Okta pour ancrer l'identité de l'agent Okta comme colonne vertébrale de la sécurité d'entreprise

À mesure que des agents d’IA se déploient à travers l’entreprise, des dirigeants comme Todd McKinnon revoient la manière dont l’identité agent d’Okta peut sécuriser à la fois les personnes et les logiciels dans un environnement en évolution rapide.

Okta, perturbation par l’IA, et la peur du SaaSpocalypse

Todd McKinnon, cofondateur et PDG d’Okta, dirige une plateforme cloud d’identités et de sécurité qui aide les grandes entreprises à gérer les accès sur des applications et des services. Avec une capitalisation boursière de 14 milliards de dollars, la société est un acteur majeur du logiciel en tant que service. Cependant, l’industrie subit une pression croissante, car l’IA permet aux clients de créer leurs propres outils au lieu de payer des frais d’abonnement récurrents.

Cette inquiétude générale, parfois qualifiée de « SaaSpocalypse », a rendu McKinnon, selon ses mots, « paranoïaque ». Lors du plus récent appel aux résultats d’Okta en 2026, il a averti que les grands modèles de langage et les agents autonomes pourraient redessiner la manière dont les produits de sécurité et d’identité sont construits. Cela dit, il voit aussi cette disruption comme une opportunité massive si Okta peut agir assez vite.

McKinnon dit être guidé par le défi et considère les agents d’IA comme un changement potentiellement plus important que le cloud computing. En outre, il estime qu’Okta a déjà réussi la première vague de services d’identité, mais qu’elle doit désormais s’adapter pour capter de nouveaux marchés qui émergent autour d’architectures basées sur des agents.

Le marché en expansion de l’identité par agents

Interrogé sur la raison de son inquiétude alors que le marché total adressable de logiciels continue de croître, McKinnon répartit ses préoccupations en deux catégories : les évolutions du marché et l’exécution. Côté marché, il affirme que les agents d’IA doivent se connecter aux systèmes, endosser des rôles et fonctionner avec des autorisations définies. Cela crée une toute nouvelle catégorie d’identité aux côtés des utilisateurs humains traditionnels.

Côté exécution, les organisations doivent absorber davantage de changements sur l’ensemble des piles technologiques, des structures d’équipe et des processus. Selon lui, les entreprises doivent augmenter leur « quotient de changement » pour rester au rythme des systèmes agentiques. Okta doit donc s’orienter non seulement vers l’identité des effectifs, mais devenir une plateforme de gestion des identités par agents, permettant d’expérimenter et d’adopter de nouveaux outils en toute sécurité.

McKinnon pense que la plus grande opportunité consiste à devenir la couche d’identité pour les agents d’IA plutôt que de se contenter de se défendre contre des concurrents moins chers et codés selon une ambiance (« vibe »). Si Okta remporte cette couche, dit-il, elle pourrait devenir la plus grande catégorie de cybersécurité. De plus, avec des dépenses de cybersécurité déjà de l’ordre des centaines de milliards de dollars et la sécurité d’identité représentant une part majeure, le gain à long terme est substantiel.

Équilibrer l’identité de base avec la nouvelle couche d’agents

Interrogé sur les arbitrages, McKinnon rejette une vision à somme nulle entre l’identité traditionnelle et les agents. Il soutient que la fiabilité, la profondeur d’intégration et la confiance comptent dans les deux domaines. Même si quelqu’un peut recréer des fonctionnalités individuelles, reproduire des milliers d’intégrations robustes et les maintenir fiables est extrêmement difficile.

Il note que les logiciels de sécurité et d’infrastructure ont historiquement été davantage protégés contre la commoditisation, en partie parce qu’un échec a de graves conséquences. Cela dit, il reste vigilant face aux vendeurs concurrentiels comme aux équipes d’ingénierie en interne qui pourraient tenter de remplacer Okta par des services d’identité construits avec l’IA.

