*Par Itamar Apelblat, co-fondateur et PDG, **Token Security*** L'IA agentique représente un changement fondamental dans les opérations organisationnelles. Les agents IA ne sont pas de simples chatbots améliorés ; ce sont des entités autonomes qui planifient, décident et agissent. Ils sont de plus en plus capables d'écrire du code, de déplacer des données, d'exécuter des transactions, de provisionner l'infrastructure et d'interagir avec les clients, souvent sans intervention humaine. Ces agents fonctionnent en continu, à travers les systèmes, à la vitesse de la machine. Cette transformation débloque une valeur commerciale significative, mais son succès dépend d'une sécurité robuste. Les approches actuelles de sécurité de l'IA reposent souvent sur des garde-fous comme le filtrage des invites et la surveillance du comportement. Cependant, ces mesures tentent de contraindre le comportement *après* que l'accès a déjà été accordé. Une fois qu'un agent IA dispose des identifiants et de la connectivité, une seule erreur peut entraîner des violations de données, des actions destructrices ou des défaillances en cascade. Pour sécuriser les agents IA sans entraver l'innovation, un changement dans le plan de contrôle est nécessaire. L'identité, plutôt que les invites, les réseaux ou les assurances des fournisseurs, fournit la base évolutive pour sécuriser et gouverner les systèmes autonomes. Pour une analyse plus approfondie, explorez [Securing Agentic AI: Why Everything Starts with Identity](https://www.token.security/blog/securing-agentic-ai-why-everything-starts-with-identity?utm_source=bleepingcomputer&utm_medium=3rdparty&utm_campaign=bleepingcomputer&utm_content=mar-17). ### Cinq actions clés pour les CISO Voici cinq actions critiques que les CISO devraient prioriser pour assurer la sécurité des agents IA : **1. Traiter les agents IA comme des identités de première classe** Dès l'instant où un agent IA se connecte aux systèmes de production, aux API, aux rôles cloud, aux plateformes SaaS ou à l'infrastructure, il devient une identité, pas seulement une expérience. Les agents IA utilisent de nombreuses identités : jetons API, subventions OAuth, comptes de service, rôles cloud, secrets et clés d'accès. Pourtant, ces identités sont souvent invisibles, non gérées et mal gouvernées. Exigez que chaque agent IA soit traité comme une identité numérique de première classe : * Il doit avoir un propriétaire clair. * Il doit être authentifié. * Ses permissions doivent être explicitement définies. * Son activité doit être enregistrée et surveillée. Sans savoir quelles identités vos agents utilisent, vous manquez de contrôle. **2. Passer des garde-fous au contrôle d'accès** Les garde-fous supposent que l'IA peut être contrainte en toute sécurité par des règles. Cependant, les agents IA sont non déterministes et adaptatifs. Compte tenu des possibilités infinies d'invites et d'interactions, le contournement est inévitable. Même si les contrôles d'invites fonctionnaient 99 % du temps, 1 % de l'infini reste de l'infini. La sécurité doit passer à la couche d'accès. Posez-vous la question : * Quels systèmes cet agent peut-il atteindre ? * Quelles données peut-il lire ? * Quelles actions peut-il exécuter ? * Dans quelles conditions ? * Pendant combien de temps ? En limitant strictement l'accès, le comportement devient moins dangereux. Le contrôle d'accès basé sur l'identité est la couche de confinement pour les logiciels autonomes. Les contrôles réseau sont trop larges ; les filtres d'invites sont trop faibles ; les assurances de la plateforme IA sont insuffisantes. L'identité est le seul plan de contrôle qui couvre tous les systèmes avec lesquels un agent interagit. **3. Éliminer l'IA fantôme en obtenant la visibilité de l'identité** L'IA fantôme est principalement un problème d'identité. Les développeurs, les administrateurs informatiques et les utilisateurs professionnels créent déjà des agents IA qui se connectent à des systèmes critiques pour l'entreprise, exploitent des API, récupèrent des données et déclenchent des