Imaginez que vous êtes un responsable de la sécurité ou de l'informatique, et que le paysage numérique de votre organisation ressemble à une collection de boîtes surprises Labubu. Chaque boîte représente un nouvel agent d'IA ou un flux de travail automatisé. Vous savez qu'il y a une identité non humaine (NHI) ou un modèle d'apprentissage automatique à l'intérieur, et qu'il est destiné à faire quelque chose de bénéfique, comme accélérer les audits financiers du département de la Défense américain ou analyser les commentaires des clients du commerce de détail. Mais, comme avec Labubu, son identité et ses caractéristiques complètes ne sont pas immédiatement apparentes tant que vous ne regardez pas à l'intérieur.
Du statut d'objet de collection à un élément essentiel : La prolifération et les risques cachés de la main-d'œuvre invisible
Tout comme les figurines Labubu varient de courantes à très recherchées, avec des éditions « secrètes », « cachées » ou « chasse », les NHI présentent différents niveaux de risque et de visibilité.
Beaucoup sont des NHI « communs », facilement déployés, mais souvent avec des autorisations trop larges et une surveillance minimale, ce qui en fait des cibles faciles à exploiter. Il s’agit d’un piège courant observé dans les appareils de l’Internet des objets déployés rapidement dans la fabrication ou les robots conversationnels du service client dans le commerce de détail et l’administration publique.
Le défi ultime, cependant, vient avec les NHI de « hasse » : les variantes les plus insaisissables et les plus désirables. Ce sont les inconnues vraiment dangereuses, souvent des comptes évolués qui se sont transformés à partir d’identités humaines ou des comptes orphelins laissés pour compte après une désapprovisionnement humaine, qui restent actifs avec un accès élevé et aucun propriétaire. Tout comme un Labubu rare avec des caractéristiques distinctes qui ne figurent pas sur la liste de vérification de l’emballage, ces NHI à privilèges élevés peuvent échapper à la détection standard. Par exemple, pour les secteurs réglementés comme le secteur public, les services financiers et les soins de santé, la gestion des applications héritées vieilles de plusieurs décennies, ces informations d’identification dormantes peuvent être détournées par des pirates informatiques pour obtenir un accès non autorisé à des environnements sensibles. Le volume même de secrets cachés dans les référentiels publics — plus de 27 millions de nouveaux rien que l’an dernier — souligne ce risque omniprésent.
De l'automatisation à la surface d'attaque : les risques de l'IA spécifiques à l'industrie
Les NHI sont désormais l'épine dorsale numérique des organisations, permettant une automatisation et une efficacité inégalées. Leur prolifération rapide dans tous les secteurs est motivée par l'impératif de faire plus avec moins.
Pourtant, cette croissance introduit des risques cachés importants en raison de leurs cycles de vie complexes, de leurs méthodes d'authentification uniques et de leur gestion souvent décentralisée. Explorons comment ces défis se manifestent à travers des exemples spécifiques à l'industrie ci-dessous.
Secteur public
L'utilisation de l'IA dans les agences fédérales a plus que doublé au cours de la dernière année, avec environ 50 % des cas d'utilisation développés en interne. Cette dépendance accrue met en évidence un besoin aigu d'accès sécurisé à travers les systèmes gouvernementaux où les agents d'IA améliorent la productivité et rationalisent les processus tels que les programmes d'avantages sociaux des États financés par le gouvernement fédéral.
Un risque potentiel et critique : un manque de propriété et de responsabilité claires. Il est essentiel de déterminer qui — ou quel bureau d’agence — est responsable lorsqu’un agent d’IA agit de manière inappropriée pour assurer la confiance du public et le respect des lois, compte tenu en particulier de la rotation rapide des agents qui peut élargir la surface d’attaque si elle n’est pas gérée correctement.
Santé
Les organismes de santé utilisent largement l'IA à la fois pour leur personnel et dans leurs efforts pour améliorer l'expérience des patients, avec 94 % considérant qu'elle est au cœur de leurs activités. Cependant, cette adoption rapide, combinée à la nature sensible des données des patients, fait de la surface d'attaque étendue une cible de choix pour les ransomwares et les violations de données.
