Suivez nous sur

Au-delà de l'humain : sécuriser l'IA agentique et les identités non humaines dans un monde où les violations de données sont monnaie courante

Des leaders d'opinion

Au-delà de l'humain : sécuriser l'IA agentique et les identités non humaines dans un monde où les violations de données sont monnaie courante

mm mm
Publié

Si vous avez fréquenté un SOC d'entreprise au cours des 18 derniers mois, vous l'avez constaté : des alertes qui ne correspondent à aucune personne, des identifiants qui appartiennent à « quelque chose » et non à « quelqu'un », une automatisation qui évolue plus vite que votre stratégie de réponse aux incidents (IR) ne peut suivre.

Et dernièrement, ce n'est plus seulement du bruit, c'est la cause principale des plus gros titres de notre industrie. Incident cybernétique chez Victoria's Secret qui a perturbé les ventes et déclenché un recours collectif, compromis du cloud multi-locataire qui ont exposé des données sensibles sur plusieurs clients, un nombre croissant de violations proviennent désormais d'identités que nous ne pouvons pas voir, que nous ne suivons pas ou que nous comprenons à peine.

L'essor de l'IA agentique, ces systèmes autonomes capables d'agir sur les applications, les API et les infrastructures, s'est heurté à l'explosion des identités non humaines (NHI), notamment les comptes de service, les bots, les clés API et les identifiants machine. Ensemble, ils ont créé une nouvelle surface d'attaque dont la vitesse de propagation dépasse celle que la plupart des organisations peuvent sécuriser.

Ce que nous entendons par « IA agentique »

L’IA agentique fait référence aux « agents » d’IA qui peuvent prendre des objectifs et exécuter de manière autonome des tâches en plusieurs étapes, souvent sur plusieurs systèmes, sans surveillance humaine.

  • Peut appeler des API, mettre à jour des bases de données ou déclencher des workflows.

  • Fonctionne à la vitesse de la machine – quelques secondes, pas quelques minutes.

  • Risques : injection rapide, données de formation empoisonnées, informations d'identification volées.

L'échelle à laquelle nous avons affaire

Les identités des machines sont déjà plus nombreuses que celles des humains dans la plupart des entreprises, dans certains cas de 20h1 ou plusD'ici 2026, ce ratio devrait presque doubler. Ces NHI sont présents dans vos charges de travail cloud, vos pipelines CI/CD et vos intégrations d'API, et ils favorisent désormais l'automatisation basée sur le LLM.

Le défi : la plupart des systèmes IAM ont été conçus pour gérer les personnes, pas les machines.

  • Comptes sans propriétaire clair.

  • Informations d'identification statiques qui n'expirent jamais.

  • Des privilèges bien au-delà de ce qui est nécessaire.

Ce n'est pas hypothétique. Des violations à Uber et Cloudflare ont été retracés jusqu'à des comptes de machines compromis - le genre qui ne subit jamais de simulations de phishing mais qui peut déverrouiller des infrastructures critiques.

IA agentique : un multiplicateur de force pour le risque

D'un côté, l'IA agentique change la donne opérationnellement. De l'autre, si son accès est compromis, l'automatisation fonctionne au profit de l'adversaire.

Considérer:

  • Un agent d'IA disposant de droits de lecture/écriture sur les applications SaaS pourrait automatiser le vol de données sans déclencher la détection d'anomalies centrée sur l'humain.

  • Si ce même agent peut modifier les rôles IAM ou déployer des ressources cloud, vous disposez d'une escalade de privilèges en pilote automatique.

Nous avons vu à quel point un compte de service mal géré peut être dangereux. Donnez-lui désormais la possibilité de prendre des décisions, et les enjeux sont multipliés.

Études de cas : Analyses forensiques des violations à l'ère de l'IA et de l'assurance maladie nationale

Victoria's Secret (mai 2025)
Au cours du week-end du Memorial Day, Victoria's Secret a fermé son site Web américain et certains services en magasin dans ce qui semblait être un incident de type ransomware (Les nouvelles de Hacker, Bitdefender). La panne a duré plusieurs jours et a contribué à une baisse estimée à 20 millions de dollars du chiffre d'affaires du deuxième trimestre. Un recours collectif ultérieur allègue que le détaillant n'a pas chiffré les données sensibles, n'a pas effectué d'audits de sécurité critiques et n'a pas assuré la formation des employés en cybersécurité.Actions de classe supérieure), autant de lacunes qui reflètent les faiblesses souvent observées dans les identités non humaines non gérées (NHI) avec accès privilégié.

Violation de sécurité de Google Salesforce (juin 2025)
En juin, des attaquants liés au groupe ShinyHunters (UNC6040) ont eu accès à une instance Salesforce CRM d'entreprise via des techniques de phishing vocal (vishing) (ITPro). Une fois à l'intérieur, ils ont exfiltré les données de contact de PME clientes. Si cette stratégie a débuté par une ingénierie sociale ciblant les humains, le point central a été une application connectée – une forme d'identité machine – permettant aux intrus de se déplacer latéralement sans perturber les analyses comportementales des utilisateurs.

Pannes de vente au détail et de marques de luxe (M&S, Cartier, The North Face)
Une vague d'attaques contre de grands détaillants, dont The North Face et Cartier, a exposé les noms des clients, leurs e-mails et certaines métadonnées de compte (Sangfor, WSJMarks & Spencer a été particulièrement touché. Une attaque par rançongiciel et une attaque de la chaîne d'approvisionnement, attribuées au groupe « Scattered Spider », ont perturbé les services de retrait en magasin pendant plus de 15 semaines et auraient coûté au détaillant jusqu'à 300 millions de livres sterling. Dans chaque cas, les intégrations tierces et les connexions API, souvent soutenues par les assurances maladie, sont devenues des outils silencieux pour les attaquants.

