Ingénierie sociale

Publié le 24 septembre 2025 10:30. L’essor de l’intelligence artificielle au sein des entreprises crée une nouvelle vulnérabilité : les « identités non humaines » (INH), ces agents IA autonomes qui opèrent discrètement sur les réseaux et qui pourraient constituer une menace interne insoupçonnée.

• Le nombre d’INH, qui automatisent des tâches variées, dépasse potentiellement 80 pour 1 le nombre d’utilisateurs humains dans les entreprises.
• Ces agents, souvent déployés sans surveillance adéquate, peuvent accéder à des données sensibles et potentiellement être compromis par des cybercriminels.
• Les experts appellent à une évolution des systèmes de gestion des identités et des accès (IAM) pour inclure et contrôler ces nouvelles entités.

La prochaine brèche de sécurité ne viendra peut-être pas d’un pirate informatique extérieur, mais d’un agent d’intelligence artificielle déjà intégré à votre infrastructure. Et ce n’est pas un agent implanté par un attaquant, mais un outil que vous avez vous-même déployé pour automatiser des tâches, qu’il s’agisse de résumer des réunions, de gérer les demandes d’assistance ou d’accélérer le développement de logiciels. Ces agents agissent de manière autonome, accèdent à des ressources, prennent des décisions et franchissent les limites de la confiance sans que cela suscite d’alerte.

Cette situation représente un nouveau visage de la menace interne, une menace qui n’est pas nécessairement malveillante, mais qui est souvent négligée. La plupart des organisations comptent désormais des centaines, voire des milliers, d’INH opérant dans leurs services cloud, leurs interfaces de programmation (API) et leurs systèmes internes. Selon certaines estimations, leur nombre pourrait dépasser 45 pour 1 celui des utilisateurs humains dans les environnements DevOps, mais ce ratio pourrait même atteindre 80 pour 1 dans l’ensemble des entreprises. Beaucoup de ces agents sont créés et déployés par des développeurs ou des utilisateurs métier sans contrôle rigoureux de leur cycle de vie.

L’intégration croissante de l’IA générative et des grands modèles de langage dans les flux de travail quotidiens ne fait qu’amplifier ce phénomène. Ces INH deviennent de plus en plus autonomes, complexes et difficiles à suivre. Leur caractère orphelin et leur oubli facile conduisent à une prolifération des identités, où l’acteur le plus dangereux de votre environnement n’est plus nécessairement une personne, mais un processus automatisé. Face à cette réalité, l’Identity Management Institute considère que les cadres de gestion des identités et des accès (IAM) qui prennent en compte à la fois les identités humaines et non humaines constituent désormais la nouvelle norme en matière de sécurité.

Une nouvelle catégorie de risque : les identités non humaines (INH)

La majorité des organisations n’ont pas été conçues pour gérer des identités capables de penser et d’agir par elles-mêmes. Les comptes de service et les scripts d’automatisation existent depuis longtemps, mais les agents d’IA sont fondamentalement différents. Ils ne sont pas de simples processus passifs en arrière-plan ; ils peuvent lancer des actions, augmenter leurs privilèges, générer du contenu et même usurper l’identité d’utilisateurs. Et leur nombre ne cesse de croître. La difficulté supplémentaire est que les INH ne passent pas par les procédures habituelles d’intégration des ressources humaines, de formation à la sécurité ou de gestion des départs. Une fois déployés, ils ont tendance à persister, même lorsqu’ils ne sont plus nécessaires.

Cette situation crée un fossé croissant en matière de visibilité. Sans un système d’enregistrement des INH, les organisations peinent à répondre à des questions fondamentales : qui a créé cet agent ? À quelles données a-t-il accès ? Est-il encore pertinent ? Même les agents d’IA bien configurés peuvent devenir dangereux s’ils disposent de privilèges excessifs ou s’ils fonctionnent sans surveillance. Et cela, avant même de considérer le risque de compromission, où un compte IA piraté pourrait exploiter ses accès élevés de manière invisible, sans déclencher d’alerte. L’année dernière, le FBI a d’ailleurs mis en garde contre l’utilisation de l’IA par les cybercriminels pour mener des campagnes de phishing et d’ingénierie sociale (voir le communiqué de presse du FBI). Avec la prolifération des INH, ces outils se trouvent désormais à l’intérieur même des entreprises. L’ampleur et le volume de cette « menace interne » rendent la gestion et le suivi manuels impossibles.

