Les architectures Zero Trust conçues pour les utilisateurs humains cèdent sous l’ampleur et la vitesse de l’IA agentique.
Stephen Wilson, directeur de la technologie sur le terrain chez HashiCorp, une société IBM, compare les agents IA à des « enfants d’école maternelle vraiment intelligents ».
« Ils savent comment faire quelque chose, mais ils n’ont aucune idée de pourquoi ils devraient le faire », explique Wilson.
Cette combinaison d’une puissance d’exécution supérieure et d’un manque de jugement peut créer un défi important pour les organisations qui tentent d’intégrer des agents d’IA dans leurs architectures Zero Trust existantes. Dans un environnement robuste de confiance zéro, note Wilson, les utilisateurs humains sont d’abord authentifiés, puis se voient attribuer des pouvoirs de décision et des accès croissants au fil du temps, de nombreuses organisations prenant potentiellement des semaines pour intégrer un employé informatique doté de privilèges élevés. Mais ce modèle s’effondre avec les agents IA qui peuvent être activés pour des tâches uniques, puis rapidement détruits.
«Imaginez devoir intégrer et désactiver l’une de ces entités au sein de votre écosystème une fois par seconde», explique Wilson. « L’introduction d’agents IA ne crée pas nécessairement de nouveaux problèmes. Mais elle exacerbe des problèmes qui ont toujours existé. »
« Vous ne savez pas quand ils vont se tromper »
La pression exercée sur les organisations pour qu’elles adoptent de manière agressive l’IA a entraîné une pression correspondante pour réduire ou supprimer les barrières entre l’authentification, la prise de décision, l’exécution et l’autorisation, explique Wilson. Plutôt que de réorganiser leurs programmes Zero Trust pour les agents d’IA, de nombreuses organisations donnent essentiellement aux outils un large accès et espèrent le meilleur.
« Ces agents se déplacent très rapidement et personne ne sait exactement quel accès ils devraient avoir », explique Wilson. « Je n’ai jamais vu cela auparavant, où des agents de sécurité vraiment intelligents ferment les yeux et se déplacent à un rythme qui peut être dangereux. »
Déjà, un accès illimité à l’IA agentique pourrait déclencher une « calamité » au sein de certaines organisations, dit Wilson, avec un rapport selon lequel un agent d’IA aurait supprimé des bases de données de production entières. « Nous avons vu un exemple de mois et de mois de travail disparaître, même dans des environnements de développement de logiciels stables », explique Wilson. « Même si nous estimons que les agents d’IA ont raison dans 80 % des cas, le problème se situe dans les 20 % restants : que se passe-t-il lorsqu’ils ont tort ? »
Adopter une vision à long terme
Même si l’IA agentique peut soulever des problèmes de sécurité à court terme, Wilson considère la technologie comme une fonction forçante qui stimulera des améliorations à long terme des environnements zéro confiance des organisations. « Nous sommes à un point d’inflexion où nous allons devoir faire des choses difficiles », dit-il. « Avec les utilisateurs humains, nous avons accepté que nous n’allons pas aller aussi vite que nous le souhaiterions et que nous devrons souvent dire non. Mais c’est un raz-de-marée. »
Wilson compare l’essor de l’IA agentique aux débuts de l’iPhone (« mais 10 fois plus puissant »), notant que les smartphones ont forcé les organisations à créer des pratiques de sécurité et de gouvernance pour le BYOD (Bring Your Own Device) et les programmes de travail à distance. «Avant l’iPhone, le BYOD n’existait pas», dit-il. « C’était très pénible au début, mais nous n’aurions pas de travail à distance sans l’iPhone. »
« L’IA apporte le même défi », déclare Wilson. Faire les choses difficiles, ajoute-t-il, signifie passer au privilège zéro, délivrer des informations d’identification dynamiques au moment de l’utilisation plutôt que de s’appuyer sur des secrets de longue durée, et renforcer la sécurité plutôt que de la renforcer. L’objectif est de garder l’humain « dans la boucle » plutôt que dans la boucle, en supervisant les agents sans les ralentir. « Certaines organisations vont subir des difficultés, mais je pense que nous serons plus en sécurité à long terme. »
Pour en savoir plus, visitez-nous ici.



