Pour une révolution maîtrisée de l’IA agentique

Après la révolution de l’IA générative, il est désormais l’heure d’entrer dans l’ère de l’IA agentique. Comme son prédécesseur, ce nouvel outil, avec son autonomie inégalée, aura lui aussi ses avantages et ses inconvénients, en particulier du point de vue de la cybersécurité. Selon une étude publiée par le cabinet Deloitte, 52 % des entreprises envisagent de faire appel à l’IA générative pour l’automatisation de leurs systèmes, avec plus d’un dirigeant sur quatre (26 %) déclarant que des projets en ce sens sont déjà largement engagés. L’implémentation de cet outil créera inévitablement de nouveaux points de risques et de vulnérabilité à comprendre et à maîtriser.

Une contribution de Yuval Moss, VP Solutions, Global Strategic Partners chez CyberArk

À la vitesse où avance ce domaine, les difficultés n’ont pu être anticipées ni par les entreprises ni par les experts. Il est donc nécessaire d’identifier les risques inhérents à une adoption généralisée des agents IA afin d’être capables de protéger les réseaux et les données et d’éviter les compromissions dans ce paysage informatique radicalement bouleversé.

Les agents IA : une réalité inévitable pour les grandes entreprises

L’IA agentique désigne des systèmes autonomes conçus pour effectuer des tâches ou prendre des décisions au nom des utilisateurs. Ils sont capables d’analyser leur environnement, de traiter des données et de prendre des initiatives pour atteindre des objectifs spécifiques. En exploitant des algorithmes avancés et le machine learning, ils peuvent s’adapter à des informations inédites et améliorer progressivement leurs performances, ce qui en fait des outils précieux pour gagner en productivité et en efficacité. Même si ces agents IA ne sont pas encore largement déployés dans les principaux environnements de production, de nombreux analystes sont convaincus que leur adoption augmentera rapidement au vu de leurs avantages et de leur impact sur les résultats des équipes.

Toutes les identités, des utilisateurs professionnels aux services IT, en passant par les développeurs et même les appareils et applications, interagiront bientôt avec les ressources et services via des agents. Les grandes entreprises auront le choix entre plusieurs approches. Elles pourront opter pour des agents clé en main fournis par les systèmes d’exploitation, les navigateurs ou les plateformes, ou encore intégrer des agents dans des outils utilisés au quotidien, comme Microsoft Teams. De nombreuses entreprises développeront aussi leurs propres agents, ou opteront pour des agents SaaS créés par des prestataires externes. Du fait de leur intégration dans les tâches les plus fréquentes et du rôle croissant d’interface qu’ils sont appelés à jouer pour tous les services, il sera virtuellement impossible de les ignorer.

L’autonomie et le manque de visibilité posent de graves risques de sécurité

Cette intégration n’est pas sans conséquences sur le plan de la sécurité. En premier lieu, que ce soit en exploitant les capacités agentiques de leurs postes de travail, de leur navigateur ou d’applications SaaS, ou d’une combinaison des trois, les utilisateurs pourront décupler leur productivité. Les agents leur permettront de créer leurs propres équipes virtuelles, capables de travailler et d’interagir en toute autonomie. Ceci signifie qu’en cas d’attaque interne ou externe, le profil de risque de tout utilisateur professionnel ordinaire recourant régulièrement à l’IA augmentera de façon exponentielle.

De plus, des agents IA peuvent être déployés de manière indépendante, en arrière-plan, par les équipes spécialisées, par des développeurs, ou encore par des utilisateurs via des applications SaaS, des outils du système d’exploitation ou leurs navigateurs. Ainsi, ces initiatives d’adoption, quelle que soit la forme des agents concernés, s’effectueront sans les processus et les précautions de sécurité d’usage. En outre, il est possible que dans certains cas, le service IT n’ait aucune visibilité sur les agents mis en place, ce qui peut induire des problématiques. En effet, des agents IA non autorisés peuvent fonctionner sans supervision et introduire des vulnérabilités dans des emplacements inattendus. Ces agents fantômes opèrent ainsi dans l’ombre, indépendamment de tout système de contrôle.

Un atout pour les développeurs à utiliser avec précaution

L’IA générative a eu un impact très positif sur la productivité des développeurs. Les agents d’IA peuvent d’ores et déjà transformer ces derniers en véritables services de R&D et d’exploitation à eux tout seuls, en leur donnant les moyens de gérer, de façon indépendante, l’intégralité des processus de développement et de maintenance des applications, y compris le code, l’intégration, les contrôles qualité, le déploiement, la production et les dépannages.

Toutefois, cette productivité accrue s’accompagne d’un élargissement du champ des responsabilités des développeurs, à qui il faut alors accorder des niveaux de privilèges plus élevés afin de leur laisser une plus grande latitude d’action dans l’entreprise. En conséquence, si l’identité d’un tel développeur est compromise, le niveau de risque est désormais largement plus élevé.

Une augmentation des risques humains

Alors que l’adoption des agents d’IA se généralise dans les entreprises, les processus incluant une présence humaine deviennent essentiels pour valider ces agents et s’assurer qu’ils fonctionnent conformément à ce qu’on attend d’eux. Cela donne aux personnes assurant cette présence des responsabilités conséquentes, telles que l’approbation des exceptions et des requêtes émises par les agents, mais aussi la capacité d’en influencer les comportements futurs.

Les cybercriminels pourront alors cibler ces personnes pour infiltrer les architectures, élever leurs privilèges et obtenir un accès non autorisé aux systèmes et aux données. L’inclusion d’une présence humaine est ainsi essentielle pour superviser les systèmes et en garder le contrôle, mais elle ouvre aussi une vulnérabilité majeure en cas de compromission de ces identités clés.

Des millions d’entités à gérer

Les identités machines prolifèrent à un rythme sans précédent, dépassant désormais les identités humaines selon un rapport de 45 pour 1. Et ce n’est peut-être que la partie émergée de l’iceberg.

La présence de millions d’agents IA dans un environnement d’entreprise est d’autant plus logique que les bonnes pratiques en matière de développement d’applications utilisant des agents IA suggèrent de diviser les tâches en plusieurs modules spécialisés capables de coopérer entre eux pour atteindre un objectif plus large. Cette augmentation exponentielle et le volume considérable des identités machines posent des défis importants en matière de gestion et de sécurisation de ces identités.

Au moment où elles apprennent encore à gérer et à utiliser les agents IA pour améliorer leur productivité et assurer la bonne marche de leurs activités, les entreprises doivent aussi garantir des mises en œuvre sûres, conformes et fiables afin de déployer en toute sécurité l’IA agentique à grande échelle. Les priorités doivent inclure une visibilité complète des activités, des mécanismes d’authentification sécurisés, l’adoption du principe de moindre privilège, des contrôles d’accès juste à temps (JIT) et un audit complet des sessions afin de pouvoir associer chaque action à une identité. Ceci est essentiel, tant pour les identités humaines que pour les identités machine. Face à la complexité de cette nouvelle technologie, ces mesures seront cruciales pour limiter ces nouveaux risques de sécurité. Tout comme cela a été le cas pour l’IA générative ces dernières années, l’IA agentique doit être pleinement maîtrisée pour profiter de ses avantages sans ouvrir la porte aux cybercriminels.

À lire également : Pourquoi ChatGPT ne peut pas (et ne doit pas) être votre conseiller financier