Qu'est-ce que la sécurité basée sur l'IA agentique ?

Les systèmes d'IA autonomes opèrent dans les environnements d'entreprise, prenant des décisions, accédant à des données et exécutant des tâches sans intervention humaine. Cette autonomie exige un modèle de sécurité fondamentalement différent, qui ne s'articule pas autour des utilisateurs humains, mais autour des identités des machines, de la confiance cryptographique et de la vérification continue. La sécurité de l'IA agentique est la discipline qui consiste à sécuriser ces acteurs autonomes afin que les organisations puissent exploiter leurs capacités sans perdre le contrôle.

Qu'est-ce que la sécurité par IA agentique ?

La sécurité des IA agentiques vise à sécuriser les systèmes d'IA qui fonctionnent de manière autonome, c'est-à-dire les systèmes qui ne se contentent pas de générer du texte ou de répondre à des invites, mais qui mènent activement des actions au sein des environnements d'entreprise. Ces agents IA peuvent interroger des bases de données, appeler des API, modifier des configurations, créer des sous-agents et interagir avec des services externes, le tout sans attendre qu'un humain approuve chaque étape.

Cela donne naissance à une catégorie de sécurité distincte à la fois de la sécurité traditionnelle des modèles d'IA (qui consiste à protéger le modèle lui-même contre les attaques adversaires, l'empoisonnement des données ou l'injection de prompts) et de la sécurité des applications (qui consiste à renforcer la sécurité software le modèle). La sécurité de l'IA agentique répond à une troisième préoccupation : comment contrôler, vérifier et régir un acteur autonome disposant d'un accès au niveau de l'entreprise ?

Cette distinction est importante, car un agent IA n'est pas une charge de travail statique. Il s'agit d'un acteur autonome au sein de votre infrastructure, capable d'entreprendre des actions lourdes de conséquences à la vitesse d'une machine. Pour le sécuriser, il faut repenser les principes relatifs à l'identité, à l'autorisation et à la confiance, qui avaient été initialement conçus pour des utilisateurs humains.

Autonomie ou automatisation

Une distinction fondamentale est au cœur de toute cette discipline. Les systèmes automatisés suivent des scripts prédéfinis. Les agents IA autonomes, quant à eux, interprètent les objectifs, choisissent les outils et déterminent eux-mêmes la manière de les mettre en œuvre. Lorsqu’un agent est capable de décider non seulement comment agir, mais aussi quoi faire, c’est son identité qui détermine s’il doit être autorisé à agir ou non.

Pourquoi les modèles de sécurité traditionnels échouent face à l'IA agentique

Dans la plupart des entreprises, les architectures de sécurité ont été conçues pour deux types d'acteurs : les utilisateurs humains et les applications statiques. Les utilisateurs s'authentifient à l'aide de mots de passe, d'une authentification multifactorielle (MFA) et de clés d'accès. Les applications s'exécutent dans des environnements définis, avec des autorisations fixes. Aucun de ces deux modèles ne tient compte des agents autonomes capables d'agir de manière indépendante, de s'adapter instantanément, de fonctionner en continu et d'adopter un comportement imprévisible. Il en résulte une catégorie de risques pour laquelle les contrôles existants n'ont jamais été conçus.

Les agents IA sont des acteurs autonomes non humains

Les systèmes traditionnels de gestion des identités et des accès (IAM) partent du principe que chaque acteur est soit une personne, soit un service déterministe. Les agents IA ne sont ni l’un ni l’autre. Ce sont des acteurs autonomes non humains, c’est-à-dire des entités qui prennent des décisions, adaptent leur comportement en fonction du contexte et peuvent effectuer des actions différentes à chaque exécution, même avec les mêmes données d’entrée. Les modèles de gestion des accès privilégiés (PAM) conçus pour les humains ne conviennent pas aux agents IA. Le principe du privilège minimal pour les agents IA n'est pas une politique statique, mais doit plutôt être une négociation dynamique entre capacités et contraintes, ajustée en continu à mesure que le contexte de la tâche de l'agent évolue.

Pourquoi les contrôles actuels échouent

L'authentification à plusieurs facteurs (MFA) ne s'applique pas. La MFA fonctionne en vérifiant la présence d'un être humain, en confirmant l'accès à plusieurs ressources externes à un moment donné. Les systèmes d'IA agentique comportent plusieurs composants non humains qui ne peuvent pas être vérifiés à l'aide de ressources externes.

