L’identité, pilier historique de la cybersécurité, est en pleine mutation avec l’essor des agents IA. Cette révolution technologique oblige les responsables de la sécurité à repenser en profondeur leurs stratégies, voire leur définition même de l’identité.

Un nouveau paradigme sécuritaire

L’identité n’est plus seulement un mécanisme de contrôle, elle devient aussi une surface d’attaque. « Nous avions déjà des identités non humaines comme les clés API ou les comptes de service, mais aujourd’hui nous devons gérer des agents autonomes, une toute nouvelle catégorie », explique Dustin Wilcox, senior VP et CISO chez S&P Global. Le défi principal réside dans l’attribution des actions à ces entités numériques, où les signaux traditionnels de détection humaine ne s’appliquent plus.

Michael Adams, CISO chez DocuSign, souligne que cette prolifération d’identités non humaines complique la visibilité globale. « Avec les identités humaines, nous pouvons valider directement les besoins d’accès. Pour les comptes de service et maintenant les agents, cette clarté est plus difficile à obtenir », précise-t-il. Cette situation crée des lacunes dans la visibilité et le contrôle, tandis que les systèmes IA génèrent une croissance exponentielle de nouvelles identités et crédentiels.

Vers une architecture centrée sur l’identité

Face à ces enjeux, les experts recommandent d’adopter un modèle de sécurité « identity-first ». « Chaque décision d’accès doit passer par l’identité et être vérifiée en continu, pas seulement au moment de l’authentification initiale », insiste Adams. Cette approche fait de l’identité le plan de contrôle principal, incluant désormais les copilots IA et les workflows autonomes capables d’agir à vitesse machine.

Les principes clés pour une sécurité efficace

Pour construire cette nouvelle architecture, plusieurs principes fondamentaux doivent être respectés :

  1. Des bases solides avant la complexité : Avant d’implémenter des solutions sophistiquées, il est crucial de s’assurer que les fondamentaux sont en place - annuaires propres, principe du moindre privilège et processus de désactivation fiables.

  2. Conception adaptée aux nouvelles identités : Les modèles de rôles et politiques d’accès doivent être repensés pour cette nouvelle génération d’identités, en évitant de reproduire les erreurs du passé.

  3. Inventaire complet des identités non humaines : Il est impératif d’établir un inventaire exhaustif de toutes les identités non humaines, incluant leurs responsabilités et autorisations.

  4. L’authentification multifactorielle comme point de départ : Les solutions MFA doivent évoluer vers des alternatives résistantes au phishing, complétées par le moindre privilège et la micro-segmentation.

L’équilibre des forces dans la cybersécurité

Alors que l’identité devient le principal plan de contrôle, les risques se concentrent et nécessitent une approche redéfinie. « Je recommande à chaque CISO de réfléchir profondément à l’intersection entre identité et IA », conseille Adams. Les systèmes doivent être repensés autour du principe d’intention plutôt que de comportement effectif, nécessitant un monitoring comportemental et une évaluation en temps réel des accès.

Malgré ces défis, Wilcox reste optimiste quant au potentiel de l’IA pour équilibrer les forces en présence. « Nous avons eu pendant des années un champ de bataille asymétrique favorable aux attaquants. Aujourd’hui, l’IA nous offre des outils pour renverser cette tendance », conclut-il.

Cette transformation radicale de l’identité numérique représente à la fois un défi majeur et une opportunité historique pour les professionnels de la cybersécurité.