Les premières expériences avec l'IA agentique ont donné aux RSSI un aperçu des cauchemars potentiels de cybersécurité qui les attendent. Mais, avec l'adoption massive des agents IA prévue tout au long de l'année 2026, le manque de visibilité des directeurs SSI sur les identités, les activités et les prises de décision des agents devrait rapidement s'aggraver. Et si leur usage varie d'une entreprise à l'autre, les analystes, les consultants et les fournisseurs de solutions de sécurité s'accordent à dire que leur nombre dépassera largement la capacité des RSSI à maintenir leur contrôle. Et ce alors qu'ils doivent simultanément rattraper des décennies de négligence dans la gouvernance des identités non humaines notamment les comptes de service, les jetons OAuth, les clés API intégrées, et la gestion automatisée des identifiants.
Ishraq Khan, CEO du fournisseur d'outils de productivité de codage Kodezi, estime que la plupart des entreprises hébergent aujourd'hui entre 8 et 10 millions d'identités de ce type. Un chiffre qui selon lui devrait atteindre 20 à 50 millions d'ici la fin de l'année. Jason Sabin, CTO chez DigiCert, prévoit une augmentation encore plus forte, avec une multiplication par 10 des identités utilisées par les entreprises d'ici janvier 2027. « Nous devons repenser la manière dont sont gérées l'identité et la fourniture de données et mettre en place les processus qui peuvent s'adapter à la croissance des identités agentiques », a expliqué Justin Greis, CEO du cabinet-conseil Acceligence et ancien responsable de la cybersécurité pour l’Amérique du Nord chez McKinsey. « Il est tout simplement impossible d'appliquer des processus humains à quelque chose qui évolue à un tel rythme. »
Un problème de visibilité majeur
Si l'expansion massive de l'univers des identités est préoccupante, le problème le plus important réside peut-être dans le manque de visibilité des RSSI sur les identités non humaines (aka NHI), les agents IA offrant non seulement la croissance la plus rapide, mais aussi la visibilité la plus faible. Jason Andersen, analyste principal chez Moor Insights & Strategy, estime à 25 % leur visibilité pour les RSSI des entreprises aujourd'hui. « Les 75 % restants sont dans l'ombre », a-t-il ajouté. Ces zones d'ombre comprennent des activités « semi-clandestines », par exemple dans le cas de tiers ou de secteurs qui ont reçu l'autorisation d'expérimenter l'IA agentique, sans nécessairement le faire savoir aux équipes IT ou de sécurité. M. Andersen pense cependant que ce chiffre va encore empirer, et il prévoit une baisse de la visibilité d’environ 12 % d'ici la fin de l'année, puis de moins de 10 % d'ici janvier 2028. « On peut supposer ensuite que les RSSI prendront des mesures pour corriger le tir, mais c’est clairement un sacré problème », a-t-il insisté.
Les analystes du Gartner Jeremy D'Hoinne et Akif Khan s'accordent à dire que les RSSI sont aujourd'hui confrontés à des problèmes urgents dans ce domaine. Le nombre de NHI va « dépasser largement celui des identités humaines, et la plupart des organisations ne disposent pas d'une base suffisamment solide pour gérer à la fois les identités des machines et celles des agents », a expliqué Akif Khan « Les RSSI semblent être aveugles à ce qui se passe. Mais l’écart va être impressionnant », a alerté M. D'Hoinne. Forrester fait état de résultats similaires. « Le nombre d’identités non humaines va exploser », a convenu Geoff Cairns, analyste au sein de ce cabinet. « La croissance exponentielle est incontestable. » De son côté, Ishraq Khan note que l'absence d'une base solide pour la gouvernance des NHI, qui inclut désormais l'IA agentique, est un problème critique. « Les entreprises n'ont jamais résolu le problème de l'authentification non humaine, et de fait nous ne disposons pas des systèmes nécessaires pour garantir un environnement sécurisé. Au fond, nous n'avons jamais eu les bases adéquates. Cela signifie que nous n'aurons jamais d’inventaire parfait des NHI », a-t-il reconnu.
