Agents IA : l’accès dynamique remplace le RBAC
D’après le Panorama de la cybermenace 2025 de l’ANSSI publié récemment, les évolutions liées à l’IA générative et à son intégration croissante dans les systèmes d’information renforcent les risques et la surface d’attaque auxquels les organisations sont exposées. Ces constats soulignent la nécessité d’adapter les modèles de sécurité aux nouveaux usages de l’IA, notamment dans des environnements agentiques.
L’IA agentique transforme profondément la manière dont les systèmes informatiques fonctionnent et sont sécurisés. Les modèles traditionnels de contrôle d’accès basés sur les rôles deviennent de moins en moins adaptés à ce nouvel environnement. Les agents IA agissent comme de nouveaux utilisateurs, capables d’enchaîner rapidement des tâches et difficiles à prévoir. Cette évolution augmente les risques liés à des autorisations trop larges ou mal contrôlées, nécessitant ainsi une réévaluation de la gestion des accès.
Les systèmes de contrôle d’accès basés sur les rôles ont été conçus pour des environnements avec des équipes stables et des workflows prévisibles. Aujourd’hui, l’IA agentique a redéfini ce qu’est un utilisateur et a accéléré le rythme d’évolution des besoins d’accès, mettant à mal les modèles traditionnels. Les agents ne se conforment pas à des rôles fixes et passent d’une tâche à l’autre en se basant sur des instructions.
Cette situation génère de nombreuses demandes d’accès, avec des agents opérant comme des utilisateurs à part entière. Cela multiplie les points d’entrée et augmente le risque lié aux privilèges excessifs. Les privilèges statiques deviennent problématiques, car chaque autorisation accordée pour une longue durée peut être exploitée par un agent compromis.
Les organisations qui continuent d’appliquer des niveaux de privilèges fixes facilitent la tâche aux hackers, qui cherchent à compromettre les agents et à détourner leurs instructions. Dans un modèle d’accès statique, un accès étendu par défaut peut avoir des conséquences lourdes en cas d’erreur. Lorsqu’un incident est détecté, il est souvent trop tard pour comprendre les raisons de l’accès accordé.
Le modèle du zéro accès, qui applique une politique de non-autorisation par défaut, émerge comme une solution sécurisée. Chaque accès est accordé en temps réel, uniquement lorsque cela est nécessaire. Les accès sont temporaires et se basent sur des conditions précises, avec une vérification continue pouvant révoquer les autorisations en cas d’évolution du risque.
La mise en œuvre de cette approche nécessite des investissements en ingénierie et une coordination entre les équipes produit, sécurité et ingénierie. Les entreprises doivent d’abord améliorer leur visibilité sur les agents et les systèmes auxquels ils accèdent, puis adopter un moteur d’accès basé sur les risques, capable de prendre des décisions en temps réel.
Ainsi, l’accès dynamique devient une nécessité face à l’évolution rapide de l’IA agentique. Les organisations qui adoptent des contrôles d’accès en temps réel, avec des conditions explicites et une vérification continue, sont mieux armées pour gérer les systèmes d’IA.
Source : ANSSI.