L’IAM doit évoluer

Le marché de la cybersécurité de l’IA devrait connaître une croissance spectaculaire, passant de 31,4 milliards de dollars cette année à près de 220 milliards de dollars d’ici 2034. Cette évolution rapide confirme une vérité immuable : la sécurité commence par déterminer qui peut accéder à quoi et ce qu’il est autorisé à faire une fois à l’intérieur. L’avènement de l’IA n’a pas modifié ce principe fondamental, mais a considérablement augmenté les enjeux.

L’identité a toujours été au cœur de la sécurité, définissant qui a accès, dans quelles conditions et pour combien de temps. Mais la définition de « qui » a changé. Aujourd’hui, les utilisateurs les plus actifs de votre environnement ne sont peut-être pas des personnes. Ce changement nécessite une adaptation des systèmes IAM. Les cadres existants, conçus autour de l’intégration et de la désintégration des employés, ne peuvent pas suivre le rythme rapide et fluide de l’accès non humain.

Les déploiements IAM modernes doivent donc aller au-delà des contrôles d’accès basés sur les rôles et commencer à gérer l’intention. Ils doivent gouverner les systèmes autonomes qui se sont si facilement intégrés à l’environnement réseau qu’ils finissent par être oubliés. Il est donc essentiel d’appliquer les mêmes exigences aux INH qu’aux employés : attribuer des identités uniques, appliquer le principe du moindre privilège, maintenir une visibilité en temps réel et conserver des pistes d’audit détaillées. Si un employé n’a plus de rôle pertinent, on ne lui permet pas de continuer à venir au bureau ou de conserver des mots de passe pour des comptes sensibles – pourquoi traiter les INH différemment ?

L’IA, une arme à double tranchant

Au-delà des INH, l’IA est désormais utilisée comme une arme des deux côtés du spectre de la cybersécurité. Sur le plan offensif, des outils comme WormGPT permettent aux attaquants de générer facilement des e-mails de phishing convaincants, de se faire passer pour des dirigeants et de lancer des exploits automatisés à grande échelle, sans aucune compétence en programmation. Les caractéristiques traditionnelles d’une arnaque – grammaire incorrecte, introductions génériques, usurpations d’identité maladroites – s’estompent rapidement. Grâce à l’IA générative, même les acteurs peu qualifiés peuvent désormais monter des campagnes convaincantes et à fort impact.

Mais l’IA est tout aussi essentielle du côté défensif. En fait, 70 % des professionnels de la cybersécurité estiment que l’IA les aide à détecter des menaces qui passeraient autrement inaperçues. Associée aux bons modèles, l’IA peut signaler les anomalies comportementales en temps réel, réduire le temps de réponse et identifier des schémas d’attaque complexes noyés dans le bruit du réseau. Le véritable avantage réside dans l’alignement : une IA adaptée à votre environnement, gouvernée avec intention et fiable pour agir uniquement dans des limites définies. Cependant, cette confiance, comme dans le cas des organismes d’assurance maladie, repose sur des contrôles d’identité rigoureux. Sans eux, même vos meilleurs outils de défense peuvent devenir des faiblesses, voire des points de défaillance catastrophiques.

Sécuriser de l’intérieur vers l’extérieur

En 2025, l’IAM sera le plan de contrôle de la confiance. Il ne suffit pas de savoir qui ou quoi se trouve dans votre environnement ; il faut aussi savoir ce que chaque identité fait, pourquoi elle a accès et si cet accès est toujours approprié. Cela implique de faire évoluer l’IAM d’un simple gardien statique à un acteur dynamique de l’application des politiques, tant pour les acteurs humains que non humains. La cybersécurité s’est longtemps concentrée sur la prévention, et à juste titre, mais l’IAM moderne apporte également gouvernance et responsabilité. Il applique le principe du moindre privilège par défaut, assure une surveillance continue et prend en charge la gestion du cycle de vie complet des agents IA, tout comme pour les employés.

L’essentiel est que la prochaine menace à laquelle votre entreprise sera confrontée ne viendra peut-être pas de l’extérieur, mais de l’intérieur, apparemment inoffensive et cachée à la vue de tous. Traitons l’IA comme un collègue, et commençons à la gouverner comme tel.