Cet article a été traduit automatiquement.
Points à retenir
Fonctionnement autonome : Les systèmes d'IA agentiques agissent avec une autonomie programmée dans le temps, en surveillant les progrès et en adaptant les stratégies tout en maintenant des contrôles stricts d'authentification et d'autorisation tout au long de leur cycle de vie.
Implications en matière de sécurité : Les agents dotés d'IA qui opèrent pour le compte d'utilisateurs, de systèmes ou d'organisations créent de nouveaux risques liés à l'identité qui nécessitent des approches de gouvernance allant au-delà du contrôle d'accès statique ou des modèles traditionnels axés sur l'être humain.
Enterprise Les exigences de l'UE en la matière : Pour passer de la génération passive de résumés à une action intelligente, il faut une gouvernance de l'identité dynamique, basée sur les politiques, afin de fonctionner en toute sécurité à grande échelle.
Impératif stratégique : Les services informatiques et les équipes de sécurité doivent suivre l'évolution rapide des capacités d'intelligence artificielle et adapter en permanence leurs stratégies de gestion des identités aux progrès technologiques.
Comment fonctionne l'IA agentique ?
Les systèmes d'IA agentiques fonctionnent grâce à quatre capacités essentielles, chacune nécessitant une gestion robuste des identités pour fonctionner en toute sécurité dans les environnements d'entreprise :
Autonomie avec contrôle de l'identité : Agit de manière indépendante dans des limites de sécurité prédéfinies, en accédant aux systèmes par le biais d'identifiants vérifiés et d'appels authentifiés à l'adresse API, tout en conservant une piste d'accès complète à l'adresseaudit pour chaque opération.
Exécution axée sur les objectifs : Elle vise des résultats définis grâce à une planification en plusieurs étapes, chaque action étant autorisée en fonction de l'identité politique et de l'autorisation d'accès afin de garantir que les opérations restent dans le périmètre des données requises et les limites organisationnelles approuvées.
l'apprentissage adaptatif avec un contexte persistant : Apprend à partir des résultats et maintient le contexte pendant toute la durée de la session, ce qui nécessite un traitement sécurisé du jeton d'authentification et des informations sensibles tout au long du cycle de vie agent afin d'empêcher tout accès non autorisé.
Gestion de la mémoire et de l'état : Conservation de l'historique opérationnel et des préférences de l'utilisateur par le biais d'un stockage crypté, limité à l'identité déléguée de l'agent, assurant la continuité tout en protégeant contre l'accès non autorisé aux connaissances accumulées et aux données opérationnelles.
Ces capacités permettent à l'IA agentique de gérer des flux de travail complexes nécessitant traditionnellement une supervision humaine, mais elles dépendent d'une infrastructure d'identités capable de vérifier, d'autoriser et de audit chaque action. Il s'agit notamment de la gouvernance des identités et de la gestion du niveau de sécurité des identités, dynamiques et fondées sur les politiques, avec une validation continue de l'identité non humaine.
Types d'agents de l'AI et exigences en matière d'identité :
Agent réactif : Répond directement aux stimuli environnementaux avec un accès aux ressources en flux tendu (JIT), nécessitant des fenêtres d'exposition temporaires mais correctement périmètre des données requises identifiants qui minimisent les fenêtres d'exposition.
Agent délibératif : Utilise le raisonnement et la planification pour prévoir les conséquences de ses actions, ce qui nécessite une identité persistante mais strictement contrôlée avec une piste d'audit complète et une surveillance du comportement.
Agent hybride : Combine les modèles réactifs et délibératifs, nécessitant un contrôle adaptatif des accès qui peut passer d'un mode de réponse immédiate à un mode d'exécution planifiée en fonction du contexte opérationnel.
Systèmes multi-agent: Réseaux d'agents qui collaborent par le biais de chaînes de délégation sécurisées et d'identifiants vérifiables, chacun ayant sa propre identité mais opérant dans le cadre d'un modèle de gouvernance unifié qui maintient la confiance à travers les interactions agent.
La délégation tenant compte de l'identité est essentielle pour éviter l'usurpation d'identité ou l'élévation des privilèges. Chaque site agent doit agir dans le cadre explicite d'un périmètre de données requises, vérifiables, et d'identifiants limités dans le temps, et non d'un jeton partagé ou persistant.
