Les machines ont pris le pouvoir : elles sont désormais quarante-cinq fois plus nombreuses que les humains dans les systèmes d’entreprise. Agents d’IA, API et partenaires B2B ouvrent la voie à une nouvelle ère de risques identitaires. Seule une IAM modernisée peut contenir cette hydre numérique.
Avec l’expansion de l’écosystème numérique, la gestion des identités et des accès (IAM) doit s’étendre bien au-delà des employés ; et pour cause, les identités non humaines sont désormais 45 fois plus nombreuses que les identités humaines dans les entreprises. Cette vaste population d’identités de machines (agents d’IA, API et machines virtuelles), en croissance constante, représente une surface d’attaque non gérée et en constante évolution. De même, les identités du B2B (fournisseurs, sous-traitants, entreprises clientes) connaissent une croissance rapide et devraient être trois fois plus nombreuses que les identités des employés internes, ce qui en fait une priorité de sécurité absolue.
Les solutions de gestion des identités et des accès (IAM) sont fréquemment fragmentées dans les entreprises. Cette situation résulte souvent d’une combinaison d’acquisitions diverses et d’initiatives locales isolées, ainsi que d’une intégration progressive de nouvelles technologies. Cette fragmentation entraîne des expériences d’authentification disparates, des frais opérationnels importants et des risques importants en matière de sécurité et de conformité. De plus, le recours à des applications héritées, dépourvues de prise en charge native des protocoles d’authentification modernes, engendre une dette technique et complique l’intégration sécurisée.
La gestion des identités non-humaines et du B2B présente des défis particuliers, notamment :
* L’accumulation de privilèges : les agents d’IA ont souvent des autorisations excessivement étendues dès le départ ou acquièrent progressivement des accès superflus. Cette situation contrevient au principe du moindre privilège et mène à une dangereuse « prolifération des permissions ».
* Les actions intraçables : sans identités uniques et vérifiables, ni autorisations granulaires, les actions effectuées par des agents d’IA – ou par des comptes inter-entreprises B2B compromis – peuvent être intraçables, amplifiant les dommages causés par des erreurs de configuration ou des attaques.
* Les risques liés à la chaîne d’approvisionnement : l’augmentation des attaques contre la chaîne d’approvisionnement, souvent issues de vulnérabilités tierces, démontre comment les identités du B2B compromises peuvent se propager, entraînant des pertes financières massives et des perturbations opérationnelles généralisées.
Pour gérer efficacement cette « hydre », les entreprises doivent adopter des stratégies IAM modernisées et globales :
* Imposer l’authentification multi-facteur (MFA) dans toute l’entreprise, en progressant vers une authentification adaptative qui ajuste dynamiquement les exigences en fonction des facteurs de risque en temps réel (localisation, appareil, comportement).
* Appliquer rigoureusement le principe du moindre privilège à toutes les identités, humaines et non humaines. Cela implique d’accorder uniquement les autorisations minimales nécessaires aux fonctions désignées. Il est essentiel de procéder à des vérifications d’accès régulières pour éviter toute dérive des privilèges.
* Mettre en place des processus complets de gestion du cycle de vie des identités pour toutes les identités, depuis le provisionnement automatisé lors de l’intégration jusqu’au dé-provisionnement rapide lors des changements de rôle ou d’un départ.
* Mettre en œuvre un audit continu et une surveillance comportementale de toutes les activités liées aux identités afin de détecter rapidement les tentatives de connexion inhabituelles, les modifications de privilèges non autorisées ou les schémas d’accès aux ressources suspects.
* Établir un encadrement spécialisé de l’IAM agentique pour les agents d’IA, en les traitant comme des personnes à part entière, dotées d’identités uniques et vérifiables, ainsi que d’autorisations spécifiques à certaines tâches et limitées dans le temps.
* Investir dans des programmes robustes de gestion des risques liés aux tiers, notamment en procédant à une vérification approfondie de tous les logiciels et outils IA tiers, allant des contrôles de sécurité et jusqu’à la surveillance permanente des accès et des activités.
La gestion des identités non humaines et inter-entreprises en B2B est un enjeu clé en matière de cybersécurité : les entreprises doivent adopter des stratégies IAM globales et modernisées : authentification adaptative, privilège limité, gestion complète du cycle de vie des identités, surveillance continue et contrôle des tiers. Ces mesures permettent de réduire les vulnérabilités, de sécuriser les systèmes et de transformer cette complexité en un avantage stratégique.
____________________________
Par Charles Thomassin, Directeur Commercial chez Ping Identity
puis