fr.wedoany.com Rapport : Le 2 juin, Noma Security, plateforme américaine de sécurité pour l’IA et les agents en entreprise, a annoncé le lancement de Noma Agent Access Control, destiné à aider les équipes de sécurité à découvrir, gouverner et exécuter des politiques d’accès pour les agents IA et les serveurs de protocole de contexte de modèle (MCP). La solution couvre l’ensemble de la chaîne de gouvernance des agents, de l’inventaire des actifs à l’attribution des identités, en passant par le contrôle au niveau des outils.

Cette annonce répond à un nouveau besoin d’infrastructure de sécurité dans les applications d’IA en entreprise. Alors que les agents IA et les serveurs MCP se multiplient rapidement dans les environnements de développement, les systèmes métier et les processus automatisés, les entreprises ne gèrent plus seulement des comptes traditionnels, des interfaces et des comptes de service, mais aussi des agents autonomes capables d’appeler des outils, d’accéder à des données et d’exécuter des actions. L’Agent Access Control proposé par Noma repose sur la création d’un répertoire dynamique pour chaque agent, serveur MCP connecté et outil, en intégrant trois états de gouvernance — « autorisé », « nécessite une vérification » et « bloqué » — dans le processus de connexion. Ainsi, les équipes de sécurité peuvent savoir quels agents sont en cours d’exécution, à quels outils ils sont connectés, s’ils accèdent à des systèmes sensibles et si leurs comportements d’accès sont conformes aux politiques en vigueur. Plutôt que de procéder à des vérifications a posteriori, les entreprises ont besoin d’établir l’identité, les autorisations et le contexte de risque avant que les agents n’intègrent les systèmes métier.

La plateforme attribue également une identité traçable à chaque agent autonome, évitant ainsi que les agents n’utilisent durablement des identifiants partagés ou des comptes de service aux autorisations trop larges.

Au niveau du contrôle des outils, Noma affine la granularité de la gouvernance jusqu’à l’outil individuel, plutôt que d’approuver ou de bloquer simplement l’ensemble d’un serveur MCP. Un même serveur peut exposer des outils présentant différents niveaux de risque, tels que la consultation en lecture seule de fichiers, l’envoi d’e-mails, la suppression d’enregistrements ou l’écriture dans une base de données. Si l’entreprise ne peut autoriser que par serveur entier, les limites des autorisations risquent d’être trop larges. Agent Access Control permet aux équipes de sécurité de définir des politiques par outil, type d’agent, utilisateur, équipe ou environnement, et de les appliquer automatiquement lors de la connexion. La capacité de détection en cours d’exécution associée permet d’observer les invites, les appels d’outils, les accès aux données et les chaînes d’actions dans les sessions des agents, afin d’identifier les risques tels que l’injection d’invites, l’exfiltration de données et les dépassements d’autorisations. Pour les entreprises qui utilisent déjà Microsoft Copilot Studio, Salesforce Agentforce, Claude Code, Cursor, GitHub Copilot ou des agents développés en interne, ce type de plateforme permet de regrouper les actifs d’agents dispersés dans une vue de sécurité unifiée.

Du point de vue de la confidentialité des informations et de la sécurité des données, le contrôle d’accès des agents devient une nouvelle branche de la gestion des identités à l’ère de l’IA. La gestion traditionnelle des identités et des accès se concentre principalement sur les employés, les applications, les appareils et les comptes de service. Cependant, une fois que les agents disposent de capacités de planification proactive et d’appel d’outils, les risques liés aux autorisations évoluent dynamiquement en fonction des tâches, des invites, des données externes et des réponses des outils. Les entreprises doivent permettre aux agents d’appeler les systèmes nécessaires pour accomplir leurs tâches, tout en évitant qu’ils n’utilisent abusivement des autorisations légitimes sous l’influence d’entrées inconnues. En intégrant l’inventaire, le contrôle d’accès, la détection en cours d’exécution et la gestion de la posture de sécurité de l’IA dans un même cycle de vie, Noma montre que les fournisseurs de sécurité passent de la « protection des modèles » à la « gouvernance des comportements des agents ». Les variables clés pour le déploiement futur en entreprise porteront sur l’adaptation de la plateforme aux principales plateformes de modèles et environnements de développement, le coût de configuration des politiques, le taux de faux positifs, l’impact sur les performances en cours d’exécution, ainsi que la capacité d’intégration avec les systèmes existants de gestion des identités et les centres d’opérations de sécurité.

L’émergence de ce type de produit influencera également la vitesse d’adoption des applications d’IA en entreprise. Sans mécanismes clairs d’identité des agents, d’autorisations des outils et d’audit en cours d’exécution, il sera difficile pour les secteurs de la finance, de la santé, de la fabrication, des services publics et des grandes entreprises Internet de laisser les agents entrer dans des processus métier réels en toute confiance. Alors que le protocole de contexte de modèle et l’écosystème des agents d’entreprise continuent de s’étendre, l’infrastructure de sécurité passera du statut de correctif périphérique à celui de condition préalable au déploiement des applications d’agents. Avec le lancement d’Agent Access Control, Noma propose un modèle de gouvernance articulé autour de « découverte — autorisation — exécution — surveillance », montrant que la concurrence en matière de sécurité de l’IA en entreprise s’oriente vers un contrôle d’accès et une vérification comportementale de plus en plus granulaires.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com