Le concept KYA : comment les infrastructures eIDAS peuvent sécuriser les agents IA autonomes

Introduction et situation actuelle : l’évolution des processus de confiance

La vérification sans équivoque des identités est traditionnellement au cœur des espaces de transaction numériques. Le cadre réglementaire relatif aux normes KYC (Know Your Customer) et KYB (Know Your Business) a imposé, ces dernières années, une évolution inévitable des procédures de vérification. Alors que la procédure VideoIdent, très gourmande en ressources, doit être considérée comme un modèle en voie de disparition sur le plan opérationnel en raison de son manque d’évolutivité, de plus en plus de solutions AutoIdent ultramodernes font leur apparition sur le marché. Par ailleurs, l’économie européenne attend avec impatience l’impact des portefeuilles EUDI dans le cadre de la directive eIDAS 2.

Ces processus de confiance, jusqu’à présent linéaires, sont actuellement transformés par l’intégration en profondeur de l’intelligence artificielle au niveau structurel. Grâce à des systèmes basés sur des LLM puissants, il est désormais possible d’orchestrer de manière autonome des parcours utilisateurs complets. Cela va de la collecte initiale des données à la préparation de flux de travail hautement sensibles, tels que les ouvertures de compte ou le lancement de transactions en ligne asynchrones. Dans ces scénarios, la machine agit en tant qu’intermédiaire délégué, qui préstructure les données de transaction et les prépare en vue de leur finalisation.

Le concept de KYA : un pont entre l’automatisation par l’IA et la conformité à l’eIDAS

C’est de cette dynamique technologique que découle le concept « KYA » (Know Your Agent). D’un point de vue purement linguistique et superficiel, ce terme semble à première vue ambivalent : alors que « KYC » formule précisément l’obligation réglementaire d’identifier la personne en face (le client), « KYA » implique, au sens littéral, la nécessité de valider l’agent que l’on utilise soi-même. De plus, dans la pratique, un risque de confusion apparaît dans l’espace établi de l’identité numérique, où les vérificateurs humains – par exemple lors du contrôle manuel des résultats d’AutoIdent – sont traditionnellement désignés au sein du secteur comme des « agents ».

C’est toutefois en considérant le KYA comme un cadre structurel pour le commerce agentique et la banque agentique, deux domaines en plein essor, que ce concept révèle toute sa pertinence et son caractère novateur. Il ne s’agit pas ici du projet paradoxal consistant à attribuer aux robots logiciels une personnalité juridique autonome, indépendante de l’être humain.

KYA décrit en effet l’architecture technologique qui garantit qu’à chaque étape d’une chaîne de transactions automatisée, un « Human in the Loop » vérifié en assume la responsabilité finale. KYA comble ainsi le fossé critique entre la préparation autonome par des machines et l’autorisation humaine conforme à la législation.

Comment KYA peut-il fonctionner d’un point de vue technique : les mécanismes de la délégation cryptographique

Le principe fondamental de cette architecture réside dans le fait que les actions des agents d’IA doivent être orchestrées au sein de couches d’infrastructure isolées et que les données de télémétrie précises doivent être transmises vers des points de terminaison dédiés. Avant qu’une action préparée par le bot – telle que le déclenchement d’un paiement B2B ou la transmission de données critiques pour l’entreprise – ne soit définitivement exécutée, des mécanismes de sécurité cryptographiques impliquant le « créateur » de l’agent doivent être mis en œuvre.

Concrètement, cela signifie que l’action de l’agent IA est signée cryptographiquement et que cette signature est indissociablement liée, via des clés de session discrètes, à l’identité sécurisée d’une personne physique. Afin d’intégrer cette composante d’identité humaine dans le flux de travail de manière inviolable, les systèmes modernes s’appuient sur une double infrastructure. Outre le futur portefeuille EUDI eIDAS 2.0, les procédures AutoIdent hautement sophistiquées jouent un rôle clé

La combinaison d’une détection biométrique en temps réel de la présence de l’utilisateur humain et d’une authentification ultérieure par jeton auprès de l’agent IA garantit que la machine n’agit pas en vase clos, mais en tant que mandataire légitime et autorisé par cryptographie.

Une solution idéale pour des processus KYA simplifiés : l’EUDI-Wallet

Grâce à l’architecture unique du portefeuille EUDI, cette technologie deviendra l’un des principaux piliers de confiance à l’ère de l’IA. Dans le contexte du KYA, le portefeuille EUDI parviendra avec une grande efficacité à établir un lien juridiquement valable entre un agent agissant au nom d’autrui et une personne physique. Dans un premier temps, l’agent s’authentifie auprès de la banque en présentant un mandat de représentation spécifique (« Representation Attestation ») ou un certificat d’attribut électronique qualifié (QEAA), ce qui permet à la banque d’identifier l’agent et de valider, via ce certificat, son lien cryptographiquement garanti avec la personne physique. Pour finaliser la transaction lors de la dernière étape, la banque envoie une demande de signature au portefeuille, à la suite de quoi la personne physique confirme l’opération par une nouvelle authentification forte et l’autorise de manière juridiquement contraignante au moyen d’une signature électronique qualifiée (QES) générée localement ou à distance.

