The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne sont ni vus ni gouvernés - dépasse déjà ce que les organisations pensent gérer(57 % contre 43 % dans l'étude). Ce n'est pas un élément technique mineur; c'est la base sur laquelle les agents autonomes de l'IA sont supportés aujourd'hui que, dans la recherche de raccourcis, peuvent exploiter exactement ces ombres: comptes locaux inventés, lettres de créances gaufrées et grands et jetons réutilisables.
La combinaison du déploiement massif de l'agent AI et d'une surface d'identité mal gérée est la tempête parfaite. Ces agents sont conçus pour optimiser les tâches et, lorsqu'ils trouvent des obstacles, préfèrent les itinéraires rapides : réutiliser un jeton plus privilégié, lire un justificatif de texte plat ou invoquer un compte de service local. Que l'IV puisse accéder à quelque chose ne veut pas dire que je devrais le faire. et la différence est marquée par les politiques, les contrôles et l'hygiène des identités.
Les conséquences ont déjà eu des effets visibles cette année: interruptions dans les services cloud et fuites qui, dans de nombreux cas, avaient comme identité vectorielle des autorisations excessives ou des comptes orphelins. Mais au-delà de la disponibilité, les risques comprennent le vol de données, le déplacement latéral au sein du réseau, l'escalade des privilèges automatisés et l'exposition réglementaire qui peut entraîner des amendes et une perte de confiance.
Si votre organisation ne dispose pas d'inventaires actualisés des identités non humaines, elle perd de la visibilité sur une partie critique de la surface de l'attaque. Deux priorités initiales sont d'identifier et de classer : connaître les comptes existants, les ressources auxquelles ils ont accès et la portée de ces permis.. L'identification des outils et le balayage automatisé des dépôts et des applications réduisent l'armo-spot et permettent de hiérarchiser les mesures correctives.
Les mesures techniques qui réduisent les risques pour les travailleurs indépendants sont bien connues mais mal appliquées : gestion centralisée de l'identité des machines, utilisation de secrets gérés (non secrets en texte plat), lettres de créance éphémères (jetons OIDC ou rôles temporaires), principes de privilège minimum et accès juste-à-temps. Leur mise en œuvre n'est pas seulement une bonne pratique: elle est essentielle. Pour approfondir les principes de défense dans l'identité et l'architecture de la confiance, voir les cadres tels que ceux du NIST sur l'IA et les bonnes pratiques de sécurité de l'identité dans le cadre de la confiance zéro de la CISA: NIST - AI et technologie et CISA - Modèle de maturité de confiance zéro.
Le problème des comptes orphelins et des permis excessifs exige des processus organisationnels et de la technologie. Automatiser les comptes bas, les examens périodiques des entrées et les processus d'avertissement formel réduit considérablement les risques. N'attendez pas un audit ou un incident : implémenter les flux d'approbation, l'expiration automatique des privilèges et le rapprochement entre le répertoire central et les identités d'application locales.
En plus de prévenir, il est nécessaire de détecter. Les agents IA peuvent se déplacer à des vitesses supérieures aux opérations manuelles. Il est essentiel d'appliquer la détection basée sur la corrélation comportement-événement: alertes pour une utilisation inhabituelle des jetons, accès hors-horaire, création de compte à partir de pipelines ou de dépôts, et mouvements de section entre environnements. L'intégration de la télémétrie d'identité avec les systèmes IMS et EDR fournit des réponses précoces.
Pour régir l'utilisation de l'agent AI, il convient d'établir des gardes de sécurité spécifiques : politiques d'accès par agent, environnements de bac à sable pour les essais, règles pour la signature et le déploiement des modèles, et surveillance des phrases d'interaction qui indiquent des tentatives de contournement. La gouvernance doit comprendre l'approbation humaine des actions hors de portée et des dossiers immuables des décisions automatisées; la traçabilité est le seul moyen de vérifier les actions des acteurs indépendants.
Les travaux d'assainissement peuvent être fractaux : tout n'est pas fixé à la fois. Commencez pour que vous puissiez produire une réduction des risques plus immédiate: comptes privilégiés, jetons multi-environnement et identifiants de code. De là, mettre en œuvre un cycle continu de découverte, de contrôle et de mesure. La mesure de la « matière noire » et de sa réduction du temps offre à la direction un indice de risque d'amélioration spécifique.
Enfin, la préparation n'est pas seulement technique mais culturelle: les équipes de développement, les opérations et la sécurité doivent être formées dans des pratiques d'identité sécurisées et dans les particularités du comportement des agents d'IV. Les décisions de conception de logiciels (éviter le stockage de secrets dans les dépôts, utiliser des identités gérées) et les accords de niveau de service avec les fournisseurs de cloud sont des composants essentiels. Si vous avez besoin d'un point de départ pratique, les guides et les cadres publics mentionnés ci-dessus sont de bonnes références et devraient être combinés à une évaluation interne continue.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...