Comment l’IA augmente les risques
Dans la Rome antique, l’armée romaine avait un « mot d’ordre » quotidien que les soldats utilisaient pour entrer dans le camp.1 Un officier inscrivait le mot d’ordre sur des tablettes d’argile, qui étaient distribuées dans les différentes unités. Si une tablette n’était pas rendue, ils la retrouvaient rapidement et punissaient le soldat qui avait omis de la rendre.
De toute évidence, une chose est vraie depuis l’époque romaine jusqu’à aujourd'hui : si vous voulez rester en sécurité, vous devez savoir où se trouvent vos mots de passe.
Malheureusement, suivre les identifiants est plus difficile pour une entreprise moderne. Les entreprises d'aujourd’hui doivent gérer un nombre croissant d’identifiants qui vont bien au-delà des mots de passe traditionnels, tels que les secrets de développeur, les clés de passe, les identifiants partagés, les clés API, les clés SSH, les comptes de service et les jetons d’accès d’authentification unique.
Ces identifiants ne sont pas stockés au même endroit. Ils résident dans les navigateurs, les scripts, les environnements de développement, les messages Slack, les outils d’IA, les fichiers de configuration et parfois dans des feuilles de calcul en texte brut.
La prolifération des identifiants en dehors d’une visibilité et d’un contrôle centralisés est connue sous le nom de « credential sprawl », et les attaquants sont impatients d’en tirer parti.2 Ce problème est particulièrement urgent en raison de l’essor des outils et agents basés sur l’IA, qui ont non seulement augmenté l’échelle et la portée des identifiants non gérés, mais présentent aussi des défis d’accès et de gestion d’identité que des outils comme l’authentification unique et la gestion des accès privilégiés ne sont pas capables de gérer.
What causes credential and secrets sprawl?
Les risques liés aux identifiants ne sont guère une nouvelle problématique. Cependant, ces dernières années, la gestion des emplacements et des modalités d’utilisation des identifiants est passée d’une tâche herculéenne à une tâche sisyphéenne. En d’autres termes : ce n’a jamais été facile, mais à un moment donné, c’est devenu presque impossible. Pour comprendre pourquoi, nous commencerons par un aperçu de certains des facteurs essentiels contribuant à la prolifération des identifiants.
Dispersion des mots de passe
Les dangers des mots de passe non gérés et des mauvaises pratiques en matière de mots de passe sont bien connus depuis des années, et pourtant les mots de passe restent l’un des vecteurs les plus courants des violations de données et les piratages.3
Le rapport annuel 2025 de 1Password, « The Access-Trust Gap », a révélé que deux tiers des employés admettent avoir recours à de mauvaises pratiques en matière de mots de passe, notamment :4
Utiliser les mêmes mots de passe sur plusieurs comptes professionnels
l’absence de modification des mots de passe par défaut des systèmes informatiques
Utiliser le même mot de passe pour les comptes professionnels et personnels
l’envoi de mots de passe par SMS, par e-mail ou par tout autre moyen de messagerie à soi-même ou à un(e) collègue
Ces mauvaises pratiques peuvent avoir des effets dévastateurs, comme lorsque des pirates ont utilisé des identifiants volés lors de précédentes violations pour se connecter aux dépôts des développeurs sur GitHub, Bitbucket et GitLab. Comme l’a rapporté le journaliste et analyste Robert Lemos, « L’attaque met en lumière les dangers de la mauvaise utilisation des mots de passe… Aucun des services hébergeant les dépôts des développeurs concernés n’a trouvé de signes de compromission. Au lieu de cela, les attaquants se sont connectés depuis une adresse Internet non reconnue en utilisant des identifiants valides, puis ont supprimé le code de la victime. » 5
SaaS et IA non gérés
Comme l'explique l’analyste en sécurité Francis Odum6 , « À mesure que les entreprises adoptent les applications SaaS, le besoin d’une gestion des mots de passe de qualité professionnelle se fait plus pressant. Les employés utilisaient souvent leurs identifiants personnels pour leurs comptes professionnels, ce qui augmentait le risque de réutilisation des identifiants et d’incidents de sécurité. Bien que l’authentification unique (SSO) et l’authentification multifacteur (MFA) soient devenues des contrôles standard, elles échouaient souvent à protéger l’ensemble des applications d’entreprise, laissant des lacunes en termes de visibilité… »
La prolifération des SaaS est un problème connu depuis des années dans le secteur de la cybersécurité.7 L'entreprise moyenne gère plus d'une centaine d'applications au sein de sa seule plateforme d'authentification unique (SSO)8, mais de nombreuses applications sont hors de portée du SSO.
