Identité et autorisation : le socle de la sécurité de l’IA

Ceci est le septième et dernier article d’une série en sept parties sur la sécurité des identités dans le contexte de la sécurité de l’IA.

Un agent de codage de Replit a effacé 1 206 dossiers clients en quelques secondes. Lors de la brèche Salesloft Drift, les tokens OAuth sont restés actifs pendant des mois après la fin des workflows, provoquant la compromission de plus de 700 entreprises. Une violation de sécurité s’est étendue à quatre domaines de confiance avant que l’on s’aperçoive du problème. Lors du détournement de session agentique signalé par Unit 42, un sous-agent a incorporé une transaction boursière silencieuse dans une réponse de routine. Des acteurs étatiques chinois ont manipulé Claude Code pour lancer la première cyberattaque autonome à grande échelle jamais documentée, ciblant notamment des fabricants de produits chimiques, parmi divers secteurs. Quatre vulnérabilités CVSS 9.3+ ont touché Anthropic MCP, Microsoft Copilot, ServiceNow et Salesforce, exposant toutes la même faille : des agents qui récupèrent des données sous le couvert des autorisations d’un utilisateur et les diffusent à des utilisateurs qui n’auraient jamais dû les voir.

Six défaillances distinctes, une seule cause profonde : des systèmes d’identité et d’autorisation qui traitent encore les agents comme des utilisateurs.

Parmi les 3 235 dirigeants d’entreprise interrogés dans le rapport 2026 State of AI de Deloitte, 73 % citent la confidentialité et la sécurité des données comme leur principal risque en matière d’IA, mais seulement 21 % disposent d’un modèle de gouvernance mature pour les agents autonomes. Le phénomène de l’IA non validée (Shadow AI) ajoute 670 000 $ au coût moyen d’une brèche.

La réponse n’est pas d’ajouter une couche de sécurité supplémentaire après le déploiement, mais de tirer parti de l’identité et de l’autorisation comme socle d’une autonomie responsable.

Un comportement aussi récurrent qu’inquiétant

Considérées séparément, chacune de ces défaillances semble révéler une lacune spécifique. Un token expiré d’un côté, un champ d’application non contrôlé de l’autre. Mais si on les considère dans leur ensemble, un tableau plus inquiétant se fait jour.

Un agent Replit a supprimé 1 206 enregistrements en quelques secondes. À raison de 5 000 opérations par minute, le consentement avant l’action s’est transformé en fatigue du consentement. La solution : CIBA pour l’approbation asynchrone, Cross App Access pour l’autorisation continue et Token Vault pour les identifiants à courte durée de vie.

La brèche de Salesloft Drift a exploité des tokens OAuth qui sont restés actifs pendant des mois après leur justification métier. Si l’on considère que les identités non humaines sont plus nombreuses que les identités humaines (144 contre 1), l’autorité déléguée durable sans contrôle du cycle de vie constitue la vulnérabilité par défaut. Token Vault avec un rafraîchissement automatique en fonction des tâches, Identity Governance pour le déprovisioning intersystème et ISPM pour la détection des comptes orphelins peuvent contribuer à combler cette lacune.

La situation s’est ensuite aggravée. Une violation de sécurité s’est propagée à quatre domaines de confiance parce qu’aucune structure de confiance interopérable ne pouvait vérifier et résilier l’accès à tous ces domaines en temps réel. Cross App Access avec traçabilité ID-JAG, les signaux fédérés via IPSIE et Universal Logout auraient pu résoudre ce problème.

Les chaînes de délégation sont devenues des canaux d’attaque. Le détournement de session agentique révélé par Unit 42, l’élévation des privilèges entre agents de Rehberger et EchoLeak (CVE-2025-32711, CVSS 9.3) ont tous exploité la même lacune : l’absence de limitation au niveau du champ d’application dans les chaînes de délégation multisauts. Cross App Access avec les chaînes d’attestation ID-JAG et Token Vault pour la preuve cryptographique de l’origine peuvent y remédier.

L’autorisation est devenue affaire de sécurité. Des acteurs étatiques chinois ont détourné Claude Code pour mener ce que Anthropic a décrit comme la première cyberattaque autonome de grande envergure documentée. Une invitation de calendrier malveillante a détourné Gemini pour contrôler des appareils domestiques intelligents. La compromission d’identifiants de JLR a entraîné l’arrêt de ses usines pendant cinq semaines, pour un coût de 1,9 milliard de livres sterling. Le protocole CIBA pour l’aspect « humain dans la boucle » et FGA pour l’autorisation en temps réel sont les contrôles pertinents qui auraient pu prévenir ou atténuer cette attaque.

Enfin, quatre vulnérabilités CVSS 9.3+ ont touché Anthropic MCP, Microsoft Copilot, ServiceNow et Salesforce. Le comportement est le même : des agents agissant au nom de plusieurs utilisateurs, sans méthode permettant de faire respecter les intersections entre les autorisations au niveau du canal de sortie. FGA avec l’intersection batchCheck, Token Vault avec des identifiants limités à certains profils, et Identity Governance auraient pu y remédier.