Les identifiants statiques ne suffisent pas. Les clés API et les secrets de client OAuth peuvent être partagés, divulgués ou volés. Ils ne permettent donc pas de garantir l'identité de l'agent spécifique qui les présente. Ils ne comportent aucun lien cryptographique avec une charge de travail ou un contexte d'exécution spécifiques.

Le périmètre du réseau n'a plus d'importance. Les agents IA opèrent à travers les différentes régions du cloud, les comptes, les plateformes SaaS et les systèmes sur site. Les limites de confiance basées sur la localisation n'offrent aucune protection.

Les modèles d'autorisation reposent sur la prévisibilité. Le contrôle d'accès basé sur les rôles (RBAC) part du principe que l'acteur agira de manière cohérente dans le cadre de son rôle. En l'absence de garde-fous, les agents IA peuvent interpréter leur mandat de manière large, enchaîner plusieurs appels d'outils ou étendre leurs propres droits d'accès.

Le problème de la vitesse et de l'échelle

Les processus de sécurité gérés par des humains impliquent un temps de réaction. Les agents IA fonctionnent à la vitesse de la machine. Un agent disposant de privilèges excessifs ou compromis peut exfiltrer des données, modifier des configurations ou se propager à travers les systèmes plus rapidement que n'importe quelle intervention humaine ne peut le contenir. Lorsque des milliers d'agents opèrent simultanément, chacun prenant des décisions indépendantes quant aux API à appeler, aux données auxquelles accéder et aux actions à entreprendre, la surface d'attaque se multiplie. Un seul agent mal configuré devient un risque ; une flotte d'agents mal configurés devient une exposition systémique.

Accès inter-systèmes et déplacement latéral

Les agents IA ont généralement besoin d'accéder à plusieurs systèmes d'entreprise : bases de données, services cloud, plateformes de communication, référentiels de code et API tierces. Cet accès intersystèmes crée des voies de déplacement latéral que la segmentation traditionnelle ne peut contenir. Un agent compromis dans un système peut se propager vers d'autres en utilisant ses identifiants existants. Dinesh Nagarajan, partenaire mondial pour la cybersécurité chez IBM Consulting, met en avant un risque aggravant : les agents qui créent d'autres agents, chacun héritant ou étendant les droits d'accès de son parent. La gestion de ces chaînes en cascade nécessite des contrôles d'identité et d'autorisation qui fonctionnent à la même échelle et à la même vitesse que les agents eux-mêmes.

Suivi insuffisant de la traçabilité

Les systèmes peuvent ne pas disposer d'un mécanisme complet et cryptographiquement solide de traçabilité de la provenance. Sans cela, il n'existe pas de piste d'audit fiable. Si un agent IA modifie un enregistrement de base de données, valide une transaction ou envoie une communication, l'organisation doit être en mesure de prouver quel agent a effectué l'action, à quel moment et en vertu de quelle autorisation. Les identifiants statiques, tels que les clés API, ne permettent pas d'assurer cela. Ils peuvent être partagés entre plusieurs agents, réutilisés d'une session à l'autre et n'offrent aucune preuve cryptographique de l'origine.

Lorsqu'un agent est confronté à une situation imprévue, son comportement peut s'avérer imprévisible. Contrairement software déterministes software renvoient un code d'erreur et s'arrêtent, un agent autonome peut tenter d'autres approches, réessayer avec des paramètres différents ou intensifier ses actions à l'insu de l'humain. Définir et mettre en œuvre un comportement à sécurité intégrée pour les agents autonomes constitue un défi de conception en matière de sécurité pour lequel il n'existe pas de précédent clair.

L'identité comme fondement de la sécurité de l'IA agentique

Toute autre mesure de sécurité (telle que l'autorisation, la surveillance, la gouvernance ou la révocation) dépend de la réponse à une question fondamentale : qui est cet agent ? L'identité doit précéder l'autorisation. Sans une identité vérifiée et unique pour chaque agent IA, il n'existe aucun moyen fiable d'appliquer les politiques d'accès, de contrôler les comportements ou de révoquer les accès lorsque cela s'avère nécessaire.

