Personne ne gère l'accès des agents IA dans 85 % des entreprises qui les utilisent en production

La Cloud Security Alliance a sondé 228 professionnels des TI et de la sécurité en janvier et a découvert une réalité troublante : 85 % des organisations font tourner des agents IA dans des environnements de production, mais personne n'a la responsabilité claire de la façon dont ces agents s'authentifient ou de ce qu'ils peuvent accéder. Les agents d'automatisation de tâches mènent le déploiement dans 67 % des entreprises, suivis par la récupération de données (52 %) et les agents de génération de code (50 %). Ces agents interagissent principalement avec les applications internes et les API (56 %), les plateformes SaaS (49 %), et l'infrastructure cloud (44 %).

Cela représente un problème d'infrastructure fondamental que les entreprises semblent déterminées à ignorer jusqu'à ce que ça brise quelque chose d'important. On a déjà vu ce pattern avec la conteneurisation et les microservices — les nouvelles technologies se déploient plus vite que l'infrastructure de support évolue. La différence ici, c'est que les agents IA peuvent prendre des décisions et agir de façon autonome, rendant le rayon de dégâts des contrôles d'accès mal configurés potentiellement catastrophique. Quand 43 % des organisations utilisent des comptes de service partagés pour l'accès des agents et que 31 % laissent les agents opérer sous des identités humaines, vous volez essentiellement à l'aveugle.

L'enquête révèle le dysfonctionnement organisationnel prévisible : la responsabilité des contrôles d'accès des agents est éparpillée entre la sécurité (28 %), le développement (25 %), et les équipes business (18 %), avec 15 % incertains de qui est responsable quand les agents se comportent mal. Seulement 57 % expriment une confiance modérée à élevée que leurs agents ont un accès appropriément délimité — un aveu surprenamment honnête qui suggère que le vrai chiffre est beaucoup plus bas.

Pour les développeurs qui bâtissent des systèmes alimentés par l'IA, ça devrait être un signal d'alarme. Si votre organisation manque de gestion claire d'identité des agents, vous héritez probablement d'une dette de sécurité significative. Commencez à poser des questions tough sur la rotation des credentials, la journalisation des accès, et la réponse aux incidents pour vos intégrations IA avant que la négligence de quelqu'un d'autre devienne votre urgence de production.