Connect with us

Au-delà de l’humain : Sécuriser l’IA agente et les identités non humaines dans un monde dominé par les failles

Leaders d’opinion

Au-delà de l’humain : Sécuriser l’IA agente et les identités non humaines dans un monde dominé par les failles

mm mm
Published
Updated

Si vous avez été près d’un SOC d’entreprise au cours des 18 derniers mois, vous l’avez vu. Les alertes qui ne correspondent à aucune personne. Les informations d’identification qui appartiennent à “quelque chose”, et non à “quelqu’un”. L’automatisation qui se déplace plus vite que votre livre de jeu IR peut suivre.

Et récemment, ce n’est pas seulement du bruit, c’est la cause profonde des plus grands titres de notre industrie. De l’incident de cybersécurité de Victoria’s Secret qui a perturbé les ventes et déclenché un recours collectif, aux compromissions de cloud multi-locataires qui ont exposé des données sensibles à travers les clients, un nombre croissant de failles proviennent maintenant d’identités que nous ne pouvons pas voir, que nous ne traquons pas ou que nous comprenons à peine.

L’essor de l’IA agente, des systèmes autonomes qui peuvent agir sur des applications, des API et des infrastructures, a collisionné avec l’explosion des identités non humaines (NHIs), y compris les comptes de service, les bots, les clés API et les informations d’identification des machines. Ensemble, ils ont créé une nouvelle surface d’attaque qui s’étend plus rapidement que la plupart des organisations ne peuvent la sécuriser.

Ce que nous entendons par « IA agente »

L’IA agente fait référence à des « agents » IA qui peuvent prendre des objectifs et exécuter de manière autonome des tâches multétapes, souvent sur plusieurs systèmes, sans surveillance humaine.

  • Peuvent appeler des API, mettre à jour des bases de données ou déclencher des flux de travail.

  • Fonctionne à la vitesse de la machine – en secondes, et non en minutes.

  • Risques : injection de prompt, données d’entraînement empoisonnées, informations d’identification volées.

L’échelle avec laquelle nous traitons

Les identités de machine dépassent déjà en nombre les humains dans la plupart des entreprises, dans certains cas dans un rapport de 20:1 ou plus. D’ici 2026, ce ratio devrait pratiquement doubler. Ces NHIs se trouvent dans vos charges de travail cloud, vos pipelines CI/CD et vos intégrations API, et elles alimentent maintenant l’automatisation basée sur les LLM.

Le défi : la plupart des systèmes IAM ont été conçus pour gérer les personnes, et non les machines.

  • Comptes sans propriétaire clair.

  • Informations d’identification statiques qui n’expirent jamais.

  • Privilèges bien au-delà de ce qui est nécessaire.

Ce n’est pas hypothétique. Les failles chez Uber et Cloudflare ont été retracées jusqu’à des comptes de machine compromises – le type qui n’a jamais de simulations de phishing mais peut déverrouiller des infrastructures critiques.

IA agente : un multiplicateur de risque

D’une part, l’IA agente est un changement de jeu opérationnel. D’autre part, si son accès est compromis, vous avez une automatisation qui fonctionne pour l’adversaire.

Considérez :

  • Un agent IA avec des droits de lecture/écriture sur les applications SaaS pourrait automatiser le vol de données sans déclencher la détection d’anomalies centrée sur l’humain.

  • Si cet agent peut modifier les rôles IAM ou déployer des ressources cloud, vous avez une escalation de privilèges en pilotage automatique.

  • Les attaques par injection de prompt et l’empoisonnement des modèles signifient que les attaquants peuvent rediriger un agent IA sans voler ses informations d’identification.

Nous avons vu à quel point un compte de service mal géré peut être dangereux. Maintenant, donnez à ce compte la capacité de prendre des décisions, et les enjeux sont multipliés.

Études de cas : analyse des failles dans l’ère de l’IA + NHI

Victoria’s Secret (mai 2025)
Au cours du week-end de la fête des soldats, Victoria’s Secret a fermé son site Web américain et certains services en magasin dans ce qui semblait être un incident de type rançongiciel (The Hacker News, Bitdefender). La panne a duré des jours et a contribué à une baisse estimée de 20 millions de dollars du chiffre d’affaires du deuxième trimestre. Un recours collectif ultérieur allègue que le détaillant n’a pas chiffré les données sensibles, a sauté des audits de sécurité critiques et a négligé la formation à la cybersécurité des employés (Top Class Actions), toutes des failles qui reflètent les faiblesses souvent observées dans les identités non humaines (NHIs) ayant un accès privilégié.

Breach de Google Salesforce (juin 2025)
En juin, des attaquants liés au groupe ShinyHunters (UNC6040) ont accédé à une instance CRM Salesforce d’entreprise via des techniques de phishing vocal (vishing) (ITPro). Une fois à l’intérieur, ils ont exfiltré des données de contact appartenant à des clients de petites et moyennes entreprises. Même si cela a commencé par une ingénierie sociale ciblant les humains, le point de pivot a été une application connectée – une forme d’identité de machine – qui a permis aux intrus de se déplacer latéralement sans déclencher l’analyse du comportement des utilisateurs.

