L’IA transforme la confiance numérique d’une fonction de sécurité en un modèle opérationnel.
Ce changement exerce une nouvelle pression sur les systèmes que les entreprises utilisent depuis longtemps pour vérifier l’identité, protéger les données et assurer le fonctionnement de l’infrastructure numérique. Les agents autonomes, le contenu synthétique et les identités de machines ne font pas qu’élargir la surface d’attaque ; ils changent la manière dont les décisions de confiance sont prises dans les logiciels, les infrastructures et les flux de travail métier.
Lors du récent DigiCert Trust Summit diffusé sur theCUBE, le studio de diffusion en direct de SiliconANGLE Media, DigiCert Inc. a formulé ce défi autour d'une question centrale à l'ère de l'IA : comment les organisations peuvent-elles prouver ce qui est réel, autorisé et sécurisé lorsque les machines prennent davantage de décisions par elles-mêmes ?
« Nous aidons les organisations à faire face aux menaces actuelles et à se préparer à un avenir sécurisé quantiquement », a déclaré Amit Sinha (photo), PDG de DigiCert. « L’IA est en train de tout remodeler, et dans presque toutes les conversations avec les clients, une question revient : comment pouvons-nous faire confiance à l’IA ?
Le message principal du sommet n’était pas que les entreprises aient besoin d’un outil de sécurité supplémentaire pour l’IA. C’était que l’infrastructure de confiance numérique elle-même devait évoluer. Les dirigeants de DigiCert et les responsables de la sécurité d'entreprise ont connecté la gouvernance de l'IA, la gestion du cycle de vie des certificats, la résilience DNS, la provenance du contenu, l'identité des agents et la préparation quantique dans une histoire de modernisation plus large construite autour de la preuve cryptographique.
Au cours du sommet, les dirigeants de DigiCert et les praticiens de la cybersécurité ont examiné comment les entreprises peuvent établir une confiance vérifiable entre les agents d'IA, le contenu numérique, les identités des machines, les cycles de vie des certificats et la cryptographie post-quantique. (* Divulgation ci-dessous.)
Voici trois informations clés que vous avez peut-être manquées lors du DigiCert Trust Summit :
Insight n°1 : L'IA fait de l'identité le nouveau plan de contrôle.
Le thème le plus fort du Sommet était que l’identité est en train de devenir le point de départ de la gouvernance de l’IA. Cela s'applique non seulement aux employés et aux appareils, mais également au contenu, aux modèles, aux charges de travail et aux agents autonomes. Si une entreprise ne peut pas établir ce qu’est une chose, d’où elle vient et ce qu’elle est autorisée à faire, alors la gouvernance de l’IA devient difficile à appliquer à l’échelle de la production.
Ce défi commence par le contenu. L'IA générative a facilité la création de médias synthétiques, de deepfakes et de désinformations, ce qui signifie que les entreprises ont besoin de moyens de vérifier la provenance avant que le contenu ne soit approuvé, partagé ou utilisé dans la prise de décision. Le travail de DigiCert avec la Coalition pour la provenance et l'authenticité du contenu, connue sous le nom de C2PA, s'inscrit dans cette évolution plus large vers l'attachement d'une preuve cryptographique aux médias numériques.
« Grâce à une cryptographie éprouvée, nous pouvons désormais attacher des informations d'identification vérifiables au contenu », a déclaré Sinha. « Ainsi, vous ne vous contentez pas de le voir, vous pouvez vérifier d'où il vient et s'il a été modifié. »
Le même problème d’identité s’applique aux modèles d’IA. À mesure que les modèles font désormais partie des chaînes d’approvisionnement des logiciels d’entreprise, les organisations ont besoin de preuves de leur origine, de leur historique de formation, de leurs attestations et de leur état de conformité. Dans ce contexte, la confiance dans le modèle devient un problème de chaîne d’approvisionnement autant qu’un problème d’IA.
Les agents font monter les enchères car ils peuvent faire plus que générer des réponses. Ils peuvent accéder à des outils, appeler des systèmes, déclencher des flux de travail et agir au nom d'utilisateurs ou de processus métier. Cela rend l’identité vérifiée essentielle à l’autorisation, à la gestion du cycle de vie et à la responsabilité.
« La confiance commence par l'identité, durable, vérifiable et immuable », a déclaré Sinha. « Nous ne permettrions pas à un employé d'opérer sans une identité vérifiée au sein d'une organisation. Les agents IA ne devraient pas être différents. »
L’implication est claire : l’IA agentique aura besoin de plus que des politiques et des tableaux de bord. Cela nécessitera des identités pouvant être émises, gouvernées, révoquées et auditées dans des environnements changeants. Dans ce modèle, l’identité devient le plan de contrôle qui détermine quels agents peuvent agir, sous quelle autorité et avec quel niveau de confiance.
