Un agent IA qui agit sans identité propre, c’est une porte ouverte avec des privilèges. Avec les agents IA Zero Trust, la sécurité reprend la main sur l’autonomie logicielle avant qu’elle ne devienne un risque métier.
L’essor de l’IA agentique constitue aujourd’hui l’un des domaines les plus prometteurs et les plus dynamiques de la technologie. Ces agents d’intelligence artificielle, qu’il s’agisse d’assistants numériques côté utilisateur, d’outils d’automatisation hébergés sur le réseau ou de services SaaS multi-tenant, sont polyvalents et capables d’orchestrer des actions multi-systèmes, avec un comportement non déterministe et un niveau de privilèges potentiellement élevé, au nom d’un utilisateur ou d’une organisation.
Ceci étant dit, cette puissance et cette imprévisibilité constituent par ailleurs un défi de sécurité majeur, souvent sous-estimé. Fondamentalement, les agents ne sont rien d’autre que des charges de travail (workloads) : des logiciels exécutés quelque part. En tant que professionnels de la sécurité, nous devons donc les traiter comme tels, en appliquant la même rigueur en matière d’authentification et d’autorisation que celle développée au fil des décennies pour les charges de travail traditionnelles. Ignorer ce principe et permettre aux agents d’opérer sans contrôles adéquats est en effet extrêmement dangereux.
Les dangers d’une IA agentique non maîtrisée
Le problème majeur des agents non contrôlés réside dans le fait que leurs actions sont souvent indiscernables de celles des utilisateurs qui les déclenchent, alors même qu’ils disposent d’un niveau d’accès susceptible d’entraîner des compromissions catastrophiques. Nous avons déjà élaboré des normes et des bonnes pratiques, elles sont le fruit d’un travail de fond, pour sécuriser les systèmes traditionnels. Ignorer le fruit de ce travail réalisé au profit d’un modèle agentique à comportement émergent, dont la variabilité contextuelle complexifie les mécanismes de contrôle et de sécurité est fondamentalement irresponsable.
De nombreux agents s’exécutent directement sur les terminaux des utilisateurs. Ils héritent souvent du contexte complet et des droits d’accès de ces derniers. En l’absence d’une authentification explicite de l’agent lui-même, son trafic sortant est perçu par le réseau comme émanant de l’utilisateur. Si l’utilisateur est un employé, il reste juridiquement responsable de l’action, mais c’est en réalité l’agent qui a cliqué sur un lien malveillant ou partagé un fichier sensible. De plus, un agent peut accéder à l’ensemble des ressources accessibles à l’utilisateur : documents internes sensibles, messagerie d’entreprise et fichiers personnels. Si cet agent est compromis ou exécute des actions non conformes à son périmètre en raison d’un comportement non déterministe ou de contrôles insuffisants, il peut entraîner une exfiltration de données sensibles vers des destinations non autorisées.
Les agents spécifiques à une organisation, accessibles à plusieurs utilisateurs, représentent un risque encore plus élevé : mouvement latéral et abus de privilèges. Ces agents disposent souvent d’un accès étendu aux ressources de l’entreprise (outils, services et référentiels de données) pour qu’ils puissent exécuter leurs fonctions. Ils sont donc capables de contourner les mécanismes d’autorisation des utilisateurs. Par exemple, un employé peut être empêché d’accéder aux informations RH de ses collègues (fiches de paie…) Toutefois, si un agent agit à la demande de cet employé sans tenir compte de ses autorisations limitées, il peut utiliser ses privilèges élevés pour récupérer ces données et les lui transmettre. L’agent devient alors un vecteur involontaire d’élévation de privilèges, donnant accès à des informations explicitement interdites.
Dans tous les cas, l’absence de contrôles adéquats transforme un outil métier puissant en un risque de sécurité majeur. Une IA agentique incapable de prouver son identité ou la légitimité de son action constitue une charge de travail à haut risque, prête à être exploitée.
Les sept piliers de l’authentification des agents d’IA
Les contrôles de sécurité nécessaires peuvent s’appuyer sur des standards éprouvés, fondés sur les principes du Zero Trust, et reposent sur sept composants essentiels.
* Premièrement, chaque agent doit disposer d’une identité unique et vérifiable : un « nom » authentifié. Cela peut être réalisé via des standards existants largement utilisés pour l’identité des charges de travail, tels que WIMSE (Workload Identity in Multi-Systems Environment).
