Palo Alto Networks a publié jeudi son rapport 2026 Identity Security Landscape, avec le chiffre manchette à épingler dans tout pitch de procurement d'agent IA : les organisations gèrent maintenant en moyenne 109 identités machine pour chaque identité humaine. Les agents IA en accaparent une part croissante. Les répondants au sondage projettent une croissance de 77 % des identités machine sur les douze prochains mois, de 85 % pour les agents IA, et de 56 % pour les identités humaines — ce qui veut dire que la couche agent/machine s'étend deux fois plus vite que la couche humaine, et que l'écart va se creuser matériellement jusqu'en 2027. Le problème en aval que le rapport flagge, c'est l'écart de perception : les cadres C-suite croient que leurs organisations imposent le moindre privilège parce qu'ils se concentrent sur l'accès humain, alors que les praticiens sécurité rapportent qu'ils ne peuvent pas appliquer de manière cohérente le moindre privilège pour les comptes de service à travers cloud, SaaS et on-prem. Plus de la moitié des répondants admettent cet écart par écrit.

Les données d'incident d'Unit 42 sont la partie à pondérer le plus lourdement — elles viennent d'enquêtes de bris réelles plutôt que d'auto-déclaration en sondage. Unit 42 a examiné plus de 750 incidents cyber en 2025 ; dans 87 % des cas, les enquêteurs ont eu besoin de preuves provenant de deux sources distinctes ou plus pour établir ce qui s'est passé, avec les incidents complexes nécessitant jusqu'à dix sources. Les systèmes d'identité fragmentés ont ajouté en moyenne 12 heures à la réponse aux incidents liés à l'identité. Le pattern qui émerge, c'est que l'authentification est sur-soulignée comme contrôle alors que l'activité post-login est sous-surveillée : SSO et MFA sécurisent la porte d'entrée, mais aucun n'attrape ce qu'un agent, un token ou un compte de service fait après l'authentification. Les agents IA touchent déjà aux dossiers financiers, aux PII, à la technologie opérationnelle, et aux systèmes business core — et la plupart des organisations ne peuvent pas définir à quoi ces agents sont autorisés à accéder, comment l'accès est borné, quand les permissions sont révoquées, ou quels systèmes héritent l'accès les uns des autres.

La lecture écosystémique se branche directement sur les pièces du stack agentique qui sortent cette semaine. La preview de WorkSpaces MCP-agent d'AWS, couverte hier, a fait de l'identité IAM-par-agent une exigence de procurement de base — le rapport de Palo Alto est le point de donnée côté demande qui explique pourquoi. Le harnais de sécurité agentique MDASH de Microsoft du même cycle d'actualité est le complément côté offensif ; le même pattern architectural (100+ agents IA spécialisés) qui trouve des vulnérabilités va aussi en créer quand il est déployé sans hygiène IAM. Le hedge honnête sur ce rapport : c'est la recherche propre de Palo Alto Networks, et Palo Alto vend des produits de sécurité identité incluant un outillage d'identité machine intégré à CyberArk — donc le ratio 109:1 est dans leur intérêt commercial à brandir. Les statistiques d'incidents d'Unit 42 sont plus crédibles parce qu'elles viennent d'enquêtes réelles plutôt que d'auto-déclaration, mais doivent quand même être traitées comme la vision de Palo Alto sur le marché plutôt que comme un recensement indépendant.

Pour les builders : si tu livres des produits qui incluent des agents IA touchant aux données client, trois actions concrètes avant le prochain cycle de déploiement. Premièrement, audite ton inventaire d'identités machine — la plupart des équipes découvrent que le ratio 109:1 est conservateur quand elles comptent vraiment. Deuxièmement, implémente du just-in-time access pour les comptes de service et de l'identité IAM-par-agent pour tout agent qui touche aux données de production ; l'accès privilégié permanent est maintenant un constat d'audit. Troisièmement, construis un runbook de révocation d'identifiants qui ne nécessite pas une étape d'approbation humaine — la compromission d'agent à vitesse machine va brûler les organisations qui ne peuvent révoquer qu'à vitesse humaine. Le rapport Palo Alto est au lien Help Net Security si tu veux la méthodologie complète ; le cadrage 109:1 est la partie à lever dans les decks de procurement, et la projection agents-IA-+85 % est l'input de planification pour les douze prochains mois.