Entretiens
Kevin Paige, CISO chez ConductorOne – Série d’entretiens
Kevin Paige, CISO chez ConductorOne, est un ancien dirigeant de la cybersécurité avec plus de trois décennies d’expérience dans les domaines du gouvernement, de la technologie d’entreprise et des startups à forte croissance. Basé dans la région de la baie de San Francisco, il dirige la stratégie de sécurité d’identité de l’entreprise tout en conseillant les organisations sur la sécurité de la force de travail moderne et la gouvernance. Paige a précédemment occupé le poste de CISO chez Uptycs, Flexport et MuleSoft, où il a aidé à construire et à mettre à l’échelle des programmes de sécurité pendant les périodes de croissance rapide. Plus tôt dans sa carrière, il a occupé des postes de direction et d’infrastructure en matière de sécurité chez Salesforce et xMatters, et a servi dans l’armée de l’air et dans l’armée de terre américaines. En plus de ses rôles opérationnels, il est actif dans l’écosystème des startups de cybersécurité en tant que conseiller et investisseur.
ConductorOne développe une plateforme de gouvernance et de gestion des accès basée sur l’identité conçue pour les environnements cloud et hybrides modernes. Sa technologie fournit une visibilité unifiée sur les identités et les autorisations à travers les applications, les infrastructures et les systèmes sur site, permettant aux organisations d’automatiser les examens d’accès, d’appliquer l’accès aux moindres privilèges et de réduire les risques de sécurité liés à l’identité. En combinant l’analyse d’identité avec des flux de travail automatisés, la plateforme aide les équipes de sécurité à gérer l’accès à grande échelle tout en améliorant la conformité et l’efficacité opérationnelle.
Vous avez une longue carrière qui s’étend sur les opérations de cybersécurité dans l’armée de l’air américaine, les rôles de direction de la sécurité d’entreprise chez des entreprises comme MuleSoft, Flexport et Salesforce, et maintenant vous occupez le poste de CISO chez ConductorOne. Comment votre perspective sur la sécurité d’identité a-t-elle évolué à travers ces rôles, et pourquoi croyez-vous que l’identité est devenue l’un des champs de bataille les plus critiques de la cybersécurité moderne ?
Dans l’armée de l’air, l’identité était beaucoup plus simple — niveau de sécurité, besoin de savoir, tout derrière les pare-feu, c’est fait. Chez MuleSoft, il s’agissait d’échelle — provisionner des milliers d’utilisateurs à travers des centaines d’applications SaaS sans créer de failles. Chez Flexport, le périmètre a disparu complètement et l’identité était le seul contrôle qui fonctionnait encore, quel que soit l’endroit où se trouvait quelqu’un.
Maintenant, chez ConductorOne, l’identité subit sa transformation la plus fondamentale. Il ne s’agit plus seulement des personnes — il s’agit des machines, des API, des comptes de service et des agents d’IA qui agissent de manière autonome. Les outils que la plupart des organisations utilisent ont été conçus pour un monde qui n’existe plus.
L’identité est le champ de bataille critique parce qu’elle touche tout. Vous pouvez avoir la meilleure sécurité des points de terminaison et la segmentation du réseau dans le monde — si quelque chose a un accès incorrect, rien de tout cela n’a d’importance.
Votre rapport sur le futur de l’identité à venir a constaté que 95 % des entreprises disent que les agents d’IA effectuent déjà des tâches d’IT ou de sécurité autonomes. Quels sont les types de tâches que ces agents effectuent réellement aujourd’hui, et à quel rythme vous attendez-vous à ce que leur niveau d’autonomie augmente ?
Ce qui m’a surpris, ce n’est pas l’adoption — c’est la vitesse. L’année dernière, 96 % prévoyaient de déployer des agents. Cette année, 95 % les ont déjà déployés. Ce n’est pas une courbe progressive. C’est un seuil franchi.