Insight n°2 : Des cycles de vie plus courts des certificats transformeront l’automatisation en une exigence de confiance numérique.
Un deuxième point tiré du Sommet est que les opérations fiduciaires sont sur le point de devenir beaucoup plus continues. L'évolution vers des cycles de vie des certificats plus courts augmentera le rythme des renouvellements et des validations, rendant la gestion manuelle des certificats de plus en plus risquée pour les grandes entreprises.
Les exigences de base du CA/Browser Forum indiquent le 15 mars 2029 comme date à laquelle la validité maximale du certificat d'abonné devient 47 jours. Les mêmes exigences indiquent également une période maximale de réutilisation de 10 jours pour les données de validation des noms de domaine et des adresses IP à compter de cette date.
Ce changement est important car les certificats se situent sous un large éventail d’interactions numériques. À mesure que les organisations se développent dans des infrastructures hybrides, des environnements multicloud, des conteneurs, des API, des systèmes de périphérie et des flux de travail basés sur l'IA, la prolifération des certificats peut rapidement devenir une panne et un risque de sécurité.
Deepika Chauhan, directrice des produits chez DigiCert, a relié cette pression opérationnelle à l'évolution plus large de la confiance numérique.
« Vous venez d'entendre Amit parler de la façon dont le monde de la confiance numérique évolue plus rapidement que la plupart des organisations ne peuvent suivre, et la décision de savoir à quoi faire confiance est prise par des systèmes, par des machines, par une IA qui évolue plus rapidement qu'aucun d'entre nous ne peut auditer », a déclaré Chauhan. « Donc, ce n'est pas seulement un risque futur pour vous ; c'est ici et maintenant. »
Son argument a placé l'infrastructure à clé publique, ou PKI, et le DNS au centre de la discussion. Le DNS aide à diriger les systèmes vers les bonnes destinations, tandis que la PKI aide à déterminer si ces destinations et identités doivent être fiables. Ensemble, ils forment une couche de confiance qui doit suivre le rythme d’une infrastructure plus rapide, d’un plus grand nombre d’identités de machine et de fenêtres de certificat plus courtes.
« PKI et DNS ne sont pas seulement des fonctionnalités de la pile de sécurité », a ajouté Chauhan. «Ils constituent le fondement sur lequel repose toute votre confiance numérique.»
Sinha a lié le défi opérationnel directement à l'automatisation. À mesure que les cycles de vie des certificats se raccourcissent, les organisations devront découvrir les certificats, gérer leur propriété, les renouveler de manière fiable et éviter les pannes dans les environnements distribués. C’est difficile à maintenir avec des processus manuels.
« Sans automatisation, cela entraîne des coûts plus élevés, davantage de pannes et des risques plus importants », a déclaré Sinha. « C’est pourquoi la modernisation des PKI est urgente et pourquoi l’automatisation n’est plus facultative. »
UPS a fourni la preuve pratique. Lors d'une discussion au sommet avec Chauhan, Kavita Rehan, directrice de la sécurité de l'information chez United Parcel Service Inc., a décrit le travail de cycle de vie des certificats de l'entreprise comme plus qu'un exercice de renouvellement. C'est devenu une opportunité de simplifier l'architecture, de réduire les frictions opérationnelles et de construire un modèle de confiance plus unifié.
« En évaluant chaque option, nous avons réalisé qu'il s'agissait d'un sujet plus important qu'une simple discussion sur le renouvellement », a déclaré Rehan. « C'était l'occasion de repenser l'architecture, de simplifier les opérations et d'avancer vers une approche unifiée. »
Pour UPS, l’automatisation est devenue le mécanisme permettant de gérer des cycles de vie plus courts. L'entreprise disposait déjà d'outils d'automatisation de l'infrastructure tels qu'Ansible et Terraform, qui permettaient d'encadrer la gestion des certificats dans le cadre d'opérations modernes plutôt que dans un flux de travail manuel distinct.
« L'automatisation n'était pas facultative », a déclaré Rehan. « C'était la base pour réaliser ce changement. »
Rehan a également souligné une leçon pratique qui s'applique au-delà d'UPS : toutes les charges de travail ne nécessitent pas un certificat public. En déplaçant les cas d'utilisation appropriés vers des certificats privés, les organisations peuvent réduire les coûts, simplifier la gestion et créer un modèle PKI plus propre avant que la compression des certificats n'augmente la charge opérationnelle.
« L'une des plus grandes leçons pour nous était que tout n'avait pas besoin d'un certificat public », a ajouté Rehan. « Historiquement, les gens demandent un certificat public parce que c’était la voie de moindre résistance, pas toujours parce que c’était le bon choix. »
Insight n°3 : La gouvernance des agents nécessitera une application cryptographique, et pas seulement une surveillance.