Pour McKinnon, la frontière concurrentielle est claire : les entreprises vont évoluer vers des organisations « agentiques » qui s’appuient fortement sur des travailleurs numériques. L’exigence devient alors un contrôle centralisé de ces agents, y compris un inventaire de l’endroit où ils opèrent, des systèmes auxquels ils se connectent et des autorisations qu’ils détiennent.

OpenClaw, risques liés aux agents, et nécessité du contrôle

L’essor d’outils comme OpenClaw a cristallisé ces enjeux pour Okta. McKinnon qualifie OpenClaw de moment charnière qui a montré l’art du possible pour les agents. Cependant, il a aussi mis en évidence à quel point il est difficile, pour les entreprises, de connecter les bonnes données tout en maintenant une sécurité et une gouvernance solides.

La réponse d’Okta consiste à construire des voies (des rails) pour une adoption sûre. Ces voies incluent un système d’inventaire d’agents au niveau entreprise, un système de référence (système de record) pour chaque agent en cours d’exécution chez divers vendeurs et plateformes. En outre, Okta veut donner aux entreprises des contrôles précis sur les données et applications auxquelles chaque agent peut accéder, ainsi que la capacité de retirer immédiatement cet accès lorsqu’un problème survient.

Lorsqu’on lui demande si un « kill switch » au niveau de l’agent suffit, McKinnon souligne que la détection et la réponse varient selon le cas d’usage. Il n’existe pas d’algorithme magique qui repère toutes les mauvaises conduites. Au lieu de cela, Okta travaille sur des standards et des signaux capables d’alerter les équipes de sécurité et de révoquer l’accès sur l’ensemble des systèmes lorsque des conditions de seuil sont atteintes.

À l’intérieur de la structure d’Okta pour l’avenir agentique

En interne, McKinnon dit qu’Okta est structurée autour d’une philosophie centrée sur les personnes. Des leaders compétents obtiennent des zones de responsabilité claires, les fonctions associées sont regroupées pour réduire la surcharge de communication, et une gestion solide soutient l’exécution. De plus, la recherche et le développement sont organisés par plateforme afin de garder les équipes concentrées sur les capacités essentielles.

Son style de leadership a évolué à mesure que l’entreprise a grandi. Au début de l’existence d’Okta, la prise de décision ralentissait lorsque les responsabilités augmentaient. Avec le temps, il a appris à faire davantage confiance à son instinct, tout en étant délibéré sur les choix stratégiques qui nécessitent une implication directe du PDG. Cela dit, il s’implique encore en profondeur sur des sujets comme les architectures d’agents, là où la direction à long terme est en jeu.

La décision stratégique de poursuivre l’identité agent d’Okta comme pilier central est venue directement des clients. Lors d’une série de réunions avec de nombreux des plus grands comptes d’Okta et lors de la conférence de l’entreprise, McKinnon a d’abord présenté une plateforme d’identité unifiée et globale. Au fur et à mesure qu’il introduisait des concepts d’agents, l’intérêt des clients a explosé, et les discussions se sont de plus en plus centrées sur la manière de gérer les travailleurs numériques.

Les LLM d’aujourd’hui peuvent-ils soutenir l’entreprise agentique ?

Il existe un débat continu sur la question de savoir si les grands modèles de langage actuels peuvent réellement prendre en charge des systèmes d’agents à l’échelle de la production. Les agents peuvent être fragiles ; lorsqu’ils atteignent leurs limites, les humains doivent intervenir, ce qui ralentit l’adoption. McKinnon reconnaît ces préoccupations, mais insiste sur le fait que la technologie s’améliorera suffisamment rapidement pour justifier d’y construire dès maintenant.

Même sans extrapolations extrêmes, il estime que le marché créé par des flux de travail agentiques sera massif. En outre, il affirme que loin d’éliminer les développeurs, cet avenir exigera davantage d’ingénierie logicielle. Les équipes devront concevoir des architectures, maintenir des systèmes à grande échelle, et comprendre comment le code généré par des agents se comporte dans le temps.