Les agents gèrent les flux de travail de l’assistance, la triage des alertes, les examens d’accès, la provision et, dans certains cas, la remédiation automatisée. La partie la plus souvent négligée : 64 % des organisations autorisent déjà les agents à agir de manière autonome avec seulement un examen post-action. L’agent agit d’abord, un humain vérifie ensuite — si quelqu’un vérifie du tout.
Les agents qui effectuent des tâches d’assistance aujourd’hui prendront des décisions de sécurité dans les 12 prochains mois. La question n’est pas de savoir si l’autonomie augmente — c’est de savoir si la gouvernance suit le rythme. Pour l’instant, ce n’est pas le cas.
Le rapport met en évidence la montée en puissance des identités non humaines, y compris les interfaces de programmation d’applications (API), les robots et les agents d’IA. Pourquoi ces identités de machine croissent-elles si rapidement, et pourquoi de nombreuses organisations ont-elles encore du mal à les gérer efficacement ?
Trois forces convergentes. L’adoption du cloud et du SaaS signifie que chaque intégration nécessite sa propre identité. DevOps génère des identités de machine à grande échelle — chaque pipeline, conteneur et microservice. Et les agents d’IA ajoutent une catégorie entièrement nouvelle qui ne détient pas seulement l’accès mais l’utilise pour prendre des décisions.
Les organisations ont du mal parce que les outils n’ont pas été conçus pour cela. La gestion des identités traditionnelle suppose un utilisateur qui se connecte et se déconnecte. Les identités non humaines fonctionnent en continu, ne répondent pas à l’authentification multifacteur, ont souvent des informations d’identification persistantes et accumulent des privilèges parce que personne ne vérifie leur accès comme celui d’un humain.
Il y a également un problème de propriété. Lorsqu’un développeur crée un compte de service et change d’équipe, qui en est propriétaire ? Souvent, personne. Les recherches de l’industrie montrent que 97 % des identités non humaines ont des privilèges excessifs. Ce n’est pas un problème d’outillage — c’est un vide de gouvernance.
Près de la moitié des entreprises disent que les identités non humaines dépassent maintenant le nombre d’utilisateurs humains, et pourtant, seul un petit pourcentage d’entreprises ont une visibilité complète sur ce que ces identités peuvent accéder. Quels sont les risques qui émergent lorsque les organisations perdent la visibilité sur ces identités automatisées ?
Trois couches. Premièrement, les informations d’identification compromises. Les identités non humaines utilisent souvent des clés API à longue durée de vie ou des jetons statiques qui ne tournent pas. Un attaquant avec l’un de ceux-ci a un accès persistant qui ne déclenche pas les mêmes alarmes qu’un compte humain compromis.
Deuxièmement, l’accumulation de privilèges. Les intégrations qui ont commencé avec un accès en lecture gagnent silencieusement un accès en écriture. Personne ne supprime les anciennes autorisations parce que personne ne vérifie les identités de machine.
Troisièmement — et cela émerge rapidement — les agents d’IA amplifient ces deux risques. Un compte de service compromis avec un accès en lecture de base de données est mauvais. Un agent d’IA avec le même accès qui peut agir de manière autonome, résumer, partager et agir sur ce qu’il lit est exponentiellement pire.
Notre rapport a constaté que la visibilité des identités non humaines est en réalité en déclin — de 30 % à 22 % d’une année sur l’autre. Les organisations découvrent le problème plus rapidement qu’elles ne peuvent le résoudre.
De nombreuses entreprises considèrent l’IA comme un accélérateur de productivité, mais vos recherches suggèrent qu’elle peut également étendre discrètement la surface d’attaque. Comment l’adoption d’outils et d’agents d’IA crée-t-elle de nouveaux risques de sécurité liés à l’identité ?
Le risque le plus immédiat est la sur-attribution de privilèges accidentelle. Les équipes déployer un agent d’IA pour un flux de travail mais lui donnent un accès plus large que nécessaire parce que la définition des autorisations pour les machines est plus difficile que pour les personnes. L’agent ne voit pas seulement les tickets de support — il voit toute la base de données client.