* Ensuite viennent les identifiants (credentials) : l’agent doit être capable de prouver l’identité qu’il revendique, ce qui implique la génération et la gestion de clés numériques sécurisées à durée de vie courte. Ces clés doivent être stockées dans des environnements hautement sécurisés afin de prévenir tout vol.
* L’authentification n’est efficace que si l’agent s’exécute dans un environnement fiable. Il est donc nécessaire de vérifier que l’agent fonctionne sur le bon dispositif et que son logiciel n’a pas été altéré. Le provisioning consiste à attribuer de manière sécurisée une identité à l’agent et émettre et renouveler ses clés numériques durant son exécution.
* Une fois identifié et provisionné, l’agent doit être authentifié, en utilisant ses identifiants pour prouver son identité auprès d’autres systèmes. La méthode dépend de l’environnement, avec l’utilisation de protocoles sécurisés différents pour les systèmes internes et pour le trafic web classique.
* Vient ensuite l’autorisation, qui peut s’appuyer sur le cadre OAuth 2.0 afin de définir précisément ce que l’agent est autorisé à faire. Les accès doivent être strictement limités, spécifiques à une action, un objectif ou une destination, afin d’éviter tout abus de privilèges.
* Pour toute action sensible ou à risque élevé, un mécanisme Human-in-the-Loop (HitL) est indispensable, imposant une validation explicite par l’utilisateur.
* Enfin, compte tenu de l’imprévisibilité inhérente à l’IA agentique, la supervision est essentielle. Les agents doivent journaliser l’ensemble de leurs activités, en détaillant leurs actions et, idéalement, les raisons qui les motivent. Ce dispositif de surveillance et de remédiation est indispensable pour maîtriser un système complexe.
L’impératif du Zero Trust
La mise en œuvre de ce cadre met en évidence l’importance critique d’un écosystème Zero Trust pour l’IA agentique. La sécurité ne peut pas reposer uniquement sur la fiabilité supposée de l’agent ou sur une implémentation correcte des standards.
Une plateforme de sécurité Zero Trust fournit un ensemble de contrôles externes nécessaires à la sécurisation de ces charges de travail. Pour les agents spécifiques à un utilisateur, les capacités de contextualisation des terminaux permettent d’attribuer précisément les actions à une application donnée, même si l’agent est mal implémenté.
Il devient alors possible d’identifier que le trafic ne provient pas uniquement d’un employé, mais d’un employé utilisant un processus spécifique exploitant un LLM pour la prise de décision, ce qui permet d’appliquer des politiques de sécurité plus strictes.
Pour les agents organisationnels, une plateforme Zero Trust permet d’ajouter des contrôles contextuels et des garde-fous en matière d’autorisation, garantissant que les permissions spécifiques de l’utilisateur sont correctement transmises à travers l’agent lors de l’accès aux outils et aux données, empêchant ainsi toute élévation de privilèges.
Enfin, pour les agents SaaS multi-tenant, les mécanismes de prévention des fuites de données (DLP) et de contrôle d’accès doivent s’appliquer systématiquement, que l’agent soit considéré comme « de confiance » ou non, afin d’éviter toute fuite d’informations sensibles, que ce soit vers l’agent ou depuis celui-ci vers l’utilisateur.
Sécuriser l’avenir de l’IA agentique
L’IA agentique n’est pas une tendance éphémère, mais une innovation fondamentale appelée à transformer en profondeur les opérations des entreprises. Si les opportunités en matière d’efficacité et de croissance sont considérables, il est impératif de veiller à ce que les avancées technologiques ne dépassent pas les capacités de sécurisation.
En adoptant dès à présent les principes éprouvés d’identité des charges de travail et de Zero Trust, les organisations peuvent établir des bases solides. Cette approche garantit que tous les agents d’IA sont correctement authentifiés et explicitement autorisés pour chaque action qu’ils entreprennent, réduisant ainsi efficacement les risques.
Cette transition permet de transformer le chaos potentiel d’un environnement d’IA non supervisé en un système contrôlé, prévisible et sécurisé, générateur de valeur métier significative.
L’avenir de l’IA en entreprise repose dès aujourd’hui sur une approche orientée sécurité.
____________________________________________
Par Yaroslav Rosomakho, Chief Scientist chez Zscaler
_____________________________
puis