Ce que les agents IA peuvent nous apprendre sur la gouvernance des NHI
L’intelligence artificielle (IA) est un domaine vaste avec de nombreuses applications pratiques. Au cours des dernières années, nous avons assisté à une croissance explosive de l’IA générative, alimentée par des systèmes comme ChatGPT et Copilot, qui aident les développeurs à écrire du code et les utilisateurs à créer du contenu. Plus récemment, nous avons également vu l’émergence de l’IA agentique, où des orchestrateurs coordonnent les actions de plusieurs agents IA pour exécuter des tâches au nom d’un utilisateur.
Bien que cela puisse sembler futuriste, même en 2026, la réalité est un peu plus simple.
Les systèmes IA, peu importe leur déploiement, ne sont que des processus exécutés sur des machines. Ils peuvent résider sur un ordinateur portable, dans un conteneur, à l’intérieur d’une machine virtuelle, ou profondément dans un environnement cloud. Fondamentalement, ils sont des logiciels exécutant des instructions, bien que celles-ci soient probabilistes plutôt que des programmes déterministes codés en dur. Et comme chaque autre sous-système que nous avons jamais construit, ils ont besoin d’un moyen de communiquer en toute sécurité.
Le problème de la sécurité des NHI
Alors que nous nous précipitons pour adopter l’IA agentique, nous répétons une erreur familière. Nous nous concentrons sur la capacité et la vitesse tout en négligeant la sécurité et la gouvernance de l’identité non humaine (NHI), en connectant des outils IA à des systèmes sensibles sans appliquer systématiquement le principe du moindre privilège. Cet écart existe depuis des années avec les systèmes CI, les tâches d’arrière-plan, et les comptes de service.
L’IA agentique n’invente pas cet écart, mais elle l’élargit rapidement.
La confiance décide de tout
La sécurité dans tout système, qu’il s’agisse d’un chatbot, d’un travailleur CI, ou d’un daemon de longue durée, revient finalement à la confiance. Qui fait la demande ? Que sont-ils autorisés à faire ? Et dans quelles conditions spécifiques ?
Les architectures modernes se concentrent sur le zéro confiance, mais beaucoup de ces systèmes reposent encore sur un facteur fragile pour l’accès : des secrets à long terme, souvent sous forme de clés API ou de certificats jamais expirés. Le risque provient vraiment du maintien de jetons statiques dans des variables d’environnement, des fichiers de configuration, des journaux de construction, ou des chemins de coffre-fort partagés accessibles à de nombreux processus, y compris les outils IA.
La gouvernance des NHI
Les NHI sont largement définies comme tout ce qui n’est pas humain mais qui s’authentifie et se connecte à d’autres systèmes en cours d’exécution. Cela inclut les bots, les scripts, les charges de travail, les comptes de service, et les travaux CI. Maintenant, cette liste inclut également les agents et les systèmes agentiques.
Le plan de contrôle est le même : identité, propriété, cycle de vie et autorisations. L’IA agentique, fondamentalement, ne modifie pas cette réalité. En coulisses, ces systèmes sont tous des mathématiques avancées, exécutées sur une puce quelque part.
Agents : NHI dans les pipelines CI, terminaux et navigateurs
Une fois que vous commencez à traiter un agent comme un acteur, cela devient plus facile d’appliquer des modèles d’identité éprouvés. Le standard OAuth, et OpenID Connect pour l’identité, existent parce que nous avons appris, au fil des décennies, que le privilège permanent ne se sécurise pas efficacement. Les identifiants à durée de vie courte, vérifiables, surpassent généralement les clés permanentes.
Dans les pipelines CI, les agents héritent souvent d’une tendance à être sur-permis, car les équipes privilégient la disponibilité et la vitesse à la sécurité. Les agents ont tendance à hériter de ce biais. “Donnez-lui ce dont il a besoin” devient “donnez-lui tout pour ne pas bloquer le projet.”
Dans les terminaux, le risque est moins glamour mais plus courant. Les terminaux sont pleins de confiance implicite, ce qui ressemble à des variables d’environnement, des fichiers de configuration, des jetons copiés, et des sorties de débogage. Les outils agents peuvent augmenter le volume et la vitesse de cette copie, ce qui accroît la probabilité d’exposition accidentelle à moins que des garde-fous, y compris la rédaction, le scanning, et la révision, soient en place.
Gouvernance qui évolue
Traiter les NHI, y compris les agents IA, avec rigueur semble évident jusqu’à ce que vous essayiez de le faire. Le travail commence par comprendre ce que vous avez déjà. L’inventaire est inévitable. Il n’y a pas de raccourci pour comptabiliser les identifiants, services, agents, et automatisations existants. Cela a traditionnellement été un travail lent, difficile et souvent inconfortable, surtout dans les environnements hérités.
Chaque équipe doit être responsable de la rotation, de la révocation et de la réponse aux incidents. La gouvernance et l’espoir sont deux choses différentes. Lorsque la propriété est floue, l’exécution échoue, le nettoyage stagne, et les fuites deviennent des incidents prolongés.
Conclusion
L’IA agentique est un test de résistance. Elle nous montre, en pleine lumière, les échecs d’identité que nous avons tolérés pendant des années. Toute entité qui peut agir en votre nom doit être traitée avec la même rigueur que l’accès humain, peu importe qu’elle fonctionne pendant une milliseconde ou maintienne une connexion de longue durée.
Les équipes qui réussiront seront celles qui traiteront cela dès le départ et construiront la gouvernance qui rend la vitesse survivable.