On estime que 95 % des entreprises n’ont pas déployé de protection d’identité pour leurs agents autonomes – ce qui n’est pas un bon début pour ce que certains experts en sécurité décrivent comme un problème d’authentification sans précédent.
Tirer le meilleur parti de l’IA agentique est un sujet prioritaire pour de nombreuses entreprises au cours de l’année à venir, car les dirigeants d’entreprise souhaitent déployer des agents d’IA autonomes pour réorganiser une gamme d’opérations et de flux de travail commerciaux.
La technologie est naissante et, comme pour le déploiement de l’IA générative, les DSI sont sous pression pour adopter rapidement des stratégies d’IA agentique – un cauchemar potentiel pour les RSSI chargés d’assurer la sécurité de l’organisation face à une expérimentation et un déploiement agentiques généralisés.
Un domaine de préoccupation clé est l’identité et l’authentification. Certains experts en sécurité estiment que plus de 95 % des entreprises qui déploient ou expérimentent des agents autonomes le font sans tirer parti des mécanismes de cybersécurité existants, tels que l’infrastructure à clé publique (PKI), pour suivre, identifier et contrôler leurs agents.
Ce problème devient encore plus dangereux en raison de la prévalence des communications d’agent à agent communes aux déploiements d’IA agentique.
Pour que l’IA agentique fonctionne, les agents d’IA doivent communiquer de manière autonome avec d’autres agents pour transmettre des tâches, des données et du contexte. Sans une gestion suffisante des identités, une authentification et des mesures de cybersécurité associées, non seulement un agent pourrait être contrôlé par un cybercriminel ou un acteur étatique, mais des agents malveillants pourraient également se lancer dans diverses attaques par injection rapide avec un nombre illimité d’agents légitimes.
Si un agent piraté communique avec les agents légitimes d’une entreprise, le détecter et extraire ses informations d’identification ne suffira pas à mettre un terme aux dégâts causés par les agents légitimes suivant les instructions précédentes de l’agent malveillant.
Et la probabilité d’un tel effet d’entraînement n’est pas anodine. Aujourd’hui, les mécanismes d’authentification les plus robustes révoquent et/ou arrêtent les informations d’identification lorsqu’un mauvais comportement est détecté. Mais les systèmes d’analyse comportementale doivent souvent être témoins d’actes de mauvais comportement avant de pouvoir signaler le problème et mettre fin à l’identification. Toutes les actions précédemment initiées par l’agent compromis seront déjà en cours tout au long de la chaîne agentique.
L’objectif est d’avoir une trace de chaque interaction et un système automatisé pour contacter tous les agents légitimes qui ont interagi avec l’agent malveillant pour leur dire de ne pas tenir compte des instructions de cet agent – et alerter la sécurité informatique de toute action déjà entreprise selon les instructions du pirate, mais les fournisseurs n’ont pas encore répondu à ce besoin. De plus, de nombreux experts en sécurité affirment qu’il s’agit d’un problème trop complexe pour être facilement résolu.
« Étant donné que les agents autonomes sont de plus en plus capables d’exécuter des actions réelles au sein d’une organisation, si un acteur malveillant peut affecter la couche décisionnelle d’un agent autonome, les dommages qui en résulteront pourraient être exponentiellement plus importants que dans un scénario de violation traditionnel », déclare Nik Kale, ingénieur principal chez Cisco ainsi que membre de la Coalition for Secure AI (CoSAI) et du comité du programme AI Security (AISec) d’ACM.
La surface d’attaque en constante expansion des agents autonomes
« Parce que les agents sont programmés pour suivre des instructions, ils suivront probablement des instructions douteuses en l’absence d’un mécanisme pour forcer l’agent à ralentir son processus afin de valider la sécurité de la demande », explique Kale. « Les humains ont de l’intuition et sentent donc souvent quand quelque chose ne va pas. Les agents ne possèdent pas ce sens instinctif et suivront donc n’importe quelle demande à moins que le système ne les en empêche spécifiquement. »
Gary Longsine, PDG d’IllumineX, convient que les risques de cybersécurité liés au déploiement d’agents incontrôlés ne ressemblent à rien de ce que les RSSI ont pu affronter.
