Le manque d’autorisations en matière d’IA devient un angle mort important pour les RSSI, d’autant plus que les entreprises passent de simples chatbots à des agents autonomes capables d’exécuter du code.
Les équipes de sécurité commencent à se rendre compte qu’elles déploient des agents d’intelligence artificielle (IA) avec les mêmes erreurs commises par les organisations lors de la ruée vers le cloud et le SaaS : des rôles excessifs de gestion des identités et des accès (IAM) et aucun moyen d’appliquer le moindre privilège.
Les autorisations excessives constituent un problème car les agents peuvent accéder directement aux systèmes internes avec des informations d’identification trop larges. Un seul agent détourné ou malveillant peut exfiltrer ou modifier des données sensibles à la vitesse d’une machine.
Token Security a récemment publié AI Privilege Guardian, un outil open source conçu pour aider les équipes de sécurité à combler enfin le fossé des autorisations de l’IA avant qu’il ne soit trop tard.
Itamar Apelblat, co-fondateur et PDG de Token Security, affirme que nous continuons à traiter l’IA comme une nouvelle interface plutôt que comme une nouvelle classe d’identité. Avec le cloud et le SaaS, les organisations ont agi rapidement, ont tout accordé des autorisations excessives et ont supposé qu’elles nettoieraient plus tard, ce qui arrivait rarement.
« Avec les agents IA, le risque est amplifié car « l’utilisateur » n’est pas un humain effectuant quelques actions délibérées par jour. Il s’agit d’un système axé sur des objectifs qui peut fonctionner en continu sur des systèmes à la vitesse d’une machine avec un accès aux données et processus critiques pour l’entreprise », a-t-il déclaré à LinuxInsider.
Open Source, pas une fonctionnalité fermée
Apelblat a expliqué que son entreprise a publié le nouvel outil de sécurité en open source parce que l’industrie a besoin d’une base de référence commune pour réfléchir aux autorisations des agents avant que la prolifération de l’accès à l’IA ne s’enracine. Les modèles d’autorisation pour les agents sont encore en train d’émerger et ils bénéficient d’apports du monde réel.
« Nous souhaitons que la communauté apporte de nouveaux modèles d’intention, de meilleurs mappages aux contrôles cloud et SaaS, et des commentaires sur ce à quoi ressemble réellement un accès « de bonne taille » dans la pratique », a-t-il noté.
Token propose également une plate-forme d’entreprise qui offre ces capacités et bien plus encore pour gérer les agents d’IA et les identités non humaines à grande échelle.
Réduit le rayon de l’explosion d’attaque
Lorsqu’un agent IA est compromis, les dégâts peuvent se propager beaucoup plus rapidement qu’avec un identifiant humain volé. AI Privilege Guardian de Token Security aide à contenir les attaques à vitesse machine avant que les défenseurs ne puissent réagir.
Un identifiant humain volé limite généralement un attaquant à ce qu’une seule personne peut faire au cours d’une session. Un agent compromis hérite de toute l’autorité d’un flux de travail automatisé, couvrant souvent les API, les plans de contrôle cloud et les données sensibles, a expliqué Apelblat.
« Dans une attaque à la vitesse d’une machine, un attaquant peut détourner un agent disposant de privilèges excessifs et déclencher des actions destructrices ou d’exfiltration, supprimant des ressources, modifiant des configurations ou extrayant des données, plus rapidement qu’une équipe humaine ne peut détecter ou répondre », a-t-il déclaré.
Une fonctionnalité essentielle de l’outil définit ce qu’un agent est censé faire. Il traduit une intention de haut niveau, telle que « optimisation des coûts », en autorisations techniques granulaires qui ne sont pas trop restrictives et restent utiles.
« Nous commençons par l’intention, puis nous la limitons aux services, ressources, environnements et API spécifiques dont l’agent a réellement besoin », a noté Apelblat.
À partir de là, l’outil génère une politique de moindre privilège alignée sur cet objectif et la valide par rapport à des modèles d’utilisation réels. L’objectif n’est pas de verrouiller arbitrairement l’agent, mais de lui donner l’accès exact nécessaire pour faire son travail, et rien de plus.
