Dustin Wilcox, vice-président senior et RSSI chez S&P Global, et Michael Adams, RSSI de Docusign, partagent des conseils pour les RSSI sur la sécurisation de l’entreprise alors que les identités d’IA agentique prolifèrent.
L’identité a toujours été au cœur de la sécurité, mais la prolifération des agents d’IA modifie rapidement le défi de la gestion et de la sécurisation de l’identité, incitant les RSSI à repenser leurs stratégies d’identité, même la manière dont elles sont définies.
« L’identité est désormais à la fois une surface de contrôle et une surface d’attaque. Nous avions des identités non humaines sous forme de clés API, de jetons, de comptes de service, mais maintenant nous avons des agents, et c’est une nouvelle classe », déclare Dustin Wilcox, vice-président senior et RSSI chez S&P Global.
Et à mesure que les agents prolifèrent, il devient difficile pour les RSSI de conserver une image complète de leur nombre, de leur utilisation et de ce qu’ils sont autorisés à faire.
« Avec une identité humaine, vous pouvez valider directement les besoins d’accès. Avec les comptes de service, et maintenant avec les agents, cette clarté est plus difficile à obtenir », explique Michael Adams, RSSI de Docusign.
« Les traiter comme s’ils correspondaient aux modèles existants peut créer des lacunes en termes de visibilité et de contrôle. Dans le même temps, les systèmes d’IA contribuent à la croissance rapide des identités non humaines, notamment à la création de nouveaux identifiants et jetons, que de nombreux processus d’inventaire n’ont pas été conçus pour suivre », ajoute-t-il.
Le conseil aux RSSI est d’adopter un modèle de sécurité axé sur l’identité qui considère l’identité comme la couche fondamentale de l’architecture de sécurité.
« Chaque décision d’accès passe par l’identité et est vérifiée en permanence, et pas seulement à la porte », explique Adams.
L’identité devient le principal plan de contrôle
Les RSSI gèrent désormais une nouvelle classe d’identités qui comprend des copilotes, des agents autonomes et des flux de travail basés sur l’IA qui ne s’intègrent pas parfaitement dans les cadres existants. Et ils peuvent accéder aux systèmes, entreprendre des actions et prendre des décisions à la vitesse d’une machine.
En conséquence, Adams affirme que les RSSI devront de plus en plus adopter une architecture de sécurité centrée sur l’identité et qu’il y a plusieurs principes clés à prendre en compte.
Construisez une base solide avant d’ajouter de la complexité. Selon Adams, l’instinct lors de la modernisation d’un programme d’identité est de recourir à des outils sophistiqués. Au lieu de cela, son conseil est de mettre en place les principes fondamentaux : des répertoires propres, le moindre privilège appliqué et des processus de délocalisation fiables.
« Les organisations qui passent à la vérification continue sans établir d’hygiène de base en matière d’identité peuvent se retrouver sur des bases instables », dit-il.
Conception pour la nouvelle classe d’identités. Lors de la conception de modèles de rôle et de politiques d’accès, la tentation est de refléter les structures existantes.
« Cela entraîne souvent des années d’autorisation dans une nouvelle architecture. Partir du moindre privilège plutôt que de l’héritage permet de garantir que les utilisateurs ne reçoivent que l’accès requis pour leurs fonctions professionnelles », dit-il. « Il est important de remettre en question le principe selon lequel « cela a toujours été fait ainsi » lorsque cela est approprié. »
Mettez de l’ordre dans votre inventaire d’identité non humaine. Construisez un inventaire complet des identités non humaines et indiquez qui est responsable de chaque identité et ce que chacun est autorisé à faire. Faites-le avant que d’autres agents n’agissent.
« Il s’agit autant d’un défi de gouvernance que de technologie », note-t-il.
Considérez l’AMF comme un point de départ et non comme une destination. La feuille de route sur l’identité doit inclure des alternatives résistantes au phishing aux SMS ou à la MFA basée sur le push. Le moindre privilège, la micro-segmentation et la surveillance continue font partie du manuel.
« Supposons que les informations d’identification puissent être compromises et concevez en conséquence », conseille Adams.
L’IA et l’équilibre changeant de la sécurité
Les systèmes d’identité sont depuis longtemps la cible d’attaques. Mais à mesure que l’identité devient le principal plan de contrôle, le risque devient plus concentré et nécessite une approche différente.
« J’encourage chaque RSSI à réfléchir en profondeur à l’intersection de l’identité et de l’IA », déclare Adams, ajoutant que les systèmes doivent être repensés autour du principe d’intention plutôt que du comportement réel pour garantir que les agents opèrent dans des limites appropriées.
« Cela nécessite une surveillance comportementale et une évaluation des accès en temps réel – des capacités vers lesquelles de nombreuses organisations sont encore en train de s’appuyer », note-t-il. « C’est le travail qui nous attend. »
Wilcox est finalement optimiste quant au fait que l’IA offre aux praticiens de la sécurité davantage d’outils pour lutter contre les acteurs malveillants. Si les RSSI parviennent à y parvenir, c’est un moyen d’égaliser les règles du jeu avec les attaquants d’une manière qui n’était pas possible auparavant.
« Nous avons eu ce terrain de jeu asymétrique où ils ont eu l’avantage depuis aussi longtemps que je me souvienne. Nous pouvons désormais utiliser l’IA de manière stratégique et tactique pour améliorer nos défenses », dit-il.
