Un entretien, organisé par Bank Info Security, avec les représentants de CyberArk et Accenture à l'occasion de la conclusion de leur partenariat sur l'accompagnement des entreprises vers une adoption sécurisée de l'intelligence artificielle nous procure l'occasion d'aborder un aspect critique mais souvent négligé : l'identité des machines.
Le besoin est loin d'être nouveau. Il n'y pas si longtemps, il a déjà émergé en première ligne des préoccupations avec la vogue de l'automatisation robotisée de processus (RPA). Mais il n'a pas été pris suffisamment au sérieux et rares sont les organisations qui ont mis en place une solution adéquate, nous verrons pourquoi un peu plus loin. Nous voilà donc confrontés quelques années plus tard aux mêmes défis avec les agents IA… à la différence que l'étendue de leurs capacités croît exponentiellement.
Mais, d'abord, pourquoi s'inquiéter d'identité pour ces outils ? Tout simplement parce qu'ils sont amenés à réaliser des actions sensibles et qu'il est donc impératif, en particulier dans le secteur financier, de pouvoir déterminer quel utilisateur à fait quoi à tout moment. Par ailleurs, ces comptes d'utilisateurs virtuels supportent des contraintes différentes de celles des humains (exemple trivial, le mot de passe est aberrant pour une machine). Il faut donc créer les conditions et l'infrastructure d'une gestion spécifique.
Pour commencer, ces identités techniques sont contrôlées par un administrateur humain (qui doit lui-même posséder une identité valide). Celui-ci porte alors la responsabilité de sa création, de la définition de ses droits (ce qu'elle autorise à faire avec les systèmes sur lesquels elle est habilitée à intervenir), du renouvellement régulier des informations d'authentification… Faisant partie d'un ensemble entièrement automatisé, elles requièrent également des mécanismes d'accès dédiés (pour rester sur le même exemple, il ne peut être question de fournir un mot de passe pré-enregistré).
Toute lacune sur ces capacités est une porte ouverte aux malveillances en tout genre, fraude ou cyberattaque…, émanant d'un tiers externe ou d'un collaborateur interne. L'absence de dispositif précisément adapté au contexte de connexion d'un robot – quel qu'il soit et y compris, entre autres, à travers des API – crée des failles de sécurité… dont la multiplication, avec celle des agents intelligents et leurs équivalents, constitue une aubaine pour les criminels (pour continuer sur le même thème, pensez un instant à ce compte générique visible dans les scripts de déroulement de processus).
Apparemment, la criticité des risques et l'urgence à les repousser ne suffisent pourtant pas, dans bien des entreprises, à déclencher le lancement de projets ad hoc. Une des principales explications à cette apathie réside dans la dimension purement technique du besoin, qui est donc difficile à défendre – d'autant plus que ses arguments sont eux-mêmes complexes – face à des propositions de création d'applications à base d'intelligence artificielle, aux promesses de retour sur investissement extravagantes.
Il faudra pourtant s'atteler rapidement à mettre en place le socle indispensable – plate-forme et gouvernance – au pilotage rationnel des identités des innombrables robots qui sont appelés, à terme, à réaliser la plupart des opérations de bas niveau dans les logiciels des institutions financières. Il serait extrêmement dangereux d'attendre que les raccourcis mal sécurisés se répandent dans tout le système d'information.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)