Ensuite, il y a l’injection de prompt. Les agents qui traitent les entrées externes peuvent être manipulés pour effectuer des actions non intentionnelles. Si l’agent a un accès large, une invite conçue peut transformer un outil d’assistance utile en un outil d’exfiltration de données.
Troisièmement, il y a l’IA fantôme. Selon Gartner, plus de 50 % de l’utilisation de l’IA dans l’entreprise est non autorisée. Chaque connexion non autorisée crée de nouvelles identités et de nouvelles surfaces d’attaque que l’équipe de sécurité ne peut pas voir.
Je l’ai vu de mes propres yeux — quelqu’un a donné à un agent l’accès à des systèmes internes, et dans les jours qui ont suivi, quelqu’un l’a incité à révéler le salaire et l’horaire de vacances du PDG. L’agent a fonctionné comme prévu. L’échec était le modèle d’accès.
La gestion des identités et des accès a traditionnellement porté sur les employés qui se connectent aux systèmes. Comment les organisations doivent-elles réfléchir à la gouvernance, aux approbations et à la surveillance lorsque les agents d’IA sont capables de prendre des actions opérationnelles ?
Penser délégation, pas automation. Lorsque vous déléguez à une personne, vous définissez la portée, vous la tenez responsable et vous vérifiez son travail. Même cadre s’applique aux agents.
Cela signifie une autonomie étagée. Des tâches à faible risque et répétitives — réinitialisation de mot de passe, routage de ticket — s’exécutent de manière autonome avec journalisation. Des actions à risque moyen — modifications de configuration de sécurité, accès élevé — nécessitent une approbation humaine ou une notification en temps réel. Des actions à haut risque — données sensibles, accès privilégié, modifications irréversibles — nécessitent une autorisation explicite avant que l’agent n’agisse.
Chaque agent a également besoin d’un propriétaire humain responsable de ce qu’il fait. Sans cette chaîne, les agents opèrent dans un vide de gouvernance où personne ne répond des conséquences.
Notre rapport a constaté que seulement 19 % ont une application de politique continue basée sur les politiques pour les agents. Cela signifie que 81 % s’appuient sur des autorisations statiques et l’espoir. Ce n’est pas de la gouvernance.
En regardant vers l’avenir, quels sont les pas les plus importants que les dirigeants de la sécurité devraient prendre au cours des 12 à 24 prochains mois pour préparer leurs cadres d’identité et d’accès pour un monde où les agents d’IA fonctionnent comme des identités numériques à part entière au sein de l’entreprise ?
Cinq priorités.
Premièrement, obtenir la visibilité. La plupart des organisations ne savent pas combien d’identités non humaines elles ont. Vous ne pouvez pas gérer ce que vous ne pouvez pas voir.
Deuxièmement, traiter chaque agent d’IA comme un utilisateur. Identité dédiée, autorisations limitées, rotation des informations d’identification, examens d’accès. Si vous ne donneriez pas à un humain un accès administratif permanent à tout, ne le donnez pas à un agent.
Troisièmement, passer d’une gouvernance périodique à une gouvernance continue. Les examens trimestriels ne peuvent pas suivre les agents qui changent de comportement en quelques secondes.
Quatrièmement, construire votre cadre de politique maintenant — avant d’avoir des centaines d’agents. Définir les limites d’autonomie, les exigences d’approbation et la propriété tandis que c’est encore gérable.
Cinquièmement, unifier la gouvernance à travers les identités humaines et non humaines. Les systèmes séparés créent des failles.
Les gagnants ne seront pas les organisations qui ont déployé le plus d’IA. Ce seront ceux qui ont construit une gouvernance des identités capable de fonctionner à la vitesse de la machine.
Merci pour cette grande interview, les lecteurs qui souhaitent en savoir plus peuvent visiter ConductorOne.