1Password a constaté que l'entreprise moyenne a un tiers de ses applications en dehors de la protection du SSO. Cela crée un énorme angle mort pour les équipes informatiques, en particulier lors de la désactivation des comptes.9
Plus d’un tiers (38 %) des employés ont réussi à accéder au compte, aux données ou aux applications d’un ancien employeur après leur départ.
1Password Annual Report 2025: The Access Trust Gap
Maintenant, l’IA accélère encore davantage la prolifération des solutions SaaS au-delà de ce pour quoi l’authentification unique a été conçue. Un employé sur quatre a utilisé des applications d’IA qui n'étaient pas approuvées par son entreprise, et plus d’un tiers des employés admettent avoir sciemment ignoré les politiques de leur entreprise en matière d’IA. 10
Les employés expérimentent des outils de codage basés sur l’IA, des extensions de navigateur, des assistants d’écriture, des outils d’analyse de données et des plate-formes d’agents, souvent avant que le service informatique ne les ait évalués ou approuvés. Nombre de ces outils ne s’intègrent pas parfaitement à l’authentification unique de l’entreprise, et même lorsque c’est le cas, leur adoption commence souvent en dehors des processus d’intégration officiels. L’IA fantôme présente de sérieux risques, car même les applications inoffensives peuvent contenir de graves failles de sécurité susceptibles de révéler les données et les identifiants de l’entreprise.11
Les agents d’IA accèdent également différemment aux identifiants. Ils nécessitent non seulement des connexions utilisateur, mais aussi souvent des clés API, des jetons OAuth, des comptes de service et d’autres identifiants machine pour fonctionner. Ces identifiants peuvent être stockés localement, intégrés dans des scripts, sauvegardés dans des navigateurs, ou partagés de manière informelle entre collègues, bien au-delà de la visibilité des systèmes d’identité traditionnels.
Chaque application non gérée et chaque outil d’IA représentent au moins un identifiant non géré qu’une organisation ne peut pas sécuriser. Il en résulte une couche d’applications et d’identifiants en constante expansion, hors de toute gouvernance centralisée.
Pour un examen plus approfondi des limites de l’authentification unique, lisez notre ebook, « Pourquoi l’authentification unique n'est pas suffisante pour sécuriser l’identité ? ».
Secrets des développeurs
Les secrets des développeurs, tels que les clés SSH, les clés API, les identifiants de compte de service, les variables d’environnement et les jetons de serveur, sont les clés des systèmes les plus critiques d’une entreprise. Contrairement aux mots de passe des utilisateurs, ces identifiants fonctionnent souvent discrètement en arrière-plan, alimentant les applications, l’infrastructure, l’automatisation et maintenant les agents d’IA.
Toutefois, ces secrets sont rarement conservés dans les systèmes d’identité traditionnels. Ils sont plutôt stockés dans des référentiels de code, des fichiers d’environnement locaux, des pipelines CI/CD, des consoles cloud, des scripts et des outils collaboratifs. En l’absence d'une gouvernance cohérente et d’outils adaptés, ces secrets prolifèrent rapidement et ne sont souvent pas surveillés.
Le rapport 2025 de GitGuardian, « The State of Secrets Sprawl », montre à quelle vitesse ce problème s’accélère.
En 2024, nous avons trouvé 23 770 171 nouveaux secrets codés en dur ajoutés aux dépôts publics GitHub.
