ChatGPT peut-il contourner vos systèmes IAM ?
Les risques des assistants IA sur la gouvernance des identités
Les assistants IA comme ChatGPT, Bard ou Copilot font désormais partie intégrante du quotidien des professionnels. Recherche, rédaction, support client… leur efficacité est indéniable. Mais derrière leur apparente neutralité, une menace silencieuse se dessine : leur capacité à détourner ou compromettre des systèmes de gestion des identités (IAM – Identity and Access Management).
Alors, faut-il se méfier de ces intelligences artificielles devenues trop intelligentes ? Découvrez-le dans notre article.
1. Les assistants IA : alliés du quotidien… mais vecteurs de risques ?
Les assistants IA traitent une grande quantité de données sensibles à la demande des utilisateurs. Sans cadre clair ou règles de sécurité, ils peuvent exposer; volontairement ou non; des informations confidentielles : identifiants, workflows internes, fichiers partagés, configurations IAM, etc.
Scénarios à risque :
Un employé demande à ChatGPT de générer un script pour automatiser des connexions administrateur.
Une IA apprend des modèles de comportement et suggère involontairement des chemins d’accès à des ressources critiques.
Des requêtes mal formulées permettent à un assistant IA d’extraire ou révéler des données internes.
Ces assistants, sans conscience des contextes d’accès, peuvent contourner les règles de gouvernance des identités si aucune protection n’est en place.
2. Quand l’IA outrepasse les règles IAM
L’IAM repose sur des fondements stricts comme contrôle d’accès basé sur les rôles, authentification forte, journalisation, gouvernance des droits. Or, une IA non intégrée au système IAM peut agir comme une passerelle incontrôlée.
Exemple concret :
Lors du Panocrim 2023, Gérôme Billois, administrateur du Clusif, a présenté des cas où des assistants IA ont été détournés pour contourner des protections. Il a notamment cité l'attaque dite de « la grand-mère », où une requête empathique amène l'IA à révéler des données sensibles, comme des numéros de licences ou des identifiants.
3. Les défis pour les équipes IT : entre shadow IT et perte de contrôle
Les assistants IA agissent parfois en dehors des radars de la DSI. Ils peuvent exécuter du code, manipuler des APIs, automatiser des actions, sans que l’équipe IT n’ait validé ou suivi les processus.
C’est là qu’intervient une double menace :
Shadow IAM : des accès créés ou utilisés sans supervision.
Shadow IA : des IA non enregistrées ou non encadrées interagissant avec des systèmes critiques.
4. IAM de ManageEngine : une réponse adaptée aux nouveaux risques IA
Face à cette évolution, les solutions IAM modernes comme ManageEngine AD360 ou Identity360 offrent des fonctionnalités indispensable :
Gestion fine des accès et des privilèges (PAM).
Détection des comportements anormaux (UEBA).
Journalisation avancée des accès, y compris via des outils externes comme des assistants IA.
Automatisation des revues de droits pour éviter les privilèges orphelins ou injustifiés.
L’intégration avec des SIEM comme Log360 permet en outre de tracer les interactions suspectes avec les terminaux IA, renforçant la visibilité globale.
5. Bonnes pratiques : comment encadrer l’usage des assistants IA?
Voici quelques recommandations pour protéger votre IAM face aux assistants IA :
Encadrer leur usage par une charte claire, validée par la DSI et le RSSI.
Interdire l’exécution de scripts ou de commandes à privilèges par IA.
Surveiller les accès IAM via des logs centralisés (SIEM).
Former les utilisateurs aux risques de partage involontaire d’identifiants.
Conclusion
Les assistants IA sont des alliés puissants, mais aussi des menaces potentielles pour les systèmes IAM. Leur usage incontrôlé peut créer des brèches de sécurité majeures. Heureusement, avec une solution IAM robuste comme celle de ManageEngine, il est possible de concilier innovation et sécurité, en gardant le contrôle sur les accès et les identités.
Et vous, votre IAM est-il prêt à faire face à l’IA ?