Pourquoi privilégier l'identité des machines plutôt que les méthodes basées sur l'identité humaine ?

Les agents IA ne peuvent pas utiliser de mots de passe. Ils ne peuvent pas répondre aux défis liés à l'authentification multifactorielle. Ils ne disposent pas de données biométriques. Les éléments d'identité conçus pour les utilisateurs humains sont, d'un point de vue architectural, incompatibles avec les charges de travail autonomes de l'IA.

L'identité des machines (plus précisément, l'identité cryptographique fondée sur des certificats numériques) résout ce problème. Les certificats numériques offrent :

Une identité unique et infalsifiable. Chaque certificat est lié de manière cryptographique à un agent ou à une charge de travail spécifique. Il ne peut être copié, partagé ou usurpé sans être détecté.

Gestion intégrée du cycle de vie. Les certificats ont une date d'expiration, peuvent être renouvelés automatiquement et peuvent être révoqués instantanément lorsqu'un agent est mis hors service ou compromis.

Non-répudiation. Les actions signées à l'aide d'une clé privée liée à un certificat peuvent être attribuées à un agent spécifique avec une certitude cryptographique. Cela facilite les audits, la conformité et les enquêtes judiciaires.

Chiffrement et authentification mutuelle. Les certificats peuvent être utilisés pour l'authentification mutuelle via des protocoles tels que mTLS, garantissant ainsi que l'agent et le service auquel il se connecte vérifient mutuellement leur identité avant d'échanger des données.

Au-delà des certificats : SPIFFE pour l'IA native aux conteneurs

Pour les agents IA fonctionnant dans des environnements conteneurisés ou natifs du cloud, la norme SPIFFE (Secure Production Identity Framework for Everyone) offre une couche d'identité spécialement conçue pour les charges de travail. SPIFFE permet l'attribution automatique d'identités, émet des SVID (SPIFFE Verifiable Identity Documents) X.509 à durée de vie limitée et prend en charge TLS mutuel TLS gestion manuelle des certificats. Lorsque les agents IA s'exécutent sous forme de conteneurs éphémères, SPIFFE garantit que chaque instance dispose d'une identité vérifiée dès son démarrage.

L'identité en tant que plan de contrôle

Ben Schreiner, d'AWS, décrit l'identité comme « le seul plan de contrôle qui s'étend aux comptes, aux régions, aux services et aux acteurs ». Pour l'IA agentique, ce cadre de référence est essentiel. L'identité n'est pas une fonctionnalité de sécurité ajoutée après coup à un déploiement d'IA : c'est la couche architecturale qui rend possible tous les autres contrôles de sécurité.

Le modèle « Zero Trust » pour l'IA agentique

Le « Zero Trust » — « ne jamais faire confiance, toujours vérifier » — est un modèle de sécurité initialement conçu pour les réseaux d'entreprise et les utilisateurs humains. Appliqué à l'IA agentique, cela signifie qu'aucun agent IA n'est considéré comme fiable par défaut, quels que soient l'endroit où il s'exécute, la personne qui l'a déployé ou les informations d'identification qu'il présente.

Pourquoi le modèle « Zero Trust » s'applique aux agents d'IA

Les modèles de sécurité traditionnels accordent une confiance implicite en fonction de l'emplacement sur le réseau, de l'environnement de déploiement ou de l'authentification initiale. Ces hypothèses ne s'appliquent pas aux agents d'IA pour les raisons suivantes :

• Les agents évoluent d'un environnement à l'autre. Un agent IA peut démarrer dans une région cloud, accéder à des services dans une autre et interagir avec des systèmes sur site, le tout au cours d'une seule tâche.
• Les identifiants statiques restent valides bien au-delà de leur durée d'utilisation prévue. Une clé API émise pour une tâche spécifique peut rester valide longtemps après que cette tâche a été accomplie, créant ainsi un privilège permanent qu'un pirate — ou un agent malveillant — peut exploiter.
• Une authentification initiale ne suffit pas. Un agent authentifié au démarrage peut fonctionner pendant des heures, voire des jours, période durant laquelle son contexte, ses autorisations ou sa fiabilité peuvent évoluer.