Le troisième point à retenir est que la gouvernance de l’IA agentique doit devenir applicable au niveau technique. Les politiques écrites, les processus d’approbation et les règles d’utilisation acceptable sont toujours importants, mais ils ne suffisent pas si les agents peuvent opérer sur les systèmes plus rapidement que les humains ne peuvent examiner leur comportement.
Brian Trzupek, vice-président senior des produits chez DigiCert, a défini le problème autour de la visibilité et de l'autorité. Son argument n’était pas simplement que les agents d’IA introduisent des risques. De nombreuses organisations disposent peut-être déjà d’outils d’IA sans savoir clairement où ils s’exécutent, à quoi ils peuvent accéder ou qui les a autorisés.
« Est-ce que les agents IA vous empêchent de dormir la nuit ? » demanda Trzupek. « Je pense que toutes les organisations présentes dans cette salle utilisent déjà l'IA. La question est de savoir si vous savez ce qu'est l'IA, où et sous quelle autorité. »
Cette question transforme l’IA fantôme en un problème de confiance numérique. Les employés et les équipes peuvent adopter des outils d'IA pour progresser plus rapidement, mais les agents non gérés peuvent créer des responsabilités floues, exposer des données sensibles ou agir au moyen d'informations d'identification qui n'ont jamais été conçues pour des systèmes autonomes.
L'approche AI Trust Manager de DigiCert résout ce problème en appliquant des contrôles de confiance à plusieurs points : application du DNS à la périphérie du réseau, identité des agents via les passeports et les politiques, et exécution sécurisée via l'informatique confidentielle. Le point important est que ce modèle étend les pratiques de confiance numérique existantes aux environnements d’IA au lieu de créer un silo de gouvernance distinct.
« Nous ne réinventons pas le monde ; nous en tirons parti », a déclaré Trzupek.
Cela est important car les entreprises disposent déjà de nombreux éléments de base nécessaires à la confiance de l’IA, notamment l’identité des charges de travail, les informations d’identification de courte durée, les contrôles DNS et les attestations d’exécution fiables. Le défi consiste à appliquer ces contrôles à des agents qui peuvent être dynamiques, distribués et de plus en plus autonomes.
Cette préoccupation a également fait surface lors de la conversation liminaire de Sinha avec Rob Owens, responsable de la recherche sur les actions chez Piper Sandler Companies. Owens a décrit l’IA comme un changement technologique avec une adoption inhabituellement rapide et un large potentiel d’application.
« L'IA nous a vraiment été imposée, compte tenu du taux d'adoption, mais nous pensons qu'elle se manifestera de la même manière en termes de tonnes de nouvelles opportunités d'application, évidemment beaucoup plus faciles du point de vue du développement », a déclaré Owens.
Mais adoption et préparation ne sont pas la même chose. Owens a averti que les contrôles de sécurité sont souvent à la traîne par rapport aux nouvelles vagues technologiques, comparant le moment actuel aux voitures atteignant des vitesses élevées avant que le port de la ceinture de sécurité ne devienne une obligation légale.
« Nous mettons toujours la sécurité au second plan », a ajouté Owens. « Alors, sont-ils prêts à gérer ça ? Non, je ne pense pas. »
Cette lacune explique pourquoi la gouvernance des agents ne peut pas rester un contrôle souple. Les entreprises devront vérifier quels agents sont approuvés, à quoi ils peuvent accéder, où ils s'exécutent, si l'environnement d'exécution est digne de confiance et comment leurs actions peuvent être révisées après coup. En d’autres termes, la confiance en l’IA doit être prouvée en permanence, et non supposée une seule fois lors du déploiement.
Lors du sommet, DigiCert a présenté la confiance en l'IA, la compression du cycle de vie des certificats et la préparation post-quantique comme des éléments connectés d'une même réinitialisation d'entreprise. Le fil conducteur est la preuve cryptographique. Les organisations doivent vérifier le contenu, identifier les agents, gérer les identités des machines, automatiser les certificats et se préparer à l'évolution des normes cryptographiques sans traiter chaque problème comme un programme distinct.
« Il ne s'agit pas seulement de certificats », a déclaré Sinha. « Il s’agit d’instaurer la confiance dans un monde numérique en évolution rapide. »
C’est peut-être le point à retenir le plus clair du DigiCert Trust Summit. À mesure que l’IA s’intègre de plus en plus dans les flux de travail des entreprises, la confiance numérique devient une exigence opérationnelle dynamique. Les organisations capables de vérifier, d’automatiser et de gouverner la confiance à grande échelle seront mieux placées pour la prochaine phase d’activité basée sur l’IA.
En savoir plus sur la couverture par SiliconANGLE et theCUBE du DigiCert Trust Summit.
(* Divulgation : TheCUBE est un partenaire média payant pour l'événement DigiCert Trust Summit Virtual 2026. Ni DigiCert, le sponsor de la couverture de l'événement theCUBE, ni les autres sponsors n'ont de contrôle éditorial sur le contenu de theCUBE ou SiliconANGLE.)