Sépare les tâches légitimes de la dérive des privilèges
Apelblat a en outre expliqué que l’intention déclarée devient le contrat. Le logiciel de sécurité de Token compare ce que fait réellement l’agent en fonction des journaux d’exécution et des autorisations utilisées par rapport à ce pour quoi il a été défini.
Si de nouvelles actions apparaissent qui ne sont pas justifiées par l’objectif initial, cela est signalé comme une dérive. Une intention et un examen mis à jour devraient accompagner une évolution légitime. L’expansion silencieuse de l’accès est le signal de risque.
« Identifiez les agents, comprenez à quoi ils peuvent accéder et faites apparaître les ensembles d’autorisations risqués ou non gérés afin que les équipes de sécurité puissent les mettre sous gouvernance au lieu de les fermer aveuglément », a-t-il déclaré.
Avec un outil tel que AI Privilege Guardian, les créateurs d’agents peuvent dès le départ définir correctement les autorisations d’accès des agents d’IA, contribuant ainsi à promouvoir une approche plus formelle du déploiement de l’IA d’entreprise.
Apelblat a expliqué que le moindre privilège limite ce qu’un agent d’IA peut faire, et non sa façon de penser. Le modèle peut toujours raisonner à travers des flux de travail complexes.
« Nous limitons simplement les outils et les ressources sur lesquels il peut agir. Nous testons et itérons en fonction du comportement observé jusqu’à ce que l’agent puisse accomplir ses tâches avec succès, sans exercer d’autorité inutile », a-t-il déclaré.
La couche de contrôle IAM ne fournit pas
Selon Apelblat, les outils IAM/IGA traditionnels sont construits autour des humains, des connexions, des sessions et des rôles statiques.
« Les agents d’IA ne se comportent pas comme ça. Ils sont non déterministes, autonomes et agissent via des chaînes d’outils et des API, où la vraie question est de savoir quelles actions sont autorisées, et non de savoir qui s’est connecté », a-t-il précisé.
Ce qui manque, a-t-il ajouté, c’est une couche de contrôle basée sur l’intention, capable de générer, de valider et d’ajuster en permanence les autorisations en fonction de l’objectif d’un agent.
Apelblat a identifié les plus gros signaux d’alarme dans les journaux d’exécution téléchargés comme des autorisations trop larges, des caractères génériques, des accès inutilisés et des combinaisons telles que lecture/écriture/suppression complète lorsque seul un accès en lecture est requis.
« Nous voyons également des agents d’IA dotés d’un accès inter-environnements inutile qui leur permet de se déplacer vers des systèmes sensibles auxquels ils n’ont pas besoin d’accéder. L’outil met en évidence les autorisations qui n’ont jamais été utilisées, les actions en dehors de la mission déclarée et les accès qui créent un rayon d’explosion inutile », a-t-il ajouté.
Les agents Shadow AI se propagent rapidement
Apelblat reconnaît que des agents informatiques fantômes apparaissent dans les départements sans surveillance de la sécurité. AI Privilege Guardian répond également à cette menace.
« Nous voyons des équipes déployer des agents rapidement, souvent en dehors d’un contrôle de sécurité formel, tout comme le shadow IT à l’ère du SaaS. La découverte est le premier défi », a-t-il déclaré.
La plateforme étend cette visibilité avec une gouvernance centralisée pour les agents et autres identités non humaines, afin que les équipes de sécurité puissent les gérer sans les arrêter par réflexe.
« Avec un outil tel que AI Privilege Guardian, les créateurs d’agents peuvent dès le départ définir correctement les autorisations d’accès pour les agents d’IA afin de promouvoir un déploiement plus formel de l’IA d’entreprise », a-t-il ajouté.
Ce qui vient ensuite
Au-delà de l’IAM et des moindres privilèges, Apelblat considère l’autonomie digne de confiance comme le prochain défi de sécurité majeur non résolu pour l’industrie. Cela implique de vérifier en temps réel que les actions d’un agent sont légitimes, traçables et exécutoires.
La solution implique des contrôles d’exécution plus stricts, qui incluent un audit haute fidélité de l’utilisation des outils, un confinement rapide en cas de comportement hors script et une révocation instantanée en cas de problème.
« La gouvernance doit fonctionner au même rythme que les agents eux-mêmes », a-t-il conclu.
