Dans la première partie de cette série de blogs - La nouvelle frontière de la sécurité : sécuriser l'avenir de l'IA agentique avec la confiance numérique - nous avons présenté l'essor de l'IA agentique et le rôle fondamental que doit jouer la confiance numérique à mesure que ces agents intelligents acquièrent une indépendance opérationnelle.
Dans la deuxième partie, nous approfondissons les raisons pour lesquelles la sécurisation de l'IA agentique est importante pour les entreprises aujourd'hui - et ce qui est en jeu si nous ne parvenons pas à protéger cette nouvelle classe d'IA transformatrice.
Qu'est-ce que l'IA agentique - et pourquoi cet engouement ?
Nous entrons dans une nouvelle ère de l'intelligence artificielle : L'IA agentique. Contrairement aux systèmes d'IA traditionnels qui réagissent simplement aux données, l'IA agentique fait référence à des agents autonomes qui peuvent :
- Prendre des décisions en temps réel
- Entreprendre des actions de manière indépendante
- Fonctionner de manière transparente à travers les API, les services en nuage et les écosystèmes de données d'entreprise
Cette évolution fait passer l'IA de l'automatisation à une véritable autonomie - et débloque une efficacité et une évolutivité sans précédent dans des secteurs tels que la gestion de la chaîne d'approvisionnement, le service à la clientèle, la finance et la cybersécurité.
L'opportunité - et le risque
Si l'IA agentique offre des possibilités considérables, elle pose également de nouveaux défis en matière de sécurité. de nouveaux défis en matière de sécurité:
- Des frontières identitaires floues entre les utilisateurs humains, les machines et les agents numériques
- Élargissement des surfaces d'attaque à travers les systèmes interconnectés et les API
- Compromettre l'intégrité des données et la confiance si les agents autonomes sont exploités ou manipulés
En l'absence de cadres de confiance numérique solides - englobant la vérification de l'identité, la surveillance du comportement et l'orchestration sécurisée - les systèmes d'IA agentique pourraient devenir un nouveau vecteur de cyberattaques, d'atteintes à la protection des données et de défaillances opérationnelles.
L'essor de l'IA agentique est à la fois un signe d'innovation et de perturbation. Elle modifiera le fonctionnement des entreprises - et introduira de nouveaux risques en matière de sécurité et de conformité. Les investisseurs et les sociétés de capital-investissement poussent les entreprises à adopter l'IA agentique dans le but de réaliser des avantages financiers tangibles, qu'il s'agisse d'efficacité opérationnelle ou d'économies de coûts.
A titre d'exemple, Gartner prévoit que d'ici 2029l'utilisation d'agents d'IA pourrait générer jusqu'à 30 % de réduction des coûts opérationnels pour les problèmes courants de service à la clientèle. Ces estimations sont significatives ! Selon l'enquête de Gartner sur les innovations en matière de cybersécurité à l'horizon Enquête sur les innovations en matière de cybersécurité en 2025plus de la moitié des personnes interrogées ont déclaré avoir déjà déployé des agents d'IA personnalisés (53%). L'approche de Keyfactorpour sécuriser ces agents d'IA à l'échelle offre à la fois un avantage stratégique et une voie vers l'atténuation des risques.
MCP (Model Context Protocol) est en passe de devenir l'interface standard universelle entre l'IA, les données et les applications. Il est utilisé pour découpler les modèles des software avec lesquels ils interagissent, pour coordonner différents systèmes et pour s'adapter rapidement. Mais le MCP n'en est qu'à ses débuts. De nombreuses implémentations clients ne disposent pas de l'authentification et de l'autorisation robustes qu'exige une sécurité de niveau entreprise - des capacités telles que le contrôle d'accès basé sur les rôles (RBAC) et la rotation automatisée des justificatifs d'identité.
