Les agents d'IA deviennent un nouveau problème d'identité pour les équipes de sécurité des entreprises
Les agents d'IA élargissent la surface d'attaque
Pendant des années, les équipes de sécurité ont fonctionné sur une hypothèse simple : si elles contrôlent les identités, elles peuvent contrôler le risque. Les employés s'authentifient via des fournisseurs d'identité. Des comptes de service connectent des systèmes. Des clés API permettent aux charges de travail de communiquer avec des services cloud et des bases de données.
Ce modèle est aujourd'hui mis à rude épreuve alors que les agents d'IA passent d'assistants de productivité à des acteurs ayant accès aux systèmes métier essentiels. Ce qui a commencé comme des outils qui résument des réunions, rédigent des e-mails et aident les travailleurs à trouver de l'information est de plus en plus connecté à Salesforce, Snowflake, GitHub, Jira, des bases de données de production et des environnements cloud.
Une fois connectés, ces agents peuvent récupérer des informations, déclencher des workflows, mettre à jour des enregistrements, écrire et déployer du code, et effectuer des actions sur plusieurs systèmes. Parfois ils agissent au nom d'un humain. Parfois ils agissent de manière autonome. Parfois, les organisations peuvent ne pas être en mesure de déterminer lequel des deux.
Une nouvelle couche d'identité avec peu de surveillance
Le défi de sécurité ne porte pas seulement sur ce que les modèles d'IA peuvent dire, mais sur ce que les agents peuvent atteindre. En milieu d'entreprise, ils deviennent effectivement des identités — et la plupart des organisations n'ont pas de modèles de sécurité et de gouvernance conçus pour eux.
Le schéma, selon la recherche, est familier : une nouvelle couche d'identité est construite au-dessus de l'infrastructure existante avec peu des contrôles que les équipes d'identité ont mis des années à mettre en place. Un agent peut être créé par une équipe, utilisé par une autre, connecté à plusieurs applications et fonctionner avec des identifiants initialement provisionnés à une autre fin.
Parce que les équipes veulent souvent que ces systèmes fonctionnent rapidement, des accès étendus peuvent être accordés dès le départ. Le résultat est une prolifération d'acteurs à haut privilège et à faible visibilité que les équipes de sécurité peuvent ne pas être capables d'inventorier, et encore moins de gouverner.
Une enquête montre des angles morts généralisés
Protégez votre vie privée avec Doppler VPN
3 jours d'essai gratuit. Sans inscription. Sans journaux.
Une enquête CSA 2026 commandée par Token Security a révélé que 82 % des organisations ont découvert au moins un agent d'IA créé sans la connaissance des équipes de sécurité, IT ou de gouvernance au cours de l'année écoulée. Quarante et un pour cent ont déclaré que cela s'était produit plusieurs fois.
Cette constatation souligne la rapidité avec laquelle les systèmes agentiques peuvent dépasser les contrôles IAM traditionnels. Les agents d'IA peuvent créer, utiliser et faire pivoter des identités à la vitesse des machines, laissant les programmes classiques de gestion des identités et des accès (IAM) en difficulté pour suivre.
Le résultat est un déplacement de la conversation sur la sécurité. Alors qu'une grande partie de l'attention portée à l'IA s'est concentrée sur les risques liés aux modèles tels que l'injection de prompts, les contournements (jailbreaks) et les sorties non sécurisées, la question d'entreprise la plus immédiate peut être plus simple : à quoi l'agent a-t-il réellement accès ?
Sources :
Lisez plus d'actualités tech sur le Blog de Doppler VPN.