Nouveaux agents… nouvelles règles. Alors que les craintes grandissent quant au fait que l’IA autonome pourrait dépasser la sécurité traditionnelle, les organisations doivent dépasser les informations d’identification statiques pour adopter une approche dynamique et axée sur le cycle de vie de l’identité agentique.
Les contrôles de sécurité existants n’ont pas été conçus pour les agents IA.
Les informations d’identification statiques et les privilèges permanents ne suffisent pas pour un modèle émergent dans lequel les organisations doivent rapidement autoriser, limiter et révoquer les autorisations des agents autonomes, parfois plus d’une fois au sein d’un seul flux de travail.
L’IA agentique oblige les organisations à réfléchir attentivement à la manière de gérer l’identité agentique, la communication agent à agent, la gestion des secrets, l’accès privilégié et l’identité du personnel.
Identité agent
Le premier défi consiste à établir une identité fiable pour les agents eux-mêmes.
Le « comment » ici fait encore l’objet de vifs débats. Certaines organisations traitent les agents IA comme une autre forme d’identité non humaine, similaire aux comptes de service ou aux identités machines. D’autres soutiennent que les agents devraient constituer leur propre catégorie, distincte des utilisateurs humains et des comptes machines.
Dans tous les cas, les agents ont besoin de quelque chose comme un « certificat » pour leur donner une identité qui peut être reconnue et gouvernée dans tous les environnements. Ceci est particulièrement important car, dans la plupart des entreprises, les agents opèrent dans plusieurs environnements, notamment des plateformes cloud, des systèmes sur site et des applications SaaS.
Communication d’agent à agent
Pour sécuriser l’IA agentique, les organisations doivent limiter non seulement les ressources auxquelles les agents d’IA peuvent accéder, mais également les agents habilités à accéder avec lesquels ils peuvent communiquer. Ceci est souvent actuellement géré avec des passerelles Model Context Protocol (MCP), bien que cette approche cède largement la place à l’utilisation de maillage agent.
Un maillage agent est une architecture distribuée dans laquelle plusieurs agents d’IA spécialisés peuvent se découvrir, se coordonner et collaborer sur des tâches sans contrôleur central. Cette approche permet aux organisations de superposer des règles de communication basées sur l’intention via des certificats, mais permet également de révoquer les autorisations à la demande.
Secrets d’agent
Traditionnellement, les secrets tels que les mots de passe et les clés API sont gérés via des requêtes via des plateformes de gestion des services informatiques. Mais ce mécanisme ne fonctionne pas pour les agents IA, qui fonctionnent trop rapidement et sur trop de systèmes pour s’appuyer sur des informations d’identification statiques.
Au lieu de cela, les secrets doivent être générés dynamiquement, utilisés dans un but spécifique, puis retirés une fois la tâche terminée. Cette approche peut être comparée aux cartes-clés des hôtels modernes. Contrairement aux clés physiques des chambres du passé, une carte-clé est émise pour un séjour spécifique, mais après cela, elle perd toute valeur tant pour les utilisateurs légitimes que pour les acteurs malveillants.
Accès privilégié
Les agents d’IA peuvent commencer avec les mêmes autorisations qu’un utilisateur humain donné, en s’appuyant sur des systèmes d’entreprise et des données pertinents pour le contexte. Cependant, à mesure que les flux de travail sont transmis d’agent à agent, ce privilège ne doit pas être transmis tout au long du processus. Les privilèges devraient plutôt être réduits à chaque étape jusqu’à ce qu’il ne reste plus qu’une fine couche pour autoriser une étape d’exécution spécifique.
Identité du personnel
Les organisations gèrent déjà les identités des travailleurs humains, bien sûr, mais ces identités sont souvent gérées différemment selon les plateformes de gestion et les outils de connexion distincts. Pour prendre en charge l’IA agentique, les organisations doivent trouver des moyens de briser cette fragmentation, de garantir que les identités des travailleurs sont à jour et de traduire correctement les autorisations du personnel en flux de travail agentiques.
Une approche de l’identité basée sur le cycle de vie
Ces cinq domaines ne doivent pas être abordés isolément. Les organisations doivent plutôt appliquer la gouvernance et l’observabilité tout au long du cycle de vie de l’identité, en garantissant que chaque action agente puisse finalement être retracée jusqu’aux niveaux d’accès et d’autorisation approuvés.
Les résultats de cet effort, notamment l’accès dynamique, le principe du moindre privilège, une identité forte et une auditabilité claire, sont des objectifs que de nombreuses organisations poursuivent depuis longtemps. L’essor de l’IA agentique les rend plus urgents que jamais.
Pour en savoir plus, visitez-nous ici.



