Cyber sécurité 
La cyberguerre ne se limite plus à la géopolitique. Ce qui ne concernait autrefois que les organismes publics et les entreprises du secteur de la défense
Les employés adoptent les outils, les agents et les automatisations IA à une vitesse qui échappe au contrôle des organisations. Le véritable danger apparaît lorsque ces outils se connectent directement aux systèmes internes et aux données sensibles sous prétexte d’améliorer la productivité. Parmi les employés qui utilisent l’IA au travail, une part importante le fait sans l’accord officiel des équipes informatiques ou de sécurité. C’est ce que l’on appelle communément le shadow AI, ou « IA fantôme ».
De nombreuses organisations considèrent encore le shadow AI comme un problème d’exposition des données, alors qu’il s’agit en réalité d’un problème de gouvernance des identités. Chaque intégration non autorisée de l’IA entraîne la création de nouveaux comptes, identifiants et identités qui échappent aux contrôles d’accès traditionnels. Les organisations doivent étendre les contrôles de sécurité axés sur l’identité à chaque identité humaine et non humaine (NHI) connectée à leurs systèmes, afin de gagner en visibilité, de renforcer la gouvernance et de réduire les risques de sécurité globaux.
Ce que crée réellement le shadow AI
Le shadow AI prend rapidement de l’ampleur, car les outils d’IA modernes nécessitent peu ou pas de configuration. Les employés peuvent connecter des applications, automatiser des flux de travail et traiter des données presque instantanément sans faire appel au service informatique. Le problème réside rarement dans les outils eux-mêmes. Le risque vient plutôt de ce à quoi les employés les connectent. Une fois que les plateformes d’IA ont accès aux plateformes SaaS, aux environnements cloud et aux bases de données internes, elles introduisent des identifiants et des identités dont la plupart des équipes de sécurité ignorent l’existence et pour lesquels elles ne disposent d’aucun cadre de gestion.
Chaque intégration non autorisée de l’IA crée de nouvelles identités et des identifiants que personne n’audite. Ces identités et identifiants viennent s’ajouter à un ensemble toujours plus vaste de comptes, de points d’accès et de mots de passe que le service informatique n’a jamais créés et ne peut donc pas révoquer. Lorsque les employés créent des comptes pour des outils d’IA, ils créent aussi des identités dotées de leurs propres droits d’accès, autorisations de données et historiques de session. Et celles-ci se multiplient rapidement. Le service informatique se retrouve avec un ensemble invisible d’identités non gérées, dispersées sur des plateformes externes, sans aucune visibilité sur ce à quoi elles ont accès, sans moyen de contrôler leur utilisation et sans processus de déprovisionnement lorsque l’employé quitte l’entreprise.
Lorsque les employés vont plus loin et connectent des outils d’IA à des systèmes internes, ils introduisent des comptes de service dans les environnements organisationnels. Ces NHI opèrent généralement en dehors de tout cadre de gestion du cycle de vie, de rotation des identifiants et de gouvernance des accès. Et chaque intégration génère des identifiants tels que des clés API, des jetons et des secrets, qui finissent souvent stockés dans des extensions de navigateur ou des fichiers de configuration en dehors du périmètre de sécurité. Ces identifiants sont rarement renouvelés et ne font pratiquement jamais l’objet d’un audit.
Le déficit de gouvernance des identités associé
Les systèmes traditionnels de sécurité des identités ont été conçus pour les utilisateurs humains, les accès gérés par le service informatique et les périmètres réseau bien définis. Le shadow AI remet en cause ces trois hypothèses.
Dans de nombreux environnements d’entreprise, les NHI sont déjà plus nombreuses que les identités humaines. Les agents IA ayant accès à une base de données de production présentent le même niveau de risque lié aux accès privilégiés qu’un administrateur humain disposant de droits équivalents, mais ils sont souvent créés sans faire l’objet du même niveau de contrôle, surveillés sans la même rigueur et supprimés sans suivre le même processus.
Nos propres recherches vont dans ce sens. Le rapport Sécurité des identités à la vitesse machine de Keeper Security révèle que 43 % des décideurs en cybersécurité du monde entier considèrent la gestion des NHI liées à l’IA comme l’une des principales lacunes de leurs programmes de gouvernance des identités. Les organisations qui en ont conscience ont une longueur d’avance sur celles qui ne s’en sont pas encore rendu compte.
Ce que les organisations doivent faire différemment
La réponse au shadow AI ne se trouve pas dans des politiques plus strictes ni dans des interdictions plus larges. Il s’agit d’étendre les contrôles de sécurité axés sur l’identité afin de prendre en compte toutes les entités créées par les outils d’IA, qu’il s’agisse d’humains ou de machines, et de rendre la gouvernance continue plutôt que ponctuelle.
Bénéficiez d’une visibilité totale sur l’utilisation de l’IA
Les organisations ne peuvent pas contrôler ce qu’elles ne voient pas. C’est pourquoi elles doivent en permanence recenser tous les outils, agents, automatisations et intégrations de l’IA, qu’ils soient autorisés ou non, au sein de leurs environnements. En surveillant leurs réseaux, les organisations peuvent suivre l’utilisation des applications et développer des contrôles pour limiter les outils d’IA non approuvés tout en identifiant chaque NHI que ces outils créent et qui n’a jamais été initialement provisionnée par le service informatique. Au-delà de la découverte, les organisations doivent mettre en œuvre une surveillance et un enregistrement en temps réel des sessions privilégiées pour maintenir une visibilité totale sur les flux de travail pilotés par l’IA, dans le but de réaliser des audits continus plutôt que des examens périodiques et rétrospectifs.
Assurez la sécurité des identités tant pour les personnes que pour les machines
Chaque NHI doit être soumis aux mêmes procédures d’authentification, d’autorisation et de gestion du cycle de vie qu’une identité humaine, avec un accès de moindre privilège, une rotation automatisée des identifiants et une procédure de déprovisionnement définie, en lien avec le cycle de vie du titulaire humain ou de la charge de travail associé. Les mêmes mesures de contrôle qui s’appliquent aux comptes utilisateurs privilégiés doivent s’appliquer aux agents IA et aux comptes de service associés.
Offrez aux employés une solution viable
Les employés qui contribuent au shadow AI le font souvent non pas parce qu’ils contournent la sécurité, mais parce qu’ils ne savent pas qu’une alternative gouvernée existe. Des directives claires indiquant quels outils sont autorisés, pour quels cas d’utilisation et dans quelles conditions, associées à des alternatives accessibles et approuvées, permettent d’attaquer le problème à la source.
Renforcez la sécurité de vos identités pour gérer le shadow AI
Les modèles de sécurité traditionnels ont été conçus pour des utilisateurs humains, des accès gérés par le service informatique et des périmètres réseau définis. Le shadow AI remet en cause ces hypothèses en introduisant des identités de machines, des identifiants et des intégrations non gérées dans les environnements cloud et SaaS chaque fois qu’un employé connecte un outil d’IA non approuvé à l’infrastructure. Les organisations qui considèrent le shadow AI uniquement comme un problème de fuite de données passent à côté du danger sous-jacent : l’expansion incontrôlée des identités. Pour gérer plus efficacement le shadow AI, les entreprises doivent disposer d’une visibilité totale sur les accès pilotés par l’IA, d’une gouvernance couvrant à la fois les identités humaines et celles des machines, ainsi que de contrôles automatisés pour les identifiants et les accès privilégiés. Pour découvrir comment les organisations adaptent leurs stratégies de sécurité des identités aux environnements pilotés par l’IA, lisez notre dernier rapport.
