Overlaying Governance: A Compositional Authorization Framework for Delegation and Scope in Agentic AI

Ce document propose un cadre de gouvernance compositionnel qui introduit des primitives formelles pour la délégation récursive, les limites contextuelles et le portée dynamique afin de surmonter les limites des systèmes d'autorisation traditionnels dans la gestion de la nature complexe et autonome de l'IA agentique.

L'essentiel

La vue d'ensemble : Des « clés » aux « contrats intelligents »

Imaginez que vous avez une maison (votre vie numérique) et que vous engagez un assistant humain pour la nettoyer. Vous lui donnez une clé. Cette clé fonctionne indéfiniment, ou jusqu'à ce que vous la repreniez. C'est ainsi que fonctionne la sécurité informatique traditionnelle : vous donnez à un utilisateur un « jeton » ou une « clé » qui dit : « Vous pouvez ouvrir la porte d'entrée ».

Maintenant, imaginez que vous engagiez un assistant robot (un Agent IA) qui est super intelligent. Il ne se contente pas de nettoyer ; il peut embaucher d'autres robots pour l'aider, il peut décider d'ouvrir le réfrigérateur, le garage ou le coffre-fort, et il peut le faire pendant que vous dormez.

Le Problème :
L'ancien système de « clé » échoue ici.

1. Trop de pouvoir : Si vous donnez la clé maîtresse au robot, il pourrait accidentellement ouvrir le coffre et supprimer vos photos.
2. Trop rigide : Si le robot doit embaucher un sous-robot pour réparer la plomberie, l'ancien système ne sait pas comment transmettre la « permission de plomberie » le long de la chaîne.
3. Statique : L'ancienne clé ne sait pas quand ni où elle est utilisée. Elle ouvre simplement la porte.

La Solution :
Cet article propose une nouvelle façon de gérer ces robots IA. Au lieu de leur donner une clé statique, nous leur donnons un contrat dynamique et vivant. Pensez à un bracelet intelligent qui change ses règles en fonction de la situation.

---

Les concepts fondamentaux (Le « Comment faire »)

Les auteurs suggèrent trois ingrédients principaux pour faire fonctionner cela :

1. La délégation comme un « Contrat » (Pas seulement une clé)

Dans l'ancien monde, la délégation consistait à donner une clé de rechange à quelqu'un. Dans ce nouveau monde, la délégation est comme la signature d'un contrat temporaire et spécifique.

• Analogie : Imaginez que vous engagez un entrepreneur pour réparer votre toit. Vous ne lui donnez pas les clés de toute votre maison. Vous lui donnez un contrat qui dit : « Vous pouvez entrer dans la zone du toit, mais seulement entre 9h et 17h, et seulement si vous portez un harnais de sécurité. »
• Dans l'article : C'est ce qu'on appelle la Délégation. C'est une règle qui dit : « L'Agent A peut agir pour l'Utilisateur B, mais uniquement sous ces conditions spécifiques. »

2. Le Périmètre comme une « Enveloppe » (La Bulle)

Vous ne pouvez pas laisser le robot errer partout. Vous devez le placer à l'intérieur d'une bulle.

• Analogie : Imaginez que le robot est à l'intérieur d'une bulle holographique. À l'intérieur de la bulle, il peut toucher des choses. À l'extérieur de la bulle, il ne le peut pas. Si le robot tente de sortir de la bulle, le système dit : « Non, vous êtes hors limites. »
• Dans l'article : C'est ce qu'on appelle le Périmètre (Scope). Cela limite ce que l'agent peut toucher. Si un utilisateur délègue la permission de « modifier des documents », la bulle de l'agent ne couvrira que les documents, et non la « suppression des budgets ».

3. L'« Overlay » (La Couche Magique)

La partie la plus difficile est que les entreprises possèdent déjà des systèmes de sécurité (comme ceux utilisés pour les employés humains). Elles ne veulent pas tout jeter pour recommencer à zéro.

• Analogie : Imaginez que votre maison possède un système d'alarme très ancien et robuste. Vous ne voulez pas arracher les murs pour installer la nouvelle sécurité pour robots. Au lieu de cela, vous superposez (overlay) une nouvelle couche de verre intelligent transparent sur l'ancien système. L'ancienne alarme fonctionne toujours pour les humains, mais la nouvelle couche de verre ajoute les « règles du robot » par-dessus.
• Dans l'article : C'est l'Opérateur de Composition. Il prend les règles de sécurité existantes et « colle » les nouvelles règles de l'agent dessus sans briser les anciennes. Il crée un nouveau « graphe » (une carte de qui peut faire quoi) qui combine les deux.

