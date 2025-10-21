Intelligence artificielle Sécurité

L'IA agentique au service de la sécurité des identités avec IBM® Verify Identity Protection

Publié 10/21/2025
Martina Kopic

Product Marketing Manager - IBM

L’ère de l’IA agentique est arrivée. Les systèmes autonomes vont au-delà des instructions ; ils prennent des décisions, agissent et accélèrent l’innovation à la vitesse des machines. De l’automatisation des transactions financières à la gestion des workflows de cybersécurité, ces partenaires numériques transforment les opérations dans les domaines des ventes, de la finance, des RH, des technologies de l’information et de la sécurité. L’IA agentique amplifie nos efforts, ce qui nous permet d’être plus productifs.

Cependant, l’autonomie qui stimule l’innovation grâce à l’IA agentique peut également ouvrir la porte à des vulnérabilités de sécurité importantes et amplifier non seulement la productivité, mais aussi les risques. Selon le rapport 2025 sur le coût d’une violation de données, 63 % des entreprises ne disposent pas d’une politique de sécurité et de gouvernance de l’IA.

Le Rapport X-Force Threat Intelligence Index d’IBM a révélé que 30 % des violations de données commencent par des attaques basées sur l’identité, et que les outils hérités de gestion des identités et des accès (IAM) n’ont jamais été conçus pour des identités autonomes et autogérées. À mesure que l’adoption de l’IA agentique s’accélère, les entreprises sont confrontées à des agents IA non gérés, à des risques d’accès fantôme et à une surface d’attaque entièrement nouvelle.

Pour garder une longueur d’avance à l’ère des identités autonomes et des outils automatisés, les entreprises ont besoin d’un nouveau paradigme de sécurité axé sur la visibilité, le contrôle et la gouvernance. IBM Verify (VIP) permet aux entreprises de sécuriser l’IA agentique tout en préservant vitesse, innovation et confiance.

Tous les agents ne sont pas des agents conversationnels : l’importance des définitions

Les récentes conférences technologiques ont suscité une vague d’annonces concernant l’IA agentique, des copilotes de sécurité aux bots informatiques automatisés. Mais les analystes mettent en garde contre le blanchiment d’agent qui consiste à faire passer une simple automatisation pour une IA totalement autonome.

Forrester prévient que de nombreux agents sont simplement des scripts spécifiques à une tâche, et non des systèmes coordonnés. Et Gartner prédit que plus de 40 % des projets d’IA agentique seront annulés d’ici 2027 en raison d’un manque de valeur ou de gouvernance.

Pour les responsables de la sécurité, la clarté est importante. Considérez la différence entre l’IA agentique pour la sécurité et la sécurité pour l’IA agentique :

  • L’IA agentique au service de la sécurité : agents d’intelligence artificielle effectuant des tâches de sécurité telles que le triage d’hameçonnage, l’analyse des vulnérabilités ou la réponse aux incidents.
  • Sécurité pour l’IA agentique : veiller à ce que tous les agents IA des unités commerciales soient détectables, gouvernés, dotés du moindre privilège, soumis à une rotation des identifiants et surveillés en permanence pour détecter toute dérive de comportement ou toute violation des politiques.

Il est également important que les responsables de la sécurité comprennent les différences entre les types d’agent IA.   

L’essor rapide de l’IA agentique et ses angles morts en matière de sécurité

Les agents autonomes représentent un changement fondamental dans l’informatique d’entreprise :

  • Des bots à usage unique aux équipes numériques autonomes : les agents IA modernes ne se contentent pas de suivre les instructions. Ils prennent des décisions en temps réel et peuvent agir sur l’ensemble des systèmes, souvent avec un accès privilégié.
  • Des environnements contrôlés aux écosystèmes complexes : les agents IA couvrent désormais les clouds hybrides, les plateformes SaaS et les systèmes hérités, beaucoup d’entre eux se situant dehors du périmètre IAM traditionnel.

