Identité de l’IA : 4 priorités pour anticiper plutôt que subir la régulation

Selon le Digital Trust Digest – Édition spéciale Identité & IA de Keyfactor, les entreprises déploient l’IA plus vite qu’elles ne savent l’identifier, la contrôler et l’auditer, créant une nouvelle crise d’identité au centre de l’IA d’entreprise.

Dans ce contexte, sans identités numériques uniques, les agents IA ne peuvent être fiables, une conviction partagée par 86% des professionnels de la cybersécurité. Faute de contrôles d’identité robustes, ces agents deviennent donc un risque réglementaire.

1. Considérer les agents IA comme de véritables identités numériques

Aucune norme ne définit explicitement « l’identité de l’IA ». Pourtant, plusieurs cadres (NIST AI RMF, l’ISO/IEC 42001, AI Act européen, …) reposent déjà sur des principes de traçabilité, d’attribution des actions, de responsabilité et d’autorité. Concrètement, les entreprises doivent être capables d’identifier quel agent IA a agi, dans quel contexte et sous quelle autorité.

2. Evaluer le niveau réel de gouvernance des agents IA

On observe un décalage dans l’avancement des dispositifs de gouvernance des entreprises : la moitié affirme avoir déjà mis en œuvre un cadre formel de gouvernance de l’IA, l’autre moitié demeure en phase de planification ou de réflexion. Un tel écart est souvent révélateur d’un marché en transition, cette phase précède généralement un durcissement du cadre réglementaire.

3. Structurer l’identité pour encadrer la responsabilité de l’IA

Les méthodes d’authentification des agents IA varient f : clés API, jetons statiques, signatures numériques ou certificats, sans le même niveau de sécurité. Les identifiants partagés limitent la traçabilité et compliquent la révocation des accès. Mais les identités basées sur des certificats garantissent une authentification forte, une gestion maîtrisée des accès et une traçabilité fiable des actions. Ces mécanismes sont appelés à devenir des standards réglementaires.

4. Combler le déficit de leadership et de résilience

On note aussi décalage au sein des exécutifs des entreprises. Selon 55%, les dirigeants prennent suffisamment au sérieux les risques liés à l’identité de l’IA, mais une part importante demeure sceptique. Les inquiétudes sur la résilience sont plus marquées : seules 28 % pensent pouvoir stopper un agent IA malveillant avant qu’il ne cause des dommages, tandis que 69 % considèrent les vulnérabilités IA comme une menace majeure. Sans contrôles d’identité robustes et applicables, la gouvernance reste fragile.

À terme, les entreprises devront mobiliser l’IA pour sécuriser l’IA elle‑même, via la détection et la réponse automatisées, l’analyse prédictive et l’orchestration en temps réel des contrôles. Mais sans fondations identitaires robustes (identités, autorisations et mécanismes de contrôle clairement définis), ces architectures risquent d’ouvrir de nouveaux angles d’attaque plutôt que de réduire le risque.