« La surface d’attaque de l’agent IA pourrait être considérée comme essentiellement infinie, en raison de l’interface en langage naturel et de la capacité de l’agent à invoquer un large éventail potentiellement d’autres systèmes agents », explique Longsine.
Jason Sabin, directeur technique de DigiCert, suggère que la situation pourrait être encore pire en raison de la relative facilité avec laquelle un agent est détourné.
« Sans authentification agent robuste, les organisations risquent de déployer des systèmes autonomes qui peuvent être détournés avec une seule fausse instruction », affirme Sabin.
La crise d’identité de l’IA agentique
Les experts en authentification et en agents agents interrogés (dont trois estiment que moins de 5 % des entreprises expérimentant des agents autonomes ont déployé des systèmes d’identité agent) affirment que les raisons de ce manque de renforcement de la sécurité sont variées.
Premièrement, bon nombre de ces efforts relèvent en réalité de l’informatique fantôme, dans le cadre de laquelle un responsable d’un secteur d’activité a autorisé la validation de principe pour voir ce que ces agents peuvent faire. Dans ces cas-là, les équipes informatiques ou cybernétiques n’ont probablement pas été impliquées et la sécurité n’a donc pas été une priorité absolue pour le POC.
Deuxièmement, de nombreux dirigeants, y compris des partenaires commerciaux tiers gérant la chaîne d’approvisionnement, la distribution ou la fabrication, ont toujours rogné sur les POC car ils sont traditionnellement confinés à des bacs à sable isolés des environnements réels de l’entreprise.
Mais les systèmes agents ne fonctionnent pas de cette façon. Pour tester leurs capacités, ils doivent généralement être relâchés dans l’environnement général.
La bonne façon de procéder consiste à ce que chaque agent de votre environnement (qu’il soit autorisé par le service informatique, qu’il soit lancé par un LOB ou celui d’un tiers) soit suivi et contrôlé par les identités PKI des fournisseurs d’authentification agent. Une défense extrême consisterait à demander à tous les agents autorisés de refuser toute communication de tout agent sans identification complète. Malheureusement, les agents autonomes – comme leurs cousins de la génération IA – ignorent souvent les instructions (appelées garde-fous).
« Les rencontres favorables aux agents entrent en conflit avec les principes de sécurité essentiels. Les entreprises ne peuvent pas risquer des scénarios dans lesquels les agents se découvrent de manière autonome, établissent des canaux de communication et nouent des relations transactionnelles », déclare Kanwar Preet Singh Sandhu, qui suit les stratégies de cybersécurité pour Tata Consultancy Services.
« Lorsque le service informatique conçoit un système, ses tâches et objectifs doivent être clairement définis et limités à ces tâches », ajoute-t-il. « Bien que les rencontres entre agents soient techniquement possibles, elles présentent de sérieux risques pour des principes tels que le moindre privilège et la séparation des tâches. Pour une collaboration ou une intégration structurée et planifiée, les organisations doivent suivre des protocoles stricts tels que MCP (Model Context Protocol) et A2A (Agent to Agent), qui ont été créés précisément à cet effet.
Sabin de DigiCert affirme que ses interactions avec les entreprises ont révélé « peu ou pas de création d’identités pour leurs agents autonomes ». « Certainement moins de 10 %, probablement moins de 5 %. Il y a un énorme fossé identitaire. »
Agentic IDs : remettre le génie dans la bouteille
Une fois que les expériences agentiques commencent sans que les identités appropriées soient établies, il est beaucoup plus difficile d’ajouter une authentification d’identité ultérieurement, note Sabin.
« Comment pouvons-nous commencer à ajouter une identité après coup ? Ces processus n’ont pas été établis. L’agent peut et sera détourné, compromis. Vous devez avoir un kill switch », dit-il. « La capacité des agents d’IA à vérifier qui donne une commande et si cet humain/système a l’autorité est l’un des problèmes de sécurité déterminants de l’IA agentique. »
Pour résoudre ce problème, les RSSI devront probablement repenser l’identité, l’authentification et les privilèges.