Un risque potentiel et critique caché : un accès non contrôlé aux données sensibles. Un nombre stupéfiant de 96 % des professionnels de l'informatique considèrent les agents d'IA comme un risque pour la sécurité, mais seulement 44 % des organisations ont mis en place des politiques pour contrôler leur comportement. Cette négligence a contribué à ce que plus de 500 millions de personnes voient leurs dossiers de santé volés ou compromis depuis 2020.
Services financiers
Les services financiers intègrent rapidement des agents d'IA pour automatiser la détection des fraudes, les décisions de crédit et les interactions avec les clients. L'adoption de l'IA dans les institutions réglementées par le gouvernement fédéral au Canada devrait atteindre 70 % d'ici 2026. La confiance du public augmente également, beaucoup considérant l'IA comme un outil précieux pour améliorer les expériences financières. 65 % des Américains pensent que l'IA peut élargir l'accès aux outils financiers pour les personnes mal desservies.
Vente au détail et fabrication
Un chiffre frappant de 90 % des entreprises de vente au détail et de biens de consommation emballés utilisent ou évaluent l'IA aujourd'hui, et un nombre impressionnant de 97 % prévoient d'augmenter leurs investissements dans l'IA l'année prochaine. La raison ? L'IA améliore l'efficacité, réduit les coûts opérationnels et, surtout, crée des expériences client personnalisées à grande échelle.
Les détaillants et les fabricants de vente directe aux consommateurs d'aujourd'hui tirent parti de l'IA pour offrir des expériences d'achat hyperpersonnalisées. Ils exploitent les données clients pour offrir des recommandations de produits sur mesure, des prix dynamiques et des promotions ciblées qui fidélisent et augmentent les ventes. L'IA générative alimente les essayages virtuels, permettant aux clients de visualiser des produits tels que des vêtements ou des meubles dans leur propre environnement, réduisant ainsi les retours et renforçant la confiance.
Un risque potentiel, critique et caché : la confidentialité et la sécurité des données. Pour que l'IA puisse véritablement décoller dans ce secteur, les clients et les entreprises doivent avoir confiance dans sa capacité à faire son travail en toute sécurité. Actuellement, beaucoup d'entre eux n'en ont pas. La confidentialité et la sécurité des données figurent parmi les principales préoccupations concernant l'IA dans le secteur de la vente au détail, avec 60 % et 49 % des détaillants qui les citent comme des préoccupations, respectivement.
Si les détaillants ne peuvent pas assurer la sécurité des données de leurs clients, l'adoption de l'IA pourrait rapidement devenir un passif.
Un risque potentiel et critique caché : une gouvernance insuffisante. Seulement 32 % des entreprises financières déclarent avoir un groupe de gouvernance de l'IA formel, laissant les bots, les API et les scripts d'automatisation fonctionner sans surveillance cohérente ni gestion définie du cycle de vie. Ces agents peuvent initier des transactions, accéder aux données des clients et prendre des décisions, souvent sans les mêmes protections que les utilisateurs humains.
L'intégration de contrôles axés sur l'identité et d'une gouvernance formelle de l'IA est essentielle pour empêcher ces agents de devenir des angles morts persistants qui menacent la sécurité et la confiance de l'industrie.
Le démasquage final : Votre prochaine étape
Les défis posés par les INSA cachées sont clairs dans tous les secteurs d'activité. Ne laissez pas le mystère de la main-d'œuvre invisible de votre entreprise devenir votre prochain incident de sécurité. Apprenez à identifier, sécuriser et gérer ces actifs critiques.
Déverrouillez la rediffusion : « Devinez qui IAM » Inspiré du frisson de déballer un Labubu rare et du plaisir déductif du jeu de société classique Devinez qui, ce webinaire sur demande vous fournit des stratégies pour démasquer et sécuriser votre main-d’œuvre invisible. Regardez le webinaire sur demande aujourd'hui.
