● Journal du Net 📅 11/05/2026 à 12:32

Géopolitique 👤 Yves Wattel

🏷️ Tags : chine pm rag rte surveillance

L'IA devient une véritable main-d'œuvre d'agents autonomes. Pour éviter les failles de sécurité, les entreprises doivent gérer leurs identités et accès aussi rigoureusement que de vrais employés. L'IA ne relève plus de l'expérimentation, elle est désormais un standard attendu. Par ailleurs, dans de nombreuses entreprises, elle est déjà ancrée dans les tâches quotidiennes, intégrée aux outils des collaborateurs et, de plus en plus, incorporée aux systèmes qui opèrent discrètement en arrière-plan. Ce qui distingue cette étape des précédentes, ce n'est pas seulement la rapidité avec laquelle l'IA se déploie, mais la profondeur avec laquelle elle s'inscrit désormais au cœur même des processus de travail. L'étude “Trend of AI” conduite par KPMG a révélé que, parmi les 60 % d'organisations ayant déjà intégré l'IA dans leurs activités, une hausse moyenne de la productivité de 33 % a pu être observée suite à l'intégration d'agents IA dans les tâches quotidiennes. Les équipes découvrent de nouveaux leviers pour gagner en agilité, automatiser les tâches répétitives et extraire des analyses qui, auparavant, auraient nécessité beaucoup plus de temps. Toutefois, à mesure que l'IA s'implante durablement au sein des entreprises, ces dernières doivent se montrer plus rigoureuses dans leur gestion, particulièrement en matière d'identité et de sécurité. Des outils d'IA vers une main-d'œuvre numérique Jusqu'à présent, l'essentiel des débats se sont concentrés sur l'utilisation de l'IA par l'homme. Les assistants et autres "copilotes" qui épaulent les employés ont fait la une de l'actualité, et ce, pour une bonne raison : ils transforment radicalement la manière dont nous rédigeons du contenu, développons du code, analysons des données et communiquons entre nous. Néanmoins, une transition plus discrète est en cours : l'IA devient presque une collaboratrice à part entière. En effet, nous n'en sommes qu'aux prémices des agents IA autonomes capables d'exécuter des tâches de manière indépendante, d'accéder à des applications, d'extraire des données et de prendre des décisions avec peu, voire aucune intervention humaine. S'il est tentant de n'y voir que la simple évolution des assistants, ils sont en réalité fondamentalement différents. Ces agents se comportent comme de véritables acteurs indépendants au sein du système et doivent disposer de leurs propres identifiants et autorisations. Cette évolution est cruciale, car la majorité des entreprises continuent de traiter ces agents comme de simples logiciels. Le retard critique des systèmes d'identité Depuis des décennies, la gestion des identités et des accès (IAM) repose sur un principe simple : l'utilisateur est généralement un être humain. Même lorsque les entreprises ont étendu l'IAM aux comptes de service et aux identités machines, ces dernières restaient liées à des systèmes prévisibles, cantonnés à des tâches spécifiques et répétitives. Les agents autonomes viennent bouleverser ce modèle. Ils sont adaptatifs, accomplissent leurs tâches de manière flexible et hétérogène, opèrent à la vitesse de la machine et peuvent interagir avec bien plus de systèmes qu'un employé ne le ferait jamais. Pourtant, de nombreuses organisations tentent encore de les faire entrer de force dans des cadres qui n'ont jamais été conçus pour des travailleurs numériques indépendants et décisionnaires. Un décalage croissant entre le comportement de ces agents et la gouvernance de leurs identités s’en résulte, créant ainsi des zones d'ombre que les hackers sont déjà prêts à exploiter. Recruter l'IA sans système de ressources humaines Ce fossé se manifeste dès l'instant où une organisation tente d'intégrer un agent autonome. Lorsqu'un nouvel employé rejoint l'entreprise, les systèmes RH déclenchent automatiquement la création de son identité: des rôles lui sont attribués, ses accès sont configurés et ses responsabilités sont clairement définies. Il existe une trace officielle de