Une étude menée auprès de 1 100 organisations dans huit pays montre que les entreprises françaises accusent un retard marqué sur la gouvernance des identités IA et les capacités de reprise après compromission. Le déploiement rapide d’agents IA accédant à des systèmes sensibles comme Active Directory, Entra ID ou Okta élargit progressivement la surface d’attaque des infrastructures d’identité.
Les entreprises françaises accélèrent sur l’usage des agents IA, y compris pour des opérations directement liées aux accès et aux identités. Cette évolution s’accompagne toutefois d’un retard marqué sur la gouvernance et les capacités de reprise après compromission. C’est ce que montre une étude publiée par Semperis, éditeur spécialisé dans la cyber-résilience des infrastructures d’identité, menée auprès de 1 100 organisations dans huit pays.
Identités non humaines : la France affiche le plus faible niveau de gouvernance
L’étude s’intéresse aux identités non humaines (NHI), c’est-à-dire aux comptes et agents automatisés utilisés par des outils IA, scripts ou services applicatifs pour accéder à des ressources sensibles. Ces identités deviennent progressivement un nouveau point d’entrée critique dans les infrastructures d’authentification comme Active Directory, Entra ID ou Okta. Selon les résultats publiés, 93 % des organisations utilisent déjà ou prévoient d’utiliser des agents IA pour des tâches sensibles liées à la sécurité, comme la réinitialisation de mots de passe ou les accès VPN. En parallèle, 92 % déclarent que l’IA est présente sur des postes pouvant accéder à des clés SSH ou de chiffrement.
« En France, seules 12 % des entreprises se disent capables de reprendre le contrôle après une compromission d’identifiants administrateurs »
La France apparaît toutefois en retrait sur plusieurs indicateurs. Seules 53 % des organisations françaises indiquent gouverner pleinement leurs identités IA, contre 65 % à l’échelle mondiale. L’Allemagne atteint 72 %. Plus marquant encore, 11 % des entreprises françaises reconnaissent ne suivre aucune identité IA, soit le taux le plus élevé parmi les huit pays étudiés. « L’accélération du déploiement de l’IA génère une multitude de nouveaux agents au sein des entreprises mondiales, analyse Alex Weinert, directeur produit de Semperis. Chacun doté de sa propre identité non humaine (NHI). Or, beaucoup d’entre elles font preuve d’un optimisme largement excessif quant à leur capacité à restaurer leur infrastructure d’identité après une compromission, alors même qu’elles ne cessent d’étendre ce paysage NHI ».
Les entreprises cherchent encore à encadrer les agents automatisés
L’étude met également en avant un écart important entre perception et capacité réelle de reprise après incident. À l’échelle mondiale, seules 32 % des organisations se disent très confiantes dans leur capacité à reprendre le contrôle après l’exposition de comptes administrateurs. En France, ce chiffre tombe à 12 %, contre 53 % aux États-Unis. Les sauvegardes immuables et air-gapped – des copies isolées du réseau pour limiter les impacts d’un ransomware ou d’une compromission – illustrent également cet écart. Les entreprises françaises mettent à jour ces sauvegardes 10,6 fois par semaine en moyenne, contre 17,5 à l’échelle mondiale. L’Australie, les États-Unis et l’Italie approchent les 20 mises à jour hebdomadaires.
Pour Chris Inglis, ancien directeur national de la cybersécurité des États-Unis, cette situation révèle une surestimation fréquente des capacités de résilience. « Sur le papier, les organisations disposent de plans et de sauvegardes ; dans les faits, les défaillances d’identité transforment des incidents techniques en crises commerciales prolongées », explique-t-il. Face à cette évolution, Semperis recommande plusieurs mesures destinées à limiter les risques liés aux identités IA. L’éditeur préconise notamment l’application du principe de moindre privilège, consistant à limiter les droits accordés aux agents IA au strict nécessaire. Il recommande également des accès “just-in-time”, attribués uniquement pendant une durée limitée.
L’étude évoque aussi l’usage d’outils UEBA (User and Entity Behavior Analytics). Ces technologies analysent les comportements des utilisateurs et des comptes automatisés afin de détecter des activités anormales, comme des agents IA compromis ou devenus “zombies”. Enfin, l’éditeur recommande de séparer les périmètres de confiance entre identités humaines et agents IA, afin de limiter les mouvements latéraux en cas de compromission d’un compte automatisé.
▶ [À lire également] RETEX : Comment le Crédit Agricole structure sa stratégie data et IA
