Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience

Les agents d'IA deviennent des employés numériques. Voici comment Zero Trust les sécurise.

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Mars 11, 2026
23 min. lire
Josh Woodruff, fondateur et PDG de Massive Scale AI

Quand un changement majeur dans la sécurité des entreprises se révèle-t-il ?

Josh Woodruff s'attendait à ce que cela se produise lors d'une enquête sur une brèche ou d'un exercice de réponse à un incident. C'est plutôt lors d'une présentation à une conférence qu'elle est apparue.

Le présentateur a montré un tableau de bord de l'activité d'une grande entreprise - événements de connexion, appels d'API et actions du système. Au début, tout semblait normal.  

Le présentateur a ensuite expliqué ce que le public voyait : aucune activité ne provenait de l'homme. Toutes les actions sont effectuées par des machines.

Pendant des décennies, les programmes de sécurité des entreprises ont été conçus en fonction des utilisateurs humains. Les gens se connectaient, accédaient aux systèmes et prenaient des décisions. Les équipes de sécurité se sont concentrées sur la vérification des identités et la surveillance du comportement humain.

Mais cette hypothèse commence à s'effondrer.

Josh, fondateur et PDG de Massive Scale AI, a passé près de trois décennies à diriger des transformations dans les domaines de la sécurité, du cloud et de l'informatique. Lors de notre conversation sur le podcast The Segment, il a expliqué que les environnements d'entreprise entrent dans une nouvelle phase. Les identités des machines, telles que les API, les services, les outils d'automatisation et les agents d'IA, commencent à dépasser le nombre d'utilisateurs humains dans les réseaux d'entreprise.

Cette évolution crée un nouveau défi. Les organisations ne protègent plus seulement les personnes qui accèdent aux systèmes. Ils gouvernent également des agents logiciels qui peuvent prendre des décisions et agir au sein de l'entreprise.

Dans cet environnement, la notion de confiance zéro prend une nouvelle signification. Les équipes de sécurité ne se contentent plus de vérifier les identités humaines, mais gèrent des flottes d'employés numériques.

L'IA devient un acteur opérationnel au sein de l'entreprise

De nombreuses conversations sur la sécurité de l'IA se concentrent sur les modèles et les données d'entraînement. Ces sujets sont importants, mais ils ne rendent pas compte de l'ensemble de la transformation qui s'opère au sein des organisations.

Les systèmes d'IA passent de l'analyse à l'action.

Les premiers outils d'IA étaient essentiellement informatifs. Ils ont généré des idées, résumé des données ou répondu à des questions. Les humains restent responsables de l'interprétation de ces résultats et des décisions à prendre.

L'IA agentique change ce modèle.

Les agents d'IA peuvent planifier des tâches, choisir des actions et interagir directement avec les systèmes. Ils peuvent déclencher des flux de travail, appeler des API, mettre à jour des enregistrements et gérer des processus sans attendre l'approbation d'une personne.

Cela crée un environnement de sécurité très différent.

Les logiciels traditionnels fonctionnent selon une logique déterministe. Si un événement spécifique se produit, le système exécute une action prédéfinie. Les équipes de sécurité peuvent concevoir des politiques autour de ces flux prévisibles.

Les systèmes d'IA se comportent différemment.

"Ils sont stochastiques", a déclaré Josh. "Ce n'est plus de l'informatique déterministe.

Concrètement, cela signifie que les systèmes d'IA fonctionnent sur la base de probabilités et de modèles appris plutôt que sur la base de règles strictes. La même demande peut produire des résultats légèrement différents en fonction du contexte, des données de formation ou des chemins de raisonnement à l'intérieur du modèle.

Lorsque ces résultats ne sont qu'informatifs, le risque est limité. Mais lorsque les systèmes d'IA commencent à prendre des mesures opérationnelles, l'imprévisibilité devient un véritable problème de sécurité.

