L’IA agentique multiplie les identités numériques à une vitesse que les dispositifs de gouvernance des accès existants ne peuvent absorber. Agents autonomes, comptes de service, identités machine, connecteurs MCP : autant d’entités qui agissent sur des systèmes critiques sans supervision humaine, en temps réel et avec des privilèges souvent permanents. Trois études publiées simultanément en mars 2026 convergent vers le même constat : les organisations savent qu’elles sont mal préparées, mais elles cèdent à la pression d’accélérer quand même.
Pendant des années, la sécurité des identités a été pensée autour d’un périmètre humain : un utilisateur, un compte, une authentification. L’IA agentique brise ce modèle. Un projet d’automatisation moyen déploie aujourd’hui des dizaines d’identités non humaines dont chacune peut déclencher des actions à privilèges sur des systèmes de production, souvent à vitesse machine et sans intervention humaine entre la requête et l’exécution. Le rapport Delinea « Uncovering the Hidden Risks of the AI Race », publié en mars 2026 sur la base d’une enquête mondiale menée auprès de plus de 2 000 décideurs IT, mesure l’ampleur de ce décrochage. Près de 42 % des organisations identifient le déploiement de l’IA comme le principal facteur d’augmentation du risque lié aux identités non humaines au cours des douze derniers mois, devançant largement la croissance de l’automatisation et des charges de travail cloud natives, citées par 26 % des répondants respectivement.
Le chiffre le plus révélateur du rapport concerne la traçabilité des actions à privilèges. Selon Delinea, 80 % des entreprises déclarent ne pas toujours être en mesure de comprendre pourquoi une identité non humaine a exécuté une action à privilèges. Cette lacune de traçabilité représente une exposition réglementaire directe. NIS2 impose aux entités essentielles et importantes de démontrer l’effectivité de leur gestion des accès. DORA exige des acteurs financiers une traçabilité complète des actions sur les systèmes critiques. Un agent IA qui accède à un système de production sans que cet accès soit auditable en temps réel ne satisfait ni à l’un ni à l’autre de ces cadres.
La vitesse d’adoption contre la rigueur de la gouvernance
Le rapport Delinea documente un phénomène qui inquiète les équipes sécurité depuis plusieurs mois sans trouver de traduction chiffrée : la pression organisationnelle pour assouplir les contrôles d’identité au profit des projets IA. Selon l’étude, 90 % des organisations font pression sur leurs équipes de sécurité en ce sens. Art Gilliland, PDG de Delinea, formule le risque avec précision : « La pression pour avancer rapidement sur l’IA est bien réelle, mais la gouvernance des identités n’a pas suivi le rythme, ce qui expose les entreprises à des risques considérables. Alors que les agents d’IA se multiplient dans les environnements d’entreprise, ces identités sont souvent celles qui font l’objet de la plus faible supervision. »
Ce paradoxe entre confiance affichée et maturité réelle se retrouve dans le livre blanc IDC commandé par Ping Identity, publié en février 2026 sur la base d’une enquête mondiale menée auprès de 794 entreprises. IDC y définit la notion de confiance vérifiée comme l’assurance permanente que chaque interaction numérique, humaine ou pilotée par une machine, est associée à une identité vérifiée de manière indépendante et fiable sur la durée. Selon cette définition, seules 9 % des entreprises interrogées satisfont aux critères d’un leadership en matière de confiance vérifiée, alors que 51 % d’entre elles se considèrent en avance sur leurs concurrents dans ce domaine. L’écart entre perception et réalité est de 42 points.
Les conséquences économiques de cet écart sont mesurables. Les entreprises qui déploient effectivement la vérification d’identité continue et contextuelle enregistrent un taux de conversion des inscriptions clients supérieur de 51 %, une réduction de 43 % des pertes liées à la fraude et un temps d’intégration des nouveaux collaborateurs réduit de 47 %. Emanuel Figueroa, Senior Research Analyst chez IDC, tire la conclusion structurelle : « La confiance vérifiée est désormais une condition préalable pour fonctionner à l’échelle dans les environnements pilotés par l’IA. À mesure que l’IA gagne en autonomie et en complexité, l’identité devient le mécanisme de contrôle, de responsabilité et de confiance. »
L’accès permanent comme vecteur d’attaque
La troisième dimension critique identifiée par les études concerne la nature même des privilèges accordés aux identités non humaines. Selon Delinea, 59 % des entreprises n’ont pas d’alternative viable à l’accès permanent à privilèges pour leurs agents IA et leurs identités non humaines. Ce modèle d’accès persistant, héritage des pratiques de gestion des comptes de service traditionnels, présente un profil de risque radicalement différent lorsqu’il est appliqué à des agents autonomes capables de déclencher des dizaines d’actions en chaîne à partir d’une seule requête. Une compromission d’identité dans ce contexte produit des effets en cascade à vitesse machine, sans fenêtre d’intervention humaine entre la détection et l’impact.
L’approche préconisée par les acteurs spécialisés repose sur trois principes techniques complémentaires. Le premier est l’accès juste-à-temps, qui consiste à accorder des privilèges uniquement pour la durée de l’opération demandée, puis à les révoquer automatiquement. Le deuxième est la vérification contextuelle continue, qui évalue en permanence si le comportement d’une identité est cohérent avec son objectif déclaré et ses permissions autorisées. Le troisième est l’identité cryptographique, qui permet d’attribuer une empreinte vérifiable à chaque agent IA et de tracer chacune de ses actions dans un journal d’audit exploitable par les équipes SOC.
Ce que les RSSI doivent inscrire à leur agenda de gouvernance
L’émergence des identités non humaines comme vecteur de risque prioritaire impose aux équipes sécurité une révision structurelle de leur approche de la gestion des identités et des accès. Les outils IAM conçus pour gérer des comptes humains avec des cycles d’authentification longs ne sont pas adaptés à des agents qui s’authentifient des centaines de fois par heure et dont les actions doivent être auditées en temps réel. Peter Barker, Chief Product Officer chez Ping Identity, résume l’évolution requise : « Chaque décision d’autorisation doit être vérifiée, contextualisée et encadrée en continu dans toute entreprise où l’IA interagit. »
Pour les directions sécurité qui supervisent des projets IA en cours de déploiement, trois questions pratiques méritent d’être posées en priorité. La première est l’inventaire exhaustif des identités non humaines actives dans l’environnement de production, une question à laquelle, selon Delinea, moins d’un tiers des entreprises peuvent répondre avec certitude en temps réel. La seconde est l’existence d’un modèle de moindre privilège appliqué aux agents IA, distinct de celui appliqué aux comptes humains. La troisième est la capacité à produire, sur demande d’un auditeur ou d’une autorité régulatrice, un journal d’actions complet et horodaté pour chaque identité non humaine opérant sur les systèmes critiques. Ces trois exigences se trouvent au cœur des obligations de traçabilité que NIS2 et DORA imposent aux organisations dans leur périmètre.