Pourtant, cette rapidité d’innovation crée des angles morts critiques, notamment les suivants :

  • Identités non gérées : les agents IA créés en dehors de la gouvernance informatique manquent souvent d’une gestion appropriée des identifiants, d’avis d’accès ou de visibilité.
  • Accès invisible :  les employés qui utilisent des comptes personnels pour les outils d’IA contournent les contrôles de sécurité de l’entreprise, rendant les activités invisibles pour les équipes informatiques et de sécurité.
  • Agents compromis : les agents IA détournés peuvent déclencher un ransomware, voler des données sensibles ou exécuter des actions non autorisées à la vitesse d’une machine.
  • Dérive comportementale : au fil du temps, les agents peuvent s’écarter des flux de travail planifiés ou des modèles d’accès sans détection, augmentant ainsi le risque d’exposition.
  • Attaques zero-click : l’IA agentique peut être exploitée pour amplifier les risques liés au piratage zero-click.

Les systèmes IAM hérités et de gouvernance et d’administration des identités (IGA) n’ont pas été conçus pour ce monde dynamique et autonome. Les entreprises ont besoin d’une observabilité en temps réel, d’une application du moindre privilège et d’une analyse comportementale spécialement conçue pour l’IA agentique.

Bonnes pratiques pour sécuriser l’IA agentique

Sécuriser l’IA agentique n’est pas seulement une question de technologie ; il s’agit de bâtir une base solide pour la sécurité, la visibilité et le contrôle des identités. Voici quatre mesures que les responsables de la sécurité peuvent prendre dès aujourd’hui :

  1. Découvrir toutes les identités : commencez par un inventaire complet de toutes les identités dans votre entreprise, y compris les identités humaines, non humaines et basées sur l’IA. Vous ne pouvez pas gouverner ce que vous ne pouvez pas voir.
  2. Mettre en œuvre l’observabilité des identités  : bénéficiez d’une visibilité en temps réel sur les flux d’accès, les activités et les anomalies. Cela permet aux équipes de sécurité de repérer les risques avant qu’ils ne les renforcent.
  3. Appliquer des politiques de moindre privilège : limiter l’accès au strict nécessaire. Appliquez la rotation des identifiants, des barrières d’exécution et des commandes humaines pour les actions sensibles.
  4. Surveillance et audit continus : détectez rapidement les dérives comportementales, les accès non autorisés et les risques entre agents grâce à des processus automatisés de surveillance et d’audit.

Avec ces 4 bonnes pratiques, les entreprises peuvent adopter en toute confiance l’IA agentique tout en assurant la sécurité, la conformité et la résilience opérationnelle. Et IBM Verify Identity Protection est l’outil idéal pour aider les entreprises à mettre en œuvre ces bonnes pratiques.

IBM Verify Identity Protection concilie innovation et sécurité

IBM Verify Identity Protection offre une observabilité des identités et une détection des menaces pilotée par l’IA, spécialement conçue pour les entreprises hybrides modernes. Avec VIP, les équipes de sécurité bénéficient des avantages suivants :

  • Découverte complète : trouvez et inventoriez automatiquement toutes les identités (humaines, non humaines et agentiques) à travers les systèmes cloud et sur site.
  • Analytique du comportement : détectez les modèles d’accès inhabituels, les escalades de privilèges ou le comportement compromis des agents en temps réel.
  • Mappage des identités : consolidez plusieurs comptes, y compris les connexions cachées ou personnelles, dans une vue des identités unifiée et auditable.
  • Application des politiques et automatisation : appliquez les principes du moindre privilège, échangez les identifiants et corrigez automatiquement les vulnérabilités.
  • Surveillance continue : suivez les communications inter-agents et appliquez des contrôles d’exécution pour éviter les dérives ou l’utilisation abusive.

L’IA agentique offre un potentiel de transformation en automatisant les flux de travail, en accélérant les décisions et en déverrouillant l’efficacité de l’entreprise. Mais sans contrôles appropriés, il introduit également des identités non gérées, un accès invisible et des risques de violation élevés.

IBM Verify Identity Protection donne aux responsables de la sécurité la visibilité, l’automatisation et la gouvernance nécessaires pour dimensionner l’IA agentique en toute sécurité, ce qui permet d’innover sans compromettre la confiance ou la conformité.

Sécuriser l’avenir des identités autonomes

