Un agent IA pirate McKinsey en 2 h : lecon pour les PME

Fin fevrier 2026, la startup de cybersecurite CodeWall a lache un agent IA autonome sur Lilli, la plateforme IA interne de McKinsey. Selon The Register, l’agent a obtenu un acces complet en lecture et ecriture a la base de production en deux heures. Zero identifiant prealable, zero intervention humaine. 46,5 millions de messages, 728 000 fichiers confidentiels, 57 000 comptes utilisateurs : tout etait accessible.

Si un cabinet qui facture le conseil en cybersecurite ne securise pas sa propre plateforme IA, que faut-il en conclure pour le reste du marche ?

Les faits : deux heures pour tout compromettre

Selon CodeWall, leur agent a identifie 22 endpoints API sans authentification sur plus de 200 documentes. L’un d’entre eux permettait d’ecrire des requetes de recherche utilisateur dans la base de donnees. Le probleme : les noms de champs JSON etaient concatenes directement dans les requetes SQL, sans parametre de securite. Une injection SQL classique, le type de faille que l’on enseigne en premiere annee de formation securite.

En chainant cette injection avec des vulnerabilites IDOR (references directes non securisees), l’agent a accede a l’integralite des donnees : messages sur des strategies de fusion-acquisition, fichiers clients confidentiels (192 000 PDF, 93 000 tableurs, 93 000 presentations), et meme les 95 prompts systeme qui controlent le comportement de l’IA.

Detail qui fait froid dans le dos : ces prompts etaient modifiables. Un attaquant malveillant aurait pu empoisonner les reponses de Lilli pour ses 40 000 utilisateurs, sans laisser de trace dans les logs.

Le paradoxe McKinsey : vendre la securite, echouer chez soi

McKinsey genere plus de 30 milliards de dollars de chiffre d’affaires annuel. Le cabinet emploie des milliers de consultants en cybersecurite et vend des audits de securite a des entreprises du monde entier. Et pourtant, sa propre plateforme IA souffrait de failles que les outils de scan standard – comme OWASP ZAP – n’ont meme pas detectees.

Ce paradoxe n’est pas anecdotique. Il revele un schema recurrent : dans la course au deploiement de l’IA, la securite est traitee comme une etape facultative. On deploie d’abord, on securise ensuite – si le temps le permet. Selon Inc., McKinsey affirme qu’aucune donnee client n’a ete compromise par un tiers non autorise. Mais le fait qu’un acces complet etait techniquement possible pendant une duree indeterminee devrait suffire a alerter.

Ce que cela change pour votre PME

Vous vous dites peut-etre : McKinsey est une cible de choix, notre PME n’interesse personne. C’est une erreur de raisonnement. Les agents IA autonomes ne ciblent pas : ils scannent, ils testent, ils exploitent. Le jour ou un agent malveillant tombe sur votre chatbot interne ou votre outil de RAG, il ne verifiera pas votre chiffre d’affaires avant d’exploiter une injection SQL.

Les failles trouvees chez McKinsey ne sont pas des zero-days exotiques. Ce sont des erreurs de base :

• Endpoints API exposes sans authentification – verifiez que chaque point d’acces de vos outils IA exige une authentification
• Injection SQL – assurez-vous que vos requetes sont parametrees, pas concatenees
• Prompts systeme modifiables – isolez vos configurations IA de la base de donnees accessible
• Donnees en clair – chiffrez les messages et les fichiers au repos

Si vous deployez un agent IA ou un chatbot interne, nous avons detaille les mesures concretes de gouvernance dans notre guide sur la securite des agents IA. L’incident McKinsey confirme chaque point de cette checklist.

Le red-teaming n’est pas un luxe, c’est un prealable

L’approche de CodeWall est revelatrice d’une tendance de fond : le red-teaming par agents IA autonomes. Leur outil a mene l’attaque de bout en bout – recherche, analyse, exploitation, rapport – sans intervention humaine. Ce type de test deviendra la norme, car les attaquants utilisent deja les memes techniques.

Ce que l’incident McKinsey prouve, c’est que les outils de scan classiques ne suffisent plus. Si OWASP ZAP n’a pas detecte la faille, combien de plateformes IA en production souffrent de vulnerabilites similaires sans le savoir ? Les entreprises qui integrent des agents IA dans leur stack doivent prevoir un budget red-teaming des la conception, pas apres le premier incident.

Notre article sur les vulnerabilites du protocole MCP montre que ce probleme depasse McKinsey : 30 CVE en 60 jours et 38 % de serveurs MCP sans authentification. Le schema se repete partout ou la vitesse de deploiement prime sur la rigueur securitaire.

Notre conviction : securiser d’abord, deployer ensuite

L’IA est un levier formidable pour les PME. Nous le constatons chaque jour chez LeCollectif en accompagnant nos clients dans leurs projets d’automatisation et d’agents intelligents. Mais deployer un outil IA sans audit prealable n’est pas de l’agilite – c’est de la negligence.

Avant de mettre en production votre prochain chatbot ou agent IA, posez-vous trois questions : vos endpoints sont-ils tous authentifies ? Vos donnees sensibles sont-elles chiffrees au repos ? Avez-vous teste votre outil avec une approche offensive, pas seulement defensive ?

Si vous hesitez sur la reponse, c’est le moment d’agir. Nous accompagnons les PME dans le deploiement securise d’agents IA, de la conception a la mise en production. Parce que la prochaine cible d’un agent autonome ne sera pas forcement un geant du conseil.