Identiverse 2025 a attiré plus de 3 000 professionnels de la sécurité à Las Vegas pour discuter de tout l’identité. La communauté des fournisseurs de gestion de l’identité et de l’accès a présenté ses dernières innovations technologiques, et les praticiens ont partagé leurs défis et leurs succès.
Voici les principaux thèmes de sécurité qui ont attiré mon attention au salon.
Le risque d’identité non humaine est enfin vu
Identités non humaines (NHIS), également appelés identités de la machineaugmenter les risques, mais le sujet n’a pas encore attiré une attention généralisée – jusqu’à présent. Il a obtenu les projecteurs à Identifer, à la fois dans diverses séances de l’ordre du jour ainsi qu’avec un pavillon NHI à l’identivers Expo Hall.
Beaucoup des principaux acteurs de l’identité – Cyberark, Sailpoint Technologies et Saviynt – ont mis les produits NHI sur le marché qui résolvent de grandes parties du problème du NHI. Les sociétés de jeu pur, telles que Oasis Security, Astrix Security, Turch Security et la sécurité des jetons, continuent d’innover, mais se concentrent de plus en plus sur les risques associés aux agents de l’IA en tant que principal défi du NHI que les entreprises doivent résoudre.
Jetant les bases de l’IA agentique
En parlant d’une grande partie de la conversation chez Identifer, axée sur la sécurité générative de l’IA et de l’IA. L’IA de l’agence détient d’énormes promesses pour stimuler la productivité et ouvrir de nouvelles opportunités de revenus d’entreprise, mais ces agents présentent des risques de réputation et de sécurité sous la forme de perte de données et de fraude.
Les agents de l’IA ont besoin d’accéder aux données, aux systèmes et aux ressources. Cet accès peut être très privilégié et fonctionner via des appels API, des comptes de service, des jetons OAuth et d’autres NHI. Bien qu’il soit tôt pour l’IA d’agence, le risque deviendra réel, car les incidents de sécurité liés à l’IA agentiques commencent à faire la nouvelle.
Les secteurs d’activité sont sous pression pour montrer un retour sur les investissements considérables qu’ils font dans l’IA générative (Genai), et alors qu’ils se déplacent rapidement pour déployer des agents de l’IA, des erreurs se produiront. De plus, les normes commencent à peine à émerger – le protocole de contexte du modèle en novembre 2024 et l’agent2agent de Google en avril 2025. Ces cadres ont besoin de temps pour mûrir à mesure que les zones à améliorer se révèlent.
Les préoccupations d’IA agentiques ont été mitigées chez Identiverse. Certains participants se sont concentrés sur la question, tandis que d’autres ont dit que ce n’était pas un sommet. Ceux qui avaient une visibilité dans les projets Genai ou AI agents ont reconnu le potentiel de dommages, tandis que les participants qui n’étaient pas impliqués dans de tels projets n’étaient pas comme concernés.
Dans les grandes organisations, l’équipe d’innovation d’entreprise ou la section d’entreprise qui stimule l’initiative d’agence d’IA pourrait ne pas être bien alignée avec l’équipe de sécurité d’identité. Si cela se produit, des erreurs seront commises, le nombre de risques de sécurité augmentera – OWASP a une liste des 10 meilleurs numéros – et des dommages se produiront avant qu’il y ait un alignement plus stricte et des technologies adéquates sont déployées.
Les joueurs émergents, tels que Silverfort, Natoma et Lasso Security, et les joueurs établis, notamment Cyberark, IBM, Microsoft, Okta et Sailpoint, se concentrent sur la résolution du problème. Bien que certaines organisations avant-gardistes se débattent déjà avec ce problème, je soupçonne que l’industrie a besoin d’un catalyseur sous la forme d’un incident de sécurité important avant que les ressources et les investissements ne décollent.
CIAM: La grande migration de l’accueil vers le bricolage
La gestion de l’identité et de l’accès des clients (CIAM) a été un sujet majeur chez Identiverse, les présentateurs partageant leurs défis et succès de déploiement.
La migration en cours loin de la CIAM locale aux produits commerciaux sur la fermeture, mais de nombreux participants se sont concentrés sur la construction du produit commercial CIAM qu’ils avaient récemment déployé. Cela se présentait souvent sous la forme d’une meilleure authentification et d’une meilleure vérification d’identité pour éviter la fraude et les fesses profondes, avec des technologies telles que l’authide, le badge et l’iproov abordant le défi sous différents angles.
Résolution de points de douleur à l’identité: plates-formes et produits ponctuels
L’espace de sécurité de l’identité de la main-d’œuvre a historiquement été fragmenté avec des produits discrets pour la gestion de l’accès, la gouvernance et l’administration de l’identité (IGA), la gestion de l’accès privilégié (PAM), la détection et la réponse des menaces d’identité (ITDR), la gestion de la posture de sécurité de l’identité (ISPM) et plus encore. Une organisation typique pourrait avoir une douzaine d’outils de sécurité commerciaux, open source ou locaux différents.
Les principaux acteurs se sont lancés dans des stratégies d’unification ou de convergence pour établir des plateformes d’identité holistiques – Cyberark est passé de PAM à l’accès à la gestion et à la Zilla acquise pour l’IGA; Okta fournit maintenant Iga; Saviynt construit la fonctionnalité ISPM et ITDR; Thales résout de manière holistique les défis des clients, des partenaires et des effectifs; et ainsi de suite. Bien que la convergence se produise progressivement au fil du temps, il y a une innovation continue pour résoudre des problèmes d’identité douloureux.
L’IGA a traditionnellement eu du mal à intégrer des applications déconnectées qui ne prennent pas en charge la connexion ou le système unique pour la gestion de l’identité inter-domaine, et ces applications héritées ne disparaissent pas. Beaucoup de ces applications déconnectées ne sont pas activées en MFA et sont mûres pour abus. Des startups comme la sécurité de GRIP et la sécurité avertie peuvent découvrir des applications déconnectées, et Cerby peut les gérer en conjonction avec une plate-forme IGA.
Alors que les joueurs de la CIAM reconnaissent la douleur associée à une fraude tierce et synthétique, la communauté de l’identité de la main-d’œuvre doit lutter avec des problèmes similaires, par exemple, dans le cas de travailleurs informatiques frauduleux nord-coréens. NAMETAG, IDENTITES PERSONA ET CLAIRNEUX FOCUS DANS LE CHAMINATION DE CETTE FRAUDE en incluant des intégrations essentielles dans la pile d’identité de la main-d’œuvre.
C’est une période passionnante dans la sécurité de l’identité. Si vous êtes un nouveau joueur technologique avec une approche innovante, j’aimerais en entendre parler. Vous pouvez me joindre via LinkedIn.
Todd Thiemann est un analyste principal couvrant la gestion de l’accès à l’identité et la sécurité des données pour l’entreprise Strategy Group, qui fait maintenant partie d’Omdia. Il a plus de 20 ans d’expérience en marketing et stratégie de cybersécurité.
Enterprise Strategy Group fait partie d’Omdia. Ses analystes ont des relations commerciales avec les fournisseurs de technologies.
