« Des clés API partagées exposent les agents IA dans 69 % des entreprises, selon une étude de VentureBeat »
Selon une nouvelle enquête publiée par VentureBeat, 69% des entreprises partagent aujourd'hui des identifiants d'accès entre plusieurs agents d'intelligence artificielle, une pratique qui transforme la compromission d'un seul agent en porte d'entrée vers l'ensemble d'un système. L'étude, menée en juin 2026 dans le cadre de la vague Pulse Research auprès de 107 entreprises de plus de 100 salariés, montre que seulement 32% des organisations attribuent à chaque agent IA une identité propre et gérée individuellement. 48% appliquent cette pratique de façon partielle, tandis que 32% font tourner leurs agents sur des clés API partagées ou des identifiants humains empruntés. La question autorisant plusieurs réponses, 24 des 107 répondants ont coché plusieurs cases, ce qui explique un total de 112%; une fois dédupliqué par organisation, 74 entreprises, soit 69% de l'échantillon, reconnaissent au moins une forme de partage d'identifiants. Plus de la moitié des répondants (54%) ont déjà connu un incident de sécurité lié aux agents ou l'ont évité de justesse: 18% confirment un incident réel, 36% rapportent un quasi-incident intercepté à temps. Le rapport complet sera dévoilé la semaine prochaine lors de VB Transform, à Menlo Park, les 14 et 15 juillet.
Ce chiffre de 69% explique en grande partie pourquoi les géants de la cybersécurité investissent massivement dans la gestion des identités d'agents IA. Lorsque cinq agents partagent une seule clé API, un attaquant qui compromet l'un d'eux hérite immédiatement des permissions accumulées des cinq workflows concernés, et la piste d'investigation s'efface au niveau même de l'identifiant, puisqu'aucune trace ne permet de savoir quel agent a exécuté quelle action. Selon les données de CyberArk, les entreprises comptent désormais en moyenne 82 identités machine pour chaque identité humaine, les agents IA constituant la catégorie qui croît le plus vite. Pour un responsable de la sécurité, ce constat dépasse la simple tendance technique: il pose une question stratégique au niveau du conseil d'administration, sur la capacité de l'entreprise à tracer et contrôler ce que font réellement ses agents autonomes.
Cette urgence a déjà déclenché une vague de rachats totalisant plus de 22 milliards de dollars sur les douze derniers mois. Palo Alto Networks a finalisé le 11 février l'acquisition de CyberArk pour 21,1 milliards de dollars, la plus importante opération de son histoire, après une annonce initiale à environ 25 milliards de dollars en juillet dernier. CrowdStrike a bouclé le rachat de SGNL, plateforme d'autorisation en temps réel, pour 740 millions de dollars, et a lancé dès le 15 juin son premier produit issu de cette acquisition, Continuous Identity for AI Agents, capable de valider chaque action d'un agent selon son propriétaire, l'appelant et le niveau de risque de l'appareil utilisé. Cisco a de son côté annoncé le 4 mai son intention de racheter Astrix Security, spécialiste des identités non humaines, pour environ 400 millions de dollars. Adam Meyers, vice-président senior des opérations contre les menaces chez CrowdStrike, résume le problème: certains systèmes IA disposent de leur propre identité, mais dans de nombreux cas, des employés délèguent simplement la leur à l'IA pour agir en leur nom, brouillant ainsi toute chaîne de responsabilité.
Les entreprises europeennes deployant des agents IA sont exposees aux memes risques de partage d'identifiants, mais aucun acteur ou reglementation francais ou europeen n'est cite dans cette etude.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.



