Defender Agent SPM (Security Posture Management) : découverte continue de tous les agents, attribution d'un score de risque, détection des agents fantômes.
  • Entra Conditional Access pour agents : les mêmes politiques d'accès conditionnel (MFA, conformité appareil, géolocalisation) appliquées aux agents comme aux utilisateurs.
  • Purview classifier : propagation automatique des étiquettes de sensibilité. Un agent ne peut pas faire fuiter des données classifiées (PHI, données financières, contenu confidentiel).
  • Centre d'administration M365 : inventaire centralisé, politiques, audit, cycle de vie pour tous les agents Copilot Studio et agents personnalisés.

Autre nouveauté notable : la synchronisation cross-cloud avec AWS Bedrock et Google Cloud (en preview publique). Microsoft reconnaît que les agents ne respecteront pas les frontières de plateforme. La gouvernance non plus.

Pourquoi c'est utile pour une PME

Une PME de 30 à 200 salariés n'a généralement pas de RSSI dédié. L'administrateur M365 porte plusieurs casquettes. Agent 365 transforme la gouvernance des agents en une extension des pratiques existantes de gestion des identités et des appareils.

Concrètement, pour une PME sous Microsoft 365 Business Premium ou Business Standard, l'abonnement standalone Agent 365 coûte 15 $ par utilisateur et par mois. Il couvre tous les agents agissant pour le compte de cet utilisateur — pas de frais par agent ni de consommation.

Pour les entreprises sous Enterprise E5 avec Copilot, le bundle E7 à 99 $/utilisateur/mois inclut Agent 365, Copilot, la sécurité et la gouvernance dans une seule licence — moins cher que d'acheter les composants séparément.

Microsoft propose également des promotions CSP jusqu'au 31 décembre 2026 : -10 % pour 10 sièges et plus, -15 % pour 100 sièges et plus, sur engagement annuel.

Procédure recommandée : 4 étapes pour reprendre le contrôle

Étape 1 — Inventaire

Avant toute chose, activez le registre Agent 365. Il dresse automatiquement l'inventaire de tous les agents Copilot Studio, Teams et partenaires (Zendesk, Egnyte, n8n, etc.) présents dans le tenant.

Le résultat est souvent surprenant. Des agents créés par des collaborateurs partis six mois plus tôt, toujours actifs, avec des accès CRM ou SharePoint intacts.

Étape 2 — Assignation de propriété

Chaque agent doit avoir un propriétaire identifié. Pas un compte de service générique — une personne réelle, avec une adresse email professionnelle. Si le créateur a quitté l'entreprise, réassignez l'agent ou désactivez-le.

Le registre Agent 365 facilite cette vue : il liste tous les agents, leur créateur, leur dernière activité et leur score de risque Defender.

Étape 3 — Cartographie des accès

Documentez ce que chaque agent peut atteindre :

  • Quelles bibliothèques SharePoint ?
  • Quelles listes Dataverse ?
  • Quels connecteurs externes (CRM, ERP, comptabilité) ?
  • Quels niveaux de permission (lecture seule, écriture, suppression) ?

Activez les étiquettes Purview sur les données sensibles. Un agent qui tente d'accéder à du contenu classifié sera bloqué — ou limité à la lecture — selon la politique définie.

Étape 4 — Cycle de vie

Définissez une fréquence de revue. Tous les trimestres, vérifiez :

  • L'agent est-il encore utilisé ?
  • Son propriétaire est-il toujours dans l'entreprise ?
  • Ses accès sont-ils toujours justifiés ?
  • Son score de risque Defender a-t-il changé ?

Désactivez les agents inutilisés depuis plus de 60 jours. Archivez, ne supprimez pas — en cas de besoin, la remise en service est immédiate.

Trois scénarios où Agent 365 change la donne

Scénario 1 — Le départ du « power user »

Martin, office manager, a créé trois agents Copilot Studio : un pour le tri des emails entrants, un pour la mise à jour des fiches clients, un pour les notifications de retard de paiement. Il quitte l'entreprise. Son compte est désactivé.

Sans Agent 365 : les trois agents continuent de tourner. Personne ne sait qu'ils existent. Six mois plus tard, une erreur de routage envoie des données clients à une adresse obsolète.

Avec Agent 365 : le départ de Martin déclenche une alerte Defender. Les agents sont automatiquement marqués « orphelins ». L'administrateur les réassigne à Julie, qui valide ou désactive chaque agent en 15 minutes.

