Technologies

Gestion des identités à l'ère des agents : ce virage que le RSSI ne doit pas louper

Avec la prolifération attendue des agents, maintenir une vision à jour de leur nombre, de leur utilisation et des autorisations dont ils bénéficient s’annonce comme le premier défi pour les RSSI. (Photo : Mina FC/Unsplash)

Si les RSSI sont déjà confrontés aux identités non humaines, la montée en puissance de l'IA agentique va décupler le problématique. Les obligeant à repenser la gestion des identités.

PublicitéL'identité a toujours été un élément clef de la sécurité, mais la prolifération des agents d'IA modifie rapidement la complexité de sa gestion et de sa sécurisation, incitant les RSSI à repenser leurs stratégies en la matière, voire sa définition même. « L'identité est désormais à la fois une surface de contrôle et une surface d'attaque. Nous avions déjà des identités non humaines sous forme de clés API, de jetons et de comptes de service, mais nous avons maintenant des agents, une toute nouvelle catégorie », explique Dustin Wilcox, vice-président senior et RSSI chez S&P Global, entreprise américaine spécialisée dans l'information et l'analyse financière. La difficulté réside dans l'attribution des actions à des identités non humaines, car les signaux habituels ne s'appliquent pas. « Les techniques d'identification d'une personne, comme la télémétrie de son utilisation d'un clavier, ne seront pas applicables à un agent opérant entièrement dans le monde virtuel », note Dustin Wilcox.

Recenser les agents

Par ailleurs, avec la prolifération des agents, maintenir une vision complète et à jour de leur nombre, de leur utilisation et de leurs autorisations devient une réelle difficulté pour les RSSI. « Avec une identité humaine, il est possible de valider directement les besoins d'accès. Avec les comptes de service, et maintenant avec les agents, cette clarté est plus difficile à obtenir », souligne Michael Adams, RSSI de DocuSign, éditeur américain spécialisé dans la signature des documents.

« Les traiter comme s'ils correspondaient à des modèles existants peut engendrer des lacunes en matière de visibilité et de contrôle. Parallèlement, les systèmes d'IA contribuent à la croissance rapide des identités non humaines, notamment par la création de nouveaux identifiants et jetons, que de nombreux processus d'inventaire n'ont pas été conçus pour prendre en charge », ajoute Michael Adams.

Par ailleurs, du côté des utilisateurs humains, « l'IA générative rend l'ingénierie sociale plus convaincante, érodant certains signaux comportementaux sur lesquels les défenseurs s'appuyaient traditionnellement. Il en résulte une surface d'attaque qui s'étend au moment même où les indicateurs traditionnels deviennent moins fiables », souligne le RSSI de Docusign. Bref, un modèle de sécurité qui devient moins pertinent, précisément au moment où les assaillants le sont davantage.

Pour les deux RSSI, la bonne réponse consiste à adopter un modèle de sécurité axé sur l'identité, qui considère cette dernière comme la couche fondamentale de l'architecture de défense. « Chaque décision d'accès passe par l'identité et est vérifiée en continu, et non pas seulement à l'entrée », résume Michael Adams.

L'identité au coeur de la stratégie de sécurité

PublicitéLes RSSI gèrent désormais une nouvelle catégorie d'identités, incluant les assistants, les agents autonomes et les workflows basés sur l'IA, qui ne s'intègrent pas facilement aux cadres existants. Ces entités peuvent accéder aux systèmes, agir et prendre des décisions à la vitesse d'une machine. Par conséquent, Michael Adams affirme que les RSSI devront de plus en plus adopter une architecture de sécurité centrée sur l'identité. Selon lui, dans cette optique, plusieurs principes clés sont à prendre en compte :

1) Établissez des bases solides avant d'ajouter de la complexité. L'instinct, lorsqu'on modernise une gestion d'identité, consiste à se tourner vers des outils sophistiqués, explique Michael Adams. Son conseil est plutôt de mettre en place les fondamentaux : des répertoires propres, le respect du principe du moindre privilège et des processus de désactivation fiables. « Les organisations qui se lancent dans la vérification continue sans une hygiène rigoureuse sur les identités de base risquent de se retrouver avec des fondations instables », prévient-il.

2) Adaptez vos designs pour la nouvelle génération d'identités. Lors de la conception des modèles de rôles et des politiques d'accès, la tentation est grande de reproduire les structures existantes. « Cela entraîne souvent le transfert d'années de monstruosités dans la gestion des permissions dans une nouvelle architecture. Partir du principe du moindre privilège plutôt que de se baser sur le Legacy permet de garantir que les utilisateurs ne reçoivent que les accès nécessaires à leurs fonctions, explique le RSSI de Docusign. Il est important de remettre en question les habitudes établies lorsque cela s'avère pertinent. »

3) Mettez à jour l'inventaire des identités non humaines. Dressez un inventaire complet des identités non humaines, en précisant qui est responsable de chaque identité et quelles sont ses autorisations associées. Faites-le avant la mise en service de tout nouvel agent. « Il s'agit autant d'un défi de gouvernance que d'un défi technologique », souligne Michael Adams.

4) Considérez l'authentification multifacteur (MFA) comme un point de départ, non comme une finalité. La feuille de route en matière d'identité doit inclure des alternatives au MFA par SMS ou notification, qui soient résistantes au phishing. Le principe de moindre privilège, la micro-segmentation et le monitoring font partie intégrante de la stratégie. « Partez du principe que les identifiants peuvent être compromis et concevez votre architecture en conséquence », conseille le RSSI.

Les systèmes d'identité sont depuis longtemps des cibles privilégiées des assaillants. Mais à mesure que l'identité devient le principal point de contrôle, le risque se concentre et exige une approche différente. « J'encourage chaque RSSI à réfléchir en profondeur à l'intersection entre identité et IA », lance Michael Adams, ajoutant que les systèmes doivent être repensés autour du principe d'intention plutôt que du comportement à l'instant t, afin de garantir que les agents opèrent dans des limites appropriées. « Cela nécessite une surveillance comportementale et une évaluation des accès en temps réel, des capacités que de nombreuses organisations développent encore », souligne le RSSI.