Insight

Repenser l’identité et les accès des identités non humaines à l’ère de l’IA agentique

Publié le 22 mai 2026

  • Cybersécurité
hand holding network ball

En bref

  • L’IA agentique constitue une nouvelle catégorie d’identités non humaines (NHI). La vague massive à venir place les NHI au premier plan en redéfinissant les risques et la manière dont elles doivent être gérées et sécurisées.
  • La priorité est de cartographier et comprendre votre paysage de NHI, d’adopter une approche fondée sur les risques afin de sécuriser rapidement les cas d’usage les plus critiques et d’éviter la dispersion, et de mettre en place une posture cyber globale couvrant à la fois les agents IA et les NHI existantes.
  • Repenser les identités non humaines à l’ère de l’IA agentique

Cette page a été traduite automatiquement depuis l’anglais pour en faciliter l’accès. En cas de doute, nous vous recommandons de consulter la version originale.

L’essor des identités non humaines : de la complexité technique au risque stratégique  

D’ici 2026, le nombre d’identités non humaines (NHI) dépassera celui des identités humaines traditionnelles selon un ratio de 82:1¹. Près de 20 % des organisations ont déjà subi des incidents liés aux NHI².

Aujourd’hui, cette catégorie s’élargit encore pour inclure des agents pilotés par l’IA, illustrant la diversité et l’ampleur croissantes des NHI dans les environnements modernes.

Une NHI est une identité numérique associée à un système, une application, un service ou un équipement (par exemple des comptes de service ou des objets connectés), et non à une personne. Les NHI ont fortement évolué. Il y a quinze ans, elles se limitaient principalement à des comptes de service pour des applications on premise, des traitements batch planifiés ou des connexions à des bases de données. Avec l’adoption du cloud et des architectures orientées intégration, elles se sont étendues aux clés API, aux identifiants applicatifs et aux services principaux des plateformes cloud. Plus récemment, elles englobent des identités variées telles que les microservices et les objets connectés.

L’essor de l’intelligence artificielle agentique amène les équipes en charge des identités à repenser la gestion des NHI. Les systèmes d’IA agentique peuvent agir avec une autonomie complète dans la prise de décision et l’exécution. Là où les NHI étaient jusqu’alors des identités « représentatives » d’outils et de systèmes, l’IA agentique ouvre une nouvelle ère dans laquelle les identités deviennent fonctionnelles au sein de l’entreprise digitale. L’IA devient un acteur à part entière, interagissant avec d’autres identités et systèmes au delà de schémas prédéfinis.

Défis de sécurité des NHI : sur dotées et sous sécurisées

 

  •  82:1 Le ratio des identités non humaines (NHI) dépassera celui des identités humaines traditionnelles.
  •  20% Les organisations ayant connu des incidents liés aux NHI
  •  
visual representing NHIs security challenges FR

Historiquement, les organisations ont eu des difficultés à traiter les NHI de manière structurée, ce qui a entraîné les problématiques et risques suivants :

la croissance rapide du nombre de NHI dans les environnements met en lumière plusieurs défis :

  • le suivi dynamique de leur existence, de leur pertinence et de leur usage sur de multiples plateformes ;
  • la gestion de cycles de vie potentiellement complexes, selon l’actif représenté par la NHI (infrastructure, application, assistant IA, etc.) ;
  • une augmentation significative de la surface d’attaque.

Les NHI en pratique : constats terrain

Dans des secteurs tels que l’assurance, l’énergie ou le luxe, nous observons que les organisations disposant de processus IAM matures pour les identités humaines se penchent désormais sur les NHI. Si certaines catégories sont bien maîtrisées, d’autres restent en dehors des dispositifs. Les organisations gèrent correctement le cycle de vie et les permissions des clients API, mais la situation est souvent plus floue pour les comptes non humains dans les annuaires (ownership, droits, gestion des identifiants).

Par ailleurs, le comportement des NHI est encore insuffisamment supervisé pour détecter des activités anormales ou suspectes, révélatrices d’une compromission.

Notre expérience montre qu’en raison de la diversité des types de NHI et des environnements technologiques dans lesquels elles évoluent – combinée à des héritages et à des approches différentes dans le temps – la simple cartographie de l’usage actuel des NHI constitue déjà un véritable défi.

Bertrand Carlier, Associate Partner, Wavestone
Bertrand Carlier

Appel à l’action : pourquoi une approche fondée sur les risques est essentielle

Il n’existe pas aujourd’hui de réglementation mondiale spécifique dédiée aux NHI. Celles ci sont toutefois implicitement couvertes par des cadres existants tels que le RGPD, la directive NIS2 ou des normes comme l’ISO/IEC 27001, via les contrôles IAM et l’application du principe du moindre privilège.

