Des fantômes dans la machine : la crise cachée des identités de charges de travail de l’IA

Alors que les agents IA se multiplient en coulisses, les organisations font face à une crise d’identité croissante qui pourrait ouvrir la voie à de nouveaux risques de sécurité.

Le sous-monde numérique grouille de travailleurs invisibles. Les agents IA et les services automatisés effectuent désormais une grande partie du travail autrefois réservé aux employés en chair et en os : traitement des transactions, analyse de données, voire prise de décisions en une fraction de seconde. Mais à mesure que ces identités non humaines (INH) prolifèrent, les fissures dans nos fondations de sécurité s’élargissent. Dans ce paysage obscur, un seul identifiant négligé pourrait devenir la clé passe-partout d’une brèche catastrophique.

Chiffres clés

Les identités non humaines, comme les agents IA, sont désormais plus nombreuses que les utilisateurs humains dans de nombreuses grandes organisations.
Beaucoup d’entreprises s’appuient encore sur des méthodes peu sûres - telles que les IP statiques et les clés non renouvelées - pour authentifier les charges de travail.
Les leaders du secteur encouragent l’adoption de justificatifs dynamiques, à durée de vie courte, et de standards ouverts pour sécuriser l’avenir piloté par l’IA.
L’authentification des charges de travail est un sujet phare des prochaines conférences cybersécurité, signe de son urgence croissante.
Une gestion laxiste des identités de charges de travail peut entraîner de graves risques techniques et financiers, préviennent les experts.

À l’origine, authentifier un service revenait à faire confiance à une adresse IP ou à un mot de passe codé en dur. Mais à mesure que les organisations adoptent l’IA et les architectures cloud natives, le nombre de charges de travail - tâches d’arrière-plan effectuées par des applications et services - a explosé. Chacune a besoin d’une identité, et chaque identité doit être gérée, sécurisée et vérifiée. Selon Yaroslav Rosomakho, directeur scientifique chez Zscaler, « c’était un monde plus simple » avant que les agents IA ne commencent à imiter la prise de décision humaine et à opérer dans des environnements hybrides tentaculaires.

Le problème ? Beaucoup d’entreprises n’ont pas suivi le rythme. « Il existe des pratiques peu sûres généralisées en matière d’identité de charge de travail », confie Rosomakho à Netcrook. Les identifiants statiques - jamais renouvelés, facilement usurpés - restent étonnamment courants. Certaines organisations lient encore des processus critiques à des en-têtes ou des clés statiques, laissant la porte grande ouverte aux attaquants. À chaque nouvel agent IA déployé, la surface d’attaque s’élargit, et les conséquences d’une erreur se multiplient.

Sam Curry, RSSI de Zscaler, estime que la solution commence par un inventaire lucide : « Les organisations devraient rechercher les secrets, faire l’inventaire de leurs agents IA et services, et tendre vers le zero trust. » Cela signifie abandonner les identifiants statiques au profit d’identités dynamiques, à durée de vie courte, qui expirent rapidement et ne peuvent être réutilisées par des attaquants. Des standards ouverts comme SPIFFE et des initiatives telles que le groupe de travail WIMSE de l’IETF posent les bases d’une authentification des charges de travail évolutive et multiplateforme. Kubernetes, par exemple, peut attribuer des comptes de service dynamiques aux charges de travail, rendant l’identité à la fois portable et temporaire.

Mais adopter ces nouveaux modèles ne se limite pas à une mise à niveau technique - il s’agit aussi de changer de mentalité. Dans un monde où les communications numériques les plus précieuses pourraient bientôt se dérouler sans aucune intervention humaine, les enjeux n’ont jamais été aussi élevés. Confidentialité, intégrité et disponibilité doivent désormais être garanties pour les interactions machine à machine. Les anciennes méthodes ne suffiront plus. Comme le dit Curry : « C’est peut-être l’un des sujets les plus importants pour les professionnels du cyber ou de l’IT : OK, quelle est notre stratégie ici ? »

La crise des identités de charges de travail de l’IA est la nouvelle frontière de la sécurité - un territoire où des agents invisibles dictent les règles, et où le prix de l’ignorance est élevé. Les organisations qui s’adapteront rapidement et adopteront des stratégies d’identité robustes et évolutives seront celles qui survivront à la tempête à venir. Les autres risquent d’être hantées par les fantômes qu’elles auront elles-mêmes créés.

WIKICROOK

Non : Une identité non humaine est un identifiant numérique utilisé par des logiciels ou des machines, et non par des personnes, pour accéder de façon sécurisée à des systèmes et des données.
Mutual TLS (mTLS) : Le Mutual TLS (mTLS) chiffre les données entre deux ordinateurs et exige que chaque partie vérifie l’autre, rendant l’accès non autorisé beaucoup plus difficile.
Identifiants statiques : Les identifiants statiques sont des informations d’authentification, comme des mots de passe ou des clés, qui changent rarement et sont souvent réutilisées, augmentant les risques de sécurité.
Zero trust : Le Zero Trust est une approche de sécurité où aucun utilisateur ou appareil n’est approuvé par défaut, exigeant une vérification stricte pour chaque demande d’accès.
SPIFFE : SPIFFE est un standard ouvert pour attribuer des identités sécurisées et à durée de vie courte aux charges de travail logicielles, permettant une authentification forte dans des environnements dynamiques et cloud natifs.