Qu’est-ce qu’une identité non humaine (NHI) ?

Les NHI sont des identifiants et des comptes utilisés par des machines, et non par des personnes. Exemples :

  • Comptes de service pour bases de données ou applications.

  • Clés API pour l'intégration cloud-to-cloud.

  • Informations d'identification du bot pour les scripts d'automatisation.

Risques : Surprivilégié, sous-surveillé et souvent laissé actif longtemps après utilisation.

Pourquoi la gouvernance est à la traîne

Même les programmes IAM matures rencontrent des obstacles ici :

  • Lacunes de découverte — De nombreuses organisations ne peuvent pas produire un inventaire NHI complet.

  • Négligence du cycle de vie — Les assurances maladie nationales persistent souvent pendant des années, sans examen régulier.

  • Aspirateurs de responsabilité — Sans propriétaire humain, le nettoyage passe entre les mailles du filet.

  • Progression des privilèges : les autorisations s’accumulent à mesure que les rôles changent, mais la révocation est lente.

Il s’agit du même problème que nous rencontrons avec les comptes humains depuis des décennies, sauf que désormais, chaque NHI peut fonctionner 24 heures sur 24, 7 jours sur 7, à grande échelle, sans déclencher de contrôles de risque « humains ».

Un manuel indépendant des fournisseurs pour sécuriser les NHI et les agents d'IA

  1. Découverte complète — Cartographiez chaque agent NHI et IA, y compris les privilèges, les propriétaires et les intégrations.

  2. Affecter des propriétaires humains — Désignez une personne responsable du cycle de vie de chaque NHI.

  3. Appliquer le principe du moindre privilège : faites correspondre les autorisations à l’utilisation réelle ; supprimez les excès.

  4. Automatisez l'hygiène des informations d'identification : faites tourner les clés, utilisez des jetons à courte durée de vie, expirez automatiquement les comptes inactifs.

  5. Surveillance continue — Détectez les anomalies telles que les appels d’API inattendus ou les escalades de privilèges.

  6. Intégrez la gouvernance de l’IA — Traitez les agents d’IA comme des administrateurs à privilèges élevés : enregistrez l’activité, appliquez la politique, activez l’accès juste à temps.

(Ces étapes s'alignent sur NIST CSF, Contrôle CIS 5, et émergent Gartner IVIP (meilleures pratiques.)

Pourquoi cela doit arriver maintenant

Il ne s'agit pas seulement de suivre une tendance en matière d'IA. Il s'agit de reconnaître que le périmètre d'identité s'est déplacé des personnes vers les processus. Les attaquants le savent. Si nous continuons à négliger les identités des machines, nous ouvrons aux adversaires l'angle mort dont ils ont besoin pour opérer sans se faire repérer.

Les équipes qui resteront en tête sont celles qui font de la gouvernance NHI et des agents un élément de premier ordre de la sécurité des identités, avec une visibilité, une propriété et une discipline du cycle de vie en place avant que la prochaine violation ne force le problème.

Rubriques connexes:
mm

Mike Towers est directeur de la sécurité et de la confiance chez Veza, où il pilote la stratégie de cybersécurité et de protection des données de l'entreprise. Il supervise le conseil consultatif de Veza, développe ses capacités en matière de sécurité des identités et veille à ce que les clients comprennent la valeur unique de la plateforme de sécurité des identités et d'accès intelligent de Veza, leader du secteur. L'équipe de Mike s'efforce de protéger la plateforme de Veza et d'aider les clients à relever les défis complexes du contrôle d'accès liés à l'expansion numérique et cloud.

Fondateur de Digital Trust Group LLC et dirigeant chevronné, Mike est spécialisé dans la sécurité numérique, la confiance et la résilience des entreprises. Avant cela, VézaIl a été directeur de la confiance numérique chez Takeda et a occupé des postes de direction chez Allergan et GSK, où il a mis en place des cadres de sécurité robustes. Au cours de sa carrière, il a influencé plus de 50 opérations de fusions-acquisitions et a été intronisé au Temple de la renommée des directeurs de la confiance numérique. Conférencier, auteur et conseiller respecté, Mike continue de défendre l'innovation responsable, la protection des données et le partage des connaissances. Basé à Boston, il demeure un acteur majeur de la promotion de la confiance et de la sécurité numériques.

mm

Matthew Romero est responsable marketing produit technique chez Véza, où il allie précision technique et stratégie marketing dans le domaine de la sécurité des identités. Fort d'une expérience en SecOps et d'une solide expérience pratique au sein de l'équipe Microsoft Defender, il aborde le contenu avec un esprit de praticien : il écrit d'abord pour les ingénieurs, tout en s'adaptant aux besoins des responsables de la sécurité.

Ses travaux mettent en lumière la manière dont les approches privilégiant l'architecture résolvent les défis concrets en matière de gouvernance des accès, de conformité et de réduction des risques. Connu pour sa franchise et son approche directe d'ingénieur à ingénieur, Matthew s'attache à simplifier la complexité, à aider les équipes de sécurité à opérationnaliser des modèles de défense privilégiant l'identité et à clarifier la question fondamentale de la sécurité moderne : qui peut accéder à quoi ?

Certifié Asana, il attribue à son trouble neurodivergent (TDAH et TSA) un équilibre entre précision et adaptabilité. En dehors du travail, Matthew aime profiter des grands espaces du Nord-Ouest Pacifique, passer du temps en famille et gérer un serveur Minecraft.