Okta alerte les entreprises sur l’urgence de renforcer la sécurité IA et la gouvernance IA autour des agents IA : ces assistants logiciels, de plus en plus adoptés, requièrent des permissions étendues et exposent des données sensibles si aucune gouvernance ni mesure de cybersécurité n’est mise en place.
Pourquoi la sécurité IA des agents IA doit être prioritaire
Lors de l’événement Oktane 2025, les responsables d’Okta ont insisté sur la nécessité d’une gouvernance IA claire pour encadrer l’utilisation des agents IA, parfois appelés identités non humaines (NHIs). Ces agents automatisés peuvent agir au nom d’un utilisateur en accédant aux calendriers, courriels, systèmes de fidélité, voire aux informations de paiement, et traitent simultanément du texte, de la voix, de la vidéo ou du code.
Stephen McDermid, CISO EMEA d’Okta, rappelle que l’adoption rapide répond à une pression générale pour « faire plus avec moins », mais qu’elle crée aussi des vecteurs de risque nouveaux si la gouvernance fait défaut. Il insiste sur le comportement naturel des équipes qui, enclines à expérimenter, ouvrent tôt l’accès aux agents sans contrôles suffisants.
That’s why it’s so important because the reality is people will go and play with it.
— Stephen McDermid, CISO EMEA d’Okta.
They’ll go and try to be innovative, as you’ve heard, everybody’s under pressure to do more with less – AI is a very quick way of doing that, but it’s also a very quick way of opening up some risks, exposing data, exposing your users potentially as well. I think that’s why it is a growing concern.
— Stephen McDermid, CISO EMEA d’Okta.
Okta détaille des contrôles, des pratiques et le standard XAA
Les risques sont concrets : un agent compromis peut entraîner des fuites de données sensibles, des conséquences juridiques et financières, et des manquements aux réglementations nationales. Shiv Ramji, président d’Auth0, met en garde contre ces scénarios et illustre l’impact possible lorsqu’un agent a accès à de grandes quantités d’informations.
It’s sensitive data leakage, your private information is exposed and the risk is everything from legal to financial, to even running afoul of regulations in different countries,
— Shiv Ramji, président d’Auth0.
L’exemple récent de la plateforme de recrutement de McDonald’s montre que la faiblesse la plus triviale (un mot de passe « 123456 ») peut suffire à exposer des masses de données collectées par un agent : 64 millions d’enregistrements ont ainsi été rendus accessibles, démontrant le danger de déléguer la manipulation d’informations à un agent sans garde‑fous.
Mesures recommandées par Okta
Okta propose d’intégrer les agents IA au sein du périmètre d’identité et de sécurité existant afin d’identifier les configurations à risque et de gérer les permissions. Parmi les contrôles évoqués :
- principe du moindre privilège pour limiter l’accès des agents à ce qui est strictement nécessaire et pour une durée limitée ;
- détection continue des comportements anormaux et réponse aux incidents afin d’alerter si un agent semble « hors contrôle » ;
- traçabilité complète et journaux d’audit pour conserver un historique des actions effectuées par chaque agent et faciliter la conformité.
Okta a également présenté Cross App Access (XAA), un ensemble de normes destinées à harmoniser les pratiques et à aider les équipes de sécurité à anticiper les techniques des acteurs malveillants. McDermid reconnaît toutefois qu’il ne s’agit pas d’une solution miracle, mais d’un levier technique important pour renforcer la protection au sein des produits et services.
It’s not going to be the silver bullet,
— Stephen McDermid, CISO EMEA d’Okta.
It’s not going to stop all of these attacks in future, but certainly it gives us the best opportunity to make sure we get technical capabilities there and within the products and within the services we’re offering.
— Stephen McDermid, CISO EMEA d’Okta.
McDermid souligne aussi la nécessité d’un partage d’information entre organisations : les acteurs malveillants partagent déjà techniques et plateformes, tandis que les clients et les entreprises restent souvent isolés. Pour réduire l’exposition, les équipes doivent apprendre des incidents et maintenir une hygiène cybernétique stricte.
Threat actors are actually sharing techniques, they’re sharing platforms. They’re working together as a cohort and customers and organizations don’t. I think that’s where we need to improve.
— Stephen McDermid, CISO EMEA d’Okta.
You have to keep trying and keeping governance over these controls and maintaining that cyber hygiene because I think if you’re not aware of what the attacks look like then you’re not assessing your own exposure against them.
— Stephen McDermid, CISO EMEA d’Okta.
Actions pratiques et étapes à suivre pour les entreprises françaises
Les agents IA seront adoptés, qu’ils soient autorisés ou non par la direction ; de ce fait, Okta recommande de mettre en place des politiques et des contrôles avant l’adoption généralisée. Les priorités identifiées comprennent la définition de permissions minimales, la mise en place de mécanismes de surveillance continue, la tenue d’un registre d’audit et l’adoption de standards partagés comme XAA pour favoriser une réponse coordonnée aux menaces.
Ces mesures relèvent de la cybersécurité opérationnelle et de la gouvernance IA : elles visent à protéger les données, limiter les impacts juridiques et financiers, et aider les organisations à rester conformes aux exigences locales et internationales.