La confiance zéro, nécessaire à la vitesse des agents IA
Les entreprises doivent considérer l'architecture de sécurité de confiance zéro comme une exigence immédiate pour les agents IA, plutôt qu'un objectif à long terme, déclare Andre Durand, PDG de Ping Identity.

Les entreprises doivent considérer l'architecture de sécurité de confiance zéro (zero trust) comme une exigence immédiate pour les agents d'intelligence artificielle, plutôt qu'un objectif à long terme, selon Andre Durand, PDG et fondateur de Ping Identity.
Le principe de confiance zéro, un modèle de sécurité basé sur l'hypothèse qu'aucun utilisateur, appareil ou système ne doit être automatiquement approuvé, exige une vérification continue avant chaque action, contrairement aux vérifications uniques traditionnelles à la connexion. L'essor de l'IA agentique a considérablement réduit le délai de risque que les entreprises doivent gérer, nécessitant une évaluation en temps réel des décisions d'autorisation.
Durand souligne que la demande actuelle d'agents IA et leur rapidité d'exécution mettent en évidence le besoin urgent d'adopter plus rapidement les principes de confiance zéro. Il compare la vitesse d'une compromission potentielle : une violation humaine peut se dérouler sur plusieurs minutes ou heures, tandis qu'un agent pourrait exécuter des milliers d'actions en quelques minutes. Cette différence de vélocité modifie fondamentalement la manière dont les entreprises doivent aborder les autorisations, en se concentrant à la fois sur l'étendue de l'accès accordé et la durée de cet accès.
Contrairement à la gestion traditionnelle des identités et des accès, qui accorde souvent des autorisations larges et prolonge les sessions, la confiance zéro prône un accès "juste assez, juste à temps". Ce modèle limite l'accès à ce qui est strictement nécessaire et le revalide en continu. Durand souligne un passage de la gestion des identités d'un simple point de contrôle d'exécution (statut de connexion) à une prise de décision avec évaluation continue des risques. Il insiste également sur le fait que les agents devraient posséder des identités uniques, plutôt que d'usurper l'identité d'utilisateurs humains ou de partager des comptes de service, afin d'atténuer les risques liés aux secrets partagés et aux clés API.
La mise en œuvre pratique des politiques de confiance zéro peut avoir lieu à des points critiques tels que les passerelles API, où les requêtes des agents peuvent être inspectées et les règles de politique appliquées en temps réel en fonction des signaux de risque et de fraude. L'objectif est de faire passer l'autorisation d'une décision unique à la connexion à une évaluation continue pour chaque action significative. Cette approche réduit la fenêtre de confiance à la portée d'une seule action et empêche les agents d'aggraver leurs propres privilèges ou de contourner les mesures de sécurité.