AI securing digital infrastructure, analyzing biometric authentication, monitoring threats, and managing identity protection through intelligent cybersecurity protocols. Latch

Repenser l’identité à l’ère de l’IA : les RSSI doivent instaurer la confiance à la vitesse de la machine

Lucas Morel

Les systèmes d’identité centrés sur l’humain n’ont jamais été conçus pour la prochaine vague d’agents d’IA autonomes. Les RSSI doivent déterminer comment reconstruire les systèmes d’identité pour contrer les risques.

Les RSSI sont confrontés à une crise d’identité naissante.

Selon le rapport d’enquête sur les violations de données 2025 de Verizon, les cyberattaquants ont modifié leurs vecteurs d’accès initiaux de prédilection, le vol d’identifiants étant l’une des principales causes de violations de données, déclenchant 22 % de toutes les intrusions et 88 % des attaques d’applications Web de base. Ces résultats font suite à la conclusion des chercheurs de Varonis selon laquelle 57 % des cyberattaques en 2024 ont commencé avec des identités compromises.

Quelle que soit la source des recherches, il est indéniable que de nombreuses cyber-intrusions importantes, sinon la plupart, commencent de plus en plus par une faille d’identité.

Ces échecs vont probablement s’aggraver et devenir plus fréquents – et à la vitesse de la machine – à mesure que l’utilisation de l’IA agentique augmente. Ce changement technologique radical, dans lequel les agents d’IA agissent de plus en plus de manière autonome, se font passer pour des humains et prennent des décisions plus rapidement que les processus et pratiques de gouvernance existants ne peuvent le permettre, obligera les responsables de la cybersécurité à repenser la façon dont ils surveillent et gèrent les systèmes d’identité dans leurs organisations.

Ou comme Jim Alcove, PDG d’Oleria et chef du groupe de travail sur l’identité SINET, l’a récemment écrit : « Nos cadres, protocoles et processus opérationnels actuels pour l’identité et l’accès n’ont jamais été conçus pour gérer la vitesse, l’échelle et la complexité de l’IA. »

Les experts affirment que les RSSI doivent rapidement repenser leur approche de la gestion des identités en allant au-delà de la connexion ou de l’autorisation d’accès, et en plaçant la gestion des identités au cœur de leur entreprise.

L’effondrement des modèles identitaires traditionnels

Les modèles d’identité et d’accès actuels ont été construits pour accorder des niveaux d’accès et d’autorisation aux êtres humains et non à des logiciels autonomes, comme le nombre croissant d’agents d’IA. Les experts affirment que les modèles d’identité centrés sur l’humain qui attribuent des noms d’utilisateur, des rôles et des niveaux d’accès s’effondreront probablement face à des milliers d’agents autonomes effectuant des requêtes chaque seconde.

Pire encore, l’intégration d’agents IA dans les modèles d’identité existants ne fait qu’ajouter une couche de complexité aux environnements d’identité qui se sont déjà révélés problématiques, explique Steve Stone, vice-président directeur de la découverte et de la réponse aux menaces chez Sentinel One.

Selon Stone, les couches d’interaction typiques impliquées dans l’IA aggravent le problème. « Il existe un véritable problème d’identité des machines, car vous interagissez souvent avec l’IA et ces technologies via des API et d’autres mécanismes », explique-t-il. « Cet élément d’identité n’est pas seulement la façon dont vous vous connectez à la machine ; c’est aussi la façon dont vos machines communiquent avec les machines. »

Qui plus est, peu d’organisations sont équipées pour faire face à la rapidité avec laquelle les problèmes d’identité apparaîtront. « Nous parlons d’intrusions maintenant, et auparavant cela durait des mois en semaines, puis des semaines en jours, et maintenant nous parlons vraiment d’heures », explique Stone. « Lorsque nous parlons d’agents IA, nous allons devoir prendre des décisions qui auront un impact sur les entreprises en quelques secondes. Nous n’aurons pas le temps de passer en revue le manuel de réponse aux incidents. »

L’identité comme tissu de confiance

La plupart des organisations s’appuient actuellement sur une multitude de systèmes de gestion des identités et des accès pour diverses raisons. Certains systèmes peuvent être liés à la technologie d’un fournisseur spécifique ; certains peuvent être des systèmes hérités de fusions ou d’acquisitions ; certains pourraient être en place en raison d’exigences légales ou réglementaires.

C’est pourquoi le groupe de travail sur l’identité SINET, qui comprend une multitude de pionniers de l’infrastructure Internet et de la sécurité, dont Heather Adkins, vice-présidente de l’ingénierie de sécurité chez Google ; Jason Lee, ancien RSSI de Zoom et Splunk ; Michael Montoya, directeur technique chez F5 ; et bien d’autres – présente une vision pour ce qu’il appelle un AI Trust Fabric, un « système autonome et d’auto-guérison (qui) dépend entièrement de la confiance ».

Ce tissu se compose d’une identité et de protocoles robustes, où chaque entité possède une identité unique et prouvée. Les protocoles qui font partie de ce tissu « doivent prouver cryptographiquement à la fois la propriété d’un jeton et l’origine de l’identité d’une manière solide et vérifiable ».

