ipopba - stock.adobe.com
Sécurité des identités pour les agents IA : le défi de la prolifération
L'adoption de l'IA peut être accélérée grâce à de solides fondations de sécurité. Mais la gestion des agents IA non déterministes est différente de la sécurisation des identités humaines et non-humaines traditionnelles.
Les agents IA prolifèrent au sein des entreprises, avec des cas d'utilisation allant des opérations informatiques et de la sécurité à des tâches juridiques et de conformité.
Omdia, une division d'Informa TechTarget, a publié les résultats d'une enquête menée auprès de 400 responsables de la sécurité et qui donne un aperçu de l'état de la sécurité des identités pour les agents IA. La sécurité des agents IA a alimenté de nombreuses conversations, et les données fournies ont apporté de la clarté quant à l'importance de construire une base solide de sécurité des identités pour permettre l'adoption de l'IA.
Sécurité des identités et agents IA
Les agents IA représentent une expansion spectaculaire de la surface d'attaque de l'entreprise. Il existe de multiples couches dans toute pile technologique pour la sécurité des agents IA. Par exemple, les équipes ont besoin de gestion de la posture de sécurité de l'IA pour contrer le empoisonnement de modèles et les attaques par injection de prompts, une gestion de la posture de sécurité des données pour garantir que les bonnes données atteignent l'infrastructure d'IA, ainsi que la prévention des pertes de données et la protection contre les risques internes.
Toute stratégie de sécurité des agents IA doit être construite sur une base solide de sécurité des identités pour que les agents IA puissent fournir la gestion, la sécurité et la gouvernance.
Les équipes de gestion des identités ont une perspective unique sur les agents IA. Elles gèrent déjà des identités et des accès (IAM) pour les identités humaines et les identités non humaines (NHI), et sont désormais responsables de la gestion et de la sécurisation des identités des agents IA. Comment peuvent-elles donc construire un programme efficace pour gérer ces identités également ?
Agents IA : NHI ou autre chose ?
À première vue, un agent IA est un autre type de NHI, aux côtés des comptes de service, des clés API et des jetons OAuth. Mais en approfondissant, ils présentent des différences significatives.
Les NHI sont principalement déterministes — utiliser l'entrée X et obtenir systématiquement la sortie Y. Et les NHI ne peuvent généralement pas prendre de décisions ni agir. Les agents IA, en revanche, sont non déterministes. Utilisez l'entrée A, et vous pourriez obtenir différentes sorties — B1, B2 ou B3 — en fonction des circonstances. Les agents IA fonctionnent 24/7 et prennent toutes les mesures nécessaires — dans certaines limites — pour atteindre leurs objectifs.
L'étude d'Omdia révèle qu'une légère majorité de responsables de l'identité considèrent les agents IA comme une catégorie distincte d'identité plutôt que comme un autre type de NHI, et je m'attends à ce que cette perception s'étende avec le temps.
Prolifération des agents IA
L'étude révèle en outre que les agents IA sont déployés dans presque toutes les fonctions de l'entreprise avec une variété de cas d'utilisation, du support aux opérations informatiques en passant par la rationalisation des ventes et du marketing. Les agents IA sont privilégiés pour le déploiement dans le cloud, dans les environnements SaaS et sur les points d'extrémité.
Omdia a interrogé les responsables de la sécurité des identités sur le nombre de projets, workflows ou déploiements distincts d'agents IA — chacun impliquant une multitude d'agents — auxquels ils avaient participé. La réponse était surprenante : 22. Le nombre de projets pour les entreprises de marché intermédiaire (<1000 employés) était légèrement inférieur (16). Mais il s'agit toujours d'un nombre important de projets, et les équipes d'identité auront besoin d'une gestion cohérente, d'une gouvernance et de politiques et processus de sécurité des identités pour les soutenir.
L'impératif de l'identité des agents IA : Permettre l'adoption des agents IA
Les équipes de sécurité des identités ont fréquemment eu la mauvaise réputation d'être le « Groupe Non » au sein de leurs organisations. La perception est que les équipes IAM ralentissent les projets en raison de préoccupations liées à la conformité, à la gouvernance et à la sécurité des identités.
Elles ont maintenant l'opportunité d'être le « Groupe Oui » et d'aider à accélérer les projets d'agents IA grâce à une gestion et une gouvernance cohérentes et évolutives. Établir des « voies ferrées » IAM communes le long desquelles une multitude de projets d'agents IA peuvent fonctionner améliorera l'évolutivité, la vélocité métier, la sécurité et la posture de conformité. Anticiper le problème maintenant aidera à contrôler la fragmentation des outils à l'avenir.
