Les agents d'IA ne sont plus une chose du futur ; ils sont déjà là, fonctionnant discrètement en arrière-plan de votre entreprise avec les clés des ressources sensibles. Ils automatisent les flux de travail, prennent des décisions et interagissent avec des données sensibles. Mais à mesure que ces agents deviennent plus puissants et autonomes, comment les sécuriser ?
Notre recherche révèle à quel point ce défi est devenu répandu : selon l'enquête « AI at Work 2025» d'Okta auprès de 260 dirigeants, 91 % des organisations utilisent déjà des agents d'IA dans près de cinq cas d'utilisation distincts en moyenne. Pourtant, seulement 10 % ont une stratégie bien développée pour gérer ces identités non humaines (NHI). Cela crée une déconnexion dangereuse : les organisations déploient des agents d'IA à une échelle sans précédent tout en laissant la gouvernance comme une pensée après coup.
Le résultat : une crise imminente où de puissants systèmes autonomes fonctionnent sans contrôles d'identité appropriés, créant exactement les failles de sécurité que les attaquants exploitent avec empressement.
De nouveaux angles morts de sécurité
Pourquoi les organisations ont-elles du mal avec la sécurité des agents d'IA ? Parce que les agents d'IA brisent le moule de la sécurité traditionnelle. Pensez à la façon dont vous sécurisez un employé humain : il a une identité, un rôle clair et un patron qui est responsable de ses actions.
Un agent d'IA est différent.
Qui est responsable ? Les agents d'IA travaillent souvent pour le compte d'un système, pas d'une personne. Il est donc difficile de déterminer qui est responsable lorsque quelque chose ne va pas.
Ils apparaissent et disparaissent en un éclair : Les agents d’IA sont créés et détruits à un rythme rapide. Si vous ne parvenez pas à suivre ce cycle de vie dynamique, vous vous retrouverez avec une traînée de points d’accès non surveillés, une invitation parfaite pour une violation.
Ils ont besoin de juste assez d’accès : Un agent peut avoir besoin d’un accès de haut niveau pour effectuer une tâche spécifique, mais seulement pour un instant. Accorder des privilèges permanents et généraux à un agent, c’est comme lui remettre les clés de tout le bâtiment.
Ils sont invisibles pendant une crise : Sans un enregistrement clair des actions d'un agent, il est presque impossible de déterminer ce qui s'est passé lors d'un incident de sécurité ou d'arrêter rapidement la menace.
Ils sont non déterministes : Il est difficile de prédire quelles données ou quel système un agent pourrait accéder, dans quel ordre et pendant combien de temps.
En termes simples, les agents d’IA sont votre nouvelle opportunité, votre nouveau type d’identité et votre nouvelle menace interne. Si vous les utilisez sans modèle de gouvernance ou stratégie de sécurité des identités conçus pour leur nature unique, vous exposez votre entreprise.
Les agents d'IA appartiennent à votre structure de sécurité d'identité
Nous traitons avec des NHI depuis des années. Qu'il s'agisse d'un compte de service non géré ou d'informations d'identification obsolètes, nous avons besoin de moyens pour les trouver, les verrouiller et les gouverner.
Les modèles d'identité traditionnels sont insuffisants et nécessitent une nouvelle stratégie pour une structure de sécurité d'identité à l'ère de l'IA : une structure qui sécurise chaque type d'identité, chaque cas d'utilisation et chaque ressource dans tous les environnements avec des contrôles cohérents et évolutifs.
Okta vous aidera bientôt à intégrer les agents d'IA dans votre structure de sécurité d'identité. Une fois dans la structure, vous obtiendrez ces quatre cas d'utilisation :
- Détecter et découvrir : Trouvez activement chaque agent dans votre environnement, comprenez leurs schémas et évaluez le risque qu'ils représentent.
- Provisionnez et enregistrez : Traitez les agents comme vous le feriez pour des identités humaines. Chacun doit avoir une identité unique liée à un propriétaire humain qui est responsable de ses actions.
- Autoriser et protéger : Les agents doivent fonctionner avec uniquement l'accès dont ils ont besoin, pendant la durée dont ils en ont besoin, grâce à la fonctionnalité Cross App Access (XAA) récemment introduite, un nouveau protocole ouvert qui aide à standardiser la façon dont les utilisateurs, les agents d'IA et les applications se connectent en toute sécurité.
- Gouverner et surveiller : Vous devez constamment surveiller l'activité des agents, à la recherche de tout comportement inhabituel qui pourrait signaler une menace par le biais de demandes d'accès automatisées et de certifications périodiques pour faciliter la conformité continue avec une piste d'audit claire.
La sécurité de l'IA est en fin de compte un problème de sécurité d'identité. Vous ne pouvez pas réussir l'un sans l'autre. Alors que les agents d'IA gagnent rapidement en autonomie et en influence, le besoin de visibilité, de contrôle et de responsabilité monte en flèche. Vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir, gérer ou gouverner.
Nous lancerons Okta for AI Agents au début de 2026. Apprenez-en davantage sur la façon dont Okta sécurise l'ensemble du cycle de vie des agents d'IA, de bout en bout, sur www.okta.com/secure-ai/.
Ce blog contient des informations sur un produit actuellement en phase d'accès anticipé. Les caractéristiques et fonctionnalités abordées sont susceptibles d'être modifiées au fur et à mesure que nous poursuivons nos processus de développement et de perfectionnement.
En tant que produit en accès anticipé, il peut contenir des bogues ou des fonctionnalités incomplètes. Le contenu présenté ici est uniquement à des fins d’information et ne doit pas être considéré comme une garantie de performances futures ou de fonctionnalités finales.