Architecture de l'IA agentique
La mise en place d'une IA agentique prête pour l'entreprise nécessite une architecture axée sur la sécurité, avec une vérification de l'identité et un contrôle des accès intégrés à chaque composant plutôt qu'ajoutés après coup.
embarquer l'identité dans chaque couche
Composants de base avec identité intégrée :
Couche de perception : Elle intègre des données provenant d'API, de bases de données et de sources en temps réel avec vérification de l'authentification et validation de la provenance des données, afin de garantir que seules les informations autorisées entrent dans le système et de maintenir l'intégrité des données tout au long du traitement.
Moteur de planification : décompose les objectifs en tâches exécutables tout en consultant la politique d'autorisation en temps réel, en veillant à ce que les agents ne planifient que les actions qu'ils ont le droit d'exécuter dans les limites de leur rôle et des contraintes organisationnelles.
Moteur d'action : Exécute des tâches par le biais d'appels authentifiés à API avec un jeton d'accès limité approprié, en maintenant les principes de moindre privilège et une journalisation complète pour chaque opération afin de garantir une responsabilité totale.
Gestion de la mémoire et du contexte : Maintient un état persistant avec un traitement sécurisé des identifiants et un stockage crypté, permettant la continuité opérationnelle tout en protégeant les données sensibles et les documents d'authentification contre un accès non autorisé.
Cette architecture soutient les opérations d'identité-native en intégrant des mécanismes d'authentification, un contrôle des accès basé sur la politique (PBAC), une validation continue des autorisations et une délégation vérifiable dans chaque composant.
Agentic IA cas d'usage
L'IA agentique transforme les industries en automatisant la prise de décisions complexes et l'exécution des tâches tout en maintenant les normes de sécurité et de conformité.
exemples de cas d'utilisation :
Opérations de sécurité : Les agents IA enquêtent de manière autonome sur les alertes en corrélant les signaux d'identité à travers les systèmes, en lançant des flux de travail de confinement avec une autorisation granulaire, et en maintenant une piste d'audit complète. Ces agents fonctionnent avec des privilèges élevés en flux tendu (JIT) qui minimisent l'exposition à la sécurité tout en permettant une réponse rapide aux menaces.
Customer support: l'agent assure la résolution des problèmes de bout en bout grâce à un accès authentifié au compte du client. La vérification de l'identité est effectuée à chaque étape de l'interaction, et la traçabilité complète de toutes les actions entreprises au nom de l'utilisateur garantit à la fois l'efficacité et la responsabilité.
Automatisation informatique : l'agent gère le pipeline de déploiement avec des privilèges temporaires élevés, surveille la santé du système grâce à un accès au périmètre des données requises, et fait évoluer l'infrastructure en utilisant une autorité déléguée en toute sécurité qui maintient la séparation des tâches et les processus de contrôle des changements.
services financiers : Les agents des finances personnelles procèdent à des ajustements de gamme par le biais de chaînes de délégation vérifiées, en veillant à ce que chaque transaction fasse l'objet d'une autorisation et d'une non-répudiation appropriées, tout en respectant les exigences strictes en matière de conformité réglementaire et de audit.
Gestion de l'accès au cycle de vie des utilisateurs : l'agent orchestre les processus onboarding, les ajustements d'autorisation et offboarding avec une autorité vérifiée par cryptographie, en appliquant les principes de moindre privilège par une évaluation continue des exigences de rôle, du comportement de l'utilisateur et des profils de risque.
Applications centrées sur l'identité :
Authentification continue : l'agent surveille dynamiquement le modèle comportemental de l'utilisateur et adapte les exigences d'authentification, en opérant avec une autorisation granulaire qui permet une surveillance sans dépassement ni violation de la vie privée.
Gouvernance intelligente des accès : Les systèmes IA analysent le modèle d'accès par le biais de privilèges d'administrateur délégués en toute sécurité, en identifiant les optimisations de rôle tout en maintenant la séparation des tâches et en éliminant les privilèges excessifs.
détection des menaces : l'agent identifie les modèles d'accès anormaux par le biais de canaux de surveillance dûment authentifiés, en corrélant les signaux d'identité qui, autrement, resteraient cloisonnés dans différents outils de sécurité.