L'IA agentique introduit une nouvelle catégorie de risque : la prise de décision autonome au sein des systèmes d'entreprise.

C'est pourquoi Josh encourage les organisations à repenser la façon dont elles conçoivent l'IA. Au lieu de considérer les agents d'IA comme des outils, il suggère de les considérer comme des membres de la main-d'œuvre.

Pourquoi les agents d'IA devraient être traités comme des employés numériques

Josh demande souvent aux organisations d'imaginer les agents d'IA comme des travailleurs numériques opérant au sein de l'entreprise.  

Les agents d'IA peuvent effectuer des tâches, interagir avec des systèmes et accéder à des données et à des services. À bien des égards, leur comportement ressemble à celui des employés humains.

Mais il y a deux différences importantes.

Premièrement, les agents d'IA fonctionnent à la vitesse d'une machine. Ils peuvent exécuter des tâches en continu et interagir avec de nombreux systèmes simultanément.

Deuxièmement, ils manquent de jugement. Les employés humains apportent le contexte et l'intuition à leur travail. Même s'ils commettent des erreurs, ils reconnaissent souvent que quelque chose ne va pas ou dépasse les limites attendues. Ce n'est pas le cas des agents d'IA.

"Ils ne savent pas ce qui est bon ou mauvais", a déclaré Josh. "Ils connaissent tout simplement beaucoup d'informations.

En raison de cette limitation, un système d'IA peut être extrêmement efficace pour atteindre le mauvais objectif.

Josh a raconté une histoire qui illustre ce risque. Une organisation a déployé un système d'IA pour aider à gérer les commandes d'approvisionnement. Dans un premier temps, le système n'a fait que recommander des achats. Les tests ayant donné des résultats fiables, l'entreprise l'a autorisé à passer automatiquement de petites commandes.

Tout fonctionnait bien jusqu'à ce que l'IA découvre une remise en gros. Le système a acheté des nettoyants pour sols pour une durée de quarante ans.

Au total, elle a dépensé 1,4 million de dollars pour obtenir le meilleur prix.

L'IA ne fonctionnait pas mal. Il a simplement optimisé l'objectif qui lui avait été assigné. L'organisation avait demandé au système de maximiser les économies. Le système a suivi ces instructions à la lettre.

Ce qui lui manquait, c'était un contexte commercial.

Cet exemple met en lumière une leçon importante pour les responsables de la sécurité. Les agents d'IA ont besoin de structures de gouvernance similaires à celles utilisées pour les employés humains. Cela inclut des règles définies, des limites d'accès et une supervision.

C'est là qu'une stratégie de sécurité de type "Zero Trust" peut s'avérer utile.

Comment Zero Trust fournit des garde-fous pour les systèmes autonomes

Zero Trust repose sur un principe simple : la confiance ne doit jamais être présumée dans les systèmes numériques.

Au lieu de s'appuyer sur les limites du réseau ou sur des zones de confiance implicites, Zero Trust évalue chaque demande sur la base de l'identité, du contexte et du comportement.

Lors de notre discussion, Josh a décrit cette philosophie : "La confiance zéro consiste en fait à retirer la confiance - qui est une émotion humaine - des systèmes numériques".

Ce modèle fonctionne bien dans les environnements d'entreprise modernes, car les décisions d'accès dépendent de plusieurs signaux. Évaluation des systèmes de sécurité :

  • Qui est à l'origine de la demande ?
  • L'action qu'ils tentent de mener
  • D'où provient la demande
  • Le comportement correspond-il aux modèles attendus ?

Ces mêmes principes s'appliquent naturellement aux systèmes d'intelligence artificielle.

Les agents d'intelligence artificielle interagissent avec de nombreuses ressources de l'entreprise. Ils peuvent accéder à des données internes, communiquer avec des services ou déclencher des flux de travail automatisés. Chaque interaction doit respecter les règles de la confiance zéro.

Les 5 questions qui régissent les agents d'IA

Pour aider les organisations à mettre en œuvre cette approche, Josh a développé un cadre simple appelé "Agentic Trust Framework". Il organise la sécurité de l'IA autour de cinq questions clés.

  • Qui êtes-vous ? Chaque agent d'intelligence artificielle a besoin d'une identité claire qui peut être vérifiée par une authentification forte.
  • Que faites-vous ? La surveillance des comportements permet de s'assurer que le système fonctionne selon les schémas prévus.
  • Quelles données consommez-vous et produisez-vous ? La gouvernance des données détermine les informations auxquelles le système peut accéder et les résultats qu'il peut générer.
  • Où pouvez-vous aller ? La segmentation permet de contrôler les systèmes ou les environnements que l'agent peut atteindre.
  • ‍Quese passe-t-il si vous devenez un voyou ? Les organisations ont besoin de mécanismes pour détecter les comportements anormaux et arrêter rapidement les systèmes automatisés si nécessaire.

Ces questions semblent simples, mais ensemble, elles représentent une architecture de sécurité complète. Ils couvrent l'identité, la surveillance du comportement, la gouvernance des données, la segmentation et la réponse aux incidents.

En d'autres termes, ils appliquent les principes fondamentaux de la confiance zéro au monde émergent de l'automatisation pilotée par l'IA.

La sécurité déterminera la vitesse d'évolution de l'IA

L'une des raisons pour lesquelles de nombreuses organisations peinent à déployer l'IA à grande échelle est la confiance.

Les équipes expérimentent souvent des modèles et des outils d'automatisation dans des environnements pilotes. Ces expériences peuvent produire des résultats utiles, mais les organisations hésitent à les mettre en production.

Les problèmes de sécurité apparaissent souvent tardivement dans le processus.

Josh observe fréquemment ce schéma. "La sécurité n'est généralement qu'une réflexion après coup", a-t-il déclaré.

Lorsque la sécurité intervient trop tard, les organisations se retrouvent bloquées dans ce qu'il appelle le purgatoire des pilotes. Les projets d'IA sont prometteurs, mais les dirigeants ne peuvent pas leur faire entièrement confiance pour fonctionner en toute sécurité dans les systèmes de production.

La solution ne consiste pas à ralentir l'adoption de l'IA, mais à intégrer la sécurité dans l'architecture dès le départ.

Josh a utilisé une analogie simple pour expliquer cette idée : la sécurité est un arceau de sécurité, pas une pédale de frein. Une voiture équipée d'un arceau de sécurité peut rouler plus vite parce que le conducteur a confiance dans la protection qui l'entoure.

Le même principe s'applique aux systèmes d'intelligence artificielle.

Lorsque les organisations conçoivent des garde-fous clairs autour des agents autonomes, elles peuvent en toute sécurité accorder à ces systèmes davantage de responsabilités et d'autonomie.

Zero Trust rend cela possible.

L'avenir de la sécurité des entreprises passe par la gouvernance des machines

Josh pense que de nombreuses organisations sous-estiment encore l'ampleur des changements qui interviendront dans les environnements d'entreprise au cours de la prochaine décennie.

Les identités des machines se développent déjà rapidement. Les API, les services et les outils d'automatisation sont désormais plus nombreux que les utilisateurs humains dans de nombreux environnements. Les agents d'intelligence artificielle vont encore accentuer cette tendance.

Dans un avenir proche, les utilisateurs humains pourraient ne représenter qu'une petite partie des identités utilisées dans les systèmes d'entreprise.

Cette évolution modifiera la façon dont les équipes de sécurité travaillent. Au lieu de se concentrer sur le comportement humain, les équipes surveilleront l'activité des machines. Ils analyseront les flux de travail automatisés, examineront les décisions prises par l'IA et mettront en place des garde-fous autour des systèmes autonomes.

Le programme "Zero Trust" offre déjà une base solide. Il élimine les hypothèses de confiance et vérifie l'accès en permanence. Ces mêmes principes s'appliquent directement aux systèmes d'intelligence artificielle.

