L’essor fulgurant de l’intelligence artificielle en entreprise s’accompagne d’un phénomène souvent invisible : la multiplication des identités machines. Pour Jean-Christophe Vitu, VP Solutions Engineering EMEA chez CyberArk, cette prolifération constitue un risque majeur si elle n’est pas maîtrisée. Il appelle à replacer la gestion des identités — humaines et machines — au cœur des stratégies de cybersécurité pour garantir un usage sûr et responsable de l’IA.
Rupture technologique majeure, l’adoption généralisée de l’intelligence artificielle en entreprise marque une avancée significative en matière de productivité et de compétitivité. Lorsqu’intégrée à des processus métier ou à des systèmes automatisés, l’IA entraîne une prolifération massive – et souvent invisible – d’identités machines au sein des organisations. Ces comptes de service, destinés à incarner l’identité d’une application ou d’un outil automatisé, échappent trop souvent aux radars des équipes de sécurité.
La forte augmentation d’identités machines, combinée à un recours non encadré à des agents d’IA ou à des outils non validés par les DSI, expose les entreprises à une série de risques graves. Non seulement ces identités peuvent entraîner des fuites de données ou des violations de conformité, mais elles peuvent également engendrer des pannes ou des erreurs systémiques critiques. En effet, les permissions excessives attribuées à ces identités, souvent mal contrôlées, peuvent entraîner des actions imprévues, perturbant gravement les systèmes. Dans ce contexte, la sécurisation des identités machines devient un impératif pour permettre un déploiement sécurisé et responsable de l’IA.
Le paysage des menaces à l’heure de l’IA et des identités machines
Le nombre d’identités machines au sein des entreprises connaît une croissance sans précédent, au point de dépasser de très loin celui des identités humaines. Certaines études évoquent plus de 80 identités machines pour chaque collaborateur, quand d’autres estiment qu’il en existe jusqu’à 40 000 fois plus. Cette croissance exponentielle dépasse largement les capacités actuelles des équipes IT à en assurer la gestion et la sécurisation. Il faut dire que les identités machines ne se limitent plus aux seuls serveurs physiques ou virtuels, elles englobent également les scripts, les API, les objets connectés (IoT) et les modèles d’IA et tout un écosystème de composants désormais essentiels au fonctionnement des systèmes d’information.
Ce qui rend les identités machines particulièrement critiques, c’est qu’elles disposent souvent d’autorisations étendues vers des données sensibles ou des systèmes vitaux, sans être soumises aux mêmes contrôles de sécurité que les identités humaines. Un des risques les plus sous-estimés est l’impact des permissions excessives accordées à ces identités. En effet, des identités machines dotées de droits d’accès trop larges peuvent entraîner des erreurs critiques, comme l’envoi de commandes incorrectes, et peuvent causer des pannes et des interruptions des services.
Sécuriser l’IA : l’identité au cœur de la stratégie
Face à la prolifération rapide des identités machines et aux risques émergents qu’elles induisent, les entreprises doivent impérativement se doter d’un cadre robuste de gestion des identités. Il devient crucial de sortir la gestion des identités de son périmètre purement technique pour l’intégrer pleinement à la stratégie de cybersécurité et de transformation numérique, en particulier dans les environnements fortement exposés à l’IA.
Cela implique notamment une surveillance constante de toutes les identités – humaines et machines – ainsi qu’un contrôle d’accès en temps réel. L’adoption d’un contrôle d’accès dynamique, où les droits sont attribués en fonction du besoin et révoqués immédiatement après utilisation, est essentielle pour éviter les erreurs coûteuses liées aux permissions excessives. L’application rigoureuse du principe du moindre privilège devient ainsi un pilier pour limiter les droits accordés à chaque identité et réduire la surface d’attaque potentielle. Enfin, les agents d’IA doivent être considérés comme des entités à part entière, à sécuriser avec la même exigence que les comptes utilisateurs classiques, afin de prévenir toute fuite de données ou compromission invisible aux systèmes traditionnels.
L’IA a bel et bien le potentiel de transformer en profondeur les opérations des entreprises, mais cette transformation ne pourra être bénéfique que si elle repose sur une base sécurisée. Sans garde-fous adéquats, les bénéfices peuvent rapidement se transformer en menaces. Les entreprises intégrant la sécurité des identités comme un fondement de leur résilience à long terme prendront une avance forte en termes de sécurité et de compétitivité.