Orchestration de l'identité sur plusieurs plateformes : l'agent maintient des attributs d'identité cohérents entre les systèmes grâce à un accès privilégié sécurisé et à une synchronisation alignée sur les politiques, permettant une gestion unifiée des identités entre les systèmes dans le nuage, SaaS et sur site.
Ces implémentations démontrent comment le cadre d'IA agentique peut transformer les processus d'entreprise tout en maintenant la posture de sécurité et la norme de gouvernance essentielles à l'adoption par les entreprises.
Exemples d'IA agentique
AutoGPT/BabyAGI : cadre open source qui crée des agents autonomes de planification des tâches à l'aide de LLM, mais qui ne dispose pas de la gouvernance d'identité nécessaire pour les environnements de production des entreprises.
Enterprise copilotes : agents embarqués dans des suites de productivité qui fonctionnent par délégation de l'autorité de l'utilisateur avec périmètre des données requises token d'accès, ce qui leur permet de planifier des réunions et d'envoyer des courriels tout en maintenant une responsabilité et une piste d'accès claires.audit.
Assistants de sécurité : agents qui analysent threat intelligence par le biais d'un accès dûment authentifié à API, qui établissent une corrélation entre les signaux d'identité et l'autorisation appropriée, et qui lancent la résolution des incidents par le biais de chaînes d'autorité vérifiées par cryptographie.
Assistants de commerce électronique : agents qui guident l'utilisateur lors de la découverte du produit et du paiement, tout en respectant les limites de l'identité et en gérant en toute sécurité les informations relatives au client tout au long du processus de transaction.
implémentation gouvernée par l'identité :
Zero Trust Agent IA : Architectures nécessitant une authentification continue pour chaque action agent, sans hypothèse de confiance persistante et avec une validation continue de l'affirmation de l'identité tout au long des opérations.
Agent de gestion de la main-d'œuvre : Systèmes qui surveillent le cycle de vie des employés Événements par le biais d'intégrations RH correctement authentifiées et qui ajustent automatiquement le droit d'accès par le biais de canaux administratifs vérifiés avec une piste d'audit complète.
Agent de service à la clientèle : Services facilitant l'authentification sécurisée à travers des parcours clients complexes, l'agent opérant sous une autorité déléguée mais limitée afin d'améliorer l'expérience utilisateur (UX) sans compromettre les limites de sécurité.
Developer agent d'assistance : Systèmes IA qui s'intègrent aux environnements de développement et au pipeline CI/CD, fonctionnant avec l'autorisation et l'autorité de révision du code spécifiques au référentiel tout en maintenant la piste d'audit pour tous les commits, déploiements et changements d'infrastructure automatisés.
Avantages de l'IA agentique
L'IA agentique apporte une valeur transformatrice lorsqu'elle est correctement sécurisée et mise en œuvre dans le cadre d'une gouvernance globale des identités :
Opérations évolutives : Traitez les tâches répétitives à grande échelle tout en maintenant l'authentification individuelle et le contrôle des accès pour chaque opération, ce qui permet une personnalisation de masse sans compromettre la sécurité ou créer des vulnérabilités liées à des identifiants partagés.
Prise de décisions accélérée : Prenez des décisions autonomes avec un droit d'accès pré-vérifié, ce qui accélère les processus tout en garantissant que toutes les actions restent dans les limites de sécurité approuvées et la politique de l'organisation.
Exécution cohérente : Exécutez les tâches de manière uniforme grâce à des protocoles d'identité standardisés, réduisant ainsi les erreurs humaines et les exceptions en matière de sécurité tout en respectant la conformité réglementaire et les exigences en matière d'audit dans toutes les opérations.
l'efficacité adaptative : Apprenez de votre expérience grâce à un contexte maintenu en toute sécurité, évoluez pour gérer des tâches de plus en plus complexes tout en minimisant le périmètre des données requises et en évitant l'expansion latérale des risques.
Amélioration de la posture de sécurité : Élimination des risques liés aux identifiants partagés grâce à des voies d'accès personnalisées et traçables, tout en permettant une réponse en temps réel aux menaces grâce à un cadre d'autorisation prédéfini mais flexible qui s'adapte à l'évolution des conditions de risque.
