Selon une étude Keyfactor menée avec Wakefield Research, l’essor de l’IA agentique révèle une fragilité majeure des modèles de sécurité actuels. Identité, gouvernance et capacité d’arrêt des systèmes autonomes apparaissent désormais comme les angles morts les plus critiques de la cybersécurité d’entreprise.
Une autonomie qui met à l’épreuve les fondations de la sécurité
L’IA agentique n’est plus cantonnée à l’assistance ou à l’optimisation ponctuelle. Elle agit, initie des actions, accède à des systèmes critiques et interagit avec d’autres agents, parfois sans supervision humaine directe. Cette montée en autonomie met sous tension des modèles de sécurité historiquement pensés pour des logiciels passifs et des utilisateurs humains identifiables.
L’étude Digital Trust Digest : The AI Identity Edition met en lumière ce décalage. Près de 69 % des professionnels de la cybersécurité interrogés estiment que les vulnérabilités liées aux agents IA et aux systèmes autonomes représentent une menace plus importante que les usages abusifs de l’IA par des humains. Une inversion du risque perçu, qui traduit moins une défiance envers la technologie qu’une inquiétude face à l’absence de cadres adaptés pour la contrôler.
L’identité, talon d’Achille de l’IA agentique
Au cœur de cette fragilité, une notion revient de manière quasi unanime : l’identité. Pour 86 % des répondants, les agents IA et systèmes autonomes ne peuvent pas être considérés comme fiables sans identités numériques uniques et dynamiques. Pourtant, cette conviction se heurte à une réalité opérationnelle plus contrastée. De nombreuses organisations continuent de déployer des agents toujours plus puissants sans disposer des infrastructures d’identité et de gouvernance capables de répondre à des questions pourtant fondamentales : qui agit, avec quels droits, et comment interrompre ou auditer un comportement défaillant.
Cette incapacité à qualifier et maîtriser l’identité des agents se traduit concrètement par un manque de contrôle. Seuls 28 % des professionnels interrogés estiment pouvoir empêcher un agent malveillant de causer des dommages. Et si la moitié des organisations déclarent avoir mis en place des cadres de gouvernance pour l’IA agentique, ces dispositifs restent souvent incomplets ou théoriques, loin de la réalité opérationnelle des systèmes autonomes.
Gouvernance et direction : un décalage persistant
L’étude souligne également un écart préoccupant entre la reconnaissance du risque et sa prise en charge au plus haut niveau. Plus d’un responsable de la sécurité sur deux considère que sa direction générale ne prend pas suffisamment au sérieux les risques liés à l’IA agentique. Un constat qui fragilise d’autant les organisations que l’IA autonome introduit des dynamiques d’incident rapides, difficiles à contenir une fois déclenchées.
« Alors que les entreprises accélèrent le déploiement des systèmes d’IA autonomes, les infrastructures de sécurité censées les protéger accusent un retard préoccupant », alerte Jordan Rackie, CEO de Keyfactor. « Les dirigeants doivent fournir aux équipes de sécurité les ressources et le soutien nécessaires pour permettre à leurs entreprises d’avoir confiance en l’IA, de le prouver et de stopper son utilisation si besoin. La confiance numérique entre dans une nouvelle phase, et l’identité en sera le principal levier de succès pour la prochaine décennie de l’IA. »
Vibe coding : une nouvelle zone grise pour la sécurité
Au-delà des agents autonomes, l’étude pointe un autre phénomène en forte expansion : le vibe coding, ou génération de code par des assistants IA à partir d’instructions en langage naturel. Là encore, le risque ne tient pas tant à l’outil qu’à l’absence de visibilité et de gouvernance. Plus des deux tiers des entreprises reconnaissent ne pas disposer d’un contrôle suffisant sur le code généré par l’IA, alors même que ces contributions deviennent de plus en plus structurantes dans les applications métiers.
Cette perte de traçabilité brouille les responsabilités et fragilise les chaînes de confiance. « Chaque contribution de l’IA doit porter une empreinte cryptographique, chaque code doit avoir une provenance vérifiable, chaque commit doit être lié à une identité attribuable », insiste Ellen Boehm, SVP IoT & AI Identity Innovation chez Keyfactor. Sans ces mécanismes, il devient impossible de déterminer qui – ou quoi – a écrit les éléments critiques d’un logiciel.
Un regard français plus prudent, mais pas exempt de fragilités
La France s’inscrit globalement dans les tendances observées à l’échelle mondiale, avec quelques spécificités notables. Les professionnels français interrogés se montrent plus enclins à privilégier les certificats digitaux pour gérer les identités des agents IA, mais ils sont aussi moins nombreux à affirmer, sans réserve, qu’il est impossible de faire confiance à des agents dépourvus d’identités numériques uniques et dynamiques. Une prudence qui reflète un marché structuré et exigeant, mais qui pourrait aussi retarder certaines prises de décision structurantes.
À horizon cinq ans, trois quarts des répondants français estiment que les identités numériques des agents IA deviendront aussi courantes que celles des humains ou des machines. Un mouvement jugé inéluctable, mais qui, selon l’étude, doit être anticipé dès maintenant pour éviter que l’autonomie ne continue de progresser plus vite que la confiance.