Ne rien faire : la solution la plus rentable
Ishraq Khan propose une solution intéressante à ce problème fondamental : ne rien faire. Il affirme que c'est un gouffre financier parce que le problème ne sera jamais complètement résolu. Il suggère plutôt d'investir des ressources dans la création d'une stratégie d'identité stricte pour chaque NHI et de viser la maîtrise plutôt que la perfection. « Il n’est pas vraiment possible de contrôler toutes les identités, mais en commençant dès maintenant, on pourra contrôler les actions futures », a-t-il affirmé, ajoutant qu'au fil des ans, le pourcentage d'identités non contrôlées diminuera lentement à mesure que des millions d'identités supplémentaires seront ajoutées. Nik Kale, ingénieur principal chez Cisco et membre de la Coalition for Secure AI (CoSAI) et du comité du programme AI Security (AISec) d’ACM, partage cette opinion. « Quand on est en train de se noyer, on ne commence pas par vider l'océan. Les ratios nous montrent pourquoi c’est si ingérable. Ces identités se multiplient beaucoup plus rapidement que les capacités de détection », a-t-il noté. « À ce stade, le problème devient mathématique. »
Pour ce qui est de la voie à suivre, M. Kale conseille de ne pas essayer de remédier à la situation héritée du passé. « Il faut simplement la contenir, la segmenter, partir du principe qu'elle est compromise et qu'il s'agit d'un territoire hostile », a-t-il déclaré. « Le plan doit consister à contenir le problème et à repartir de zéro. Il faut plutôt dresser l'inventaire de toutes les identités non humaines, identifier celles qui ont un accès permanent et celles qui ont un accès ponctuel et attribuer une propriété à chacune d'entre elles. Aucun produit n'est nécessaire pour cela, juste un bon gros tableur. » Selon lui, à partir de maintenant, nettoyer les identités sera plus bénéfique pour les RSSI. « À mon avis, le ratio importe moins que le déficit de gouvernance. Que ce soit 200:1 ou 500:1, si la gestion des identités et des accès (identity and access management, IAM) n'en gère que 44 %, la surface d'attaque est déjà ingérable », a-t-il expliqué. Mais il souligne que les NHI, en particulier lorsqu'elles sont agissantes, peuvent être particulièrement difficiles à trouver, et encore plus difficiles à contrôler. « La plupart des organisations sous-estiment leur nombre de deux à trois fois, car les identités des machines sont dispersées entre les consoles cloud, les référentiels, les fichiers de configuration et les gestionnaires de secrets que personne ne regroupe », a-t-il fait remarquer. « L'IA agentique est un multiplicateur, pas un ajout. Les agents génèrent des sous-agents, créent des identifiants de manière dynamique et établissent des chaînes d'authentification d'agent à agent. Le déploiement d'un seul agent peut générer des dizaines de nouvelles identités machines. »
Sanchit Vir Gogia, analyste en chef chez Greyhound Research, parle de bouleversement. « Le plan de contrôle des entreprises est passé discrètement des humains aux machines, tandis que la gouvernance est restée à la traîne », a-t-il souligné. « Lorsque les identités non humaines dépassent les identités humaines dans un rapport de plusieurs centaines pour une, l'identité cesse d'être une discipline administrative et devient un système d'exploitation de la confiance. Le problème n'est pas qu'il y ait trop d'identités, mais que les entreprises ne peuvent pas affirmer leur intention, leur propriété et leur responsabilité quant à ce que font ces identités au moment de l'exécution. » De plus, la situation s'intensifie en raison de l'environnement commercial actuel. « Tout cela est aggravé par des structures incitatives qui récompensent la rapidité et la disponibilité tout en pénalisant les pannes, ce qui conduit les équipes à accorder par défaut des autorisations excessives aux machines », a encore déclaré M. Gogia. « L'octroi excessif d'autorisations est invisible jusqu'à ce qu'il ait des conséquences catastrophiques. À ce stade, les audits, les rôles et les examens offrent un certain réconfort, mais pas de contrôle. »
L'IA agentique n'est pas l'origine du problème
Selon M. Gogia, l'IA agentique n’est pas responsable de tout ça. « Cette crise d'identité machine ne vient pas de l'IA agentique. Elle a commencé il y a des années avec les comptes de service, les clés API intégrées, les jetons à longue durée de vie et l’automatisation des identifiants qui ont été créés pour maintenir les systèmes en mouvement, puis discrètement oubliés », a-t-il rappelé. « Ce que les agents changent, c'est la vitesse et la portée. Ils héritent de la confiance, puis la mettent en œuvre à la vitesse des machines. Une identité héritée qui représentait autrefois un risque contenu devient désormais une couche d'exécution à travers les systèmes, les fournisseurs et les flux de travail. » Et il ajoute : « L'hypothèse la plus dangereuse pour la sécurité d'entreprise aujourd'hui est que l'identité valide implique un comportement sûr. Dans les environnements pilotés par des machines, les identifiants sont souvent corrects et l'activité est autorisée, mais les résultats sont néfastes. Les machines ne suivent pas les modèles JML (joiner/mover/leaver, ou intégration/changement/départ). Elles ne s'arrêtent pas pour obtenir des autorisations. Elles fonctionnent en continu et propagent automatiquement les actions. »
En conséquence, les agents décisionnels, intégrés dans les opérations, atteignent un rythme d'action qui « réduit la fenêtre de détection », a-t-il expliqué. « L'échec passe de la prévention au retard de détection. Au moment où les humains comprennent ce qui s'est passé, l'agent a déjà agi. » Selon lui, cela devrait - et va probablement - amener les RSSI et les DSI des entreprises à repenser leur approche. « C’est aussi un moment de mise à l'épreuve de l'alignement des dirigeants. Les DSI sont sous pression pour déployer des agents afin d'améliorer la productivité et l'évolutivité. Les RSSI sont confrontés à des lacunes en matière de responsabilité, à la complexité des enquêtes forensique et à un effet domino. Si ces agendas divergent, l'entreprise se retrouve avec une autonomie sans responsabilité. Les conseils d'administration demanderont qui est propriétaire d'un agent, qui fixe ses limites et qui répond lorsqu'il cause des dommages », a poursuivi M. Gogia. « La prochaine phase de gouvernance exigera une cartographie des responsabilités pour les agents, une séparation des tâches pour les actions à fort impact et des points de contrôle humains clairs où le jugement compte vraiment », a-t-il ajouté. « La réponse aux incidents doit également évoluer vers la reconstruction des chaînes de décisions machines, et non plus se limiter au simple traçage des connexions. »
Commentaire