La prolifération des cybermenaces est loin d'avoir désenflée en 2025 et plus aucune entreprise ni service ne semble désormais à l'abri comme le montre le récent piratage ayant frappé le ministère de l'Intérieur. « Cela s'accélère malheureusement », a expliqué Xavier Mathis, country manager France d'Okta à l'occasion d'un point presse. « Il y a plus d'une cyberattaque toutes les 5 secondes, elles deviennent de plus en plus sophistiquées et la surface d'attaque augmente également ». Si la situation ne s'arrange pas d'année en année, 2025 a été marqué par l'émergence d'une nouvelle source de risque cybersécurité avec la multiplication dans les systèmes d'information des entreprises des agents IA que les entreprises sont loin d'être préparées à affronter. « Nous observons une accélération très significative de la montée en charge des identités non humaines qui augmente la surface d'attaque », poursuit Xavier Mathis. Pour le dirigeant, des investissements sont donc nécessaires pour faire face à cette situation tout comme la mise en place de moyens de protection adéquats.

Pour répondre à l'enjeu de sécurisation des agents IA, les entreprises ne peuvent simplement calquer les pratiques utilisées avec les humains, la principale différence entre eux étant qu'un agent IA peut avoir des micro interactions avec tout ou partie du SI d'une entreprise, une application, un service, etc. et dont la durée de vie peut être très courte, de l'ordre de quelques minutes. « Il faut être capable de gouverner et également de scaler la sécurité des agents IA et pour cela on a besoin d'avoir une vue de l'ensemble de ces identités », poursuit le dirigeant. La montée en puissance des agents IA et des impacts de sécurité associés dans le SI est tout sauf anodin et sans conséquences. D'autant que selon le fournisseur, pour une identité physique, environ 10 à 100 identités numériques existent dans les entreprises. Un challenge compliqué mais qui apparait plus que nécessaire à relever. La différence entre une identité numérique par rapport à un humain c'est que l'on arrive à sécuriser ce dernier par du SSO et du MFA qui sont très avancés mais ce n'est pas le cas avec une identité numérique. « L'IA agentique met à l'épreuve tout ce que l'on connait dans la gestion des identités et des accès », assure Aziz Si Mohammed, manager senior ingénierie solutions chez Okta France. « Il y a une différence fondamentale entre la gestion d'identité humaine et non humaine, c'est la notion de déterminisme. Toutes les solutions de gestion d'identités ont été créées autour de ce principe et l'agent IA bouscule cela ».

Le protocole Cross App Access en renfort pour intégrer les agents IA au SI

Face à cette situation, les fournisseurs en solutions de gestion des identités comme Okta réagissent pour s'adapter à la multiplication des agents IA dans les entreprises, portée par le shadow IA et le vibe coding, dont un manque de gouvernance et de supervision est susceptible d'engendrer davantage de dégâts que de bénéfices. Avec en tête des priorités pour les entreprises de chercher des moyens pour sécuriser à la fois la création d'agents IA que leur fonctionnement une fois qu'ils sont déployés dans le SI. Et manifestement il reste encore beaucoup de chemin à parcourir : « Aujourd'hui 90 % des entreprises sont dans une démarche d'IA et 40 % d'entre elles n'ont aucune gouvernance ni règles pour la sécuriser », prévient Aziz Si Mohammed. « Les créateurs d'agents ont des principes à respecter : comprendre comment un agent agit, résoudre la question de la responsabilité et de la gestion des autorisations ». Comme pour n'importe quel projet informatique - mais plus encore dans le cadre de l'implémentation d'agents IA dont les conséquences et les intrications au SI sont très lourdes - penser la sécurité par défaut constitue un prérequis majeur.

Pour faciliter l'intégration des agents IA, Okta a travaillé par ailleurs sur un protocole baptisé Cross App Access. Alors que Model Context Protocol (MCP) et Agent2Agent (A2A) servent à connecter les modèles d'apprentissage IA aux données et applications des entreprises, établir des connexions entre les agents et applications nécessitent d'accorder aux l'agent des accès distincts pour chaque intégration. Une lourdeur que l'éditeur entend dépasser avec Cross App Access. « Cela permet de normaliser les échanges d'agents à agents et d'agents à applications sans avoir besoin de 50 comptes de services et de ne pas avoir besoin de crédentiels statiques », poursuit Aziz Si Mohammed. « Okta concentre les briques qui permettent de sécuriser l'IA de bout en bout, de la découverte de comptes à l'authentification des IA ». Si l'éditeur répond aux enjeux de sécurisation de l'IA dans les organisations, la prise en compte de cet enjeu dans les entreprises françaises est-il à la hauteur ? « Elles ont pris du retard sur le sujet des identités non humaines et beaucoup sont encore en phase d'apprentissage [...] le niveau d'adoption est honorable et on est sur une courbe d'adoption très ascendante », indique Aziz Si Mohammed.

Pas encore de présence sur un cloud souverain

Okta compte 6 000 employés dans le monde (80 en France) et est présent dans des grands groupes comme Canal+, Crédit Agricole, Société Générale... La société compte boucler sur « très belle croissance à deux chiffres » son exercice fiscal clôturé le 31 janvier 2026. L'an dernier le groupe avait réalisé un chiffre d'affaires de 2,5 Md$. « Nous avons de plus en plus de projets de gouvernance et des déploiements en gestion des accès », fait savoir Xavier Mathis. « Chaque trimestre nous avons des projets très significatifs notamment avec des sociétés du CAC 40 [...] L'idée c'est de simplifier le millefeuille technologique qui a été construit pendant de nombreuses années, tirer parti d'un centre d'excellence autour de l'identité tout en cassant les silos ».

Par ailleurs 2026 sera vraisemblablement marquée par l'éclosion de projets IT soucieux de répondre aux enjeux de souveraineté qui reviennent sur le devant de la scène depuis quelques mois. Le fournisseur américain est-il armé pour répondre à cette tendance ou bien les entreprises seront-elles tentées à se tourner vers l'open source ? « Les technologies open source dans le monde de l'identité existent déjà depuis plus de 20 ans, il n'y a rien de nouveau. Nous sommes capables de créer l'ensemble des connecteurs avec tous les standards du marché et répondre aux besoins de demain », assure Xavier Mathis. Pour répondre aux entreprises en quête de souveraineté numérique, Okta met en avant une kyrielle de certifications (C5, HDS...mais pas SecNumCloud). Sans toutefois s'appuyer sur un fournisseur cloud hexagonal (OVH, Outscale, Scaleway...) mais sur les clouds AWS et Microsoft Azure dans des zones non sovereign cloud, qui ont pourtant été créées par exemple en Allemagne. Mais rien n'est figé dans le marbre, Okta assure travailler sur la question sans pour autant préciser d'échéance.