L’essor de l’intelligence artificielle dans les environnements professionnels rebat les cartes en matière de cybersécurité. En particulier, la gestion des identités se retrouve confrontée à de nouveaux défis, entre automatisation avancée et apparition de risques plus difficiles à anticiper. L’émergence d’identités non humaines, capables d’opérer de manière autonome et à grande échelle, met sous pression des modèles de gouvernance conçus avant l’arrivée de ces usages. Dans ce contexte, de nombreuses organisations constatent les limites de leurs approches actuelles et la nécessité de faire évoluer leurs stratégies.
Comme l’explique Jean-François Pruvot, RVP South Europe chez Saviynt, dans le cadre de l’Identity Management Day : « L’intelligence artificielle impose une réalité difficile aux équipes de sécurité des identités : elle est à la fois un accélérateur d’efficacité et un risque majeur pour la sécurité. D’un côté, elle transforme les programmes d’identité en accélérant les workflows grâce à une automatisation intelligente, en faisant émerger les risques plus rapidement et en réduisant les délais de création de valeur de plusieurs mois à quelques heures. De l’autre, elle introduit une nouvelle catégorie d’identités (agents, copilotes et plateformes d’orchestration qui opèrent de manière autonome à la vitesse des machines) qui doivent être gouvernées avec le même niveau d’exigence, si ce n’est à un niveau supérieur, que celui appliqué aux humains.
De nombreuses entreprises constatent aujourd’hui que les programmes d’identité traditionnels ne sont plus adaptés à l’ère de l’IA. Répondre à ce défi nécessite plus qu’une approche unique. Il ne s’agit pas seulement de gouvernance des identités, de visibilité, d’accès à la demande ou de contrôle des accès considérés séparément. Tous ces systèmes doivent fonctionner de manière coordonnée.
Le principal conseil que l’on peut adresser aux dirigeants confrontés au défi de la sécurisation et de la gouvernance des identités liées à l’IA est de ne pas considérer cela comme un simple choix d’outils, mais comme une évolution du plan de contrôle. Pour tirer pleinement parti de l’IA afin d’obtenir de réels gains de productivité tout en maintenant les agents IA sécurisés et maîtrisés, l’identité doit en être le fondement. » Face à ces évolutions, les organisations doivent faire évoluer leur approche de la sécurité des identités, en intégrant des cas d’usage désormais concrets comme la gestion des comptes de service, des agents IA ou des plateformes d’orchestration. Cela implique aussi de mieux articuler les briques existantes (IAM, IGA, PAM) dans une logique plus cohérente, souvent alignée avec des approches de type zero trust.
L’IA ne constitue pas simplement une couche supplémentaire, elle impose de revoir les modèles de gouvernance et de contrôle des accès, dans un contexte également marqué par des exigences réglementaires croissantes, notamment autour de NIS2 ou du renforcement des politiques de gestion des accès.