l'identité de cette personne, de ses missions et de son supérieur hiérarchique. Les agents autonomes arrivent sans aucune de ces structures. Ils sont créés par des développeurs, intégrés à des flux de travail ou introduits via de nouvelles plateformes, le plus souvent sans visibilité centrale ni processus cohérent. Il n'existe pas de système RH pour l'IA, pas de responsable désigné par défaut, et aucune garantie que quiconque soit tenu pour responsable des accès ou des actions de cet agent. C'est précisément là que la gouvernance des identités doit évoluer. Les organisations doivent être en mesure de détecter ces agents, de les enregistrer et de leur attribuer des identités propres, rattachées à un responsable métier clairement identifié. Chaque agent autonome devrait avoir un référent capable d'expliquer sa raison d'être, ses missions et les systèmes avec lesquels il est autorisé à interagir. Sans ce socle fondamental, il devient difficile de répondre aux questions les plus élémentaires : combien d'agents sont en activité ? Qui en est responsable ? Leurs accès sont-ils toujours justifiés ? etc. Gouverner les travailleurs numériques à la vitesse de la machine Une fois déployés dans le système, la véritable difficulté consiste à encadrer leurs actions et leur périmètre d'intervention. Il est facile de se focaliser sur la sécurisation des modèles ou du code, mais la gouvernance repose, en fin de compte, sur une gestion des identités et des privilèges en accord avec les objectifs de l'entreprise. Si un agent est capable d'agir au nom de l’entreprise, son identité doit être administrée avec encore plus de rigueur que celle d'un employé. En effet, les agents d'IA opèrent de façon autonome, en continu, et franchissent les périmètres de confiance à une vitesse et à une échelle propres aux machines. Cela rend toute attribution de privilèges excessifs particulièrement dangereux. L'IA a profondément transformé le paradigme de la sécurité des identités. Les actions à hauts privilèges se multiplient au sein d'écosystèmes hybrides, des infrastructures sur site au cloud, en passant par les bases de données et le SaaS, et les organisations ont perdu le point de contrôle central sur lequel elles s'appuyaient autrefois. Les entreprises doivent évoluer vers des modèles dynamiques et éphémères. L'utilisation d'identifiants à durée de vie limitée, d'accès juste-à-temps, de permissions strictement délimitées et d'une surveillance continue permet de garantir que les agents accomplissent leurs tâches au moment opportun, sans détenir plus de pouvoirs que nécessaire. Cette approche favorise l'innovation tout en limitant la zone d'impact en cas d'incident. L'offboarding : le risque de la main-d'œuvre numérique oubliée Tout aussi crucial que l’intégration et la gouvernance, le processus de départ constitue une étape clé. Lorsqu’un employé quitte l’entreprise, ses accès sont révoqués et ses comptes fermés. En revanche, un agent peut être discrètement mis hors service, remplacé par un nouvel outil ou tout simplement être oublié. Sans surveillance adéquate, cette identité peut subsister, conservant des accès dont elle n'a plus besoin. Un agent non géré, dont les privilèges perdurent, devient alors une cible facile et un point d'entrée invisible vers les systèmes critiques. Il est donc indispensable d'étendre les processus de détection et de gestion du cycle de vie pour identifier les agents inactifs ou "orphelins", afin de les supprimer sans tarder. Avec 73 % des dirigeants français qui s'intéressent de près aux agents IA, les entreprises qui réussiront seront celles qui cesseront de traiter les agents autonomes comme de simples logiciels de fond pour les considérer comme de véritables employés numériques. Elles mettront en place des processus d'intégration en étroite collaboration avec les services RH, déploieront des modèles de gouvernance capables de suivre le rythme effréné des activités automatisées, et appliqueront des procédures de départ ne laissant aucune porte ouverte.

🔗 Lire l'article original 👁️ 0 lecture