La combinaison d'une capacité autonome et d'une sécurité basée sur l'identité crée des opportunités d'innovation et d'atténuation des risques qui n'étaient pas possibles avec les approches d'automatisation précédentes. Cela permet aux organisations de développer leurs opérations tout en renforçant leur posture de sécurité.
demande d'authentification et risques de l'IA agentique
Alors que les organisations s'empressent de déployer l'IA agentique, la demande d'authentification pour sécuriser les systèmes et contrôler la prolifération des identités non humaines est souvent négligée :
Délégation et contrôle : Les systèmes autonomes nécessitent des limites d'accès définies avec précision, avec authentification et autorisation à chaque point d'interaction. Une délégation inappropriée ou la réutilisation de token peut entraîner une élévation des privilèges, un accès non autorisé à des ressources sensibles ou des violations de la conformité.
Transparence opérationnelle : Pour comprendre les décisions prises à l'adresse agent, il faut disposer de pistes d'audit complètes, liées à l'identité, qui permettent de retracer chaque opération jusqu'à la source de l'autorisation. Il faut donc trouver un équilibre entre les exigences de transparence, les performances du système et l'efficacité opérationnelle.
la sécurité des identifiants : La protection du token d'accès, de la clé API et du compte de service que les agents utilisent exige une gestion avancée des secrets, des mécanismes de rotation automatisés et provisioning JIT (Just in Time) afin de minimiser les fenêtres d'exposition et d'empêcher le vol d'identifiants.
Conformité réglementaire : l'agent doit s'adapter à des contraintes réglementaires complexes grâce à une politique consciente de l'identité qui s'adapte aux exigences juridictionnelles tout en maintenant une posture de sécurité cohérente dans différents environnements opérationnels.
L'échelle et la complexité : Lorsque les organisations déploient des centaines ou des milliers d'agents, la gestion de leur identité individuelle, de leur autorisation et de leurs interactions devient exponentiellement complexe sans un cadre de gouvernance des identités approprié et des outils de gestion automatisés.
Injection d'invites et attaques spécifiques à l'IA : Les acteurs malveillants développent des techniques sophistiquées pour manipuler le comportement de agent par le biais d'entrées artisanales, ce qui fait des limites d'identité et des limitations de privilèges des protections essentielles contre l'exploitation ciblée de l'IA.
L'intégration de l'identité IA agentique dans la structure de sécurité de l'identité garantit que les contrôles continus et les principes de Zero Trust s'étendent à l'agent autonome, tout comme ils le font pour l'utilisateur humain.
Agentic vs. IA générative
Capacité | IA générative | IA agentique |
Fonction principale | Générer un sommaire avec un accès limité au système | Prendre des mesures autonomes par le biais de canaux authentifiés avec une autorité déléguée |
Style d'interaction | Prompt à réagir et à répondre avec un minimum de persistance | Exécution itérative avec maintien du contexte d'identité et de la continuité de la session |
Exemples | ChatGPT (génération du sommaire), Midjourney (création d'images) | AutoGPT (automatisation des tâches), LangChain agent (workflow orchestration) |
L'autonomie | Limité à la génération avec une interaction minimale avec le système | Capacité hautement autonome nécessitant une gouvernance complète des identités et un contrôle des accès |
Mémoire | sans état ou contexte limité, exigences minimales en matière d'identité | État avec association persistante d'identités, gestion sécurisée des identifiants et stockage crypté du contexte |
Besoins en matière d'identité | authentification de base, typiquement accès en lecture seule | Gestion complète de l'identité du cycle de vie des utilisateurs, chaînes de délégation, contrôle fin des accès, validation continue des autorisations, surveillance continue et contrôles adaptatifs. |
Fundamental identité differences :
Modèle d'accès : L'IA générative nécessite généralement un accès limité, en lecture seule, avec une authentification simple, tandis que l'IA agentique nécessite un accès granulaire et contextuel avec une validation d'autorisation appropriée pour chaque action et une piste d'audit complète.
la gestion des sessions : L'IA générative fonctionne souvent avec une autorisation statique tout au long d'une session, tandis que l'IA agentique nécessite des contextes d'identité dynamiques qui s'adaptent à l'évolution des tâches et des conditions de sécurité.
