Les agents IA accélèrent la façon dont le travail est effectué. Ils planifient des réunions, accèdent aux données, activent des flux de travail, écrivent du code et prennent des mesures en temps réel, augmentant ainsi la productivité au-delà de la vitesse humaine dans toute l'entreprise.
Vient ensuite le moment où toutes les équipes de sécurité attaquent enfin :
“Attendez… qui a approuvé ça ?”
Contrairement aux utilisateurs ou aux applications, les agents d'IA sont souvent déployés rapidement, largement partagés et dotés d'autorisations d'accès étendues, ce qui rend difficile le suivi de la propriété, de l'approbation et de la responsabilité. Ce qui était autrefois une question simple est aujourd’hui étonnamment difficile à répondre.
Les agents IA brisent les modèles d'accès traditionnels
Les agents IA ne sont pas simplement un autre type d’utilisateur. Ils sont fondamentalement différents des comptes de services humains traditionnels, et ces différences sont ce qui brise les modèles d'accès et d'approbation existants.
L'accès humain est basé sur une intention claire. Les autorisations sont liées à un rôle, sont révisées périodiquement et sont limitées par le temps et le contexte. Les comptes de service, bien qu'ils ne soient pas humains, sont généralement spécialement conçus, limités dans leur portée et liés à une application ou une fonctionnalité spécifique.
Les agents IA sont différents. Ils fonctionnent avec une autorité déléguée et peuvent agir au nom de plusieurs utilisateurs ou équipes sans nécessiter une implication humaine continue. Une fois autorisés, ils sont autonomes, persistants et agissent souvent sur plusieurs systèmes, se déplaçant entre plusieurs systèmes et sources de données pour effectuer des tâches de bout en bout.
Dans ce modèle, l'accès délégué automatise non seulement les actions des utilisateurs, mais les étend. Les utilisateurs humains sont limités par les autorisations qui leur sont explicitement accordées, mais les agents d’IA disposent souvent d’un accès plus large et plus puissant pour fonctionner efficacement. En conséquence, l’agent peut effectuer des actions que l’utilisateur lui-même n’a jamais été autorisé à effectuer. Une fois cet accès existant, l'agent peut agir ; Même si l'utilisateur n'a jamais eu l'intention d'effectuer l'action ou ne savait pas que cela était possible, l'agent peut toujours l'exécuter. De ce fait, l’agent peut créer une exposition, parfois accidentellement, parfois implicitement, mais toujours légitimement d’un point de vue technique.
C'est ainsi que se produit la dérive d'accès. Les agents accumulent silencieusement des autorisations à mesure que leur portée s'étend. Des intégrations sont ajoutées, les rôles changent, les équipes vont et viennent, mais l'accès des agents demeure. Ils deviennent de puissants intermédiaires bénéficiant d’autorisations larges et durables et souvent sans propriétaire clair.
Il n’est pas surprenant que les hypothèses existantes sur l’IAM s’effondrent. IAM suppose une identité claire, un propriétaire défini, des rôles statiques et des évaluations périodiques qui correspondent au comportement humain. Les agents IA ne suivent pas ces modèles. Ils ne correspondent pas parfaitement aux catégories d'utilisateurs ou de comptes de service, ils fonctionnent en continu et leur accès effectif est défini par la manière dont ils sont utilisés, et non par la manière dont ils ont été initialement approuvés. Sans repenser ces hypothèses, l’IAM devient aveugle au risque réel introduit par les agents d’IA.
Les trois types d’agents IA dans l’entreprise
Tous les agents IA ne comportent pas le même risque dans les environnements d’entreprise. Le risque varie en fonction du propriétaire de l'agent, de son utilisation généralisée et de l'accès dont vous disposez, ce qui entraîne des catégories distinctes avec des implications très différentes en matière de sécurité, de responsabilité et de rayon d'explosion :
Agents personnels (propriété de l'utilisateur)
Ces agents fonctionnent généralement avec les autorisations de l'utilisateur propriétaire. Votre accès est hérité et non étendu. Si l'utilisateur perd l'accès, l'agent perd également l'accès. Étant donné que la propriété est claire et que la portée est limitée, le rayon d'explosion est relativement petit. Le risque est directement lié à l'utilisateur individuel, ce qui fait des agents personnels les plus faciles à comprendre, à gérer et à corriger.
Agents externes (propriété du fournisseur)
Les agents tiers sont intégrés aux plateformes SaaS et IA, fournies par les fournisseurs dans le cadre de leur produit. Citons par exemple les fonctions d’intelligence artificielle intégrées aux systèmes CRM, aux outils de collaboration ou aux plateformes de sécurité.
Ces agents sont régis par des contrôles des fournisseurs, des contrats et des modèles de responsabilité partagée. Même si les clients peuvent avoir une visibilité limitée sur leur façon de travailler en interne, la responsabilité est clairement définie : le fournisseur est propriétaire de l'agent.
