Une étude révèle que les entreprises confient aux agents IA l'accès à des systèmes critiques avant même d'avoir mis en place les mesures de sécurité nécessaires. En l'absence d'une sécurité complète des systèmes d'identité, les pirates peuvent accélérer la compromission d'Active Directory, d'EntraID ou d'Okta.
HOBOKEN, N.J. – 13 mai 2026—Semperis, société spécialisée dans la cyber-résilience et la gestion de crise axées sur l'identité, a publié aujourd'hui les résultats d'une étude mondiale multi-secteurs menée auprès de 1 100 organisations, dans le but de comprendre l'impact de l'IA sur la surface d'attaque des systèmes d'identité tels qu'Active Directory, Entra ID et Okta. L'étude montre que l'IA redessine discrètement les limites des surfaces d'attaque mondiales liées à l'identité et que les organisations confient aux agents IA les clés de leurs systèmes critiques plus rapidement qu'elles ne mettent en place des garde-fous autour de ces nouvelles identités.
L'étude intitulée «The State of Identity Security in the AI Era» a révélé que 74 % des entreprises aux États-Unis, au Royaume-Uni, en France, en Allemagne, en Espagne, en Italie, à Singapour et en Australie estiment que l'IA va entraîner une augmentation des attaques visant les infrastructures d'identité. Par ailleurs, 93 % d'entre elles utilisent déjà ou prévoient d'utiliser des agents IA pour des tâches de sécurité sensibles telles que la réinitialisation des mots de passe et l'accès au VPN. Quatre-vingt-douze pour cent déclarent que l'IA est installée sur au moins certaines machines locales ayant accès à SSH et aux clés de chiffrement, mais à l'échelle mondiale, seuls 32 % sont très confiants dans leur capacité à reprendre le contrôle si l'IA venait à exposer les identifiants d'administrateur. Aux États-Unis, 53 % des entreprises se disent confiantes dans leur capacité à reprendre le contrôle, tandis qu'en France, ce chiffre chute à 12 %.
« L’utilisation croissante de l’IA entraîne l’apparition d’une multitude de nouveaux agents — chacun doté de sa propre identité non humaine (NHI) — au sein des entreprises internationales, et nombre d’entre elles se montrent bien trop optimistes quant à leur capacité à rétablir leur infrastructure d’identité après une violation, alors même qu’elles continuent d’étendre cet écosystème d’identités non humaines », a déclaré Alex Weinert, directeur des produits chez Semperis.
À l'échelle mondiale, seules 65 % des entreprises déclarent que les identités IA sont entièrement enregistrées, authentifiées et autorisées dans un système officiel, et 6 % admettent ne pas les suivre du tout. Parmi les entreprises qui assurent le suivi des identités IA, 57 % utilisent le même système que pour les identités humaines, tandis que 43 % les authentifient et les autorisent à l'aide d'un système distinct.
« Ce qui frappe dans l’étude de Semperis sur l’IA, ce n’est pas seulement la rapidité avec laquelle l’IA est intégrée aux systèmes d’identité, mais aussi le manque de préparation de nombreuses organisations face à la reprise en cas de défaillance. L'introduction de l'IA au niveau de la couche d'identité offre des avantages opérationnels, mais elle doit s'accompagner de garde-fous, d'une bonne observabilité et d'une capacité de reprise. Il s'agit en réalité d'une nouvelle dimension d'une vieille question : êtes-vous suffisamment résilient pour réagir en cas de perturbation critique ? », a déclaré Grace Cassy, associée chez Ten Eleven Ventures.
S'agit-il les organisations prêtes pour l'IAprovoquées violation d’identité??
L'étude révèle un fait préoccupant : l'IA est déployée à proximité d'infrastructures d'identité sensibles, et trop peu d'organisations sont préparées aux conséquences potentielles. Plus d'un quart des organisations interrogées (29 %) utilisent déjà des agents IA pour gérer les tickets d'assistance liés à la sécurité, notamment les réinitialisations de mot de passe et l'accès VPN. 65 % supplémentaires ont l'intention de le faire au cours de l'année à venir. Parallèlement, 92 % des personnes interrogées indiquent qu'une partie de leur personnel dispose d'une IA installée sur des machines locales où elle peut accéder à des clés SSH et de chiffrement.
