À mesure que les entreprises adoptent l'IA, les architectures cloud natives et l'automatisation à grande échelle, l'identité n'est plus simplement une fonction de sécurité backend. Elle devient la couche de contrôle qui détermine comment les systèmes font confiance, autorisent et observent à la fois les humains et les machines. Ce changement est motivé par deux évolutions majeures. Premièrement, les systèmes d'entreprise sont devenus hautement distribués sur les plateformes cloud, les API et les services. Deuxièmement, le développement assisté par l'IA et l'automatisation accélèrent la rapidité avec laquelle les systèmes sont construits et déployés. Ensemble, ces changements redéfinissent la manière dont la confiance et le contrôle doivent être mis en œuvre dans les environnements modernes. Lorsque les résultats générés par l'IA interagissent avec l'infrastructure, les API et les flux de travail automatisés, le défi n'est plus seulement de savoir si les systèmes fonctionnent, mais s'ils peuvent être fiables, contrôlés et audités de manière fiable. Rishav Bhandari a travaillé sur l'authentification d'entreprise, la livraison cloud et les systèmes d'automatisation à grande échelle. Son expérience couvre les systèmes IAM à l'échelle de l'entreprise, l'ingénierie cloud et la livraison DevOps. De son point de vue, l'identité ne concerne plus seulement la connexion et l'accès. Elle devient le fondement de la confiance, du contrôle et de la responsabilité dans les systèmes d'entreprise modernes. Les organisations qui réussiront ne seront pas celles qui adoptent l'IA le plus rapidement, mais celles qui construisent des couches de contrôle plus solides autour d'elle.
Parlez-nous de vous et de votre parcours professionnel.
J'ai passé plus de huit ans chez Infosys à travailler sur des systèmes d'entreprise dans différents domaines. J'ai commencé par la gestion des identités et des accès chez Vodafone, gérant des millions d'authentifications d'utilisateurs à grande échelle. De là, je suis passé à la livraison cloud et à la transformation numérique et, plus récemment, aux pratiques d'automatisation et de développement assisté par l'IA. Ce que j'ai réalisé, c'est que l'identité, la sécurité du cloud et la gouvernance de l'IA convergent toutes. Vous ne pouvez pas parler de sécurité du cloud computing sans parler d'identité. Vous ne pouvez pas parler de gouvernance de l'IA sans comprendre les deux. Cette convergence est ce qui rend ce moment intéressant pour la technologie d'entreprise.
Vous avez travaillé sur l'identité, la livraison cloud et l'automatisation. Comment cette combinaison a-t-elle façonné votre réflexion sur l'architecture d'entreprise ?
Cela m'a obligé à voir ces trois éléments comme une même conversation. Au début de ma carrière, je considérais l'identité comme une infrastructure que vous configurez et maintenez. Le cloud concernait simplement l'emplacement de vos serveurs. L'automatisation consistait à faire les choses plus rapidement. Ce que j'ai réalisé, c'est qu'ils concernent tous la confiance et le contrôle. Comment faites-vous confiance au fait qu'un utilisateur est bien celui qu'il prétend être ? Comment faites-vous confiance au fait qu'une ressource cloud est légitime ? Comment faites-vous confiance au fait qu'une action automatisée est autorisée ? Ce sont des questions d'identité habillées différemment. Quand vous le voyez de cette façon, votre architecture change fondamentalement.
Pourquoi l'identité est-elle devenue une couche de contrôle centrale plutôt qu'une simple fonction de sécurité backend ?
Deux choses se sont produites. Premièrement, les systèmes sont devenus distribués. Lorsque tout était dans un seul centre de données, la sécurité du réseau était votre frontière. Maintenant, avec le cloud, les API et les services sur des réseaux que vous ne contrôlez pas, la frontière réseau ne fonctionne pas. L'identité devient votre frontière principale. Deuxièmement, la portée de l'identité s'est considérablement élargie. Ce n'est plus seulement les utilisateurs. Ce sont des services qui se parlent, des API, des tâches planifiées, l'infrastructure en tant que code et les systèmes d'IA. Tous ont besoin d'authentification et d'autorisation. En raison de cette expansion, l'identité est passée d'une préoccupation backend à une préoccupation architecturale qui façonne la manière dont vous concevez et exploitez les systèmes.
Comment l'identité évolue-t-elle à mesure que les organisations adoptent l'IA et l'automatisation à grande échelle ?
L'identité machine devient aussi importante que l'identité humaine. Les services, les fonctions Lambda et les systèmes d'IA ont tous besoin d'identités. Le défi est l'échelle. Vous pourriez avoir des centaines d'employés mais des milliers de services et d'agents. Gérer l'identité à cette échelle nécessite une approche complètement différente. La révocation est également différente. Lorsqu'un humain part, vous révoquez l'accès. Lorsqu'un service se dérègle, vous devez révoquer l'accès en quelques secondes, pas en quelques jours. Et la responsabilité est compliquée. Avec les systèmes d'IA, vous devez comprendre si le système a fait ce qu'il devait faire ou si quelqu'un l'a mal configuré ou en a abusé. Cela nécessite de meilleures pistes d'audit et une meilleure gouvernance.
Quels sont les plus grands risques lors de la connexion de l'IA, des services cloud et des contrôles d'accès sans gouvernance solide ?