« Le véritable défi, c’est que nous ne déterminons plus comment un humain s’authentifie auprès d’un système. On nous demande maintenant de déterminer comment un agent autonome détermine que la personne qui donne des instructions est légitime et que les instructions s’inscrivent dans le modèle d’action attendu », explique Kale de Cisco. « Le passage à la détermination de la légitimité basée sur l’évaluation par l’agent autonome de l’intention de l’humain, plutôt que sur la simple identification de l’humain, introduit une toute nouvelle gamme de facteurs de risque qui n’avaient jamais été anticipés par les méthodes d’authentification traditionnelles. »
Ishraq Khan, PDG du fournisseur d’outils de productivité de codage Kodezi, estime également que les RSSI sous-estiment probablement les menaces de sécurité qui existent au sein des systèmes d’IA agentique.
« Les cadres d’authentification traditionnels supposent des identités statiques et des modèles de requêtes prévisibles. Les agents autonomes créent une nouvelle catégorie de risque car ils lancent des actions de manière indépendante, intensifient leurs comportements en fonction de leur mémoire et forment eux-mêmes de nouvelles voies de communication. La surface de la menace devient dynamique et non statique », explique Khan. « Lorsque les agents mettent à jour leur propre état interne, apprennent des interactions antérieures ou modifient leur rôle au sein d’un flux de travail, leur identité du point de vue de la sécurité change au fil du temps. La plupart des organisations ne sont pas préparées pour des agents dont les capacités et le comportement évoluent après l’authentification. »
Khan ajoute : « Un agent compromis peut usurper l’identité de modèles de collaboration, fabriquer l’état du système ou manipuler d’autres agents pour provoquer des pannes en cascade. Il ne s’agit pas simplement d’un malware. Il s’agit d’une attaque comportementale contre la prise de décision. »
Harish Peri, vice-président directeur et directeur général de la sécurité de l’IA chez Okta, le dit plus directement : « Il ne s’agit pas seulement d’un problème NHI. C’est une recette pour un désastre. C’est un nouveau type d’identité, un nouveau type d’utilisateur implacable. »
Concernant le problème de l’incapacité de réparer les dégâts lorsqu’un agent détourné donne des instructions malveillantes à des agents légitimes, Peri affirme que cela peut être un problème difficile que personne ne semble avoir encore résolu.
« Si le signal de risque est suffisamment fort, nous avons la capacité de révoquer non seulement le privilège mais aussi le jeton d’accès », explique Peri. Mais « le type de chaînage en temps réel nécessite davantage de réflexion ».
Dénouer les interactions entre agents sera un défi de taille
L’un des problèmes est que le suivi des interactions pour le chaînage en amont nécessitera la capture d’une quantité massive de données auprès de chaque agent de l’environnement de l’entreprise. Et étant donné que les agents autonomes agissent à une vitesse non humaine, un entrepôt de données pour cette activité risque de se remplir rapidement.
« Au moment où l’agent fait quelque chose et que l’identité est révoquée, tous les agents en aval ont déjà interagi avec cet agent compromis. Ils ont déjà accepté les missions et ont déjà préparé ses prochaines actions », explique Kale de Cisco. « Il n’existe aucun mécanisme pour propager cette révocation vers l’arrière. Les kill switchs sont nécessaires mais ils sont incomplets. »
Le processus permettant de revenir en arrière vers tous les agents contactés « ressemble à un script simple. Cela semble facile jusqu’à ce que vous essayiez de le faire correctement », dit-il. « Vous devez connaître chaque instruction émise par un agent et le plus difficile est de décider quoi annuler » – un scénario que Kale compare à la fatigue d’alerte. « Cela pourrait absolument s’effondrer sous son propre poids. Tout cela pourrait alors devenir du bruit et non plus de la sécurité. »
Jason Soroko, chercheur principal chez Sectigo, convient que l’alerte rétrospective des agents concernés « est loin d’être entièrement résolue à l’heure actuelle ».
Mais il affirme que la cybersécurité agentique s’est, par inadvertance, retrouvée dans une impasse.
« Une grande partie de l’authentification d’agents d’IA autonomes reposera sur un simple jeton API pour se vérifier. Nous avons construit par inadvertance une arme en attente d’un secret partagé volé », explique Soroko. « Pour résoudre ce problème, nous devons aller au-delà des secrets partagés vers une preuve cryptographique de possession, en garantissant que l’agent vérifie le ‘qui’ derrière la commande, et pas seulement l’authentificateur du ‘bracelet de concert’. »