Exigences en matière de délégation : L'IA générative a peu besoin de chaînes de délégation ou de capacités d'usurpation d'identité, tandis que l'IA agentique doit fonctionner par le biais de voies de délégation claires et vérifiables, avec une autorisation appropriée et limitée dans le temps.
LLM et identité dans l'IA agentique
De nombreux systèmes agentiques s'appuient sur un grand modèle de langage (LLM) comme moteur de raisonnement principal, mais les LLM doivent être intégrés à un cadre d'identité complet pour fonctionner en toute sécurité dans les environnements d'entreprise.
Si les LLM offrent de puissantes capacités de raisonnement, ils manquent d'une sensibilisation inhérente à la sécurité. Ils peuvent avoir un comportement imprévisible et sont vulnérables aux attaques potentielles par injection rapide et aux risques de fuite de données, ce qui rend les garde-fous de l'identité essentiels pour le déploiement en entreprise.
Lorsque les LLM sont dotés de capacités autonomes allant au-delà de la conversation, ils doivent fonctionner dans le cadre d'une identité globale framework qui assure l'application de la politique, la gestion de la chaîne de délégation, un audit complet et des limites d'accès précises.
Enterprise L'intégration du LLM nécessite des capacités fondamentales en matière d'identité :
Authentification de l'utilisateur pour l'initiation de l'agent,
Gestion sécurisée de token pour les interactions avec API,
Autorisation asynchrone pour les tâches de longue durée
Autorisation fine pour les opérations de génération augmentée par récupération (RAG)
Les plateformes d'identité modernes permettent une intégration sécurisée du LLM grâce à une politique d'autorisation fine, à la délivrance sécurisée d'identifiants pour des opérations de périmètre des données requises, à l'authentification contextuelle et basée sur le risque pour les actions sensibles, et aux capacités complètes de audit qui maintiennent la non-répudiation tout au long des activités de agent.
L'avenir de l'IA agentique
Le modèle d'IA évolue rapidement, passant du stade expérimental à celui d'élément essentiel, remodelant les opérations commerciales dans tous les secteurs d'activité.
Les principaux développements à l'horizon sont les suivants :
cadre d'identité-native : Plates-formes avec gouvernance de l'identité intégrée dans l'architecture de base plutôt qu'ajoutée comme un complément de sécurité, permettant un déploiement et une gestion sécurisés dès la conception agent.
Protocoles de collaboration inter-organisationnelle : Cadre d'identité normalisé permettant des opérations agent sécurisées à travers les frontières de l'entreprise tout en maintenant la confiance, la responsabilité et la piste d'audit.
Confiance comportementale et vérification continue : Systèmes qui valident en permanence les actions agent par rapport au modèle attendu, avec détection des anomalies liées à l'identité et autorisation adaptative qui répond à l'évolution des conditions de risque en temps réel.
Norme de conformité réglementaire : Protocoles industriels conçus explicitement pour agent délégation, fédération et exigences d'autorisation dynamique qui répondent à la demande unique d'authentification des systèmes autonomes, y compris le cadre de gouvernance de l'IA comme la loi européenne sur l'IA et les nouvelles lignes directrices du NIST.
Systèmes d'identification décentralisés : technologies permettant à un agent de prouver son autorité déléguée par le biais d'une vérification distribuée sans dépendre uniquement de services d'authentification centralisés.
Cadre de gouvernance éthique : Approches normalisées garantissant que les actions de agent s'alignent sur les valeurs de l'organisation grâce à des mécanismes de gouvernance et d'application de la politique liée à l'identité.
Cryptographie résistante au quantum : Avec les progrès de l'informatique quantique, les systèmes d'identité pour les agents IA à longue durée de vie doivent intégrer une norme cryptographique post-quantique afin de maintenir la sécurité contre les futures menaces informatiques.
Comme les agents de l'IA représentent de plus en plus les humains et les organisations dans les transactions numériques, chaque action doit être vérifiée, correctement autorisée et entièrement traçable grâce à un cadre d'identité qui évolue en fonction de l'autonomie et de la complexité.
La sécurité de l'IA autonome commence par l'identité
La gestion des identités n'est pas seulement une question de sécurité. C'est la base qui rend possible le déploiement autonome de agent. Découvrez comment Okta peut permettre une IA agentique sécurisée à l'échelle de vos organisations.