GitGuardian Report
Cette figure représente une augmentation de 25 % du nombre total de secrets par rapport à l’année précédente. Selon ce rapport, « la prolifération des secrets ne cesse de s’aggraver au fil du temps. »12
La prolifération des secrets peut se propager de différentes manières, notamment lorsque des développeurs dévoilent accidentellement des secrets dans du code accessible au public. Cependant, le rapport de GitGuardian souligne une préoccupation plus fondamentale : « [si] les outils de gestion du code source ont été le principal objectif de la détection de secrets... des secrets apparaissent partout où les équipes collaborent, souvent dans des outils collaboratifs et de gestion de projet comme Slack, Jira ou Confluence. » 13
L’envoi de secrets en texte brut via des applications telles que Slack représente une approche dangereusement laxiste en matière de gestion des secrets. Malheureusement, les cybercriminels sont conscients de cette tendance. Dark Reading rapporte que « ...les cybercriminels et les acteurs des États-nations suivent un manuel éprouvé et tirent parti de la mauvaise gestion des secrets pour mener leurs campagnes. » 14
L'IA accélère maintenant cette dynamique. Lorsque les développeurs utilisent des copilotes d'IA pour générer du code, lancer l'infrastructure ou automatiser les flux de travail, les identifiants machine sont créés et réutilisés plus rapidement. Sans surveillance centralisée, les secrets se multiplient dans les dépôts, les invites, les pipelines et les agents. Tout cela élargit la surface de l'identité bien au-delà de ce que les systèmes traditionnels de gestion des identités et des accès (IAM) et de gestion des accès privilégiés (PAM) ont été conçus pour régir.
How AI is worsening credential sprawl
L'essor de l’IA et de l’IA agentique a considérablement augmenté la productivité du lieu de travail moderne. Cependant, ces outils ont également accéléré le taux de prolifération des identifiants de manière tout aussi spectaculaire, et leurs risques méritent une analyse plus approfondie.
Accès non géré des agents d’IA
Les agents d’IA représentent une toute nouvelle classe d’identités : ils nécessitent différents niveaux d’accès, mais fonctionnent souvent de manière invisible pour les outils de sécurité.
Comme l’a écrit The Hacker News, « les agents d’IA n’opèrent pas isolément. Pour fonctionner, ils ont besoin d’accéder aux données, aux systèmes et aux ressources. Cet accès hautement privilégié, souvent négligé, se fait par le biais d’identités non humaines : clés API, comptes de service, jetons OAuth et autres identifiants machine. »15
Toutes les identités non-humaines présentent un risque lié aux identifiants, et la manière dont les agents d’IA les utilisent a considérablement augmenté leur prolifération. Les chiffres varient, mais en 2025, il y avait entre 8216 et potentiellement 14417 identités non-humaines pour chaque identité humaine dans l’environnement d’entreprise moyen. Quoi qu’il en soit, ce chiffre augmente rapidement.
Plus préoccupant encore : le fait que bon nombre de ces identités machine disposent de niveaux d’accès hautement privilégiés, souvent sans le niveau d’examen qui serait généralement appliqué aux utilisateurs hautement privilégiés. En fait, une étude récente a révélé que 1 identité non-humaine sur 20 dispose de privilèges d’administration complets, même si seulement 38 % des identités non-humaines au total avaient été actives au cours des 9 derniers mois.18
Cela signifie que les agents d’IA se voient attribuer des niveaux d'accès de plus en plus puissants, cet accès n’est souvent pas géré par les équipes de sécurité, et les agents conservent souvent des privilèges puissants au-delà du moment où ils en ont besoin.