Une vérification en continu pour chaque action

Dans un modèle « Zero Trust » pour l'IA agentique, chaque action effectuée par un agent doit être vérifiée de manière indépendante :

• Vérifiez l'identité de l'agent à l'aide d'un identifiant cryptographique (et non d'un jeton statique).
• Autorisez l'action en question en fonction de la politique en vigueur, et non des autorisations permanentes.
• Vérifiez le contexte en vous assurant que l'agent opère bien dans le cadre prévu, dans les délais impartis et dans les limites des ressources disponibles.
• Enregistrer l'action avec une preuve cryptographique d'identité à des fins d'audit.

Ce modèle remplace le principe « s'authentifier une fois, faire confiance pour toujours » par « vérifier à chaque fois, ne rien prendre pour acquis ». Les flux OAuth s'appuyant sur des certificats clients — plutôt que sur des secrets clients statiques — offrent un modèle de mise en œuvre pratique pour l'authentification des agents IA, qui combine les principes du « Zero Trust » avec l'infrastructure d'entreprise existante.

La feuille de route de déploiement en trois phases

Les organisations peuvent mettre en œuvre le modèle « Zero Trust » pour l'IA agentique en trois phases :

• Poser les bases d'une approche « Zero Trust ». Déployer PKI , définir des politiques d'identité pour les charges de travail d'IA et mettre en œuvre une authentification par certificat pour les communications entre machines.
• Déployez le premier agent sécurisé. Configurez un agent IA unique doté d'une identité liée à un certificat, appliquez le principe du moindre privilège et validez le processus de surveillance et de révocation.
• Évoluez grâce à l'automatisation. Étendez l'infrastructure d'identité à tous les agents IA grâce à la délivrance automatisée de certificats, à la gestion du cycle de vie et à l'application des politiques. Intégrez-la à des plateformes d'orchestration pour garantir que chaque nouvel agent reçoive une identité avant de pouvoir agir.

Mise en place d'un programme de sécurité basé sur l'IA agentique

Le déploiement des agents IA a tendance à devancer la mise en place de l'infrastructure d'identité nécessaire à leur gestion, et cet écart ne fait que s'accentuer à chaque nouveau déploiement. Un programme de sécurité structuré permet de relever ce défi en couvrant à la fois la gouvernance, les contrôles techniques et la préparation opérationnelle. Selon une étude Keyfactor, seules 50 % des entreprises ont pleinement mis en œuvre une gouvernance pour les agents IA, et 55 % estiment que la direction ne prend pas suffisamment au sérieux les risques liés à l'identité dans le domaine de l'IA.

Gouvernance et responsabilité

Définissez clairement les responsabilités, les politiques et les obligations de rendre compte relatives au déploiement des agents d'IA. Précisez qui est habilité à déployer des agents, à quoi ils ont accès et comment les décisions sont contrôlées. La gouvernance n'est pas facultative ; c'est la condition préalable organisationnelle à toute mesure de contrôle technique qui s'ensuit. Pour régir des systèmes fonctionnant à la vitesse des machines, il faut des contrôles qui opèrent à la même vitesse. Une gouvernance fondée sur des politiques, mise en œuvre par le biais d'identifiants d'identité, d'autorisations automatisées et d'une surveillance en temps réel, doit remplacer la supervision manuelle en tant que principal mécanisme de gouvernance.

Principes fondamentaux en matière de sécurité

La sécurisation de l'IA agentique nécessite une approche systématique couvrant plusieurs domaines. Les recherches Keyfactoridentifient huit domaines qui constituent un cadre de sécurité complet : gouvernance, identité, autorisation, protection des données, conformité cryptographique, contrôles opérationnels, éthique et audit. Les principes suivants traitent des domaines les plus critiques parmi ceux-ci :