En observant la formation et les filières de talents, McKinnon s’attend à ce que les fondamentaux en informatique restent essentiels. Cependant, les cursus évolueront pour mettre l’accent sur la coordination des agents, la conception de workflows robustes et l’architecture de systèmes complexes. Les ingénieurs débutants, dit-il, seront cruciaux précisément parce qu’ils sont ouverts à de nouvelles façons de travailler.

Données, intelligence, et où la valeur s’accumule

Certains analystes affirment que la base de données captera la majeure partie de la valeur de l’IA, car les agents ont besoin d’accéder aux données. McKinnon adopte une position plus nuancée, en distinguant entre données brutes et intelligence. Les clients, dit-il, veulent de l’analyse et des informations, plutôt qu’un simple stockage.

Il cite des plateformes de données comme Snowflake, Databricks et Palantir comme exemples de systèmes qui regroupent déjà de l’intelligence avec des données. La question ouverte est de savoir qui fournit la couche d’intelligence principale dans un monde agentique : les vendeurs d’applications historiques, de nouveaux acteurs spécialistes, ou un mélange des deux. En outre, il note que les applications deviennent plus connectées à mesure que les agents traversent plusieurs silos, ce qui augmente la demande pour des standards régissant la manière dont les agents accèdent aux systèmes externes.

Cette tendance nourrit la vision plus large d’Okta d’une charpente (blueprint) d’entreprise agentique. Dans ce modèle, les données, les applications et les agents interagissent via des cadres standardisés d’identité et d’accès, plutôt que via des intégrations sur mesure difficiles à sécuriser.

Le blueprint pour l’identité et le contrôle des agents

Okta a défini un blueprint pour l’entreprise agentique sécurisée, fondée sur trois piliers : intégrer les agents comme un type d’identité distinct, standardiser les points de connexion, et fournir un kill switch robuste. Le premier pilier traite les agents comme des identités hybrides avec des attributs à la fois des humains et des systèmes.

McKinnon explique que les entreprises ont d’abord besoin d’un inventaire centralisé des agents couvrant tous les vendeurs et toutes les plateformes. Certains agents sont étroitement mappés à des employés individuels, d’autres sont « headless », et certains font partie de workflows multi-agents plus vastes. Avec une visibilité centralisée, les organisations peuvent gouverner quels systèmes chaque agent peut accéder, et peuvent révoquer ces liens lorsque le risque dépasse des seuils acceptables.

Concevoir des modèles de permissions et d’autorisation pour les agents est délicat, car le comportement des agents n’est pas déterministe. Si les entreprises exigent une sécurité parfaite et des résultats déterministes, elles doivent restreindre fortement l’accès. En revanche, si elles veulent des agents puissants et autonomes, elles doivent accorder des permissions plus larges et accepter plus de risque. L’architecture d’Okta vise à permettre aux clients d’ajuster finement cet équilibre.

Intégration et modélisation des agents

D’un point de vue architectural, intégrer des agents comme identité signifie les représenter dans des magasins d’identités avec des attributs structurés, des cycles de vie et des entitlements. Certains schémas nécessitent de faire passer l’identité d’un humain à travers un agent pour que les systèmes en aval voient les actions dans un contexte centré utilisateur. D’autres exigent que l’agent lui-même détienne sa propre identité pour des décisions d’autorisation indépendantes.

Cet état intermédiaire, c’est ce que McKinnon veut dire lorsqu’il dit que l’identité d’un agent se situe entre une personne et un système. De plus, en modélisant explicitement les agents, les équipes de sécurité peuvent appliquer des politiques, auditer l’activité, et interagir avec des outils de gouvernance existants, plutôt que de traiter les agents comme des processus invisibles en arrière-plan.

Détection, signaux et kill switches

Détecter lorsqu’un agent fait quelque chose d’inattendu dépend de son objectif prévu et de son implémentation technique. Il n’existe pas de motif universel qui fonctionne dans chaque cas. En revanche, Okta se concentre sur la définition de standards et de types de signaux que les applications et les plateformes de sécurité peuvent utiliser pour déclencher des alertes.