Les applications et les capacités agentiques évoluent à une vitesse sans précédent, et de nouveaux outils sont souvent adoptés avant que leurs risques ne soient compris. Jason Meller, vice-président et stratège en sécurité chez 1Password, a écrit deux articles de blog sur la puissance et le côté effrayant de ces outils.19,20
Jason Meller, vice-président et stratège en sécurité chez 1Password, explique le risque : « Pour faire court : les passerelles d’agents qui agissent comme OpenClaw sont puissantes, car elles offrent un accès réel à vos fichiers, vos outils, votre navigateur, vos terminaux et, souvent, à un fichier« mémoire » à long terme qui enregistre votre façon de penser et ce que vous créez. »
Cette combinaison est exactement ce que les voleurs d’informations modernes sont conçus pour exploiter.
Jason Meller
Vice President and Security Strategist, 1Password
OpenClaw a certainement attiré l’attention, mais ses problèmes ne se limitent pas à un seul outil. Dans « l’indice des agents d’IA » du MIT, les chercheurs ont constaté que la majorité des développeurs d’agents partagent peu d’informations sur la sécurité de leur outil. « 25 agents sur 30 ne divulguent aucun résultat de sécurité interne, et 23 agents sur 30 ne divulguent aucune information sur les tests effectués par des tiers. » 21 Au contraire, OpenClaw est un indicateur de la gravité des risques de sécurité qui peuvent survenir lorsque les agents d'IA se voient accorder des niveaux d'accès non gérés. Sa popularité et les risques qu’il présente en matière de sécurité ont rapidement forcé les équipes de sécurité à reconnaître que le périmètre standard de l'entreprise n'est pas équipé pour gérer les problèmes liés à l'IA agentique.
Dans « Inside 1Password's Enterprise Identity Transformation », Francis Odum note que « la prolifération de l’IA agentique crée une prolifération d’identités et un fossé critique en matière d’accès. » Parce que les identifiants traditionnels ne sont pas conçus pour l’IA, une solution de contournement dangereuse a émergé.22
Les développeurs ont souvent recours au codage en dur des secrets. Résultat ? Surprivilèges, audit limité et risque accru de perte de données.
Francis Odum
L'IA aggrave les pratiques de sécurité des identifiants
Les outils basés sur l’IA aggravent également la prolifération des identifiants en reproduisant de mauvaises pratiques en matière de sécurité des identifiants.
Le vibe coding (utilisant l’IA générative pour écrire du code) a tendance à reproduire de mauvaises habitudes de sécurité. Par exemple, Moltbook, une plate-forme largement créée par vibe coding, a rapidement fait l’objet de la découverte suivante : sa base de données mal configurée qui exposait plus d’un million de jetons d'authentification d’API, ainsi que des adresses e-mail et des messages privés. 23
Encore une fois, ce cas ne concerne pas qu’une seule plate-forme. GitGuardian a analysé l’utilisation de Copilot, l’assistant d’IA de Microsoft (utilisé pour le vibe coding, entre autres), et il a été découvert que les dépôts avec Copilot actif sont 40 % plus susceptibles de voir au moins un de leurs secrets divulgués. 24
Dans l’ensemble, le vibe coding peut aussi permettre aux employés ayant moins d’expérience en codage et donc moins de formation en sécurité du codage de faire passer un code qui n’a pas fait l’objet de certains contrôles et examens standards qui devraient être appliqués à la sécurité de tout code.
La sécurité traditionnelle des identités accuse un retard croissant
Suivre la façon dont les employés utilisent et stockent les identifiants a toujours été difficile. L’IA bouleverse fondamentalement le modèle de sécurité des identités numériques.
Les outils et agents d’IA ne s’authentifient pas, ne stockent pas et n’utilisent pas les identifiants de la même manière que les humains. Ils s’appuient sur des jetons intégrés, des clés API, des comptes de service et des modèles d’accès programmatiques. Ils fonctionnent en continu, se dupliquent facilement et persistent souvent longtemps après la fin de leur objectif initial.
Les outils traditionnels de sécurité d’identité ont été conçus pour le comportement humain, avec des connexions interactives, une authentification basée sur les sessions et des niveaux de privilèges bien définis. Ils n’ont pas été conçus pour gérer des identités logicielles autonomes qui évoluent et s’authentifient de manière programmatique sans supervision.