La plupart des implémentations MCP actuelles s'appuient sur OAuth, mais souvent avec des clés fixes ou des secrets partagés au lieu d'informations d'identification plus solides et plus durables. Nous pensons que les clients MCP sont sur la bonne voie pour prendre en charge l'authentification par certificat.
Sécuriser l'IA agentique : pourquoi l'PKI est une pièce maîtresse de la fondation
Sans une identité, une authentification et une intégrité des données solides, l'IA agentique peut introduire des vulnérabilités au lieu d'apporter de la valeur. La sécurisation des agents d'IA nécessite quatre éléments clés :
- Des identités fortes
- Contrôles d'accès précis
- Haut degré d'auditabilité (c'est-à-dire que les SIEM peuvent rechercher des anomalies)
- Une méthode pour supprimer l'accès à un agent d'intelligence artificielle qui n'agit pas comme prévu
Selon Cisco, les attaques basées sur l'identité étaient le vecteur d'attaque le plus courant en 2024, représentant 60 % de tous les cas de réponse aux incidents - un avertissement sévère alors que nous évoluons vers des agents d'IA de plus en plus autonomes et interconnectés.
Pour les organisations qui cherchent à sécuriser l'accès à l'IA agentique, la PKI et l'authentification par certificat constituent une solution solide :
- TLS mutuel (mTLS) permet aux agents de s'authentifier mutuellement avant d'échanger des données
- Certificats éphémères confèrent aux agents de courte durée une confiance limitée dans le temps
- ClésHardware protéger les agents intégrés dans des systèmes physiques tels que les drones ou les véhicules
En définitive, pour sécuriser l'accès à l'IA agentique, il faut établir la confiance au niveau de la couche d'identité à l'aide de normes de sécurité éprouvées. LaPKI devient l'un des domaines les plus critiques pour les entreprises. Les certificats émis par une PKI offrent des réponses éprouvées - déjà largement utilisées dans la sécurité des entreprises pour les identités des machines, l'IoT, l'authentification de la charge de travail et les cadres de confiance zéro.
Alors que la couche d'identité devient essentielle pour sécuriser l'IA agentique, c'est aussi une question de confiance - non seulement entre les systèmes, mais aussi entre les personnes et les technologies dont elles dépendent.
IA agentique : voici les questions à poser
Les entreprises doivent aligner les cadres de sécurité, les politiques de gouvernance et les priorités commerciales pour s'assurer que l'IA agentique peut évoluer de manière responsable et sûre.
Les trois domaines d'action suivants décrivent comment entamer cet alignement, en s'inspirant à la fois des tendances actuelles et des défis de la mise en œuvre dans le monde réel.
Domaine d'intérêt n° 1 : l'IA agentique arrive à grands pas et nécessitera une mise à l'échelle
L'IA agentique nécessite une autonomie à grande échelle afin d'obtenir des avantages en termes d'efficacité et de réduction des coûts.
Ces agents sont déjà déployés dans des environnements à fort enjeu, et les entreprises doivent se poser la question :
- Comment mesurons-nous le retour sur investissement de l'IA agentique - et en fonction de quels indicateurs clés de performance ?
- Existe-t-il un responsable clair des risques, de la gouvernance et des performances de l'IA ?
- Pouvons-nous informer en toute confiance notre conseil d'administration de notre état de préparation et de notre feuille de route en matière d'IA ?
Selon Chris Hickman, CSO de Keyfactor , de nombreuses organisations se lancent à corps perdu dans l'expérimentation mais n'ont pas pris en compte les exigences d'infrastructure liées à l'adoption généralisée de l'IA agentique. Il est essentiel de comprendre le coût initial et la maintenance à long terme de la solution complète à l'échelle avant de déployer quoi que ce soit en production.
"En réalité, dès que l'on commence à déployer des milliers d'agents à travers des API et des environnements en nuage, la gestion de la confiance, de l'identité et du cycle de vie devient exponentiellement plus complexe."