Le plus grand risque est les angles morts. Quelqu'un déploie un système d'IA pour prendre des décisions, mais personne ne comprend les implications de sécurité. Le système obtient des autorisations larges parce que les restreindre semblait compliqué. Puis quelque chose se passe mal. J'ai vu des systèmes d'automatisation avec accès à des bases de données de production qui pourraient causer des dommages catastrophiques s'ils étaient compromis. Les échecs de conformité sont un autre risque. Si vous ne pouvez pas auditer ce qu'un système d'IA a fait ou tracer les décisions, vous n'êtes pas conforme. Il y a aussi le verrouillage des fournisseurs et la fausse confiance, où vous pensez être en sécurité, mais vos systèmes n'ont pas été conçus pour l'IA à grande échelle.
Que signifie Zero Trust en pratique avec les systèmes d'IA et les flux de travail automatisés ?
Zero Trust signifie ne faire confiance à rien par défaut, quelle que soit sa provenance. Pour les humains, cela signifie vérifier l'identité à chaque fois. Pour les machines, cela signifie des identifiants à courte durée de vie qui expirent rapidement, de sorte que la compromission soit limitée dans le temps. Pour les systèmes d'IA, cela signifie être délibéré sur les autorisations. Accès spécifique à des ressources spécifiques pour des actions spécifiques, avec la possibilité de révoquer si le système fait quelque chose d'inattendu. Zero Trust signifie également observabilité. Vous ne pouvez pas l'appliquer si vous ne pouvez pas voir ce qui se passe. Le défi avec l'IA est de définir à quoi ressemble un comportement inattendu.
Où les entreprises se trompent-elles généralement en matière d'identité, de sécurité cloud et de gouvernance ?
Elles privilégient la vitesse au contrôle. Elles accordent des autorisations larges pour aller vite. Elles déploient l'IA avec accès à tout parce que restreindre semblait compliqué. Elles traitent l'identité comme une réflexion après coup, concevant une architecture cloud sans y penser, puis essayant de l'ajouter. Une autre erreur est de supposer que le fournisseur cloud gère la sécurité. Les fournisseurs vous donnent des outils, mais vous devez les utiliser correctement. Les organisations n'investissent pas non plus dans l'observabilité avant que des problèmes ne surviennent. Elles comprennent la rétention des journaux, la gestion des secrets et les pistes d'audit seulement après qu'une défaillance se produise. L'aspect humain compte aussi. La gouvernance n'est pas seulement technique. Il s'agit de processus et de flux de travail.
Comment les organisations doivent-elles équilibrer sécurité, vitesse opérationnelle et expérience de l'utilisateur ?
L'idée clé est que la friction vient d'une mauvaise conception, pas de la sécurité. Un système sécurisé bien conçu fait en sorte que faire la bonne chose soit le chemin de moindre résistance. Si les journaux d'audit sont pénibles, les équipes les évitent. Si les autorisations prennent des jours, les équipes demandent un accès large. Si la révocation est compliquée, les équipes la sautent. Investissez dans l'automatisation. Automatisez l'approvisionnement, les demandes d'autorisation et la journalisation d'audit. Impliquez les équipes tôt dans la conception de votre stratégie. Comprenez leurs contraintes et leurs besoins. Soyez transparent sur les raisons pour lesquelles vous demandez certains contrôles. Les équipes sont plus disposées à se conformer lorsqu'elles comprennent le pourquoi.
Quelles mesures pratiques les dirigeants peuvent-ils prendre aujourd'hui pour améliorer le contrôle dans les environnements cloud activés par l'IA ?
Premièrement, inventoriez ce que vous avez. Sachez quels systèmes d'IA existent, quel accès ils ont et ce qu'ils font. Commencez avec zero trust de manière pragmatique. N'implémentez pas un zero trust parfait partout à la fois. Commencez par les systèmes critiques. Investissez dans l'observabilité via la journalisation, les métriques et les alertes. Mettez en œuvre des pistes d'audit solides afin de pouvoir tracer ce qui s'est passé et pourquoi. Gérez les secrets en toute sécurité et faites-les pivoter régulièrement. Impliquez les équipes de sécurité et de conformité tôt dans les initiatives d'IA. Ne demandez pas si quelque chose est sécurisé après le déploiement. Enfin, éduquez vos équipes en continu. La sécurité et la gouvernance ne sont pas à configurer et à oublier.
Comment voyez-vous l'identité, la sécurité cloud et la gouvernance de l'IA évoluer ?
L'identité et la gouvernance deviendront plus automatisées et intelligentes. L'apprentissage automatique détectera les comportements anormaux et comprendra à quoi ressemble la normale. Il y aura plus d'attention sur l'observabilité et la compréhension du comportement des systèmes d'IA, qui reste actuellement une boîte noire. Les réglementations autour de l'IA augmenteront. À mesure que l'IA prend des décisions importantes, les régulateurs exigeront une meilleure gouvernance et responsabilité. Les organisations avec une bonne gouvernance maintenant seront en avance. Il y aura également plus d'attention sur l'identité portable, non verrouillée sur un seul fournisseur cloud. Ce à quoi les organisations devraient se préparer maintenant, c'est reconnaître que l'identité et la gouvernance ne sont pas seulement des problèmes de sécurité. Ce sont des problèmes commerciaux. Ils affectent la vitesse, la fiabilité et la conformité. Les organisations qui gagneront construiront des couches de contrôle solides autour de l'IA et de l'automatisation, pas celles qui avancent le plus vite sans ces contrôles.