Le concept de kill switch est simple : révoquer rapidement et de manière cohérente l’accès d’un agent aux systèmes et aux données. Cependant, coordonner cette révocation entre de nombreux vendeurs et clouds nécessite des protocoles communs et un travail d’intégration, un domaine dans lequel Okta voit une extension naturelle de ses forces existantes.

Dynamique des plateformes, interopérabilité et réglementation

Interrogé sur la manière dont de grands vendeurs comme Salesforce et Microsoft pourraient réagir si les clients exigent des agents qui traversent les silos, McKinnon s’attend à des tensions entre ouverture et verrouillage (lock-in). Les vendeurs pourraient essayer de limiter l’accès ou d’introduire de nouveaux modèles de tarification et des frais pour l’automatisation multi-plateforme.

Cependant, il pense que les clients auront finalement un levier, en particulier les grandes entreprises qui dépendent d’environnements multi-vendeurs. Si le verrouillage nuit aux clients, les régulateurs pourraient intervenir, comme ils l’ont fait lors des phases précédentes de l’évolution de l’industrie du logiciel. De plus, à mesure que l’usage des agents multi-silos augmente, les normes de l’industrie et les orientations réglementaires s’adapteront probablement pour soutenir l’interopérabilité.

Dans le même temps, les agents rendent plus facile la suppression d’intermédiaires traditionnels dans les workflows, ce qui pourrait accroître l’efficacité, mais aussi créer de nouvelles dépendances aux politiques de plateforme. Cette dynamique renforce l’importance des couches neutres d’identité et d’accès.

Fraude, identités numériques, et menaces alimentées par l’IA

McKinnon aborde aussi la face sombre de l’IA et des agents : les arnaques et la fraude. Okta joue déjà un rôle majeur dans l’authentification des clients, et les tactiques de fraude alimentées par l’IA évoluent rapidement. Des identifiants hors ligne comme les permis de conduire et les passeports passent vers des formats numériques, notamment les permis de conduire mobiles et des systèmes biométriques.

Selon lui, ces identifiants numérisés peuvent aider les organisations à distinguer entre utilisateurs humains, bots et agents. Toutefois, les entreprises doivent aussi équilibrer la prévention de la fraude avec la protection de la vie privée et les réglementations régionales. En outre, combiner des identités numériques avec des plateformes d’identité robustes pourrait donner aux entreprises de nouveaux outils contre les attaques pilotées par l’IA.

Concernant la vérification de l’âge et la sécurité des jeunes, McKinnon dit que les gouvernements débattent activement des standards et des exigences d’identification numérique. Le rôle d’Okta est de s’assurer que les clients peuvent accepter et appliquer les cadres réglementaires qui émergeront, tout en conservant une sécurité et une flexibilité solides.

Ce qui vient ensuite pour Okta et l’identité agent

En regardant vers l’avenir, McKinnon présente la mission d’Okta comme une aide aux entreprises pour construire des environnements agentiques sécurisés. La société fait avancer son blueprint et livre des outils permettant aux clients d’intégrer les agents en toute sécurité, de standardiser les connexions, et d’exercer des contrôles comme des kill switches lorsque les surfaces de risque apparaissent.

De plus, il affirme qu’à mesure que les agents deviennent omniprésents, les plateformes d’identité doivent s’étendre de manière transparente des humains vers les logiciels. Dans cette vision, les mêmes principes fondamentaux qui sécurisaient les connexions des effectifs régiront les travailleurs numériques, libérant la productivité tout en préservant la sécurité, la conformité et la confiance organisationnelle.

En résumé, Okta parie que l’avenir de la sécurité reposera sur une gestion rigoureuse des identités d’agents, en offrant aux entreprises un moyen unifié de voir, contrôler et auditer chaque acteur humain et non humain à travers leurs systèmes.