L'IA évolue rapidement. Ne cherchez pas plus loin que les derniers gros titres et annonces : OpenAI a transformé ChatGPT en une plateforme pour les applications intégrées et les agents autonomes. Anthropic a publié Claude Sonnet 4.5, capable de raisonner sur des tâches de plusieurs heures. Gemini de Google peut désormais surfer sur le Web comme une personne, et l'écosystème Copilot de Microsoft s'est multiplié en un réseau d'agents intégrés à Windows et à Office.
Ces diverses annonces marquent un tournant (et seront probablement dépassées au moment où vous lirez ceci). L'IA va bien au-delà des chatbots qui répondent à vos questions : elle devient un participant actif dans notre vie privée et professionnelle.
Contrairement aux humains, l’IA ne déconnecte pas et n’oublie pas. Les agents peuvent persister discrètement dans vos systèmes, conservant un accès longtemps après avoir atteint leur finalité. Sans gouvernance, ces identités fonctionnent de manière invisible — et en matière de sécurité, l’invisible est toujours vulnérable.
Pourquoi notre infrastructure d'identités traditionnelle est inadaptée aux agents d'IA
Les systèmes d'identité traditionnels ont été conçus pour les personnes : employés, partenaires et prestataires. Mais l'IA introduit de nouveaux défis en matière d'identité qui ne correspondent pas à ce modèle.
| Problématique | Identités humaines | Identités d'IA |
|---|---|---|
| Volume | Effectif stable | Des milliers d'agents dynamiques et éphémères |
| Visibilité | Gérées via les RH ou les annuaires | Dissimulés dans les API, les pipelines et les automatisations |
| Responsabilité | Liées aux identifiants d’une personne | Manque de traçabilité ou de clarté quant à l'appartenance |
Dans le contexte de l'adoption massive de l'IA, la présence de nombreux agents sans gouvernance se traduit par des accès fantômes et des lacunes de conformité, puisqu'il existe une multitude d'accès que personne ne surveille, mais dont tout le monde est responsable.
Comment gouverner l'identité d'un agent d'IA ?
Pour gérer et gouverner les identités des agents d'IA, trois aspects sont nécessaires : visibilité, responsabilité et contrôle. Une stratégie de sécurité bien pensée répond à ces trois contraintes.
Elle fait en sorte que chaque identité d’IA soit :
- Connue : vous pouvez identifier chaque agent d'IA opérant dans votre environnement.
- Associée à un propriétaire : un utilisateur humain est affecté à chaque agent et est responsable de son comportement et de son accès.
- Limitée : les autorisations sont limitées à un objectif précis et à une période déterminée.
- Auditable : chaque action est enregistrée et traçable.
- Réversible : lorsque la tâche se termine, l'accès se termine.
L'identité ne s'arrête plus aux humains : elle s'étend à l'IA qui agit en leur nom.
Des milliers de cas d'usage, mais des principes fondamentaux communs
Chez Okta, nous échangeons quotidiennement avec des clients qui se trouvent à différentes étapes du déploiement d’agents d’IA dans leurs organisations. Bien que les cas d’usage soient différents, la sécurisation des agents commence systématiquement par une bonne gestion de l’identité :
| Cas d’usage | Objectif | Exemple |
|---|---|---|
| Agents du support client | Empêcher la surexposition des informations personnelles | L'agent peut lire les données client, mais ne peut pas les exporter |
| Copilotes de développeurs | Limiter l'accès au système | L’assistant IA peut lire les référentiels internes, mais pas écrire en production |
| Agents d'approvisionnement | Maintenir la responsabilité | L'IA peut créer une demande d'achat, mais nécessite une approbation humaine |
| Modèles de recherche | Protection des données sensibles | Le modèle utilise des ensembles de données synthétiques, et non des données client en direct |
Sécuriser vos agents d'IA à l'aide d'un modèle de maturité
Les entreprises peuvent évaluer leur niveau de préparation grâce au Modèle de maturité de la sécurité des agents d'IA d'Okta. Il définit quatre stades de maturité pour vous aider à sécuriser et à gouverner les identités de l'IA à tous les niveaux.
Vous ne savez pas par où commencer ? Nous avons une liste de contrôle pour vous aider.
Étape 1 : Établir un inventaire des identités de l’IA
Cataloguez chaque agent, modèle ou automatisation d'IA qui touche aux systèmes sensibles.
Étape 2 : Attribuer des propriétaires humains
Chaque identité d'IA doit correspondre à une personne ou à une équipe responsable.
Étape 3 : Appliquer le principe du moindre privilège
N'accordez l'accès qu'aux ressources strictement nécessaires, en utilisant des tokens en flux tendu (JIT) lorsque c'est possible.
Étape 4 : Inclure l'IA dans les examens des accès
Traitez les comptes d'IA comme des comptes humains : examinez-les et certifiez-les régulièrement.
Étape 5 : Automatiser la gestion du cycle de vie
Utilisez des workflows pour provisionner, mettre à jour et déprovisionner automatiquement les identités d'IA.
La gouvernance est un processus continu. Plus tôt vous commencez, plus il devient facile de garder le contrôle à mesure que l'IA prend de l'ampleur.
Besoin d'aide pour réaliser ces étapes ? Découvrez comment Okta peut vous aider à identifier, à gérer et à sécuriser les agents d'IA dans votre entreprise.
Le contenu de ce document revêt un caractère purement informatif et ne constitue pas des conseils d'ordre juridique ou commercial, de confidentialité, de sécurité ou de conformité.
Il pourrait ne pas refléter les normes de sécurité, de confidentialité et les réglementations les plus récentes. Pour obtenir de tels conseils, il vous revient de vous adresser à votre conseiller juridique ou à tout autre conseiller professionnel et de ne pas vous en remettre à ce document.
Okta ne formule aucune déclaration, garantie ou autre assurance concernant le contenu de ce document et décline toute responsabilité quant aux pertes ou dommages pouvant résulter de la mise en œuvre des recommandations fournies dans le présent document. Les informations sur les assurances contractuelles d'Okta à ses clients sont disponibles à la page okta.com/agreements.