Répartition des risques : la responsabilité des « organismes de confiance »

Un aspect critique, souvent négligé, de l’écosystème KYA réside dans la responsabilité fondamentale des entités de confiance (les « Relying Parties », telles que les banques, les compagnies d’assurance ou les plateformes de commerce électronique) lors du traitement d’une transaction. Sur le plan architectural et procédural, il leur incombe avant tout de mettre en place deux contrôles essentiels :

a) Vérification des acteurs (distinction entre les bots et les humains) : l’autorité de confiance doit être en mesure de déterminer, grâce à des analyses avancées de télémétrie et d’API, si une interaction a été initiée et préparée à l’origine par un être humain ou de manière semi-autonome par un bot ou une IA.

b) Analyse des risques liée aux transactions : les entités de confiance doivent mettre en œuvre un modèle de risque dynamique qui détermine à partir de quelle valeur contractuelle ou de quel niveau de sensibilité une justification KYA rigoureuse constitue une condition préalable obligatoire à l’exécution de la transaction.

Alors qu’une transaction simple et peu risquée peut se contenter de justificatifs cryptographiques minimaux et d’une validation asynchrone en aval, les opérations hautement sensibles telles que l’ouverture d’un compte, la conclusion de contrats de crédit ou les transferts d’actifs importants nécessitent impérativement des mesures de sécurité supplémentaires et synchrones. Il ne doit y avoir aucune marge de manœuvre à cet égard : à ce stade, la vérification KYA doit imposer une réauthentification stricte, biométrique ou assistée par matériel, du mandant humain, afin d’exclure tout vol d’identité par des agents compromis.

Le duel dans l’espace de confiance : IA contre IA et la course aux armements asymétrique

La nécessité absolue de disposer d’architectures aussi robustes résulte d’un environnement de menaces extrêmement dynamique, qui se traduit par un bras de fer direct entre l’IA défensive et l’IA offensive. L’étude intitulée « Risques de sécurité pour les prestataires de services de confiance liés aux menaces basées sur l’IA », publiée en 2026 par A-SIT Plus pour le compte de la Rundfunk und Telekom Regulierungs-GmbH (RTR), analyse cette course à l’armement au niveau structurel.

Dans ce contexte, l’IA est une arme à double tranchant :

• L’IA, à la fois catalyseur et protecteur : sur le plan défensif, l’IA offre un potentiel d’efficacité considérable. Elle permet une détection sophistiquée des anomalies, l’analyse en temps réel de schémas d’attaque complexes (par exemple au sein des centres d’opérations de sécurité modernes) ainsi que la réalisation de contrôles biométriques multimodaux de vérification de la présence en temps réel dans le cadre des procédures modernes d’identification automatique (AutoIdent). Son impact positif sur le renforcement de l’espace de confiance est bien réel.
  
• L’IA en tant qu’attaquant : parallèlement, l’IA générative modifie le paysage des risques à une échelle jusqu’alors inconnue. Elle réduit considérablement les barrières technologiques à l’entrée pour les cybercriminels, automatise la génération de codes malveillants et permet la mise en œuvre de scénarios de fraude à très grande échelle. L’étude de la RTR (2026) considère comme particulièrement critiques les tromperies basées sur l’IA, telles que les deepfakes, les identités synthétiques ainsi que les attaques sophistiquées de type « presentation injection » et « prompt injection », qui visent à manipuler de manière ciblée les caractéristiques d’identification visuelles et les modèles d’apprentissage automatique (par exemple par empoisonnement des données).

La solution systémique à cette course à l’armement algorithmique réside dans une gouvernance claire et dans la combinaison de deux piliers de protection déterministes. Grâce au stockage des clés sur support matériel (Secure Elements), le portefeuille EUDI eIDAS 2.0 offre une protection mathématique sans compromis contre les attaques d’usurpation d’identité basées sur l’IA.

En complément, les procédures AutoIdent modernes, étayées par l’IA, comblent la lacune restante dans ce domaine : elles utilisent une détection avancée de la présence humaine et des attestations basées sur les appareils pour vérifier sans aucun doute, en quelques secondes, le point d’ancrage humain dans le flux de travail. Ces deux approches combinées permettent aux autorités de confiance d’autoriser des processus basés sur des agents de manière à ce que la séparation entre l’action du bot et la légitimation humaine soit conforme aux exigences réglementaires et cryptographiques.

Conclusion : KYA, une avancée précieuse dans le domaine de l’identité numérique

En résumé, on peut affirmer que le KYA est bien plus qu’un simple mot à la mode éphémère dans le domaine du marketing : il s’agit d’un concept évolutif précieux qui s’appuie directement sur les fondements éprouvés du KYC. Le KYC reste le cœur irremplaçable des architectures de confiance, mais le KYA enrichit ce cœur en y ajoutant la dimension de la délégation automatisée sécurisée à l’ère de l’IA.

C’est précisément dans ce domaine que sproof travaille activement à l’élaboration de concepts innovants. L’objectif est de mettre en place des architectures permettant de relier les agents d’IA aux personnes physiques et à leurs signatures électroniques qualifiées (QES) de manière juridiquement sûre, infalsifiable et conforme aux exigences réglementaires.

La question de savoir s’il existera un jour des agents entièrement autonomes, capables d’autoriser valablement des transactions avec un niveau d’assurance (LoA) « Élevé » – relève encore d’un avenir lointain ; toutefois, le chemin pour y parvenir passe impérativement par une interaction intelligente entre l’homme et la machine, ainsi que par une validation fondée sur les risques effectuée par les autorités de confiance, telle que KYA l’esquisse d’ores et déjà.

FAQ sur le sujet

Préparez votre infrastructure d’identité à l’ère de l’« Agentic Banking ». Découvrez auprès des experts de sproof comment intégrer de manière conforme à la législation des flux de travail complexes basés sur l’IA grâce à des analyses de risques par transaction, des signatures conformes à la directive eIDAS et des procédures d’identification de pointe. Prenez rendez-vous dès maintenant pour un entretien téléphonique avec un expert →