Si l’on fait abstraction des détails, les dénominateurs communs deviennent évidents. Chaque problème de sécurité des agents est un problème d’identité et d’autorisation qui se manifeste de façon différente. Le livre blanc Identity Management for Agentic AI de l’OpenID Foundation a établi les principaux cas d’usage pour les défis liés à l’autorisation des agents. Cette série a permis de mettre en évidence ces défis dans le cadre de brèches réelles et d’une architecture de sécurité de production.

Pourquoi six outils ne peuvent pas faire le travail d’une seule couche

La plupart des entreprises abordent la sécurité des agents comme elles ont abordé le cloud il y a dix ans. Un coffre-fort à tokens ici, une API gateway là, un tableau de bord de gouvernance ailleurs. Chaque outil résout son propre problème. Aucun ne résout les problèmes systémiques.

Le fossé entre le déploiement et la gouvernance est frappant. 91 % des entreprises utilisent déjà des agents d’IA, mais seulement 10 % disposent d’une stratégie pour gérer les identités non humaines. 80 % ont déjà été confrontés à des comportements à risque de la part d’agents, selon McKinsey. Cet écart n’est pas lié à la prise de conscience des risques, mais aux architectures en place.

Imaginez à présent une défaillance en cascade. Le détournement de session agentique (voir la partie 4 notre série) traverse des domaines de confiance (partie 3) dans le cadre d’un workflow de longue durée avec une dérive d’identifiants (partie 2), desservant un canal partagé avec des autorisations mixtes (partie 6) à la vitesse de 5 000 opérations par minute (partie 1), tout en contrôlant l’infrastructure physique (partie 5). Six outils qui ne partagent aucun contexte ne peuvent pas prévenir des défaillances interconnectées. Aucun coffre-fort à token ne détecte la traçabilité de la délégation. Aucun API gateway ne connaît l’intention originale de l’utilisateur humain. Aucun tableau de bord de gouvernance ne supervise l’expansion du champ d’application à travers les différents sauts.

Le vrai risque n’est pas tant l’IA utilisée sans validation aucune, mais l’IA validée sans l’identité pour la contrôler. Les agents non approuvés déclenchent au moins des alarmes. Par contraste, les agents que vous avez officiellement déployés, connectés à des systèmes de production, fonctionnant avec des identifiants partagés sans aucune gestion du cycle de vie ? Ce sont eux qui provoquent des compromissions.

Quand l’identité et l’autorisation constituent le socle de la sécurité

La solution n’est pas d’augmenter le nombre d’outils, mais d’implémenter une couche de sécurité que tous les outils partagent. Les agents ne doivent plus être traités comme des utilisateurs, mais comme des acteurs de premier ordre dans l’infrastructure IAM. Pas en tant que bonne pratique. En tant qu’exigence d’architecture.

Lorsque chaque action de l’agent passe par l’identité et l’autorisation, cinq propriétés se concrétisent :

1. Provenance. Chaque action renvoie à un être humain responsable : on peut ainsi déterminer la chaîne de délégation, la politique associée et le champ d’application défini. Ce sont les lacunes à ce niveau qui ont provoqué les compromissions décrites dans nos premier et quatrième articles. Cross App Access et Token Vault permettent la traçabilité de la délégation et la preuve d’origine cryptographique dans la charge utile du token.
2. Atténuation. Lorsqu’un agent principal délègue à un sous-agent, le champ d’application diminue et n’augmente jamais. Le détournement de session agentique et EchoLeak ont tous deux exploité l’absence de cette contrainte. XAA l’applique structurellement via ID-JAG (Identity Assertion JWT Authorization Grant), pas uniquement par le biais de politiques.
3. Évaluation continue. Le contexte change, le risque évolue, l’intention expire. La brèche de Drift a persisté parce que l’autorisation a été vérifiée une fois, lors de l’émission du token, et plus jamais par la suite. Auth0 Fine-Grained Authorization vérifie les autorisations au moment de l’action.
4. Gouvernance du cycle de vie. L’employé quitte l’entreprise, ses agents sont révoqués. Le workflow est terminé, les identifiants expirent. La brèche chez JLR a dégénéré en une fermeture de cinq semaines des usines de l’entreprise parce qu’aucun de ces mécanismes n’a été appliqué. ISPM découvre chaque agent dans votre environnement et évalue son niveau de risque.
5. Interopérabilité. XAA, désormais intégré à MCP en tant qu’« autorisation gérée par l’entreprise », standardise les connexions sécurisées des agents à travers les frontières des domaines exposés (voir le 3^e article de notre série). Chaque solution correspond à des standards ouverts : OAuth 2.1, OIDC, RFC 8693, CIBA, SCIM, Shared Signals Framework et ID-JAG. L’alternative est la dépendance fournisseur au niveau de la couche d’identités, qui est la seule dépendance fournisseur que vous ne pouvez pas vous permettre.

