● Journal du Net 📅 05/05/2026 à 11:03

Géopolitique 👤 Pierre Codis

🏷️ Tags : chine cert rag rte

Humains ou IA ? La vraie question est la confiance. Face à des agents autonomes, il faut des identités vérifiables, une traçabilité totale et un contrôle continu pour sécuriser l'IT. À première vue, la réponse semble évidente : nous faisons confiance aux humains. Parce qu’ils sont responsables, identifiables, capables de jugement. Mais à mesure que l’intelligence artificielle s’intègre aux systèmes d’information, cette certitude vacille. La vraie question n’est plus de choisir entre humains et machines, mais de comprendre dans quelles conditions chacun peut réellement être digne de confiance dans un environnement IT moderne. Une illusion de contrôle Pendant des décennies, la gestion du risque en entreprises s’est structurée autour du facteur humain. Les erreurs, les mauvaises configurations ou les menaces internes sont connues, documentées, encadrées par des politiques de sécurité éprouvées (IAM, audits, segmentation, etc.). Mais ce modèle repose sur une hypothèse simple : l’humain est au centre de la décision. Aujourd’hui, cette hypothèse ne tient plus. Les systèmes d’IA ne se contentent plus d’assister. Ils prennent des initiatives, déclenchent des actions, interagissent avec des infrastructures critiques souvent en temps réel, à une vitesse incompatible avec une supervision humaine classique. Nous continuons pourtant à leur appliquer des logiques de confiance conçues pour l’humain. C’est ici que réside le décalage. Le paradoxe de l’IA : puissance sans lisibilité L’IA est performante, rapide, capable d’automatiser des tâches complexes à grande échelle. Mais cette puissance s’accompagne d’une perte de lisibilité. Lorsqu’un humain commet une erreur, il est généralement possible d’en identifier l’auteur, d’en comprendre la cause et d’en tirer des enseignements. Avec des agents IA, ces principes deviennent incertains. Sans identité claire, il devient difficile, parfois impossible, de savoir qui a fait quoi, pourquoi, et comment éviter que cela ne se reproduise. Aujourd’hui encore, de nombreux systèmes reposent sur des identifiants partagés ou statiques, incapables de distinguer précisément un agent d’un autre. Cette ambiguïté d’identité crée un angle mort critique : des actions sont exécutées, mais la responsabilité reste floue, le contrôle quasi inexistant. Les chiffres sont révélateurs : seules 28 % des entreprises estiment pouvoir stopper un agent IA malveillant avant qu’il ne cause des dommages. Près de la moitié ne peuvent réagir qu’une fois les dégâts engagés, et près d’un quart se contente de détecter sans pouvoir réellement agir. L’automatisation progresse. La gouvernance, elle, accuse un retard structurel. La clé : considérer l’IA comme une identité Face à cette transformation, une évidence s’impose : si l’IA agit, elle doit être traitée comme une identité à part entière. On ne peut plus la considérer comme un simple outil technique. Dès lors qu’un système est capable d’initier des actions et d’accéder à des ressources sensibles, il doit être identifié, authentifié et contrôlé comme n’importe quel acteur du système d’information. Cela implique des identités uniques et vérifiables pour chaque agent, des identifiants dynamiques à durée de vie limitée, ainsi qu’une traçabilité complète des actions. Cela nécessite également de surveiller en continu les comportements pour détecter en temps réel les abus et comportements anormaux. Enfin, il faut intégrer un principe fondamental : un agent IA finira, à un moment donné, par adopter un comportement inapproprié ou inattendu. L’enjeu est donc d’anticiper ce risque et de s’y préparer en mettant en place un plan d’intervention efficace. Repenser la confiance La confiance ne peut plus être implicite dans un environnement où les systèmes d’IA ne sont plus de simples outils mais des entités capables d’agir, de décider et d’interagir de manière autonome. Ce changement transforme profondément la nature du risque : plus diffus, plus rapide et parfois invisible, il échappe aux modèles traditionnels de contrôle, historiquement conçus pour encadrer le facteur humain. Dans ce contexte, une exigence s’impose : rendre chaque action traçable et chaque acteur explicitement identifié. Sans traçabilité ni attribution claire, il ne peut y avoir ni responsabilité, ni contrôle, et donc aucune véritable confiance. Dès lors, la question n’est plus de choisir entre humains et machines mais réside dans la capacité à encadrer ces nouvelles formes d’autonomie. La confiance de demain ne sera ni intuitive ni implicite : elle devra être structurée, pensée comme une architecture et reposera sur un principe simple mais exigeant : chaque action doit être attribuable, chaque identité limitée dans ses permissions, et chaque comportement surveillé en temps réel. On ne fait plus confiance par défaut : on la construit, on la mesure et on la vérifie en permanence. C’est à ce prix que l’IA pourra réellement s’intégrer dans les environnements critiques, non pas en imposant sa présence, mais en gagnant progressivement la confiance des entreprises qui la déploient.

🔗 Lire l'article original 👁️ 0 lecture