Résoudre le problème de sécurité des identités nécessite de multiples capacités fondamentales :
- La visibilité des agents dans toute l'entreprise. Cela inclut le cloud — Amazon Bedrock, Google Gemini Enterprise Agent Platform (anciennement Vertex AI), Microsoft Copilot Studio, etc. ; SaaS — Salesforce Agentforce, agents Workday, etc. ; points d'extrémité — Cursor, Claude Code, copilotes, etc. ; et les points intermédiaires. La visibilité nécessite un inventaire qui comprend les créateurs et propriétaires humains, ainsi que l'observabilité pour comprendre ce que font les agents et s'ils s'écartent de leur état prévu.
- Des contrôles d'accès granulaires garantissent que les agents reçoivent les permissions minimales requises pour accomplir leurs tâches. Les politiques doivent être conscientes du contexte et s'adapter à des facteurs tels que la portée de la tâche et le niveau de risque afin de réduire le risque d'utilisation abusive et de limiter le rayon d'impact de l'incident.
- La gouvernance étend la gouvernance et l'administration des identités humaine aux agents IA. Elle applique des politiques concernant qui ou quoi peut créer, approuver et gérer les identités et les droits d'accès des agents. Cela aligne l'accès des agents IA avec les politiques organisationnelles, les exigences de conformité et les cadres de gestion des risques et aide à contrôler la dérive des agents.
- La gestion du cycle de vie pour les agents, de la création et de l'intégration à la modification et à la mise hors service. Cela évite que les identités orphelines ou obsolètes ne deviennent des risques de sécurité et permet aux équipes de mettre fin aux comportements anormaux incompatibles avec l'intention de l'agent.
C'est un domaine en évolution rapide. Les questions que les praticiens se posaient il y a six mois sont différentes de celles qu'ils se posent aujourd'hui.
En plus de ces capacités fondamentales, des capacités adjacentes de sécurité des identités émergeront avec le temps et l'expérience. Par exemple, la détection et la réponse aux menaces d'identité et la gestion de la posture de sécurité des identités doivent couvrir les agents IA aux côtés des identités humaines existantes et des NHI. De plus, la vérification d'identité pour le propriétaire humain d'un agent IA deviendra de plus en plus importante à une époque de deepfakes IA. La liste va s'allonger.
Les acteurs établis des plateformes — y compris Cisco, CrowdStrike, Microsoft, Okta, Palo Alto Networks et CyberArk, Ping Identity, SailPoint et Saviynt — élargissent leurs offres existantes de sécurité des identités pour couvrir la sécurité des identités des agents IA. Les fournisseurs de services cloud — AWS, GCP et Azure — sécurisent les identités des agents IA dans leurs environnements et au-delà. Il existe également une multitude de nouveaux acteurs et de nouveaux entrants, tels que Aembit, Andromeda Security, AppViewX, Barndoor AI, BlueFlag Security, C1, Entro Security, Keycard, Natoma, Oasis Security, Silverfort, Token Security et Teleport.
Sécuriser et gérer adéquatement les identités des agents IA nécessitera de multiples outils d'identité pour accueillir des cas d'utilisation diversifiés. Les agents IA évoluent à un rythme stupéfiant. La sécurité des identités pour les agents IA est naissante et évolue rapidement, et les problèmes et normes d'identité sont encore en émergence.
Les entreprises doivent prendre des mesures maintenant pour éviter que la recherche de la perfection ne devienne l'ennemi du bien. Cela se traduit par la compréhension des risques associés aux identités des agents IA, puis par le début du parcours pour les atténuer, plutôt que de tomber dans la paralysie analytique.
Un fournisseur existant pourrait avoir aujourd'hui un outil suffisamment solide, ou les équipes pourraient avoir besoin d'explorer les offres d'un acteur émergent. Les CISOs et leurs équipes devraient commencer par évaluer les risques de leur organisation, les priorités et les exigences. Ensuite, rechercher un outil ou des outils qui fonctionnent aujourd'hui et peuvent évoluer à mesure que les besoins organisationnels évoluent afin de maintenir une sécurité des identités solide pour la flotte d'agents IA.
C'est un moment incroyable pour travailler dans l'identité ; le dynamisme donne le tournis ! Si vous êtes un nouveau fournisseur technologique résolvant un problème intéressant de sécurité d'identité ou de données, ou une approche innovante à un défi existant, j'aimerais en entendre parler. Vous pouvez me contacter via LinkedIn.
Todd Thiemann est un analyste senior couvrant la gestion des accès identités et la sécurité des données pour Omdia. Il possède plus de 20 ans d'expérience en marketing et stratégie de cybersécurité.
Omdia est une division d'Informa TechTarget. Ses analystes ont des relations commerciales avec des fournisseurs de technologie.
