Les agents IA transforment l'identité numérique : pourquoi les entreprises ne sont pas prêtes

L’entreprise Anthropic a récemment pris une décision qui en dit long sur l’état actuel de l’intelligence artificielle : elle a renoncé à rendre public son modèle Mythos, jugé trop dangereux. Pourquoi ? Parce que ce système a identifié des milliers de vulnérabilités logicielles inconnues jusqu’alors, enfouies dans les systèmes d’exploitation et les navigateurs web depuis près de trente ans.

Selon Anthropic, Mythos représente un risque trop élevé. Ses capacités, qui lui permettent de détecter et corriger des failles de sécurité, pourraient tout aussi bien être exploitées par des attaquants. Un seul agent IA, explique l’entreprise, peut scanner des failles à une vitesse et une persistance inégalées par des centaines de pirates humains. Cette décision révèle une réalité préoccupante : les mêmes systèmes que les entreprises déploient en masse comme assistants autonomes — pour gérer des agendas, écrire du code ou organiser des flux de travail — sont aussi capables de s’infiltrer dans les défenses numériques à une échelle inédite.

Le problème ? La plupart des systèmes de sécurité actuels reposent sur un modèle conçu pour une époque où un humain était toujours derrière l’écran. Imaginez un bâtiment où chaque porte est verrouillée, mais où les serrures ne reconnaissent que des mains humaines. Aujourd’hui, ce même bâtiment est rempli de robots : certains sont des livreurs autorisés, d’autres des intrus. Et les serrures ne font plus la différence.

L’identité numérique : un concept en voie de disparition ?

Il fut un temps où la sécurité reposait sur des gestes simples : un mot de passe griffonné sur un post-it, une authentification en deux étapes, ou même une vérification biométrique. Toutes ces méthodes partaient d’une hypothèse commune : un être humain était présent de l’autre côté. Les agents IA bouleversent cette logique en agissant à deux niveaux.

D’un côté, les agents légitimes ont besoin d’identités pour fonctionner. Des outils comme Operator d’OpenAI naviguent sur le web à votre place, tandis que Gemini de Google planifie vos vacances en famille pendant votre sommeil. Visa, de son côté, a lancé Intelligence Commerce Connect, une plateforme permettant aux agents IA d’effectuer des achats pour les consommateurs. Ces technologies ne sont plus des prototypes ou des annonces futuristes : ce sont des produits concrets qui agissent au nom d’utilisateurs réels — et pour cela, ils ont besoin de votre identité.

De l’autre, les adversaires exploitent cette même logique pour usurper l’identité humaine. L’IA qui peut jouer le rôle d’un assistant bienveillant peut tout aussi bien se transformer en imposteur malveillant. Ils ne violent pas les systèmes : ils s’y connectent, en exploitant des identifiants partagés, des processus de recrutement, des portails de fournisseurs ou des outils collaboratifs.

La sécurité à l’ère des agents autonomes

La plupart des organisations traitent encore l’identité comme un simple problème de connexion : une tâche gérée par les services informatiques via des mots de passe plus robustes ou des étapes d’authentification supplémentaires. Pourtant, le vrai défi est désormais de savoir qui ou quoi a déjà accès à vos systèmes. Cette distinction entre humain et machine s’effrite au moment même où les systèmes numériques deviennent plus autonomes.

Quand cette frontière disparaît, les conséquences sont tangibles. Si un flux de travail de procurement ne peut plus distinguer un manager humain d’un agent IA se faisant passer pour lui, des commandes frauduleuses seront passées. Si les journaux de conformité ne parviennent plus à déterminer comment une décision a été prise, les audits deviennent impossibles. Et si un système automatisé prend des décisions critiques sans que personne ne puisse en retracer l’origine, la responsabilité elle-même devient floue.

Les entreprises doivent repenser leur approche de l’identité numérique. Les solutions traditionnelles — mots de passe, authentification multifactorielle, biométrie — ne suffiront plus. Il faut désormais intégrer des mécanismes capables de vérifier en temps réel si une action est initiée par un humain ou une machine, et d’adapter les niveaux d’accès en conséquence. Sans cela, l’essor des agents IA pourrait bien ouvrir la porte à une ère de fraudes et d’usurpations à une échelle jamais vue.