La vision du groupe implique un accès et une autorisation dynamiques qui suppriment les jetons au porteur statiques qui s’avèrent souvent être un handicap. Dans le même temps, le groupe suggère que les autorisations soient finement détaillées et configurables via des API pour l’accès des agents les moins privilégiés aux outils, aux systèmes et aux données.

De plus, l’accès doit être configurable à la volée et ne doit pas être un simple oui ou non, mais doit plutôt refléter une composition dynamique basée sur toutes les entités pertinentes de la chaîne. Enfin, la structure devrait rendre explicites les délégations d’accès lorsqu’un agent d’IA agit au nom d’un humain ou d’un autre agent d’IA et être fondée sur des politiques de révocation et d’accès juste à temps spécifiques.

« Nous pensons qu’un humain a accès à quelque chose pendant des jours, des mois ou des années », ajoute-t-il. « Mais ces agents pourraient littéralement aller et venir en quelques secondes ou heures, puis ils pourraient engendrer des sous-agents et faire partie de tout un réseau d’autres agents partout dans le monde, et ils pourraient partir et commencer à faire des choses que les humains ne pourront peut-être jamais rattraper. »

Une meilleure gestion des identités pour faire face aux risques connus de l’IA

Un tissu de confiance en matière d’identité pourrait grandement contribuer à prévenir les risques connus de l’IA. Selon le groupe SINET, une meilleure gestion des identités pourrait constituer une atténuation proactive des risques contre plusieurs menaces émergentes de l’IA, notamment :

  • Vulnérabilités du pipeline CI/CD, qui consistent en du code malveillant injecté dans des LLM qui pourrait empoisonner une IA dès sa création
  • Injection rapide, où les attaquants créent des entrées subtiles et malveillantes pour manipuler le comportement d’un agent IA
  • Prise de contrôle/manipulation de l’IA, qui donne à un acteur menaçant le contrôle des résultats ou de la prise de décision d’un modèle d’IA
  • Empoisonnement des données, où les attaquants injectent délibérément des données corrompues ou trompeuses dans l’ensemble de données d’entraînement d’un modèle d’IA
  • Divulgation des données de modèle et de formation, c’est à ce moment-là que les attaquants utilisent des invites soigneusement conçues pour inciter les agents d’IA à révéler des informations sensibles telles que du code propriétaire, des données commerciales confidentielles ou des informations personnelles que le modèle n’a jamais été censé partager.
  • Extraction de modèle ou vol d’IP, où les attaquants interrogent en permanence les API pour reconstruire le comportement du modèle, volant la propriété intellectuelle ou divulguant des données de formation propriétaires et sensibles

« Ensuite, ce système d’IA est trompé et commence à exposer des données sensibles », ajoute-t-il. « Et je pense que nous sommes sur le point de voir des attaques liées à la sécurité de l’IA, comme des injections rapides, faire la une des journaux chaque semaine. »

Comment les RSSI doivent se préparer à la nouvelle ère de l’identité

La nécessité pour les RSSI de mettre en œuvre des systèmes d’identité améliorés ou de construire quelque chose qui s’apparente à une structure d’identité se fera sentir rapidement, même si les experts affirment qu’il est essentiel de mettre en place des mesures fondamentales d’hygiène en matière de cybersécurité avant même de penser à aborder un programme d’identité plus complet.

« L’analogie que j’utilise est que si vous n’avez pas une bonne hygiène, alors tout ce que vous ferez de nouveau serait mauvais », explique Gajjala d’Oleria. « Si vous n’avez pas une bonne hygiène corporelle et que tout d’un coup vous achetez un costume à mille dollars, cela ne change rien au fait que vous avez une mauvaise hygiène. »

Une fois les bases de sécurité en place, la préparation aux prochains défis liés à l’identité de l’IA devrait être un processus délibéré qui ne doit pas être précipité. « Vous devez littéralement repartir de zéro et réfléchir à la manière dont j’accorde l’accès aux données qui me tiennent à cœur et à la manière dont je les mesure, puis comment automatiser cela de manière à rester au courant de ce problème à tout moment », déclare Clay d’Aireon.

Comme c’est toujours le cas lors de l’introduction de nouveaux programmes de sécurité dans l’organisation, les RSSI doivent travailler avec les décideurs pour ouvrir la voie aux changements. « Ce que nous voulons que les RSSI travaillent avec leurs entreprises pour dire que nous avons vraiment besoin de ces solutions et mettre en place ces normes et modèles de sécurité pour l’identité et l’authentification avant d’adopter de nouvelles solutions », explique Frey, de TELUS.

Comme tout autre effort de sécurité majeur, « cela commence toujours par l’endroit le plus ennuyeux et le plus horrible qui soit, à savoir la gouvernance », dit Clay. « Vous devez vraiment commencer à comprendre ce que j’essaie de protéger et comment j’essaie de le protéger avant de commencer à créer des outils, des processus et tout le reste. Ensuite, ce processus de gouvernance est le suivant : un utilisateur peut faire ceci, cet administrateur peut faire cela, cette personne peut faire ceci. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Gemini, Google, Smartphone
Gemini pour Chrome dispose d’un deuxième agent IA pour le surveiller
Cyberattaques contre les universités | Chouette noire
Cyberattaques contre les universités | Chouette noire
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern