AI a créé deux nouveaux problèmes – et la gouvernance d’identité est le seul endroit où ils se rencontrent
AI a discrètement transformé la gouvernance d’identité en un lieu où les véritables flux de pouvoir sont décidés — qui (ou quoi) peut déplacer de l’argent, modifier du code ou réécrire des enregistrements. Ce changement a remis entre les mains des CISO et CIO deux problèmes que personne n’avait vraiment anticipés : l’IA à l’intérieur de la pile d’identité prenant des décisions d’accès, et l’IA agissant comme des identités puissantes au sein de l’entreprise.
L’incident qui rend cela réel est simple : un “assistant” IA dans ITSM passe de “recommander” à “auto-exécuter”, commence discrètement à approuver des règles de pare-feu risquées et des modifications de code, et n’apparaît sur le radar que lorsque le conseil d’administration demande comment un compte auxiliaire a obtenu des pouvoirs d’administrateur de facto.
Deux domaines d’impact de l’IA
Vous n’avez pas simplement “de l’IA” maintenant. Vous avez de l’IA dans deux domaines qui comptent :
- IA dans votre pile d’identité, influençant silencieusement qui obtient quel accès.
- IA agissant comme identités au sein de votre entreprise, accomplissant des tâches auparavant exécutées par des humains.
Ces deux éléments sont déjà en production dans la majorité des entreprises, tandis que la gouvernance reste souvent en phase pilote dans de nombreuses organisations.
Évolution de la gouvernance d’identité
Depuis des années, la gouvernance d’identité était axée sur des politiques, des flux de travail et des examens. C’était lent, souvent pénible, mais au moins vous saviez qui prenait les décisions : vos managers, les propriétaires d’applications et les équipes de risque. Cela commence à changer.
Les plateformes modernes d’IGA s’appuient de plus en plus sur l’IA pour regrouper des demandes d’accès similaires, signaler des droits anormaux et suggérer des décisions “approuver/refuser” afin que vos examinateurs ne soient pas submergés.
Confiance et explicabilité
Pour les CISO, cela soulève des questions inconfortables concernant la confiance et l’explicabilité. Si une recommandation assistée par IA aboutit à l’octroi d’un droit d’accès à haut risque, pouvez-vous expliquer à un auditeur ou à un régulateur pourquoi cette décision était sensée à l’époque ? Si le modèle a appris à partir d’une base défectueuse — des années d’accès sur-privilégiés — il peut normaliser exactement les comportements que vous essayez d’éliminer, mais à la vitesse de la machine.
La nécessité d’une gouvernance unifiée
Le test de leadership est simple : si l’IA influence aujourd’hui les décisions d’identité dans votre environnement, pouvez-vous montrer où, comment et qui supervise ces décisions, et quelles preuves vous présenteriez à un conseil d’administration, un régulateur ou un avocat en cas de besoin ? Si la réponse est non, votre programme d’identité est déjà en retard par rapport à votre programme d’IA.
Le deuxième problème est plus facile à voir mais plus difficile à maîtriser. Des données récentes sur les risques liés à l’IA des CISO montrent que les identités non humaines, y compris les agents IA, rivalisent ou surpassent désormais les comptes humains dans de nombreux environnements, même si peu d’organisations peuvent voir où ces agents ont réellement accès.
Risques liés aux agents IA
Ces agents ouvrent des tickets, dirigent des incidents, fusionnent du code, déplacent des données, ferment des cas et écrivent dans des systèmes d’enregistrement. Chaque fois qu’un système IA peut changer d’état dans un système de production, vous avez effectivement créé un nouvel opérateur.
Ces systèmes sont souvent considérés comme des “fonctionnalités” ou des “bots”. En revanche, les programmes d’identité sont construits autour des personnes, ce qui crée un angle mort pour les identités non humaines. La plupart des organisations qui sont matures pour l’identité humaine sont presque vides lorsqu’il s’agit des agents IA.
Modélisation et gouvernance des agents IA
La clé est de cesser de traiter les systèmes IA comme des effets secondaires d’autres plateformes et de commencer à les considérer comme des identités à part entière. Cela signifie que chaque agent IA reçoit un propriétaire, un objectif commercial et un niveau de risque ; ses droits sont définis dans des politiques plutôt que d’être enfouis dans des configurations spécifiques à l’application.
Une fois que vous considérez l’IA comme une identité, le lieu naturel pour la contrôler n’est pas un autre outil uniquement dédié à l’IA, mais votre plan de contrôle de la gouvernance d’identité.
Questions clés à se poser
Les questions qui se posent sont simples :
- Qui possède ce système IA ?
- Que peut-il voir, changer ou déclencher ?
- Comment détectons-nous lorsque son comportement ou son accès changent de manière significative ?
- Quelles preuves pouvons-nous produire pour montrer qu’il est sous contrôle ?
Les organisations qui réussiront avec l’IA dans les prochaines années ne seront pas seulement celles qui avancent le plus rapidement, mais celles qui savent exactement à quelle vitesse elles peuvent avancer sans perdre le contrôle sur qui — ou quoi — est autorisé à toucher quoi.
La gouvernance d’identité est l’endroit où vous définissez cette limite de vitesse pour les deux types d’IA : l’IA qui fait partie de votre tissu décisionnel et l’IA qui agit désormais comme personnel numérique.