Fermer

décembre 11, 2025

La reprise d’identité de la machine

La reprise d’identité de la machine

Il s’agit d’une image de l’endroit où les identités des machines peuvent interagir avec les systèmes.

Le monde numérique a connu une inversion discrète mais absolue. Pendant des décennies, la principale entité d’un réseau était un être humain. Aujourd’hui, les comptes d’utilisateurs ne sont pas seulement minoritaires, mais leur part dans le nombre total d’identités à gérer continue de diminuer. La prolifération des microservices et l’adoption croissante d’agents d’IA continuent de nous plonger plus profondément dans un monde dominé par les identités des machines.

L’entreprise moderne n’est plus définie par les employés se connectant aux postes de travail, mais par une main-d’œuvre tentaculaire et invisible de microservices, l’utilisation toujours croissante d’API liées à l’accès et l’utilisation croissante d’agents d’IA qui interagissent et les dirigent. Des recherches ont montré qu’en moyenne, les organisations gèrent 50 identités de machine par identité humaine.1 Dans les environnements cloud avancés1.

Le changement gestion des identités et des accès les exigences sont motivées par deux changements fondamentaux dans l’architecture informatique.

Les microservices poursuivent leur progression

Très tôt, des pionniers comme Amazon et Netflix se sont tournés vers les microservices : de petits services déployables de manière indépendante, chacun possédant une capacité commerciale claire et ses propres données, déployés sur des plates-formes cloud et de conteneurs émergentes. Plus tard, les microservices sont devenus l’ambition par défaut des systèmes « modernes ». Kubernetes, les passerelles API et les maillages de services ont explosé en popularité. De nombreuses organisations ont volontiers décomposé leurs monolithes en dizaines, voire centaines de services, puis se sont heurtées à la dure réalité des systèmes distribués : débogage complexe, réseaux fragiles, observabilité incohérente et « prolifération des microservices ». Cela a forcé une nouvelle approche dans laquelle les responsables de la mise en œuvre établissent des limites bien définies entre leurs propres services et les services avec lesquels ils interagissent.

L’essor de l’IA agentique

Historiquement, les microservices servaient principalement des clients à contact humain. Aujourd’hui, de nombreuses organisations introduisent un « cerveau d’orchestration » explicite devant leurs services de base. Au lieu d’un frontal coordonnant les appels à une poignée de microservices, une passerelle d’agent ou un service d’orchestrateur expose un catalogue d’outils, gère les vérifications de mise à la terre et de politique, et encapsule les tentatives, les actions de compensation et la gestion des erreurs. Les microservices de base restent plus restreints et plus déterministes2.

Pourquoi l’IAM « humaine » échoue à identifier les identités des machines

La crise centrale réside dans l’incapacité d’appliquer les disciplines standards de l’IAM (menuisiers, déménageurs et sortants) au monde des machines. Nous disposons de systèmes RH sophistiqués pour gérer l’accès humain, mais de nombreuses organisations ne disposent pas d’un processus similaire lors de la publication de nouveaux services.

Lorsqu’un humain rejoint, il passe par une vérification d’identité. Lorsqu’une machine « rejoint » (est lancée par un développeur), elle reçoit souvent à la hâte un identifiant codé en dur trouvé dans un fichier .env ou un référentiel GitHub privé. Pour récupérer un identifiant sécurisé depuis un coffre-fort, une machine a besoin d’un identifiant pour accéder le coffre-fort. Ce « Secret Zéro » est souvent codé en dur, créant un point faible permanent dans la chaîne de confiance.

Fluage de privilèges

Les employés humains changent de rôle et, idéalement, leurs droits d’accès changent avec eux. Les machines voient cependant rarement leurs privilèges revus.

  • La voie de la moindre résistance : Les développeurs attribuent fréquemment des autorisations « Administrateur » ou « Lire/écrire tout » à un compte de service pour éviter les erreurs d’autorisation de débogage. À mesure que la charge de travail évolue (se déplace) vers de nouvelles tâches, elle conserve ses anciens droits d’accès.
  • Résultat: Un simple robot de reporting peut accumuler le pouvoir de supprimer des bases de données ou de modifier le code de production au fil des mois de « correctifs logiciels », devenant ainsi une cible de grande valeur pour les attaquants.

