Sous pression pour déployer l’IA, les entreprises desserrent les contrôles de sécurité sur les identités, alors même que leur gouvernance reste incomplète. Une tension révélée par une étude de Delinea, qui met en lumière un angle mort critique : les identités non humaines et celles des agents d’IA.
Une gouvernance des identités dépassée par la vitesse de l’IA
La course à l’IA ne se joue plus uniquement sur le terrain de l’innovation. Elle se déplace désormais sur celui, plus discret mais tout aussi structurant, de la gestion des identités. Selon le rapport « Uncovering the Hidden Risks of the AI Race » publié par Delinea, 90 % des organisations exercent une pression sur leurs équipes de sécurité pour assouplir les contrôles d’accès afin d’accélérer les projets liés à l’IA.
Avec la transformation rapide des environnements numériques, où l’automatisation multiplie les identités, en particulier celles des machines et des agents d’IA, les capacités de gouvernance ne suivent plus. Près de neuf entreprises sur dix déclarent ainsi rencontrer au moins une faille de visibilité sur leurs identités, avec un déficit particulièrement marqué sur les identités non humaines.
Cette perte de contrôle s’accentue dans les environnements liés à l’IA, où les lacunes en matière d’identification apparaissent presque deux fois plus fréquemment que dans les systèmes traditionnels. L’essor des identités automatisées s’accompagne d’un manque de traçabilité : 80 % des entreprises ne sont pas toujours capables d’expliquer pourquoi une identité non humaine a exécuté une action à privilèges.
Dans le même temps, les modèles d’accès évoluent peu. L’accès permanent reste dominant, faute d’alternatives opérationnelles pour 59 % des organisations, exposant durablement les systèmes à des droits excessifs et potentiellement exploitables.
Le paradoxe d’une confiance déconnectée de la réalité
Au-delà des lacunes techniques, l’étude met en évidence un décalage entre perception et réalité. Si 87 % des organisations estiment que leur sécurité des identités est prête à accompagner l’IA, près de la moitié reconnaît que leur gouvernance sur ces environnements reste insuffisante.
Ce paradoxe se retrouve dans les pratiques opérationnelles. Une large majorité affirme savoir identifier les identités non humaines accédant aux systèmes de production.Pourtant, moins d’un tiers valide en temps réel leurs activites. L’IA agit ici comme un révélateur. En accélérant la création et l’usage d’identités automatisées, elle expose les limites des modèles de sécurité existants, conçus historiquement pour des identités humaines. À mesure que les agents d’IA accèdent aux infrastructures et aux données, la question n’est plus seulement celle de l’identification, mais celle du contrôle en continu, du contexte et de la temporalité des accès.
Face à cette mutation, Delinea défend une approche unifiée de la sécurité des identités, combinant identité cryptographique, contrôles contextuels et autorisations juste-à-temps, avec une visibilité complète sur les sessions. L’objectif : rétablir un équilibre entre vitesse d’adoption de l’IA et maîtrise des accès, sans introduire de nouvelles zones d’ombre.
Dans cette course, la capacité à gouverner chaque identité — humaine, machine ou agentique — en temps réel pourrait bien devenir un facteur déterminant.
