Selon le Forum économique mondial, les identités non humaines et agents dépasseront les 45 milliards d’ici fin 2025, soit un chiffre plus de 12 fois supérieur à la population active mondiale. Les implications en aval pour la gestion des identités et des accès (IAM) seront énormes.
Considérez le changement en cours. L’identité humaine, pilier de la sécurité de l’entreprise, implique la fourniture d’un compte à chaque employé, l’attribution d’un rôle et sa gouvernance via des autorisations statiques. Imaginez maintenant multiplier ce modèle par des dizaines d’agents d’IA éphémères et polymorphes qui tournent pour chaque individu. L’échafaudage identitaire traditionnel s’effondrera sous la pression.
De l’identité déterministe à l’identité adaptative
Les applications actuelles se comportent de manière prévisible ; ils sont déterministes. Ils exécutent des flux déterministes : « extrayez des données de HubSpot tous les lundis, compilez un rapport, envoyez un e-mail ». Facile à modéliser, facile à sécuriser.
Les agents IA sont différents. Compte tenu de l’autonomie, les mêmes entrées peuvent produire des résultats très différents. Un agent chargé de résumer les prospects entrants pourrait un jour rédiger des informations détaillées, le lendemain extraire des données de Google Drive et un autre jour transmettre des anomalies à un système exécutif.
Cette imprévisibilité non déterministe érode les fondements des attributions de rôles statiques. Les autorisations ne peuvent pas être pré-attribuées lorsque les comportements changent de minute en minute. Approuver chaque action manuellement est intenable. Cependant, accorder un accès large et durable est une invitation au désastre.
Autorisations dynamiques à la vitesse de la machine
Pour gérer l’afflux d’agents IA, les autorisations doivent être mises en œuvre à l’aide d’un modèle dynamique et juste à temps. Au lieu d’attribuer des informations d’identification statiques aux agents, les équipes de sécurité doivent concevoir des systèmes qui émettent des jetons à très courte durée de vie limités à une seule opération. Ces informations d’identification devraient expirer en quelques secondes, et non en heures ou en jours.
L’objectif est d’appliquer le moindre privilège à la vitesse de la machine. Les agents obtiennent précisément ce dont ils ont besoin, ni plus ni moins, pour l’action spécifique qu’ils effectuent. Une fois l’action terminée, le privilège disparaît. Si un agent est compromis, le rayon de l’explosion est mesuré en secondes et non en semaines.
Le problème de la double personnalité
Un agent agit souvent à la fois en tant que lui-même (l’acteur) et au nom d’un humain (le sujet). Pensez à un analyste déléguant la recherche à un assistant IA : l’identité de l’analyste doit être représentée, mais l’agent dispose également d’un contexte d’exécution indépendant. Cela crée un modèle à double personnalité.
Les systèmes d’identité traditionnels n’ont pas été conçus pour exprimer cette dualité et lier les deux personnages dans chaque demande : qui est l’humain, ce que l’agent est autorisé à faire, l’intention de la demande et le contexte dans lequel l’action se produit.
Ne pas saisir cette nuance risque d’opérer en dehors des limites prévues, de lire des données sensibles, d’exécuter des transactions ou de modifier des enregistrements sous un mauvais modèle d’identité.
Étendre le Zero Trust aux agents
La prochaine frontière est la confiance entre agents. Les entreprises ne se contenteront pas de déployer des assistants IA isolés ; ils déploieront des flottes d’agents collaborant à travers l’infrastructure. Imaginez un essaim de gestion de cluster : un agent surveille les charges de travail, un autre fait évoluer les clusters et un autre orchestre les déploiements bleu/vert.
Sans une conception soignée, ces agents peuvent contourner complètement les contrôles d’identité traditionnels, en échangeant des instructions sans laisser de pistes d’audit traçables. Au lieu de cela, chaque appel d’agent à agent doit être authentifié, autorisé et enregistré — pas de confiance implicite, pas de canaux fantômes.
Les agents peuvent apparaître et disparaître en quelques secondes. Certains persisteront, d’autres tourneront pour une seule transaction. Leur nature éphémère brise le cycle de vie conventionnel de la gestion des identités.
Tout aussi important, chaque action doit être vérifiable. Sans une trace des événements non répudiable, la réponse aux incidents et la conformité sont impossibles. Les entreprises ont besoin d’une journalisation et d’une traçabilité adaptées aux agents IA, capturant non seulement ce qui a été fait, mais aussi sous quelle identité, au nom de qui et dans quel contexte.
Un manuel d’identité d’agent
Les agents IA n’attendront pas que l’ancien IAM rattrape son retard. Leur vitesse, leur échelle et leur imprévisibilité submergeront les modèles statiques conçus pour les humains. Pour garder une longueur d’avance sur cette évolution, les responsables de la sécurité ont besoin d’un manuel conçu pour les machines : dynamique, automatisé et sans compromis. Voici quatre bonnes pratiques à considérer :
- Automatisez les cycles de vie des identités des agents : Provisionnez, surveillez et retirez les agents en temps réel, sans intervention manuelle.
- Appliquer le moindre privilège de manière dynamique : Accordez des autorisations juste à temps et étendez-les à des opérations uniques avec des durées de vie de jetons ultra-courtes.
- Étendre le Zero Trust aux agents : Traitez les communications entre agents avec le même examen minutieux que les connexions humaines : authentifiez, autorisez et auditez chaque appel.
- Surveillez avec une auditabilité totale : Assurez-vous que chaque action laisse une trace vérifiable, même lorsque les agents n’existent que pendant quelques secondes.
L’ampleur du défi identitaire est inévitable. Les entreprises libéreront des armées d’agents d’IA parce que l’analyse de rentabilisation est trop solide pour être ignorée. Le défi pour les responsables de la sécurité est de garantir que ces agents opèrent dans le cadre de garde-fous prédéfinis. Cela nécessite d’aller au-delà des modèles IAM statiques et d’adopter des pratiques conçues pour la vitesse des machines.
Le véritable défi de l’identité agentique est de transformer le principe en pratique. Cela signifie investir dans des systèmes capables d’émettre et de révoquer automatiquement des informations d’identification, d’intégrer le contexte d’identité dans chaque flux de travail touché par vos agents et d’instrumenter le trafic inter-agents afin que toutes les activités puissent être observées et contrôlées.
Au besoin, créez des boucles de rétroaction qui utilisent la télémétrie et les données d’audit pour affiner les politiques au fil du temps. Les équipes de sécurité qui intègrent ces fonctionnalités à leurs opérations quotidiennes ne se contenteront pas de s’adapter à la montée en puissance des agents IA : elles les utiliseront pour offrir vitesse, résilience et confiance à grande échelle.