Pannes de détaillants et de marques de luxe (M&S, Cartier, The North Face)
Une vague d’attaques contre des détaillants majeurs, notamment The North Face et Cartier, a exposé les noms des clients, les adresses e-mail et des métadonnées de compte sélectionnées (Sangfor, WSJ). Marks & Spencer a été particulièrement touché, une attaque de rançongiciel et de chaîne d’approvisionnement attribuée au groupe « Scattered Spider » a perturbé les services de retrait en magasin pendant plus de 15 semaines et est estimée à 300 millions de livres sterling. Dans chaque cas, les intégrations de tiers et les connexions API, souvent soutenues par des NHIs, sont devenues des facilitateurs silencieux pour les attaquants.

Qu’est-ce qu’une identité non humaine (NHI) ?

Les NHIs sont des informations d’identification et des comptes utilisés par des machines, et non par des personnes. Exemples :

  • Comptes de service pour les bases de données ou les applications.

  • Clés API pour l’intégration cloud-à-cloud.

  • Informations d’identification de bot pour les scripts d’automatisation.

Risques : sur-autorisés, sous-surveillés et souvent laissés actifs longtemps après utilisation.

Pourquoi la gouvernance est en retard

Même les programmes IAM matures rencontrent des obstacles ici :

  • Lacunes de découverte — De nombreuses organisations ne peuvent pas produire un inventaire complet de NHI.

  • Négligence du cycle de vie — Les NHIs persistent souvent pendant des années, sans examen régulier.

  • Vides de responsabilité — Sans propriétaire humain, le nettoyage tombe entre les mailles du filet.

  • Création de privilèges — Les autorisations s’accumulent à mesure que les rôles changent, mais la révocation est en retard.

Ceci est le même problème que nous avons combattu avec les comptes humains pendant des décennies — seulement maintenant, chaque NHI peut fonctionner 24 heures sur 24, à grande échelle, sans déclencher les contrôles de risque « humains ».

Un livre de jeu neutre pour les fournisseurs pour la sécurisation des NHIs et des agents IA

  1. Découverte complète — Cartographiez chaque NHI et agent IA, y compris les privilèges, les propriétaires et les intégrations.

  2. Attribuez des propriétaires humains — Rendez quelqu’un responsable du cycle de vie de chaque NHI.

  3. Enforcez le principe du moindre privilège — Faites correspondre les autorisations à l’utilisation réelle ; supprimez l’excès.

  4. Automatisez l’hygiène des informations d’identification — Faites pivoter les clés, utilisez des jetons à durée de vie courte, expirez automatiquement les comptes inactifs.

  5. Surveillance continue — Détection d’anomalies comme des appels API inattendus ou des escalades de privilèges.

  6. Intégrer la gouvernance de l’IA — Traitez les agents IA comme des administrateurs à privilèges élevés : enregistrez l’activité, appliquez les stratégies, activez l’accès juste-à-temps.

(Ces étapes sont conformes au NIST CSF, CIS Control 5 et les meilleures pratiques émergentes Gartner IVIP.)

Pourquoi cela doit se produire maintenant

Ce n’est pas seulement à propos de la poursuite d’une tendance IA. Il s’agit de reconnaître que le périmètre d’identité s’est déplacé des personnes vers les processus. Les attaquants le savent. Si nous continuons à traiter les identités de machine comme une après-pensée, nous donnons aux adversaires le point aveugle dont ils ont besoin pour opérer sans être détectés.

Les équipes qui resteront à la pointe sont celles qui feront de la gouvernance des NHIs et des agents une composante de premier plan de la sécurité des identités, avec une visibilité, une propriété et une discipline de cycle de vie en place avant que la prochaine faille ne force la question.

Related Topics:
mm

Mike Towers est le responsable de la sécurité et de la confiance chez Veza, où il dirige la stratégie de cybersécurité et de protection des données de l'entreprise. Il supervise le conseil consultatif de Veza, améliore ses capacités de sécurité d'identité et s'assure que les clients comprennent la valeur unique de la plate-forme de sécurité d'identité et d'accès intelligents de Veza. L'équipe de Mike travaille pour protéger la plate-forme de Veza et aider les clients à résoudre les défis de contrôle d'accès complexes qui accompagnent l'expansion numérique et cloud.

En tant que fondateur de Digital Trust Group LLC et dirigeant chevronné, Mike se spécialise dans la sécurité numérique, la confiance et la résilience des entreprises. Avant Veza, il a occupé le poste de responsable de la confiance numérique chez Takeda et a occupé des postes de direction chez Allergan et GSK, où il a mis en place des cadres de sécurité robustes. Au cours de sa carrière, il a influencé plus de 50 accords de fusions et acquisitions et a été intronisé au CSO Hall of Fame. En tant que conférencier respecté, auteur et conseiller d'administration, Mike continue de défendre l'innovation responsable, la protection des données et le partage des connaissances. Basé à Boston, il reste une voix de premier plan pour faire progresser la confiance et la sécurité numériques.

mm

Matthew Romero is a Technical Product Marketing Manager at Veza, where he bridges engineering precision with marketing strategy in the identity security space. With a background in SecOps and hands-on experience with the Microsoft Defender team, he approaches content with a practitioner’s mindset—writing for engineers first, while aligning with the needs of security leaders.

His work highlights how architecture-first approaches solve real-world challenges in access governance, compliance, and risk reduction. Known for his candid, engineer-to-engineer voice, Matthew focuses on simplifying complexity, helping security teams operationalize identity-first defense models, and clarifying the core question in modern security: who can access what?

He is Asana-certified and credits a neurodivergent lens (ADHD and ASD) with balancing precision and adaptability. Outside of work, Matthew enjoys the Pacific Northwest outdoors, family time, and running a Minecraft server.