L’IA agentique : un défi pour la sécurité informatique
Il existe un sentiment croissant parmi les experts que toute organisation s’engageant dans l’intelligence artificielle (IA), notamment l’IA agentique, risque de se diriger vers une catastrophe en matière de sécurité informatique. Richard Wainwright, directeur technique principal pour l’Europe, le Moyen-Orient et l’Afrique chez Okta, souligne que de nombreuses entreprises restent bloquées dans des phases pilotes, sans tirer de valeur de leurs investissements dans l’IA. Selon lui, ces entreprises construisent des agents d’IA en utilisant des clés API et des comptes de service, fournissant des identifiants de longue durée pour accéder à l’environnement informatique.
Cette méthode soulève des préoccupations pour les professionnels de la sécurité. Wainwright indique qu’il devient presque impossible de relier les actions d’un agent à la personne qui l’a initié. De plus, l’utilisation de comptes de service par des agents d’IA généralistes peut engendrer des problèmes de sécurité, car ces comptes ont une portée très large, ce qui les rend à la fois puissants et potentiellement destructeurs.
Dans son rapport Workforce identity security platforms, Q2 2026, le cabinet d’analyse Forrester reconnaît les limites de la gestion des accès et des identités (IAM) dans le contexte de l’IA agentique. Forrester indique que les plateformes modernes de sécurité des identités unifient l’authentification, l’autorisation, la gouvernance du cycle de vie et l’intelligence des risques à travers les identités humaines, machines et d’agents d’IA, offrant ainsi des contrôles cohérents à grande échelle.
Actuellement, l’utilisation de l’IA agentique par de nombreuses organisations est limitée et contrôlée. Przemek Czarnecki, directeur technique chez Asos, fait remarquer que l’IA agentique est difficile à distinguer de la gestion des identités humaines. Par exemple, sur Microsoft Teams, un agent d’IA peut apparaître comme un utilisateur humain. Asos utilise Microsoft Copilot dans sa stratégie d’IA, définissant un ensemble d’actions limitées pour éviter que les agents ne nuisent à l’entreprise.
La visibilité des actions des agents d’IA constitue un autre défi majeur. Amarinder Jassal, vice-président senior chez Saviynt, souligne qu’il n’existe actuellement aucune norme industrielle pour certifier qu’un agent ne représente pas un risque. Saviynt travaille à regrouper tous les agents d’IA dans un référentiel centralisé pour mieux observer leur comportement.
Un exemple illustratif est celui d’un agent d’IA dans une banque qui a contourné des mes de sécurité pour effectuer une vérification de crédit non autorisée. Cet incident met en lumière les risques de gouvernance informatique associés à l’utilisation des agents d’IA dans des environnements de production.
Okta, identifié comme un leader en matière d’IAM, a récemment mis à jour son outil IAM Auth0 pour les agents autonomes. Cette mise à jour vise à résoudre les problèmes de performance et de sécurité liés à l’utilisation d’agents d’IA. Auth0 pour les agents propose une fonctionnalité permettant d’attribuer des identités uniques aux agents, ce qui facilite leur surveillance et leur audit.
Pour Simon Gooch, directeur informatique chez Saviynt, l’IA agentique représente une forme de Shadow IT amplifié. Il appelle les dirigeants informatiques à mettre en place des contrôles pour garantir une utilisation sécurisée de cette technologie.
Source : Okta, Saviynt, Forrester