flux de travail. Ces agents fonctionnent silencieusement. Lorsque les équipes de sécurité manquent de visibilité sur ces identités, le Zero Trust s'effondre. Les agents inconnus sont approuvés par défaut car leurs identifiants sont valides. Prioriser : * La découverte continue des identités machine et non humaines. * L'identification des jetons liés aux agents, des comptes de service et des subventions OAuth. * La cartographie des agents qui ont accès à quels systèmes. Si vous ne pouvez pas le voir, vous ne pouvez pas le sécuriser. Et à l'ère de l'IA, ce que vous ne pouvez pas voir est souvent autonome. **4. Sécuriser en fonction de l'intention, pas seulement des permissions statiques** Les agents IA sont orientés vers un objectif. Deux agents identiques avec des permissions identiques peuvent se comporter très différemment en fonction de leur objectif. Cela introduit l'intention comme une dimension critique dans les modèles d'accès. Pour sécuriser efficacement les agents IA, les organisations doivent répondre : * Quel est l'objectif de cet agent ? * Quelles actions sont nécessaires pour atteindre cet objectif ? * Quelles actions sont en dehors de son objectif ? Un agent conçu pour résumer les tickets de support ne devrait pas pouvoir exporter la base de données clients complète. Un agent d'optimisation de l'infrastructure ne devrait pas pouvoir modifier les politiques IAM. L'intention définit le comportement acceptable. Cela remet en question l'hypothèse selon laquelle les agents peuvent hériter des permissions humaines. Un agent agissant "au nom" d'un ingénieur privilégié ne devrait pas automatiquement obtenir toutes les permissions que cet ingénieur possède. La sécurité des agents IA consiste à appliquer l'intention par des contrôles d'identité et d'accès strictement limités, et non à prédire le comportement. **5. Mettre en œuvre une gouvernance complète du cycle de vie des agents IA** Les défaillances de sécurité se produisent souvent au fil du temps à mesure que l'accès s'accumule, que la propriété devient floue, que les identifiants persistent et que les agents sont modifiés, réaffectés ou abandonnés. Les agents IA compressent considérablement ce cycle de vie. Assurer la gouvernance du cycle de vie pour chaque agent : * Qui en est le propriétaire aujourd'hui ? * Quel accès a-t-il actuellement ? * Cet accès est-il toujours aligné sur son intention ? * Quand les secrets doivent-ils être remplacés, l'accès révisé ou l'agent mis hors service ? Sans contrôle continu du cycle de vie, le risque s'accumule de manière invisible. Si vous ne pouvez pas répondre à ces questions à tout moment, vous ne contrôlez pas vos agents IA. De nouveaux cadres pour la gouvernance du cycle de vie de l'identité des agents IA émergent pour relever ce défi. Téléchargez le nouvel e-book de Token sur la gestion du cycle de vie de l'identité des agents IA pour plus d'informations : [AI Agent Identity Lifecycle Management](https://www.token.security/lp/ai-agent-identity-lifecycle-management-and-governance?utm_source=bleepingcomputer&utm_medium=3rdparty&utm_campaign=bleepingcomputer&utm_content=mar-17) ## L'IA sécurisée est une IA évolutive L'IA agentique est inévitable et bénéfique pour les entreprises. Sa valeur réside dans l'accès autonome, permettant aux agents d'agir à travers les systèmes à l'échelle et à la vitesse de la machine. Cependant, l'autonomie sans contrôle de l'identité mène au chaos. Les organisations qui greffent l'IA sur des modèles d'identité hérités et centrés sur l'humain risquent de sur-privilégier les agents ou d'étouffer l'innovation. Ignorer l'identité entraînera une perte de contrôle. La solution n'est pas de ralentir l'IA, mais de la sécuriser correctement. L'identité est le seul plan de contrôle évolutif pour l'IA agentique. La gouvernance du cycle de vie est essentielle, et la sécurité doit permettre, et non entraver, l'innovation. Les entreprises qui réussiront dans la prochaine décennie exploiteront l'IA pour transformer leurs activités tout en maintenant la sécurité. La clé est l'identité.