Scénario 2 — L'agent qui en savait trop

Un agent créé par les ventes pour qualifier les leads accède par erreur à une bibliothèque SharePoint contenant des données RH (salaires, évaluations). Le créateur n'avait pas restreint le périmètre — il a connecté « tout SharePoint ».

Avec Agent 365 et Purview : les dossiers RH sont étiquetés « hautement confidentiel ». L'agent est bloqué dès la première tentative d'accès. L'administrateur reçoit une notification et corrige le périmètre.

Scénario 3 — L'audit de conformité

Un client grand compte exige un rapport de conformité : quels systèmes automatisés accèdent à ses données ? L'équipe IT passe deux jours à compiler manuellement une liste d'agents Copilot, de flux Power Automate et de connecteurs.

Avec Agent 365 : le rapport est généré depuis le centre d'administration M365 en quelques minutes. Liste complète des agents, leurs accès, leurs actions, leurs dates de dernière revue. L'audit est clos en une demi-journée.

Limites et points de vigilance

La prudence s'impose sur plusieurs aspects.

Pas de couverture universelle. Agent 365 couvre les agents Copilot Studio, Teams, Foundry et les partenaires intégrés (Zendesk, Egnyte, n8n, etc.). Mais un collaborateur qui utilise un ChatGPT custom GPT avec son compte personnel — ou un script Python local avec accès API — reste invisible.

Licence supplémentaire. Pour une PME sous Business Basic ou Standard, Agent 365 est un coût additionnel de 15 $/utilisateur/mois. Ce n'est pas négligeable pour une équipe de 50 personnes (9 000 $/an). Le calcul doit intégrer le risque évité, pas seulement le coût de la licence.

Dépendance à l'écosystème Microsoft. Si votre entreprise utilise un mix d'outils Google Workspace et Microsoft 365, Agent 365 ne couvre que la partie Microsoft. La synchronisation cross-cloud (AWS, GCP) est encore en preview et limitée.

Pas un substitut à la formation. Agent 365 détecte les agents, les sécurise, les audite. Mais il n'empêche pas un collaborateur de connecter un agent à des données inappropriées. La formation reste indispensable. Expliquez aux équipes ce qu'un agent peut et ne doit pas faire, et pourquoi la gouvernance n'est pas un frein mais une protection.

Checklist pour démarrer cette semaine

  • [ ] Vérifier si votre tenant M365 a accès à Agent 365 (licence E7 ou abonnement standalone)
  • [ ] Activer le registre Agent 365 et lancer un premier inventaire
  • [ ] Identifier les agents sans propriétaire ou dont le créateur a quitté l'entreprise
  • [ ] Appliquer des étiquettes Purview sur les bibliothèques SharePoint sensibles (RH, finances, direction)
  • [ ] Configurer une alerte Defender pour les agents orphelins
  • [ ] Planifier une revue trimestrielle du parc d'agents
  • [ ] Former les « power users » (marketing, ventes, ops) aux bonnes pratiques de création d'agents

Ce qu'il faut retenir

Le shadow AI n'est pas une hypothèse. Il est déjà dans votre tenant M365. Des agents créés par vos collaborateurs lisent des emails, modifient des fiches CRM, déclenchent des flux Power Automate — sans que personne n'en ait une vue d'ensemble.

Agent 365 apporte la visibilité qui manquait. Pas pour freiner l'adoption des agents IA, mais pour la rendre sûre, documentée et conforme. Ce n'est pas une mode — c'est une évolution structurelle. Comme Intune a gouverné les appareils mobiles il y a dix ans, Agent 365 gouverne les agents IA aujourd'hui.

La question n'est pas de savoir si vous devez l'activer. C'est de savoir combien d'agents vous allez découvrir quand vous le ferez.

Sources consultées :

  • Microsoft Agent 365 — General Availability announcement, 1er mai 2026 (Pax8 Blog, Futurum Group)
  • EPC Group, « Microsoft Copilot Agents: Complete Enterprise Guide (2026) »
  • Neocell, « Copilot Studio Agents IA : guide complet pour les PME (2026) », 9 avril 2026
  • Easi Blog, « Microsoft 365 en 2026 : Nouvelles fonctionnalités, SKU Copilot et évolution des prix »
  • IDC, projection agents IA en circulation d'ici 2028
  • McKinsey, « The State of AI in Business », janvier 2026
  • INSEE, Enquête TIC 2025 — adoption IA par les PME françaises

Partager cet article

Retour au blog