Comptes zombies

Lorsqu’un collaborateur démissionne, les RH déclenchent une révocation immédiate de l’accès. Lorsqu’un microservice est mis hors service ou qu’un projet se termine, son compte de service perdure souvent, inaperçu. Ces « comptes zombies » restent inactifs dans les rôles Active Directory ou Cloud IAM, non surveillés mais pleinement actifs. Parce qu’ils ne se plaignent pas des rotations de mots de passe ou des invites MFA, ils constituent le moyen idéal pour les attaquants d’établir la persistance sans déclencher d’alarmes.

Séparation des tâches et IA

À mesure que les machines deviennent plus autonomes, nous constatons des échecs dans les concepts avancés d’IAM tels que la séparation des tâches (SoD). Le principe du SoD veut que l’entité qui demande un paiement ne puisse pas être la même entité qui l’approuve. Dans la ruée vers l’automatisation, les organisations regroupent souvent ces rôles en une seule identité. En cas de compromission, un attaquant peut injecter un logiciel malveillant et le diffuser instantanément, en passant les contrôles que les équipes humaines effectueraient normalement.

L’angle mort de l’IA agentique

Les agents IA introduisent « l’accès non déterministe ». Contrairement à un script qui suit un chemin défini (si X, fais Y), un agent IA est probabiliste (« Optimiser les dépenses cloud »). Un agent peut décider qu’il a besoin d’accéder à une nouvelle base de données pour répondre à la requête d’un utilisateur. L’IAM traditionnel est statique ; il ne peut pas gérer une entité qui « invente » de nouvelles exigences d’accès à la volée. Cela conduit à un surprovisionnement, où les agents se voient accorder un large accès au « mode Dieu » juste pour s’assurer qu’ils ne restent pas bloqués.2.

L’emballer

Le changement démographique est terminé. L’entreprise moyenne constitue désormais un écosystème numérique dans lequel les humains sont largement dépassés en nombre par les microservices, les robots et les agents IA. Continuer à gérer les identités des machines avec une approche centrée sur l’humain (feuilles de calcul, rotation manuelle et mots de passe statiques) est une invitation au maléfique.

Servir de locataire principal de confiance zéroune approche de gestion de la sécurité centrée sur l’identité des machines est fondamentale pour sécuriser les microservices qui fonctionnent en dehors de ce que certains peuvent percevoir comme étant « à l’intérieur du périmètre de sécurité ». Chaque appel est un appel à distance, ce qui signifie que vous devez savoir exactement qui ou quoi parle à quoi. Avec les microservices, vous ne gérez pas seulement les identités des utilisateurs, vous gérez un essaim de machines et d’autres identités non humaines sous la forme de services, de tâches, de robots et d’agents d’IA. Si vous ne disposez pas d’une identité forte, tout jeton, secret ou compte de service compromis peut se propager sur des dizaines de services et de bases de données.

Au-delà de la difficulté de provisionner correctement les microservices, le fait que la plupart d’entre eux ont été trop privilégiés3 est un phénomène qui s’apparente à un cyber-environnement en forme de cible. Bien faire l’accès avec le moindre privilège en fonction des besoins, et non des contrôles codés en dur, mais la tâche de véritablement comprendre les exigences d’accès des microservices hautement modulaires et interactifs s’avère souvent écrasante. Une chose que je peux prévoir en toute sécurité pour l’avenir est que le coût des vulnérabilités programmatiques dépassera de loin celui qui existe pour les humains.

Découvrez comment OpenText peut vous aider gouverner toutes les identités humaines et machines.

Sources

1 – Omdia, Fondamentaux de l’identité non humaine ; 2025

2- Microsoft, Architecture Agentique; 2025

Le poste La reprise d’identité de la machine est apparu en premier sur Blogues OpenText.


Le meilleur outil 2023 pour ta croissance Instagram !


Source link