---

Comment cela fonctionne en situation réelle (Le Scénario)

Regardons une histoire de l'article pour voir comment cet « Overlay » fonctionne :

1. L'Utilisateur : Bob est un employé humain. Il a la permission de consulter un dossier de documents de conception.
2. La Délégation : Bob demande à son assistant IA, « Agent 1 », de lire ces documents pour lui.
   • Le Contrat : Bob signe un contrat numérique avec l'Agent 1. « Vous pouvez lire ces documents, mais seulement pendant la prochaine heure. »
3. La Sous-Délégation : L'Agent 1 réalise qu'il est trop occupé, alors il demande à un second robot, « Agent 2 », de l'aider.
   • La Chaîne : L'Agent 1 transmet un contrat plus petit à l'Agent 2. « Vous pouvez lire les documents, mais seulement pour les 10 prochaines minutes, et seulement le fichier 'Budget'. »
4. La Vérification : L'Agent 2 tente d'ouvrir le fichier.
   • Étape A (La Bulle) : Le système vérifie : L'Agent 2 est-il à l'intérieur de la bulle « Dossier de Conception » ? Oui.
   • Étape B (La Chaîne) : Le système vérifie : L'Agent 2 a-t-il reçu la permission de quelqu'un qui possède réellement la clé ? Oui, la trace remonte à Bob.
   • Étape C (Les Conditions) : Le système vérifie : Est-on toujours dans la fenêtre de 10 minutes ? Oui.
   • Résultat : La porte s'ouvre.

Si l'Agent 2 tente d'ouvrir un fichier en dehors du dossier, ou si les 10 minutes sont écoulées, le « contrat » dit « Non », et la porte reste fermée.

---

Pourquoi est-ce important (Le « Et alors ? »)

L'article soutient que nous avons besoin de ce système car les agents d'IA deviennent autonomes. Ils ne sont pas seulement des outils ; ce sont des acteurs capables de prendre des décisions, d'embaucher d'autres agents et de se déplacer.

• Sécurité : Cela empêche une IA de devenir incontrôlable et de faire des choses qu'elle n'est pas censée faire (comme supprimer votre compte bancaire parce qu'elle essayait de vous « aider » à organiser vos finances).
• Responsabilité : Si quelque chose tourne mal, vous pouvez consulter la « chaîne de contrats » et voir exactement qui a donné la permission à qui, et sous quelles conditions. C'est comme une trace écrite pour les actions numériques.
• Flexibilité : Cela permet aux entreprises d'utiliser leurs systèmes de sécurité existants (qu'elles ont passé des années à construire) sans avoir à tout reconstruire de zéro. Elles se contentent de « superposer » les nouvelles règles d'IA.

Résumé

L'article propose un nouveau cadre où les agents d'IA ne reçoivent pas de « clés » statiques pour votre maison numérique. Au lieu de cela, ils reçoivent des contrats dynamiques, limités dans le temps et sensibles au contexte, qui sont superposés à votre sécurité existante. Cela garantit que même si les agents d'IA deviennent plus intelligents et plus indépendants, ils restent dans les limites que vous avez fixées, agissant comme des délégués responsables plutôt que comme des forces incontrôlables.

Résumé technique

Résumé Technique : Superposer la Gouvernance : Un Cadre d'Autorisation Compositionnel pour la Délégation et le Périmètre dans l'IA Agentique

1. Énoncé du Problème

Alors que les systèmes d'IA évoluent de modèles passifs vers une « IA Agentique » autonome, capable d'initier des actions, de collaborer et de déléguer des tâches de manière récursive, les frontières logicielles traditionnelles et les cadres d'autorisation deviennent insuffisants. Les systèmes de gestion des identités et des accès (IAM) existants et les standards comme OAuth 2.0 reposent sur des jetons statiques, des périmètres fixes et des requêtes explicites. Ces mécanismes ne parviennent pas à capturer la nature dynamique et récursive des interactions entre agents, où :

• Délégation Récursive : Les agents délèguent des sous-tâches à d'autres agents, créant des chaînes d'autorité que les jetons statiques ne peuvent pas représenter efficacement.
• Contexte Dynamique : Les agents opèrent sous des conditions d'exécution (ex: limites de temps, matériel spécifique, emplacement réseau) que les périmètres statiques ne peuvent pas adapter.
• Atténuation du Périmètre : Il existe une absence de mécanismes pour restreindre progressivement l'étendue de l'autorité lors du passage dans une chaîne de délégation (ex: un agent peut modifier des propositions mais pas les budgets).
• Responsabilité (Accountability) : Les modèles traditionnels peinent à tracer la lignée des permissions dans des écosystèmes multi-agents complexes, rendant l'analyse forensique et l'application du principe du moindre privilège difficiles.

L'article soutient que traiter la délégation simplement comme un transfert de justificatif est inadéquat ; elle doit plutôt être traitée comme une clause contractuelle dotée de primitives de gouvernance exécutables.

2. Méthodologie

Les auteurs proposent un cadre de gouvernance compositionnel qui superpose des sémantiques agentiques aux domaines d'autorisation existants sans réécrire leur logique de base. La méthodologie est fondée sur le Contrôle d'Accès Basé sur les Relations (ReBAC) et utilise OpenFGA (une implémentation open-source du modèle Zanzibar de Google) comme substrat de référence.