Domaine d'action n° 2 : la rapidité de l'innovation dans l'IA agentique exige des principes de sécurité éprouvés
Avec la rapidité de l'innovation, il existe un risque réel que la sécurité devienne une préoccupation secondaire. Pourtant, les agents autonomes peuvent causer de réels dommages s'ils sont compromis, beaucoup plus rapidement et avec moins de transparence que les charges de travail traditionnelles.
Voici quelques-unes des questions importantes à poser à ce sujet :
- Notre stratégie d'entreprise holistique pour sécuriser les agents d'IA inclut-elle l'identité cryptographique, la visibilité et la surveillance, ainsi que la gouvernance ?
- Quel est notre plan pour mener à bien des projets pilotes sans compromettre la sécurité ?
- Disposons-nous d'un cahier des charges pour les incidents majeurs liés à l'IA ou les scénarios d'échec ?
Selon M. Hickman, les organisations doivent adopter des contrôles de sécurité qui ne ralentissent pas l'innovation, tout en garantissant la vérifiabilité, la confiance et la résilience.
"LaPKI, le TLS mutuel et l'authentification par certificat sont des méthodes éprouvées qui fonctionnent pour sécuriser les identités non humaines à grande échelle. Et c'est exactement ce dont l'IA agentique a besoin".
Il ajoute que le fait de s'appuyer sur des secrets partagés ou des jetons statiques - comme le font certaines implémentations MCP - est une bombe à retardement. Une bonne base n'est pas seulement plus sûre, elle est aussi à l'épreuve du temps.
Domaine d'intérêt n° 3 : Les politiques et les pratiques doivent suivre le rythme - ou l'IA agentique devient une responsabilité
L'IA agentique soulève des questions juridiques, éthiques et de réputation. Au fur et à mesure que les systèmes autonomes s'intègrent dans les opérations, la gouvernance devient non optionnelle.
Les responsables de l'éthique et de la conformité devraient se poser la question :
- Disposons-nous d'un comité d'éthique de l'IA interfonctionnel ou d'un organe de gouvernance ?
- Nous savons comment gérer les violations des politiques en matière de ressources humaines et de technologies de l'information, mais comment gérer les violations commises par des agents d'intelligence artificielle lorsque des software ont assumé des rôles qui étaient auparavant dévolus à des êtres humains ?
- Pouvons-nous démontrer notre position de responsabilité en matière d'IA aux régulateurs et au public ?
Selon M. Hickman, c'est là que de nombreuses organisations échouent. "Vous ne laisseriez pas un employé humain travailler sans ressources humaines, sans évaluation des performances ou sans contraintes politiques, alors que de nombreux agents d'IA agissent sans surveillance ni bouton d'arrêt."
Il insiste sur la nécessité de disposer de systèmes vérifiables et d'une confiance révocable.
"Si vous ne disposez pas de contrôles cryptographiques et de politiques permettant de supprimer l'accès d'un agent dès que quelque chose semble anormal, vous avez déjà perdu la bataille de la gouvernance".
Réflexions finales : Aligner la politique, la sécurité et la confiance
L'IA agentique est là, et elle modifie déjà le mode de fonctionnement des entreprises. Mais comme toute nouvelle capacité puissante, elle s'accompagne de risques. En appliquant des cadres de sécurité éprouvés, en investissant dans une infrastructure d'identité évolutive et en alignant les politiques sur l'autonomie, les entreprises peuvent transformer l'IA agentique en un avantage stratégique.
Le moment est venu pour les responsables de la sécurité, de l'informatique, du risque et de l'éthique de s'aligner sur la signification de la confiance dans un avenir autonome. Dans la partie 3, nous verrons comment établir une architecture de confiance sécurisée et évolutive, conçue pour l'IA agentique.
Vous voulez savoir où en est votre infrastructure actuelle - ou comment vous pouvez commencer à établir la confiance au niveau de la couche d'identité pour l'IA agentique ? Nos experts en sécurité sont prêts à vous aider à définir votre feuille de route.