« Il est bien réel que les organisations internationales surestiment la rapidité avec laquelle elles peuvent se remettre d’une cyberattaque, en particulier lorsque la gestion des identités est touchée de plein fouet. Sur le papier, les organisations disposent de plans et de solutions de secours ; dans la pratique, les défaillances en matière de gestion des identités transforment les incidents techniques en crises commerciales prolongées, mettant en évidence un écart dangereux entre la résilience perçue et la réalité », a déclaré Chris Inglis, premier directeur national américain de la cybersécurité et conseiller stratégique chez Semperis.
Du côté positif, 83 % des personnes interrogées ont indiqué que la gouvernance de l'identité basée sur l'IA constituait une priorité pour elles dans les mois à venir.
HComment les organisations peuvent-elles gérer ces identités difficiles à contrôler ?
Pour l'instant, les bonnes pratiques sont les suivantes :
– Considérer explicitement les agents comme des NHI dans le tissu identitaire.
– Appliquer les principes d'accès « au minimum nécessaire », « juste ce qu'il faut » et « au moment opportun » aux agents avec autant de rigueur qu'aux humains.
– Distinguer, le cas échéant, les limites de confiance entre les agents et les humains.
– Utilisez des analyses de type UEBA pour détecter les comportements « zombies » ou anormaux des agents.
– Veillez à ce que votre organisation soit en mesure de rétablir rapidement le bon fonctionnement de ses systèmes d'identité en cas de violation.
Accédez à l'étude complète sur l'IA ici :https://www.semperis.com/the-state-of-identity-security-in-the-AI-era/
Méthodologie
Pour mener cette étude, nous nous sommes associés à des experts de Censuswide, un cabinet international d'études de marché. Début 2026, Censuswide a interrogé 1 100 organisations aux États-Unis, au Royaume-Uni, en France, en Allemagne, en Italie, en Espagne, en Australie et à Singapour.
À propos de Semperis
Semperis est une entreprise spécialisée dans la cyber-résilience et la gestion de crise axées sur l'identité, à laquelle font confiance les plus grandes entreprises et agences gouvernementales du monde pour protéger leurs systèmes d'identité critiques. Spécialement conçue pour les environnements d'identité multicloud et hybrides — notamment Active Directory, Entra ID, Okta et Ping Identity —, Semperis aide les organisations à prévenir, détecter, contrer et se remettre des cyberattaques ciblant l'identité.
C'est au niveau de la gestion des identités que se jouent aujourd'hui les cyberattaques, où la moindre défaillance peut dégénérer en une crise majeure pour l'entreprise. La plateforme de Semperis, optimisée par l'IA, unifie la protection du cycle de vie des identités et la gestion des crises : elle renforce l'infrastructure des identités, détecte et contient les menaces actives, permet une reprise rapide et fiable, et facilite une coordination sécurisée hors bande en cas de perturbation des systèmes centraux. Le tout est soutenu par une équipe de pointe spécialisée dans l'analyse forensic des identités et la réponse aux incidents.
Dans le cadre de sa mission visant à aider les organisations à atteindre une véritable cyber-résilience, Semperis soutient l'ensemble de la communauté cybernétique par le biais de la conférence et du podcast primés« Hybrid Identity Protection » (HIP), ainsi que d'outils gratuits de sécurité des identités, notamment Purple Knight et Forest Druid. Plus de 1 200 organisations, dont plus de 25 % des 100 plus grandes entreprises américaines, font confiance à Semperis. La société est une entreprise privée dont le siège social est situé à Hoboken, dans le New Jersey, et qui compte des clients dans plus de 40 pays.
Pour en savoir plus : semperis.com
Suivez-nous : Blog / LinkedIn / X / Facebook / YouTube
Contact presse :
Bill Keeler
Semperis
Directeur principal, Relations publiques et communication
billk@semperis.com