Composants Clés :

• Primitives Relationnelles : Le cadre définit la délégation et le périmètre comme des arêtes de graphes relationnels plutôt que comme des jetons statiques.
  • Types de Délégation : L'article formalise six types de délégation :
    1. Délégation totale : Autorité inconditionnelle de type « agit au nom de ».
    2. Délégation à périmètre défini : Autorité limitée à un sous-ensemble d'actions ou de ressources.
    3. Délégation conditionnelle : Autorité valide uniquement sous certains prédicats (ex: temps, lieu).
    4. Délégation à profondeur limitée : Limite la profondeur de récursion des chaînes de délégation.
    5. Délégation temporelle : Validité limitée dans le temps.
    6. Délégation de groupe : Nécessite l'approbation de plusieurs mandants (n-sur-m).
  • Périmètre et Atténuation : Les périmètres sont modélisés comme des conteneurs hiérarchiques (ex: organisation $\to$ projet $\to$ dossier). L'« enveloppe d'autorisation » d'un agent est l'intersection de sa chaîne de délégation (provenant d'un humain) et de son périmètre de session active.
• Opérateur de Composition (Overlay) :
  • Les auteurs définissent un opérateur de réécriture de graphe typé (inspiré de la théorie Double-Pushout/DPO) qui fusionne un schéma ReBAC spécifique au domaine avec un schéma d'« overlay agentique » générique.
  • L'overlay introduit de nouveaux types (agent, session, scope) et de nouvelles relations (delegatee, peut_exécuter_en_mon_nom, dans_le_périmètre).
  • Spécification de l'Élévation (Lift) : L'opérateur « élève » les permissions humaines existantes (ex: lecteur) et redéfinit ces dernières comme l'union de l'accès humain original et de l'intersection de :
    1. Les agents dans le périmètre actif (ags_dans_le_périmètre).
    2. Les agents atteignables via une chaîne de délégation à partir des mandants humains originaux (chain_agents_pour_r).
  • Cela garantit que l'accès humain reste faisant autorité, tandis que l'accès de l'agent est strictement dérivé et borné par l'overlay.

3. Contributions Clés

L'article présente quatre contributions spécifiques :

1. Conceptualisation : Il définit la délégation et le périmètre des ressources comme les moteurs primaires de l'accès agentique, dépassant les rôles statiques pour des termes contractuels évalués au moment de l'exécution.
2. Formalisation : Il fournit une formalisation de la délégation en tant qu'overlay de gouvernance agentique et un opérateur de composition pour intégrer ces sémantiques dans les domaines d'autorisation existants, en s'appuyant sur la théorie de la transformation de graphes.
3. Architecture de Sécurité : Il illustre une architecture de sécurité qui utilise le graphe d'autorisation résultant pour gouverner les utilisateurs, les agents, les périmètres et les sessions de délégation, permettant une vérification et une révocation continues.
4. Validation : Il inclut des preuves formelles pour la préservation de la sémantique d'autorisation existante et de la correction de l'autorisation des agents, ainsi que des benchmarks empiriques démontrant la surcharge de l'overlay sur de grands modèles ReBAC synthétiques.

4. Résultats et Évaluation

• Preuves Formelles : Les auteurs prouvent que l'overlay de composition préserve la correction du moteur ReBAC sous-jacent. L'overlay n'introduit pas de nouvelles sémantiques d'exécution pour les contrôles d'autorisation, mais ajoute des relations bien typées évaluées par la machinerie de l'userset existante. Cela garantit que le système reste déterministe et bien fondé.
• Évaluation Empirique : L'article présente des benchmarks montrant la surcharge de performance de l'application de l'overlay à de grands modèles ReBAC synthétiques. Les résultats indiquent que l'approche de composition est pratique et introduit une surcharge gérable, soutenant sa faisabilité pour un déploiement réel.
• Exemple Opérationnel : Le cadre est démontré à travers un scénario où un utilisateur délègue son autorité à un agent avec des contraintes limitées dans le temps. Le système calcule avec succès les droits d'accès de l'agent en intersectant la chaîne de délégation avec le périmètre de la session active, révoquant l'accès immédiatement dès l'expiration de la condition.

5. Signification et Revendications

L'article prétend fournir une fondation formelle mais pratique pour une autorisation responsable dans les systèmes d'IA agentiques. Sa signification réside dans :

• Opérationnalisation de la Gouvernance : Il fait passer la gouvernance de l'IA des principes abstraits à des primitives relationnelles exécutables qui peuvent être standardisées et réutilisées à travers différents domaines (ex: finance, santé).
• Application du Moindre Privilège : En traitant la délégation comme une relation contractuelle sensible au contexte, le cadre applique le moindre privilège de manière dynamique, garantissant que les agents n'agissent que dans leurs « enveloppes » délimitées.
• Interopérabilité : La nature compositionnelle du cadre lui permet de se placer au-dessus des politiques RBAC, ABAC ou hybrides existantes sans nécessiter une refonte complète des infrastructures d'identité d'entreprise.
• Traçabilité : Il permet de tracer les états d'autorisation, permettant aux systèmes d'auditer la chaîne de délégation et de périmètre pour toute action donnée, ce qui est crucial pour l'analyse forensique dans les systèmes autonomes.

Les auteurs positionnent ce travail comme une évolution nécessaire du consentement statique basé sur les jetons (OAuth) vers des primitives de gouvernance dynamiques, récursives et sensibles au contexte, requises pour la prochaine génération d'agents autonomes.