Il ne s’agit pas de fonctionnalités que vous pourriez évaluer dans un tableau comparatif, mais bien de caractéristiques d’architecture dont vous bénéficiez lorsque l’identité et l’autorisation deviennent le socle de la sécurité plutôt qu’un ajout a posteriori.

Découverte, onboarding, protection, gouvernance

Okta for AI Agents donne vie à cette architecture au travers de quatre étapes. Chacune d’entre elles est directement associée aux défaillances détaillées précédemment :

1. Découverte. ISPM analyse les plateformes d’agents (Bedrock, Copilot Studio, Vertex AI), détecte les agents non validés, identifie les identités non humaines et signale les autorisations excessives. Vous ne pouvez pas gouverner ce que vous ne pouvez pas voir.
2. Onboarding. Universal Directory et AI Agent Directory donnent à chaque agent une identité de premier ordre. Lifecycle Management gère la demande, l’approbation, la certification et le déprovisioning.
3. Protection. Les serveurs d’autorisation OAuth régissent les champs d’application et les revendications. XAA gère la délégation entre domaines. Token Vault fournit des identifiants sans secret. Auth0 FGA applique les autorisations d’exécution à chaque action.
4. Gouvernance. CIBA permet le consentement humain lié à la cryptographie. Identity Governance effectue les évaluations des accès et les recertifications. Universal Logout via IPSIE permet une révocation en moins d’une seconde. La télémétrie enregistre les actions des agents en vue d’établir des preuves réglementaires.

Trois questions avant votre prochain audit

1. Pouvez-vous retracer chaque action d’agent jusqu’à l’humain qui l’a autorisée ? Pas de quel agent il s’agit. Quelle personne, en vertu de quelle politique, avec quel champ d’application. Si tel n’est pas le cas, commencez par XAA et ID-JAG pour la traçabilité de la délégation.
2. Les identifiants expirent-ils en même temps que la tâche ? La brèche de Drift a commencé avec des tokens qui auraient dû être révoqués plusieurs mois auparavant. Implémentez Token Vault avec expiration automatique.
3. Les agents multi-utilisateurs appliquent-ils l’intersection des permissions ? Si vos agents opèrent dans le cadre du champ d’application individuel le plus large, plutôt qu’en vertu du chevauchement le plus étroit, l’exposition des données est inévitable. Déployez FGA avec des politiques basées sur les intersections.

Le coût de l’attente

Les réglementations en matière de sécurité IT se durcissent partout dans le monde, avec en corollaire des sanctions bien réelles.

Les dispositions relatives aux systèmes à haut risque de la législation sur l’IA de l’Union européenne prendront pleinement effet en août 2026. L’article 14 exige une supervision humaine démontrable des systèmes autonomes. L’article 99 prévoit des amendes pouvant aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial. Sans chaînes de délégation vérifiables et sans pistes d’audit, la conformité est structurellement impossible.

Aux États-Unis, la Cyber and Emerging Technologies Unit (CETU) de la SEC, créée en février 2025, cible explicitement la divulgation trompeuse des incidents de cybersécurité et les fraudes fondées sur l’IA. La règle sur les divulgations de cybersécurité exige que les incidents de cybersécurité majeurs soient signalés dans un délai de quatre jours ouvrables. Une brèche provoquée par un agent à propos de laquelle vous ne pouvez pas fournir d’explications, car il n’existe aucune traçabilité de la délégation, n’est pas seulement une défaillance de sécurité. Elle devient un problème de conformité aux obligations en matière de divulgation.

Le RGPD a généré 7,1 milliards d’euros d’amendes cumulées depuis 2018, son application s’étendant désormais au traitement des données d’IA. Lorsque des agents récupèrent et divulguent des données à caractère personnel dans des espaces de travail partagés (le mode de défaillance illustré dans notre 6^e article), toute exposition incontrôlée constitue une violation de sécurité potentielle.

Le rapport Agentic Coding Trends 2026 d’Anthropic identifie « l’intégration d’une architecture de sécurité dès le départ » comme une priorité absolue. Le secteur souligne ainsi une nécessité que les réglementations vont bientôt imposer.

Imaginez six mois d’inaction. Les identifiants orphelins s’accumulent. Les chaînes de délégation prennent de l’ampleur sans qu’elles soient documentées. L’étendue incontrôlée des champs d’application concerne de plus en plus de sous-agents. Puis vient l’audit, ou la brèche, et vos investigations post-mortem vous obligent à retracer péniblement des décisions que personne n’a consignées. La charge qu’implique la correction dépasse largement celle de la prévention. Celle des sanctions réglementaires les dépasse toutes les deux.

Okta for AI Agents : découverte, onboarding, protection, gouvernance.

La sécurité des agents repose sur l’identité et l’autorisation. Il n’y a pas d’autre choix.

Lisez la série complète : Sécurité des agents l’IA : revisiter l’IAM pour une autonomie responsable

Pour en savoir plus : okta.com/solutions/secure-ai | auth0.com/fr/ai