D’une certaine manière, c’est presque intentionnel. Comme l'a dit Saumitra Das dans un article pour Corporate Compliance Insights, « Par nature, les agents autonomes sont formés pour trouver le moyen le plus simple et le plus efficace d'accomplir la tâche qui leur est attribuée. Cela signifie qu'ils peuvent souvent trouver des moyens de contourner les gardes-fous... »25
Les méthodes traditionnelles de contrôle d’accès se révèlent rapidement insuffisantes, car l’IA et l’automatisation pilotée par les évènements créent des identités non-humaines à une échelle inédite. Comme l’a indiqué TechTarget, « la plupart des outils de gestion des identités et des accès et de gestion des accès privilégiés existants n’ont jamais été conçus pour gérer un tel volume et un tel taux de roulement. »26
L’article souligne ensuite certains problèmes liés à l’utilisation des identifiants par les identités non-humaines, notamment :
les identités non-humaines utilisent un large éventail de méthodes d’authentification, comme les jetons JSON, les rôles de gestion des identités et des accès cloud, les secrets OAuth2 et les clés API. Chacune de ces entités a ses propres besoins en matière de sécurité.
les identités non-humaines reçoivent souvent un accès surdimensionné et des identifiants de longue durée pour que les équipes puissent s’assurer que l'outil dispose de l’accès nécessaire pour automatiser divers processus métier.
la détection d’anomalies ne peut pas toujours remarquer quand un agent d’IA a un comportement anormal, car elle n’a pas vraiment de modèles de comportement « normaux » et donc de déviance.
Chacun de ces facteurs peut sérieusement nuire à l’efficacité de l’architecture de sécurité d’une entreprise.
The costs of credential sprawl
Que se passe-t-il lorsque la prolifération des identifiants sévit dans une entreprise ? Les coûts se manifestent de diverses manières, depuis l’augmentation de l’étendue des dégâts en cas de violation jusqu’aux processus manuels chronophages de gestion de la posture de sécurité, de la conformité et de la réponse aux incidents.
Manquements à la conformité
Les équipes informatiques et de sécurité sont constamment confrontées à la tâche difficile d’assurer et de démontrer leur conformité à des normes réglementaires telles que le SOC 2, le PCI DSS, l’ISO 27001:2022 et l’HIPAA.
Chacune de ces normes comporte des exigences relatives à l’utilisation et au stockage sécurisés des identifiants. Par exemple, le PCI DSS exige que « les journaux d’audit enregistrent toutes les modifications des identifiants et des identifiants d’authentification… »27
Le SOC 2 comporte également diverses exigences concernant la manière dont les entreprises fournissent l’accès aux identifiants, notamment des exigences stipulant que « votre entreprise doit mettre en place des processus pour supprimer l’accès aux identifiants lorsqu’un individu n’en a plus besoin. » 28 Il convient de noter que le SOC 2 étend ces exigences non seulement à l’accès aux identifiants des utilisateurs, mais aussi à la manière dont « l’infrastructure et les logiciels internes et externes » accèdent aux identifiants.
Les organismes de réglementation, dans l’ensemble, attendent des entreprises qu’elles prouvent qu'elles ont fait preuve de vigilance pour protéger les informations sensibles. La « vigilance », dans le cas de la gestion des identifiants, signifie la mise en œuvre des outils essentiels permettant aux administrateurs de contrôler où et comment les identifiants sont utilisés. La prolifération des identifiants mine fondamentalement la capacité d’une entreprise à le faire.
Par ailleurs, si les outils de sécurité peinent à suivre l’essor de l’IA, les organismes de réglementation ne sont probablement pas prêts à accorder le moindre répit aux entreprises. Au contraire, ils intensifient leur surveillance. Comme l’a souligné Itamar Apelblat dans un article pour BleepingComputer, « dans chacun de ces cadres, l’entreprise est responsable de ce qui arrive aux données réglementées et aux flux de travail réglementés. Lorsque ce sont les agents d’IA qui agissent à l’intérieur de ces systèmes, la responsabilité ne disparaît pas. » 29
Exposition aux risques
Il n’est pas difficile de comprendre pourquoi les normes de conformité mettent autant l’accent sur la gestion des identifiants et des accès. Pour le dire simplement : la prolifération des identifiants augmente considérablement le risque de cyberattaque pour une entreprise.
