Okta, la boîte qui gère les identités des humains dans les entreprises, a décidé que les IA allaient bientôt avoir besoin de cartes d’identité. Todd McKinnon, le CEO, annonce qu’il se positionne sur la sécurité des agents IA, ces petites bestioles qui vont bientôt pulluler dans tes systèmes pour automatiser des tâches.
Le pitch est simple : si demain tu as un agent IA qui accède à tes données RH, un autre qui passe tes commandes fournisseurs, et un troisième qui rédige tes rapports annuels, faut savoir qui fait quoi. Et surtout, qui a le droit de faire quoi. Okta veut être le vigile qui distribue les badges à l’entrée de la boîte. Ça a l’air logique comme ça, mais dans la pratique, c’est un peu comme vendre des extincteurs avant même d’avoir construit la maison.
Parce que pendant que McKinnon parle de identity management pour agents, un article sur Hacker News rappelle une vérité simple : tout le monde s’excite à déployer des agents IA, personne n’a vraiment prévu comment gérer les incidents quand ça va merder. Et ça va merder. Ton agent qui passe une commande de 10 000 stylos au lieu de 100, ton bot qui envoie des mails de rupture à toute la boîte, ou pire, qui se fait pirater et commence à vider les comptes.
Le blog Surfing Complexity pointe du doigt ce paradoxe : on embauche des SRE (Site Reliability Engineers) spécialisés IA, on leur donne des outils pour monitorer la santé des modèles, mais dès qu’un agent fait une connerie, c’est le flou artistique. Qui est responsable ? Comment on rollback ? Comment on trace l’action jusqu’à l’agent fautif ? Personne n’a de réponse. Ou plutôt, tout le monde a une réponse marketing, mais personne n’a de procédure opérationnelle.
McKinnon, lui, vend la prévention : « Donnez-leur une identité, tracez leurs accès, contrôlez leurs permissions. » C’est bien. Sauf que ça ne résout pas le problème du « mon agent a fait une connerie, maintenant je fais quoi ? ». L’identité, c’est la première étape. La gestion d’incident, c’est tout le reste. Et pour l’instant, le reste ressemble à un champ de ruines.
Okta n’est pas la seule à surfer sur cette vague. Microsoft, Google, Amazon, tous ont des solutions d’identité qui commencent à intégrer des fonctionnalités « IA-ready ». Mais c’est toujours la même rengaine : on vend la clôture avant d’avoir construit le ranch. Les entreprises se jettent sur les agents IA parce que c’est hype, parce que ça promet des gains de productivité monstrueux, et ensuite elles découvrent que gérer ces saloperies, c’est un métier à part entière.
Le vrai enjeu, ce n’est pas de savoir si ton agent s’appelle Robert ou Clarisse. C’est de savoir quoi faire quand Robert décide d’envoyer tes secrets industriels à un concurrent, ou quand Clarisse plante ton ERP pendant trois jours. L’identité, c’est du papier. L’incident management, c’est du sang et des larmes.
McKinnon a raison sur un point : la sécurité des agents IA va devenir un marché énorme. Mais aujourd’hui, c’est un marché de promesses. Les entreprises achètent des solutions pour des problèmes qu’elles n’ont pas encore rencontrés, et ignorent les problèmes qu’elles vont rencontrer demain. C’est le cycle classique de la tech : on vend le rêve, on facture la réalité plus tard.
En attendant, les SRE qui bossent sur ces trucs doivent improviser. Ils bricolent des dashboards, écrivent des scripts maison, et prient pour que la merde ne touche pas le ventilateur avant que les vendeurs aient fini leurs PowerPoints. Okta aura peut-être un produit génial dans deux ans. Mais d’ici là, qui va éteindre les incendies ?
Sources :
Comments are closed