Okta dévoile à Oktane 2025 une nouvelle génération de sécurité des identités, pensée pour encadrer les agents IA et prévenir les fraudes numériques. L’éditeur lance la solution « Okta for AI Agents » et le protocole ouvert Cross App Access (XAA), avec le soutien de partenaires comme AWS, Boomi, Box, Glean et Grammarly.
À mesure que les agents conversationnels et applicatifs prolifèrent, ils multiplient les vecteurs d’exposition et fragilisent les dispositifs de sécurité existants. Selon Okta, 91 % des entreprises utilisent déjà des agents IA, mais seulement 10 % ont déployé une stratégie de gestion des identités non humaines. L’incident survenu cet été avec un bot de recrutement exposant des millions de candidatures en raison d’un mot de passe trivial illustre la réalité de ce risque.
Okta introduit « Okta for AI Agents », une solution intégrée à son architecture de gestion des identités. Elle permet de détecter les agents à risque, d’attribuer à chacun un identifiant et un niveau de responsabilité, puis de leur appliquer des politiques d’accès dynamiques selon le principe du moindre privilège. L’ensemble est supervisé par Okta Identity Governance et renforcé par l’analyse comportementale d’Okta AI, capable de déclencher des réponses automatiques en cas d’anomalie. La disponibilité est annoncée à partir de l’exercice 2027.
Cross App Access : un protocole ouvert soutenu par l’écosystème
La seconde innovation présentée, Cross App Access (XAA), étend OAuth afin de sécuriser les échanges entre agents IA et applications. Là où les modèles de consentement centrés sur l’utilisateur montrent leurs limites — accentuées par la « fatigue cognitive » —, XAA place la gouvernance au niveau de l’identité, supprimant les autorisations répétitives et renforçant l’audit. Plusieurs éditeurs, dont Automation Anywhere et Miro, ont annoncé leur adoption, tandis qu’une intégration native à Auth0 est prévue pour les développeurs SaaS B2B.
Okta prévoit également le déploiement de Verifiable Digital Credentials (VDC), destinés à émettre et vérifier des données d’identité infalsifiables. Ces justificatifs numériques, interopérables et respectueux de la vie privée, viseront à limiter la fraude lors de l’intégration des utilisateurs. Les premiers cas d’usage concerneront les permis de conduire électroniques, dès fin 2026, avec un élargissement progressif à d’autres documents.
Okta positionne ces annonces comme une étape vers une « immunité de la structure d’identité », concept que Gartner estime capable de prévenir 85 % des nouvelles attaques d’ici 2027. Mais l’éditeur insiste : la sécurisation des agents IA ne pourra pas reposer sur une seule solution, elle suppose une coordination sectorielle et l’adoption généralisée de normes ouvertes.