Les identifiants compromis sont le point d’entrée le plus courant pour les attaquants, 30 et ce depuis un certain temps : 50 % des RSSI ayant subi une violation matérielle au cours des trois dernières années ont identifié la compromission des identifiants comme cause principale. 31
La prolifération des identifiants augmente considérablement la surface d'attaque d'une entreprise. Chaque identifiant stocké sans sécurité ni surveillance informatique représente une opportunité pour les acteurs malveillants de compromettre les systèmes. Et avec la prolifération rapide des identifiants, les entreprises font face à plus de risques que jamais.
En 2025, IBM a indiqué que l’IA fantôme représentait 20 % des violations, et que 97 % des violations de sécurité liées à l’IA impliquaient une IA qui ne disposait pas de contrôles d'accès appropriés. IBM souligne également, « ...que les données étaient le plus souvent stockées dans plusieurs environnements, révélant qu’un seul système d’IA non surveillé peut entraîner une exposition généralisée. » 32
Intervention en cas d’incident
La correction des violations et la réponse aux incidents sont déjà des processus coûteux et chronophages. La prolifération des identifiants ne fait qu’aggraver ces problèmes. L’IA fantôme, par exemple, ajoute de la complexité et des coûts à la réponse aux violations : une violation impliquant l’IA fantôme peut coûter jusqu’à 670 000 dollars de plus qu’une violation comparable qui ne l’impliquerait pas. 33
Selon GitGuardian, 70 % des secrets divulgués en 2022 étaient encore valides en 2025. 34 C’est un chiffre extrêmement inquiétant, qui indique que les identifiants compromis ne sont pas corrigés par un processus métier standard : ils n’expirent pas automatiquement et ne sont pas renouvelés par les équipes. Comme ces problèmes existants ne sont pas résolus, à chaque nouvelle violation, les équipes informatiques et de sécurité sont ensevelies sous une avalanche de risques dont l’ampleur et la complexité ne cessent de croître.
Comme l’a rapporté TechTarget, les identités non-humaines et l’IA agentique complexifient encore davantage ce problème : « étant donné que de nombreuses entreprises utilisent des identités non-humaines pour relier les environnements cloud… les secrets sont souvent dupliqués ou réutilisés dans plusieurs systèmes, ce qui rend les mesures correctives et le renouvellement difficiles si une seule identité est compromise. » 35
Solutions for credential sprawl
Les stratégies traditionnelles de gestion des identités et des accès ne seront pas toujours suffisantes pour gérer les problèmes de prolifération des identifiants. Les équipes devront plutôt déployer des efforts à plusieurs niveaux pour aborder le problème sous plusieurs angles.
Gestion des identifiants
Le problème de la prolifération des identifiants commence par la gestion des mots de passe. Malheureusement, bien que les mots de passe aient tourmenté les équipes de sécurité pendant des années, de nombreuses entreprises ne les maîtrisent toujours pas, alors que les équipes utilisent aujourd’hui plus d’outils et plus de connexions que jamais.
Sans une stratégie claire, la prolifération des identifiants se propage de manière non gérée. Comme nous l’avons exploré plus en détail dans notre récent blog, 36 la gestion des identifiants nécessite une stratégie conçue pour répondre à la façon dont les identifiants sont utilisés. Les équipes ont besoin de systèmes centrés sur :
la couverture, c’est-à-dire les identifiants à protéger : mots de passe, clés d’accès, jetons d’API, clés SSH, identités non-humaines et secrets d’agents d’IA.
le contrôle, c’est-à-dire la manière dont ces identifiants sont gérés : où ils peuvent être stockés, comment ils sont partagés, quelles sont les règles applicables et comment ces règles sont appliquées.
le cycle de vie, c’est-à-dire la manière dont les identifiants changent : création, propriété, renouvellement, révocation et preuve, en particulier lorsque les rôles et les privilèges changent pour les identités humaines et les identités des machines.
