L'intégration repose sur trois mécanismes opérationnels :
Ron Rasin, directeur de la sécurité chez Silverfort, résume la philosophie avec clarté : « Sans un contexte d'identité approfondi, il est impossible de prendre une décision éclairée et en temps réel sur la légitimité ou le caractère abusif de l'action d'un agent. C'est pourquoi la sécurité agentique est fondamentalement un problème d'identité. »
L'adoption de l'IA agentique en entreprise progresse plus vite que la capacité de la plupart des systèmes de gestion des identités et des accès (IAM) à suivre la cadence. Microsoft rapporte que plus de 80 % des entreprises du Fortune 500 déploient des agents actifs conçus avec des outils low-code, tandis que 29 % des employés utilisent déjà des agents IA non autorisés pour leur travail . Ces chiffres décrivent une surface d'attaque qui s'étend plus vite que la gouvernance ne peut la contrôler.
Le risque central a changé. Les premières inquiétudes liées à l'IA portaient sur la sécurité du contenu : hallucinations, biais, productions toxiques. Mais l'IA agentique introduit un problème plus épineux : le contrôle d'accès. Ces agents s'authentifient, récupèrent des données d'entreprise, déclenchent des processus métier et interagissent avec des systèmes dans des environnements cloud et sur site . Un agent mal configuré avec des permissions étendues peut devenir un chemin direct vers l'exfiltration de données ou l'élévation de privilèges.
Le problème est amplifié par ce que Silverfort décrit comme le « dilemme du développeur ». Les équipes métier qui conçoivent des agents dans Copilot Studio accordent fréquemment des autorisations administratives étendues en phase de développement pour gagner du temps. Ces identifiants sur-privilégiés survivent jusqu'en production, créant des voies d'accès persistantes et non gérées que les outils IAM traditionnels ne sont pas conçus pour gouverner .
Les systèmes d'identité traditionnels — mots de passe, authentification multifacteur, contrôles d'accès statiques basés sur les rôles — ont été conçus pour des humains qui se connectent et se déconnectent lors de sessions prévisibles. Ils ne peuvent pas gérer les schémas d'authentification dynamiques et programmatiques des agents IA qui appellent des API, assument des identités de machine et agissent pour le compte de multiples utilisateurs en une succession rapide .
L'intégration de Copilot Studio par Silverfort s'inscrit dans une dynamique plus large de l'industrie visant à faire de l'identité le plan de contrôle de l'IA agentique. L'entreprise a des intégrations similaires en cours avec Google Cloud Agent Gateway, où l'accent est mis sur la visibilité et le contrôle de la communication des agents avec les API et les outils externes . Microsoft a lui-même introduit des améliorations de sécurité complémentaires pour Copilot Studio, notamment les « Federated Identity Credentials » qui éliminent les secrets persistants et des contrôles informatiques pour bloquer les agents personnalisés à risque
. Mais l'approche de Silverfort se distingue par l'intégration des décisions de sécurité en temps réel directement dans le flux d'exécution de l'agent, plutôt que de gérer la sécurité de l'extérieur.
Pour les équipes de sécurité qui évaluent cette intégration, la question pratique est simple : la plateforme peut-elle inspecter et gouverner chaque action d'un agent, en s'appuyant sur une image complète de l'identité réelle qui se cache derrière cette action, avant que l'action ne soit achevée ? Le pari de Silverfort est que répondre à cette question en ligne — au moment de l'exécution, avant que l'accès ne soit accordé et non après que les dégâts sont faits — est le seul modèle qui puisse évoluer au rythme du déploiement de l'IA agentique.