Une approche fondée sur les risques permet de prioriser les cas d’usage les plus sensibles à sécuriser immédiatement, plutôt que d’appliquer une approche uniforme. Elle peut s’appuyer sur :

  1. le périmètre d’impact (systèmes et informations concernés) ;
  2. le niveau de privilège (administrateur, accès transverses) ;
  3. le niveau de comportement et d’imprévisibilité (processus prédéfinis, dépendance à une supervision humaine ou autonomie complète) ;
  4. l’ownership (équipes identifiées ou non) ;
  5. l’environnement (cloud, on premise, SaaS).

Cette analyse offre une première vision d’ensemble des types de NHI présents et permet d’identifier les processus clés (cycle de vie, gestion des identifiants, authentification, supervision) avant d’aller plus loin.

À partir de cette base, les équipes sécurité peuvent évaluer les risques immédiats, appliquer strictement le principe du moindre privilège, améliorer les politiques d’accès et renforcer la gouvernance IAM.

L’essor de l’IA agentique : une complexité accrue pour les NHI

Arrive maintenant l’« IA agentique », décrite dans Vers l’IA agentique :  comme un système « planifier, orchestrer, décider et agir de manière autonome et adaptative dans des environnements complexes et dynamiques ». Son adoption s’accélère : Gartner prévoit que 33 % des applications logicielles intégreront de l’IA agentique d’ici 2028 et que 15 % des décisions opérationnelles quotidiennes seront prises de façon autonome³.

Une nouvelle réalité s’impose : un « collaborateur virtuel » opère désormais aux côtés des utilisateurs humains, avec un niveau d’autonomie comparable. Dans le même temps, des contrôles de risques insuffisants freinent les investissements dans l’IA agentique.
L’IA agentique remet profondément en cause les cadres et processus existants et impose des évolutions rapides pour faire face à l’explosion du nombre de NHI et à l’imprévisibilité de leur comportement. Si un agent IA dispose de plus de privilèges que nécessaire, il les utilisera.

Nous explorons ce sujet dans notre billet Risk Insights L’essor des agents IA redéfinit les enjeux de sécurité du système d’information  (ouvre dans un nouvel onglet)  

 

Sécuriser l’avenir : vers une posture cyber globale pour toutes les NHI

Avec l’augmentation des usages, les organisations doivent adopter une posture cyber globale et cohérente couvrant à la fois les NHI historiques et les nouvelles identités d’agents IA. Cela passe par un renforcement global de l’IAM autour de cinq piliers : inventaire, gouvernance claire, authentification robuste, gestion stricte des permissions et supervision adaptée.

D’après notre expérience, le véritable changement intervient après la phase de découverte initiale. La première étape concrète consiste à définir un responsable pour les NHI les plus critiques et à mettre en œuvre des contrôles minimaux : rotation des identifiants, moindre privilège et supervision de base.
Dans les 90 premiers jours, un socle solide se traduit par un modèle de gouvernance NHI défini, une feuille de route de remédiation priorisée pour les identités critiques et l’intégration des NHI dans les processus IAM existants (revues d’accès, gestion des incidents). Les organisations ayant posé ces bases sont mieux armées pour monter en charge en toute sécurité à mesure que l’IA agentique se déploie.

Enfin, pour les agents IA les plus récents, la découverte sur les plateformes agentiques et une vision centralisée de leur nombre, de leur finalité et de leurs permissions associées sont essentielles pour garder le contrôle à mesure que l’IA agentique se généralise.

circle diagram illustrating 5 pillars for NHI

L’ère des déploiements d’IA agentique ne fait que commencer : c’est maintenant qu’il faut s’assurer du respect des meilleures pratiques en s’appuyant sur des processus et des outils de pointe et en en imposant l’usage.

Bertrand Carlier, Associate Partner, Wavestone

Sources:

  1. Total Assure Top 3 cybersecurity predictions  (ouvre dans un nouvel onglet) – 2026
  2. Astrix Security The state of non human identity security  (ouvre dans un nouvel onglet)   2026
  3. Gartner: Press Release Agentic AI projects cancelled  (ouvre dans un nouvel onglet)  2025

Cet article est le fruit d’une intelligence collective. Chez Wavestone, nous donnons toute sa place à la passion et croyons intimement en la force du partage d’idées.

Un grand merci à Euan Briggs, Nathalie Balabhadra, Bertrand Carlier, Mrudula Hirmagalur, Vincent Exposito, Nicolas Guichard, Pascal Vidal.

Contactez-nous

Partager ce contenu