La principale préoccupation ici est le risque lié à l’IA dans la chaîne d’approvisionnement : faire confiance au fournisseur pour protéger adéquatement ses agents. Mais d’un point de vue commercial, la propriété, les voies d’approbation et la responsabilité sont souvent bien comprises.
Agents organisationnels (partagés et souvent sans propriété)
Les agents organisationnels sont déployés en interne et partagés entre les équipes, les flux de travail et les cas d'utilisation. Ils automatisent les processus, intègrent les systèmes et agissent au nom de plusieurs utilisateurs. Pour être efficaces, ces agents disposent généralement d'autorisations étendues et persistantes qui dépassent l'accès de n'importe quel utilisateur individuel.
C’est là que se concentre le risque. Les agents organisationnels n’ont souvent pas de propriétaire clair, pas d’approbateur unique et pas de cycle de vie défini. Lorsque quelque chose ne va pas, il n’est pas clair qui est responsable ni même qui comprend pleinement ce que l’agent peut faire.
En conséquence, les acteurs organisationnels représentent le plus grand risque et le plus grand rayon d’action, non pas parce qu’ils sont malveillants, mais parce qu’ils opèrent à grande échelle sans responsabilité claire.
Le problème de contournement de l’autorisation de l’agent
Comme nous l'expliquons dans notre article, les agents qui créent des routes de contournement d'autorisation, les agents IA non seulement exécutent des tâches, mais agissent également comme intermédiaires d'accès. Au lieu que les utilisateurs interagissent directement avec les systèmes, les agents opèrent en leur nom, en utilisant leurs propres informations d'identification, jetons et intégrations. Cela change l'endroit où les décisions d'autorisation sont réellement prises.
Lorsque les agents opèrent pour le compte d'utilisateurs individuels, ils peuvent fournir un accès et des fonctionnalités allant au-delà des autorisations approuvées de l'utilisateur. Un utilisateur qui ne peut pas accéder directement à certaines données ou effectuer des actions spécifiques peut toujours activer un agent qui le peut. L'agent devient un proxy, permettant des actions que l'utilisateur ne pourrait jamais effectuer seul.
Ces actions sont techniquement autorisées : l'agent dispose d'un accès valide. Cependant, ils ne sont pas sûrs du point de vue contextuel. Les contrôles d'accès traditionnels ne déclenchent aucune alerte car les informations d'identification sont légitimes. C’est le cœur du contournement des autorisations d’agent : l’accès est accordé correctement, mais il est utilisé d’une manière que les modèles de sécurité n’ont jamais été conçus pour gérer.
Repenser le risque : ce qui doit changer
La protection des agents d’IA nécessite un changement fondamental dans la manière dont les risques sont définis et gérés. Les agents ne peuvent plus être traités comme des extensions d'utilisateurs ou des processus d'automatisation en arrière-plan. Ils doivent être traités comme des entités sensibles et potentiellement à haut risque avec leurs propres identités, autorisations et profils de risque.
Cela commence par une appropriation et une responsabilité claires. Chaque agent doit avoir un propriétaire défini, responsable de son objectif, de sa portée d'accès et de son examen continu. Sans propriété, l’approbation n’a aucun sens et le risque reste non géré.
Il est également essentiel que les organisations cartographient la manière dont les utilisateurs interagissent avec les agents. Il ne suffit pas de comprendre à quoi un agent peut accéder ; Les équipes de sécurité ont besoin de savoir quels utilisateurs peuvent appeler un agent, dans quelles conditions et avec quelles autorisations effectives. Sans cette carte de connexion utilisateur-agent, les agents peuvent silencieusement devenir des chemins de contournement d'autorisation, permettant aux utilisateurs d'effectuer indirectement des actions qu'ils ne peuvent pas exécuter directement.
Enfin, les organisations doivent cartographier l’accès des agents, les intégrations et les chemins de données entre les systèmes. Ce n'est qu'en corrélant utilisateur → agent → système → action que les équipes peuvent évaluer avec précision le rayon d'explosion, détecter les utilisations abusives et enquêter de manière fiable sur les activités suspectes en cas de problème.
Le coût des agents d’IA organisationnels incontrôlés
Les agents d’IA organisationnels incontrôlés transforment les gains de productivité en risques systémiques. Ces agents, partagés entre les équipes et bénéficiant d’un accès large et persistant, fonctionnent sans propriété ni responsabilité claire. Au fil du temps, ils peuvent être utilisés pour de nouvelles tâches, créer de nouveaux chemins d’exécution et leurs actions deviennent plus difficiles à suivre ou à contenir. Lorsque quelque chose ne va pas, il n’y a pas de propriétaire clair qui puisse réagir, remédier ou même comprendre le rayon complet de l’explosion. Sans visibilité, propriété et contrôle d’accès, les agents d’IA organisationnels deviennent l’un des éléments les plus dangereux et les moins gouvernés du paysage de la sécurité d’entreprise.
Pour plus d'informations, visitez https://wing.security/