• Des identités solides et vérifiables. Chaque agent IA doit disposer d'une identité unique et cryptographiquement vérifiable, fondée sur des certificats numériques. Les extensions de certificat permettent d'intégrer directement dans les informations d'identification des politiques d'accès, des restrictions temporelles et des exigences de conformité.
• Principe du moindre privilège. N'accorde à chaque agent que les autorisations minimales nécessaires à la tâche qu'il effectue, et retire les autorisations étendues immédiatement après leur utilisation. Pour les agents IA, le principe du moindre privilège est dynamique : les autorisations doivent donc être restreintes ou étendues en fonction de l'action spécifique en cours d'exécution.
• Authentification mutuelle. L'agent et le service auquel il se connecte doivent tous deux vérifier leur identité respective. TLS mutuel, rendu possible par les certificats numériques, assure une vérification bidirectionnelle de l'identité à chaque connexion.
• Surveillance continue. Surveillez le comportement des agents en temps réel. Détectez les anomalies, telles que les schémas d'accès inhabituels, les appels API inattendus ou les actions hors champ, et déclenchez des réponses automatisées. Chaque action d'un agent doit être consignée avec une preuve cryptographique d'identité.
• Révocation rapide. Lorsqu'un agent est compromis, présente un comportement anormal ou n'est plus nécessaire, son identité et ses droits d'accès doivent pouvoir être révoqués en quelques secondes, mettant ainsi fin à sa capacité à s'authentifier sur n'importe quel système.

Évolutivité de l'infrastructure d'identité

Les déploiements d'IA en entreprise passent de programmes pilotes impliquant une poignée d'agents à des environnements de production en comptant des milliers d'agents. L'infrastructure d'identité doit s'adapter en conséquence. La gestion manuelle des certificats n'est plus viable à un tel volume. La seule solution viable réside dans l'automatisation de l'émission, du renouvellement et de la révocation, gérée via une plateforme centralisée.

Chaque identité d'agent IA suit un cycle de vie : création, délivrance, renouvellement et révocation. L'automatisation de ce cycle de vie permet d'éliminer les goulots d'étranglement liés à l'intervention humaine, qui sont à l'origine à la fois de failles de sécurité (certificats périmés ou non révoqués) et de retards opérationnels (agents en attente d'une validation manuelle). La gestion entièrement automatisée du cycle de vie des identités est une fonctionnalité de base, et non une simple optimisation.

Agilité cryptographique et préparation à l'ère post-quantique

L'informatique quantique représente une menace directe pour les algorithmes cryptographiques actuels. Les organisations qui sécurisent des agents d'IA doivent s'assurer que leur infrastructure d'identité prend en charge l'agilité cryptographique, c'est-à-dire la capacité à passer à de nouveaux algorithmes sans remplacer la plateforme sous-jacente.

Kay Firth-Butterfield, PDG de Good Tech Advisory, considère la vérification comme une exigence fondamentale pour une IA responsable. À mesure que les agents IA opèrent avec des capacités et une autonomie accrues, la capacité à vérifier leur identité, à autoriser leurs actions et à contrôler leur comportement détermine si les organisations peuvent déployer l'IA de manière responsable à grande échelle. Selon une étude Keyfactor, 85 % des professionnels de la cybersécurité s'accordent à dire que les identités des agents IA seront aussi répandues que les identités humaines. L'infrastructure permettant de gérer ces identités doit être en place avant les déploiements qui en dépendent.

Pourquoi Keyfactor au cœur de la sécurité de l'IA agentique

La sécurité de l'IA agentique repose sur une infrastructure d'identité des machines capable de fonctionner à l'échelle et à la vitesse des systèmes d'IA autonomes. La plateforme Keyfactorgère les identités des machines sur l'ensemble des appareils, des charges de travail et des agents d'IA à l'échelle de l'entreprise. EJBCA fournit une PKI flexible pour l'émission de certificats X.509, qui constituent la base cryptographique de l'identité des agents IA. Keyfactor Command automatise la gestion du cycle de vie des certificats – découverte , émission, renouvellement et révocation – afin que les équipes de sécurité puissent gérer les identités des agents sans processus manuels. Keyfactor SignServer la signature de code et d’artefacts pilotée par API pour des actions d’agents vérifiables.

Comme le souligne Ted Shorter, directeur technique de Keyfactor, les certificats continuent de s'imposer dans les architectures d'IA car « ils permettent de résoudre des problèmes que les identifiants plus simples ne peuvent pas résoudre ». Keyfactor la base cryptographique qui rend possibles le modèle Zero Trust, la gouvernance et la traçabilité pour l'IA autonome, en prenant en charge les normes NIST, ISO, SPIFFE et OAuth 2.0, ainsi que la préparation à l'ère post-quantique grâce à Keyfactor .