Entre la prolifération des agents IA et la réduction drastique de la durée de vie des certificats, les entreprises font face à une convergence de risques inédite.
Deux spécialistes, Blandine Delaporte, Sales Engineer Director Southern EMEA chez SentinelOne et Pierre Codis, AVP Sales Nordics & Southern Europe chez Keyfactor, dressent un tableau lucide d’un chantier devenu urgent.
Des identités qui débordent largement du périmètre humain
Longtemps cantonnée à la gestion des comptes utilisateurs, la sécurité des identités a vu son périmètre exploser. Blandine Delaporte, Sales Engineer Director Southern EMEA chez SentinelOne, pose le cadre sans détour : « Quand vous avez accès à des identités ou à certains types d’identités à privilèges, vous avez accès au bijou de la couronne. Avant, il fallait qu’un humain s’introduise dans une organisation. Maintenant, on a des agents IA qui, contrôlés et manipulés, peuvent le faire. »
Cette évolution tient à deux phénomènes distincts mais convergents. D’un côté, l’IA générative a industrialisé l’usurpation d’identité — deepfakes, faux interlocuteurs convaincants, ingénierie sociale automatisée. De l’autre, les agents IA déployés en entreprise constituent désormais autant de vecteurs d’entrée potentiels, dotés d’accès, de credentials, et parfois d’une capacité d’action sur les systèmes métiers. Or les responsables sécurité n’ont pas toujours la visibilité sur les agents effectivement déployés et utilisés en interne.
Pierre Codis, AVP Sales Nordics & Southern Europe chez Keyfactor, prolonge ce constat du côté cryptographique. Pour lui, la notion même d’identité machine a changé de nature : « Quand on dit identité machine, ça touche vraiment à tout aujourd’hui. C’est aussi les objets logiciels — une machine virtuelle, un container, un microservice — et ça va jusqu’à l’agent IA. » Tout cela doit être sécurisé par une identité forte, à l’échelle, et de manière automatisée.
Cartographier pour gouverner : la priorité qui ne souffre plus d’exception
Face à cette expansion des surfaces d’exposition, la première réponse est souvent la même : cartographier. Mais cela suppose de lever une illusion tenace. « Les entreprises pensent savoir, mais en vérité ne savent pas », tranche Pierre Codis. La raison ? Des années de shadow IT ont disséminé des certificats et des objets cryptographiques dans tous les recoins des systèmes d’information, sans inventaire centralisé ni politique homogène. La gestion reste souvent fragmentée par silos — infrastructure, réseau, DevOps — avec des scripts artisanaux dont la mémoire disparaît avec leur auteur.
Blandine Delaporte partage ce diagnostic et en tire les mêmes conclusions opérationnelles : « On a des solutions technologiques qui permettent de faire cette cartographie. Comme à un moment on utilisait des outils pour cartographier le shadow IT, maintenant on cartographie le shadow IA, les agents IA, les serveurs MCP. » Une fois cet inventaire constitué, il devient possible de mettre en place une gouvernance effective — définir qui peut faire quoi, quel agent accède à quoi — et de passer en mode détection pour identifier les compromissions ou les injections de données frauduleuses en temps réel.
L’idée d’un humain supervisant chaque agent est sans appel balayée : « C’est même un peu naïf. » La réponse est ailleurs : dans l’automatisation des contrôles, la définition de politiques de sécurité adaptées à chaque type d’identité, et la capacité de détecter les comportements anormaux avant qu’ils ne causent des dommages.
Automatisation et anticipation : deux impératifs qui convergent
La question du temps traverse les deux dimensions du problème. Sur les certificats d’abord, la pression est déjà calendée : le CA/Browser Forum (porté par Google, Apple et Microsoft) ramènera d’ici 2029 la durée de validité des certificats TLS publics à 47 jours (au lieu de 398). Ce qui relevait d’une opération de maintenance occasionnelle deviendra un processus continu, structurellement incompatible avec des pratiques encore manuelles ou silotées. « Une interruption de service liée à un certificat expiré implique en général 10 à 12 personnes en première heure, et des heures d’indisponibilité », rappelle Pierre Codis. À cette cadence de renouvellement, l’automatisation n’est plus une option d’optimisation : c’est une condition de survie opérationnelle.
C’est précisément dans cette logique d’automatisation à grande échelle que la cryptographie post-quantique s’inscrit, comme le prochain chantier à anticiper sans attendre. Les ordinateurs quantiques, attendus à l’horizon 2029-2031, auront la capacité de casser les algorithmes de chiffrement aujourd’hui en usage. Le risque ne commence pas à cette date : des acteurs malveillants collectent dès maintenant des données chiffrées, dans l’intention de les déchiffrer le jour où la puissance de calcul quantique le permettra.
L’ANSSI et ses homologues européens sont clairs : les entreprises dont les données doivent rester confidentielles au-delà de 2030 devraient déjà engager leur migration. Pour les infrastructures PKI, cela signifie aussi regarder la durée de vie de ses autorités de certification racines. Les infrastructures de confiance numérique reposent sur des autorités de certification dont la durée de vie peut atteindre dix à quinze ans. Celles qui arrivent à expiration autour de 2028-2029 devront de toute façon être renouvelées, « vous devriez déjà plancher sur la migration vers une infrastructure post-quantum safe », souligne Pierre Codis. La prise de conscience progresse dans les comités exécutifs, mais le passage à l’acte reste lent, et sera vraisemblablement accéléré par la contrainte réglementaire autant que par les incidents.