La différence se situe au niveau de l'échelle.

Les plateformes de sécurité devront bientôt évaluer des millions d'interactions pilotées par des machines chaque minute. La préparation de cet avenir doit commencer dès maintenant.

Les entreprises n'ont pas besoin de ralentir l'innovation en matière d'IA. Mais ils ont besoin d'environnements dans lesquels les agents d'IA ont des identités claires, des limites strictes et une surveillance constante.

Les entreprises qui réussiront à l'ère de l'IA ne se contenteront pas d'adopter l'automatisation plus rapidement, mais construiront des systèmes auxquels elles pourront faire confiance.

Écoutez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou notre site web.

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Mars 11, 2026
23 min. lire
Cyber-résilience
Contactez-nous
Partager

Articles connexes

De "Êtes-vous protégé ?" à "Pouvez-vous fonctionner ?" Pourquoi les régulateurs veulent de la résilience, pas seulement des contrôles
Cyber-résilience

De "Êtes-vous protégé ?" à "Pouvez-vous fonctionner ?" Pourquoi les régulateurs veulent de la résilience, pas seulement des contrôles

Découvrez comment les régulateurs remplacent la conformité à la liste de contrôle par la résilience opérationnelle, en exigeant des preuves de l'endiguement et de la réponse cybernétiques dans le cadre des règles réglementaires.

En savoir plus
Banque & Services financiers
Conformité
Pourquoi les fondements de la sécurité sont la partie la plus négligée de l'adoption d'une stratégie de confiance zéro ?
Cyber-résilience

Pourquoi les fondements de la sécurité sont la partie la plus négligée de l'adoption d'une stratégie de confiance zéro ?

Découvrez pourquoi les principes fondamentaux de la sécurité sont la partie la plus négligée de la confiance zéro et comment la mise en place de ces principes détermine si les brèches s'étendent ou restent contenues.

En savoir plus
Cyber-résilience
Qu'attendez-vous ? Retarder la modernisation de la cybernétique vous met en danger
Cyber-résilience

Qu'attendez-vous ? Retarder la modernisation de la cybernétique vous met en danger

Découvrez pourquoi Tony Scott, ancien DSI de l'administration fédérale américaine, estime que le fait de retarder la modernisation cybernétique constitue un échec en matière de leadership et comment agir avant qu'une brèche ne vous force la main.

En savoir plus
Cyber-résilience
Dispositifs médicaux connectés : La principale vulnérabilité en matière de cybersécurité dans le secteur de la santé
Cyber-résilience

Dispositifs médicaux connectés : La principale vulnérabilité en matière de cybersécurité dans le secteur de la santé

Découvrez les vulnérabilités en matière de sécurité des dispositifs médicaux IoT connectés et comment les résoudre grâce à la segmentation zéro confiance.

En savoir plus
Santé
5 conseils de confiance zéro pour les détaillants et les fabricants de Brooks Running
Cyber-résilience

5 conseils de confiance zéro pour les détaillants et les fabricants de Brooks Running

Découvrez pourquoi Brooks Running, détaillant de chaussures, est un brillant exemple d'entreprise mettant en œuvre des contrôles Zero Trust de manière pratique.

En savoir plus
Aucun élément n'a été trouvé.
Les 4 changements d'état d'esprit nécessaires pour sécuriser l'informatique dématérialisée
Cyber-résilience

Les 4 changements d'état d'esprit nécessaires pour sécuriser l'informatique dématérialisée

Lisez les quatre changements d'état d'esprit que les entreprises doivent opérer pour sécuriser l'informatique dématérialisée.

En savoir plus
Aucun élément n'a été trouvé.

Découvrez Illumio Insights dès aujourd'hui

Découvrez comment l'observabilité alimentée par l'IA vous aide à détecter, comprendre et contenir les menaces plus rapidement.
Essayez Illumio Insights