La première étape pour répondre à toutes ces exigences est un gestionnaire de mots de passe d’entreprise (EPM). Il couvre bien plus que les seuls mots de passe et constitue un élément essentiel de chacun des piliers d’une solide stratégie de gestion des identifiants. Selon l’analyste et chercheur Francis Odum, « le point d’ancrage architectural de 1Password est son noyau de gestion des mots de passe d’entreprise. Ce coffre-fort à connaissance nulle sert de « système d’enregistrement unique pour tous les identifiants du personnel, couvrant à la fois les identités humaines et non-humaines... » 37
Malgré cela, 1Password a découvert que seuls 38 % des employés utilisaient un gestionnaire de mots de passe fourni par l’entreprise. 38
Un gestionnaire de mots de passe d’entreprise comme celui de 1Password est un outil essentiel pour les entreprises afin de freiner la prolifération des identifiants et de gérer l’utilisation de l’IA agentique. 39 Il centralise la visibilité sur l’utilisation des identifiants, permettant aux administrateurs d’appliquer les principes d’accès à moindre privilège via l’accès au coffre basé sur des rôles. Des intégrations et des flux de travail d’intégration structurés signifient que les utilisateurs n’ont accès qu’aux identifiants, clés d’accès et secrets dont ils ont besoin pour accomplir leurs tâches. Et de manière cruciale, le gestionnaire de mots de passe d’entreprise étend la protection aux flux de travail des développeurs et à l’automatisation alimentée par l’IA sans introduire de friction.
Grâce au chiffrement des identifiants, les équipes peuvent garantir qu’ils ne sont pas accessibles aux voleurs d’informations ni à d'autres attaques ciblées. Le système de surveillance des violations de 1Password informe également les utilisateurs et les administrateurs dès que possible si un identifiant géré a été compromis. 40
En résumé : les identifiants de chaque application professionnelle restent sécurisés et centralisés, permettant au service informatique de superviser facilement l’accès des employés, de gérer l’intégration et le départ des employés, et de mesurer la force et la sécurité de leur écosystème de mots de passe.
Il convient de noter un élément essentiel de l’efficacité du gestionnaire de mots de passe d’entreprise : la gouvernance des identifiants doit être déployée entièrement. Les entreprises doivent renforcer la gestion des identifiants pour chaque personne, agent, secret et flux de travail. Les entreprises ne peuvent pas rester protégées en ne protégeant qu’une partie de la surface de l’identité.
Gestion unifiée de l’accès pour les agents d’IA et les humains
La prolifération des identifiants d’IA reflète un changement fondamental dans la manière dont l'autorité est déléguée au sein de l'entreprise. Les systèmes d’IA ne sont plus de simples outils d'assistance aux humains : les agents agissent de plus en plus de manière indépendante, avec un accès aux applications, aux données et aux flux de travail. Pourtant, la plupart des contrôles d'accès supposent encore la présence d'un humain au clavier.
Les employés, et les développeurs en particulier, sont encouragés à adopter l’IA pour améliorer la productivité, mais sans outils spécialement conçus pour déléguer en toute sécurité l’accès aux identités des agents et des machines, les travailleurs recourent à des solutions de contournement dangereuses, hors de portée des outils de sécurité traditionnels. Gérer la prolifération des identifiants de l’IA nécessite des outils qui régissent l'accès non humain sans ralentir les flux de travail.
L'1Password® Unified Access aide les équipes à :
Découvrez les risques : identifiez les outils d’IA non gérés et les agents qui s'exécutent sur les appareils des développeurs et des utilisateurs finaux, et détectez les identifiants et les secrets stockés dans les fichiers locaux et les environnements des développeurs.
