Importance et évolution de la gestion de l’accès privilégié à l’ère de l’intelligence artificielle
Analyse de 10 experts de la cybersécurité
L’identité numérique a toujours formé le pilier de la sécurité. Savoir qui a accès à quoi permet de définir des règles, surveiller l’activité et agir en cas de problème. Mais à l’ère de l’IA, l’identité s’élargit davantage. L’identité s’étend pour couvrir non seulement le personnel et les sous-traitants, mais aussi les algorithmes, les API et les agents IA prenant des décisions à une vitesse surhumaine. Les RSSI et les directeurs de la cybersécurité s’efforcent de gérer cette évolution tout en préservant la gouvernance, la culture et la résilience.
Nous avons contacté un groupe d’experts qui subissent ces pressions quotidiennes. Certains exercent les mêmes fonctions, mais tous sont responsables des risques cyber et chargés d’assurer la sécurité de leur entreprise et de conseiller ses dirigeants. La diversité de leurs intitulés de poste reflète le contexte commercial lui-même : la responsabilité de la cybersécurité incombe désormais aux directeurs techniques, aux RSSI, aux chefs de la sécurité et aux directeurs informatiques.
Voici une série de points de vue sur la façon dont les pratiques de gestion de l’accès privilégié (PAM) doivent changer à l’ère de l’IA (évolution des menaces, adaptation des contrôles et mesures que l’entreprise peut prendre pour gagner en résilience). Nous offrons un aperçu concret issu d’expériences de terrain et des recommandations propres au secteur, le cas échéant.
Rapport de Jane Frankland MBE
Panel d’experts
Nous avons choisi un panel diversifié d’experts de cinq secteurs et régions différents. Ils partagent leur point de vue sur certains des défis majeurs auxquels font à présent face les décideurs en matière de cybersécurité.
Sandy Dunn, CISO de SPLX.AI
Dans la plupart des entreprises, le rapport entre les identités d’agent machine et IA et celles humaines dépasse désormais 80 à un. La clé consiste à traiter ces agents comme des acteurs privilégiés à risque, en offrant à chacun sa propre identité, conservant des identifiants éphémères et confiant la responsabilité du contrôle à un humain. Limitez les privilèges au strict nécessaire, fixez des limites claires et surveillez en temps réel. Ainsi, on détecte rapidement tout écart,
George Papakyriakopoulos, CISO de Skroutz S.A.
Le défi premier ne se limite pas à repousser les attaques liées à l’IA, mais à sécuriser les agents eux-mêmes, qui incarnent en fait les nouveaux super-administrateurs et revêtent nombre d’identités critiques. La définition même d’une identité privilégiée s’élargira constamment pour couvrir les agents dotés d’un accès global bien plus vaste que celui d’un humain.
Simon Legg, CISO de Hastings Direct
Il faut admettre que les contrôles visant à gérer les humains ne sont pas obligatoirement identiques à ceux qu’exige la prise en charge de systèmes. Les systèmes peuvent supporter une charge de contrôle plus importante que les humains.
Stu Hirst, CISO de Trustpilot
Les agents IA allant très probablement se généraliser dans toutes les entreprises, la gestion des identités doit évoluer pour s‘axer sur l’entité. Les agents IA demanderont une intégration, une gestion du cycle de vie, une attestation et un départ, tout comme les employés humains, mais à la vitesse de la machine.
Ejona Preci, CISO groupe de LINDAL Group
Chaque agent IA doit avoir une identité unique et traçable, régie par des contrôles de stratégie précis et étayée par une surveillance en temps réel à détection des anomalies. Lorsque le comportement ou la note de risque d’un agent dépasse les seuils, il faut révoquer immédiatement ses privilèges. Toute lacune ouvre la voie au chaos.
Erhan Temurkan, Directeur de la sécurité de l’information (société de services financiers)
Avec le temps, la gouvernance PAM, IAM et IA fusionnera en une pratique unifiée axée sur la question de qui, ou quoi, a accès, quand et pourquoi.
Yasin Carkci, CTO de Tams Finans
Dans cinq ans, la PAM passera d’un contrôle d’accès statique à une orchestration du risque en temps réel. Avec la prédominance des interactions entre machines, la durée de vie des identités se réduira à quelques minutes. La PAM devra valider les versions de modèle, appliquer des stratégies dynamiques et révoquer les privilèges à la volée.
Goher Mohammad, Chef de la sécurité informatique chez L&Q
Même si notre entreprise décidait de ne pas utiliser l’IA, celle-ci serait tout de même adoptée de différentes manières. Tout le monde s’intéresse à l’IA, qu’il sache ou non utiliser un ordinateur.
Panagiotis Soulos, Responsable principal de la sécurité de l’information GRC et RSSI adjoint chez ACIER
Pour déployer la PAM pour les agents IA, les RSSI doivent privilégier la gouvernance du cycle de vie, l’application du principe du privilège minimum et la surveillance en temps réel des identités non humaines. Il est vital de définir la propriété, d’assurer la traçabilité et d’établir des contrôles d’accès juste-à-temps. Il s’avère tout aussi vital de former les employés à une utilisation responsable de l’IA et une hygiène (cyber) immédiate.
River Nygryn, COO de Bullion FX
L’outil doit améliorer, et non remplacer, votre gouvernance et votre discipline opérationnelle.