Les dirigeants qui tentent de comprendre les implications de l’IA agentique en matière de sécurité devraient commencer par se poser trois questions, explique Todd McKinnon : Où sont mes agents, à quoi peuvent-ils se connecter et que peuvent-ils faire ?

Mais McKinnon, qui dirige Okta, une société de gestion d’identité numérique de 14 milliards de dollars, ajoute qu’il est peu probable que les PDG obtiennent la réponse de leurs experts informatiques internes. Dans la plupart des entreprises, dit-il, « ils ne savent pas ». Et cela pose des risques croissants, car ses clients laissent davantage d’agents IA se déchaîner sur leurs données et systèmes critiques les plus précieux.

La promesse de « superagents » comme OpenClaw, capables d’exécuter des tâches de manière autonome pour le compte d’un utilisateur, a encouragé les entreprises à accorder à leurs agents un accès beaucoup plus large. Mais laisser les robots explorer vos données et vos systèmes peut entraîner des failles de sécurité, prévient McKinnon.

Le défi consistant à comprendre à quoi ressemble cette main-d’œuvre numérique, à quoi elle peut se connecter et quelles actions elle peut effectuer sur vos applications n’est pas anodin, dit-il. Mais cela peut être géré, ajoute-t-il, si les dirigeants accordent la priorité à l’augmentation de la tolérance au changement de leur organisation et à sa capacité à réagir rapidement.

McKinnon se décrit comme un optimiste technologique dont la mission est de « permettre à chacun d’utiliser n’importe quelle technologie en toute sécurité ». Voici comment il voit les risques de l’ère agentique et pourquoi il pense que les entreprises les plus flexibles s’en sortiront gagnantes.

Cette interview a été éditée pour plus de clarté et de longueur.

Andrew Edgecliffe-Johnson : Qu’est-ce qui marque ce moment particulier en termes de défi consistant à savoir comment chacun peut utiliser la technologie en toute sécurité ?

Todd McKinnon : Le passage de la plateforme à l’IA représente le plus gros changement et a le plus grand potentiel, [of any technology shift] dans ma carrière. La sensibilisation des clients est très élevée. Ce n’est pas le problème. Il existe des idées extrêmement divergentes sur la manière dont cela pourrait se dérouler. Dans le haut de gamme, il y a beaucoup d’auto-promotion de la part de vendeurs de modèles qui parlent de manière extrapolée de ce qui pourrait arriver. Et puis, à l’autre extrême, vous voyez toujours des gens qui pensent que c’est plus progressif. Cela me dit probablement que nous sommes au début du cycle.

Quelle est votre propre idée de la façon dont cela pourrait se dérouler ?

La façon de prospérer est [to understand that] il va y avoir beaucoup de changements. Vous devez donc accroître la capacité de changement et la tolérance au changement de votre organisation, ainsi que sa capacité à réagir rapidement à l’évolution des choses. Je crois fermement que les organisations les plus flexibles, ouvertes au changement et s’adaptant rapidement vont prospérer.

Pensez-vous qu’il est possible de créer une entreprise agentique sécurisée ?

Je fais. Je pense que l’industrie a besoin d’un plan sur la façon de procéder. [It’s going] prendre une collaboration des fournisseurs. Okta ne peut pas tout faire pour les clients, c’est tout simplement trop large et trop compliqué. Microsoft ne peut pas tout faire. Amazon ne peut pas tout faire.

À quoi ressemble ce plan ?

Une façon simple d’y réfléchir est de répondre à trois questions. La première est de savoir combien de travailleurs numériques et d’agents IA ai-je et où se trouvent-ils ? Certains d’entre eux sont sur Salesforce, d’autres sur ServiceNow, d’autres sur Amazon et certains d’entre eux ont été créés par mon équipe informatique. La deuxième question est : à quoi peuvent-ils se connecter ? À quelles données et applications ont-ils accès, et quel est le rayon d’action de ce qu’ils pourraient faire ? Et puis la troisième question est : que peuvent-ils faire avec ces données ? Quelles actions peuvent-ils accomplir ? Le plus délicat, c’est qu’il est assez difficile pour une grande entreprise dotée d’une grande complexité technologique de répondre à ces questions.

À quelle vitesse les risques de sécurité augmentent-ils ?

Leur croissance est rapide et proportionnelle à la puissance des agents. En d’autres termes, pour améliorer un agent, vous devez lui donner davantage d’accès à davantage de données et davantage d’accès à davantage de systèmes. Et puis le risque augmente, car si vous ne savez pas à quoi les agents peuvent accéder et ce qu’ils peuvent faire, alors vous êtes en difficulté.

OpenClaw est intéressant, car il a montré à tout le monde cette dynamique selon laquelle plus les agents de données ont accès, plus ils sont puissants. C’est donc comme si un coup d’envoi venait de retentir dans ces entreprises et incitait tout le monde à dire : nous devrions relier ces choses agentiques à tout. Mais le responsable de la sécurité de l’information assis au milieu ne sait même pas de quels agents il dispose.

Dans quelle mesure cette question devrait-elle être portée au bureau du PDG ?

C’est absolument une affaire de conseil d’administration et de PDG, car les travailleurs numériques agents, l’expérience client numérique et les ventes numériques vont avoir un effet secondaire sur la stratégie de chaque entreprise.

Il existe une autre dynamique, plus personnelle, selon laquelle les PDG ne veulent pas être laissés pour compte. Ils mettent beaucoup de pression sur leurs équipes pour qu’elles fassent des choses avec l’IA. Ils lisent les nouvelles. Tous les PDG sympas font des trucs d’IA. Ils ne veulent pas être laissés de côté. Et le problème est que cela se répercute sur ces organisations. Donc tout le monde a imaginé ces prototypes et concepts d’IA, et les conseils d’administration et les PDG sont très enthousiasmés par cela, car ils voient la démo qui a été codée en ambiance en une semaine, et elle a l’air géniale. Mais ensuite ils disent : OK, super. Je veux mettre cela en ligne, et maintenant l’équipe doit le connecter à de vraies bases de données et à de vraies applications. Et c’est plus risqué.

Y a-t-il une erreur que les entreprises commettent et que les PDG devraient éviter dès maintenant ?

Il existe un tel éventail de résultats possibles pour l’IA que cela bloque les gens. Et mon conseil est le suivant : familiarisez votre organisation avec le changement et commencez à itérer, car il y a une grande inconnue. Le mieux que vous puissiez faire est donc de préparer votre organisation au changement et à une itération rapide. Et si vous faites cela, et que vous réagissez rapidement à la dynamique du marché, et que vous le faites d’une manière qui est évidemment responsable et sûre, vous avez de très bonnes chances d’en bénéficier.