Sécurisez les identifiants : sécurisez les identifiants exposés et supprimez l’accès aux outils et agents d’IA à risque. Fournissez des identifiants aux agents, à l’automatisation et aux CI/CD au moment de l’exécution pour réduire les secrets à long terme et garantir qu’ils ne sont utilisés qu’en cas de besoin.
Auditez les actions des agents : obtenez une attribution claire pour chaque action, qui montre quand et comment les identifiants sont utilisés et qui les utilise parmi les humains, les agents et les machines.
Gestion SaaS
La prolifération des identifiants et la prolifération des solutions SaaS sont irrévocablement liées. Pour que les équipes informatiques et de sécurité puissent déterminer efficacement où et comment les identifiants sont stockés, elles doivent savoir quelles applications leurs employés utilisent.
La nature malheureuse de la prolifération des solutions SaaS rend presque impossible pour les équipes de trouver le temps ou la main-d’œuvre nécessaire pour en prendre le contrôle manuellement.
1Password SaaS Manager résout ce problème grâce à l’automatisation. 41 Avec plus de 40 000 intégrations d’applications, il permet aux équipes de constituer et de maintenir un inventaire complet des applications utilisées par leurs employés, y compris celles qui ne peuvent pas être sécurisées autrement que par authentification unique. Il comprend des capacités de découverte continue d’applications pour mettre en lumière l’utilisation du « shadow IT » et des applications d’IA fantôme au sein d’une entreprise.
Grâce à des flux de travail automatisés d’intégration et de départ, les équipes peuvent aussi s’assurer que l’accès des employés aux applications n’est accordé que lorsque nécessaire, sans risquer des accès non autorisés de la part d’employés dont le départ a été mal géré.
L’identification des applications utilisées, qu’elles soient approuvées ou non par l’entreprise, est une étape essentielle pour s’assurer que tous les identifiants sont utilisés et stockés en toute sécurité. Une équipe ne peut pas entièrement sécuriser ses identifiants si une partie de la surface de son application n’est pas gérée.
AI is here: do you know where your credentials are?
La prolifération des identifiants est loin d’être un problème nouveau. Loin de s’améliorer, la situation semble ne faire qu’empirer : de nombreuses études montrent que les pratiques de gestion des identifiants sont en déclin constant, les équipes étant confrontées à un nombre toujours croissant d’identifiants sur un nombre toujours croissant de terminaux et d’applications. Les identifiants sont cachés dans les bases de code, les messages Slack, les chatbots d’IA, les feuilles de calcul, et se trouvent probablement encore sur un ou deux post-it.
La gestion des identifiants n’a jamais été aussi cruciale. Pour le dire crûment : chaque identifiant non géré met votre écosystème en danger. Si les identifiants ne sont pas entièrement sécurisés, votre entreprise peut alors comporter un nombre incalculable de points d'accès non sécurisés.
La gestion des mots de passe d’entreprise n'a jamais été une solution optionnelle pour les entreprises qui accordent la priorité à la sécurité à tous les niveaux, mais l’impératif de déployer des contrôles fondamentaux des identifiants n’a fait que devenir plus pressant avec l’essor rapide de l’IA. 1Password est la solution essentielle qui permet aux entreprises de maîtriser et de contrôler la façon dont les identifiants sont utilisés dans leurs écosystèmes. En nous appuyant sur la sécurité renforcée de notre gestionnaire de mots de passe, nous développons des systèmes qui permettront aux équipes de gérer les identifiants où qu’ils se trouvent, de la feuille de calcul à l’agent d’IA.
Additional sources:
3, 30 Rapport d’enquête sur les violations de données, Verizon, 2025 (PDF)
8 Businesses at Work, Okta, 2025
12, 13, 24 The State of Secrets Sprawl, GitGuardian, 2025 (PDF)
17, 18, 34 The NHI & Secrets Risk Report, HubSpot, 2025 (PDF)
27 PCI DSS: v4.0.1, PCI Security Standards Council, 2024
32, 33 Cost of a Data Breach Report, IBM, 2025