Identité & accès Fondation sécurité Nouveau périmètre Mis à jour · Avril 2026

IAM

Signification : Identity and Access Management · gestion des identités et des accès
Réponse rapide

Discipline et ensemble d’outils permettant de gérer le cycle de vie des identités numériques et leurs droits d’accès aux ressources d’une organisation, depuis la création jusqu’à la suppression.

En une phrase — L'IAM est la discipline qui gère tout le cycle de vie des identités numériques et de leurs droits d'accès aux ressources d'une organisation — de la création d'un compte à sa suppression, en passant par les évolutions de rôle et les contrôles en temps réel.
Piliers fondamentaux
Authentification · autorisation · gouvernance · audit
Composants clés
IdP · SSO · MFA · IGA · PAM
Modèles d'accès
RBAC · ABAC · PBAC
Enjeu principal 2026
L'identité est le nouveau périmètre
Cadre réglementaire
Central dans NIS2, DORA, ISO 27001 A.9

01 — DéfinitionQu'est-ce que l'IAM ?

L'IAM, pour Identity and Access Management, est la discipline qui gère l'ensemble du cycle de vie des identités numériques et de leurs droits d'accès aux ressources d'une organisation. Elle répond à trois questions fondamentales :

  • Qui êtes-vous ? (authentification)
  • Que pouvez-vous faire ? (autorisation)
  • Est-ce conforme à ce qui était prévu ? (gouvernance et audit)

L'IAM couvre toutes les identités manipulées par une organisation : collaborateurs internes, prestataires externes, partenaires, clients (B2B ou B2C), mais aussi identités non-humaines — comptes techniques, services, applications, bots, machines, APIs. Ces dernières sont souvent les plus nombreuses : dans une organisation moderne, le ratio identités non-humaines vs humaines peut atteindre 20 pour 1.

L'IAM est un périmètre vaste qui regroupe plusieurs sous-disciplines spécialisées :

  • IGA (Identity Governance and Administration) : gouvernance du cycle de vie, revues d'accès, conformité.
  • PAM (Privileged Access Management) : protection renforcée des comptes à privilèges.
  • CIAM (Customer Identity and Access Management) : gestion des identités clients grand public.
  • ITDR (Identity Threat Detection and Response) : détection et réponse aux attaques ciblant les identités.
L'IAM a cessé d'être une brique technique parmi d'autres pour devenir le socle de l'architecture sécurité moderne. Dans un monde sans périmètre réseau, l'identité est devenue la nouvelle frontière.

02 — PiliersLes 4 piliers fondamentaux

1. Authentification — prouver qui vous êtes

Le premier pilier vérifie l'identité déclarée par l'utilisateur ou le système. Méthodes :

  • Mot de passe (historique, à abandonner progressivement).
  • MFA par application TOTP, push ou biométrie.
  • FIDO2 et passkeys — standard moderne résistant au phishing.
  • Authentification certificat pour les machines et services.
  • Authentification adaptative selon le risque (Conditional Access).

2. Autorisation — définir ce que vous pouvez faire

Une fois authentifié, l'utilisateur obtient des droits. Le modèle d'autorisation définit comment ces droits sont attribués et évalués :

  • RBAC — droits attribués par rôle prédéfini.
  • ABAC — droits calculés selon des attributs (utilisateur, ressource, contexte).
  • PBAC — politiques déclaratives évaluées en temps réel.
  • Principe du moindre privilège — n'attribuer que le strict nécessaire.
  • Séparation des rôles pour les opérations sensibles (SoD — Segregation of Duties).

3. Gouvernance — s'assurer que tout est en ordre

L'IGA assure la cohérence dans le temps :

  • Provisioning/déprovisioning automatisé à l'embauche et au départ.
  • Processus de demande et d'approbation pour les nouveaux accès.
  • Revues d'accès périodiques (trimestrielles ou semestrielles).
  • Détection et suppression des accès dormants ou excessifs.
  • Gestion des exceptions documentées et temporaires.

4. Audit — tracer et analyser

Traçabilité complète de qui accède à quoi, quand, comment. Ces logs alimentent le SIEM et le SOC pour détecter les comportements anormaux. L'audit sert aussi à prouver la conformité réglementaire.

03 — ComposantsLes briques techniques de l'IAM

IdP — Identity Provider

Cœur de l'écosystème. Référentiel central des identités qui authentifie les utilisateurs pour le compte des applications. Exemples majeurs : Microsoft Entra ID (ex-Azure AD), Google Workspace, Okta, Ping Identity, Active Directory on-premise. L'IdP est le point d'ancrage de toute l'architecture IAM moderne.

SSO — Single Sign-On

Permet d'accéder à plusieurs applications avec une seule authentification. Basé sur SAML ou OIDC. Détails dans la fiche SSO. Le SSO est indispensable pour rendre l'IAM utilisable au quotidien.

MFA — authentification multi-facteurs

Renforcement de l'authentification au-delà du mot de passe. Voir fiche MFA. En 2026, le standard cible est FIDO2/passkey pour la résistance au phishing.

Provisioning automatique (SCIM)

Synchronisation automatique des utilisateurs et groupes entre l'IdP et les applications. Protocole standard : SCIM. Permet un onboarding rapide (accès créés automatiquement à l'embauche) et surtout un offboarding fiable (accès coupés immédiatement au départ).

IGA — gouvernance des identités

Couche de gouvernance au-dessus de l'IdP. Gère les workflows d'approbation, les revues d'accès, les rapports de conformité, les matrices de séparation des rôles. Acteurs : SailPoint, Saviynt, Omada, IBM Identity Governance, Microsoft Entra Identity Governance.

PAM — gestion des accès à privilèges

Protection renforcée pour les comptes administrateurs et techniques. Coffre-fort de mots de passe, rotation automatique, sessions contrôlées et enregistrées, élévation temporaire just-in-time. Acteurs : CyberArk, Delinea (ex-Thycotic), BeyondTrust, Arcon, Wallix (français). Voir la discipline PAM pour le détail.

ITDR — détection des menaces sur l'identité

Catégorie émergente qui détecte les attaques ciblant spécifiquement les identités : compromission de token, MFA fatigue, golden ticket Kerberos, Golden SAML, privilège escalation. Intègre dans les plateformes XDR modernes (Microsoft, CrowdStrike Identity Protection).

Conditional Access / Risk-Based Authentication

Moteur de politique qui évalue le risque de chaque tentative d'authentification et adapte les contrôles : demander une MFA supplémentaire si la connexion vient d'un pays inhabituel, bloquer si l'appareil n'est pas conforme, etc. Standard dans les IdP modernes.

Federation et B2B trust

Permet de faire confiance aux identités d'autres organisations partenaires sans dupliquer les comptes. Crucial pour les écosystèmes avec de nombreux prestataires externes.

04 — ModèlesRBAC, ABAC, PBAC

RBAC — Role-Based Access Control

Modèle historique, toujours le plus utilisé. Les droits sont attribués à des rôles (manager, comptable, technicien réseau), et les utilisateurs reçoivent un ou plusieurs rôles. Avantages : simple à comprendre, facile à administrer, compatible avec l'organisation hiérarchique de l'entreprise. Inconvénients : rigide, explosion du nombre de rôles avec la granularité (phénomène de role explosion), ne prend pas en compte le contexte.

ABAC — Attribute-Based Access Control

Les droits sont calculés à partir de plusieurs attributs : attributs de l'utilisateur (département, niveau, projet), attributs de la ressource (classification, propriétaire, criticité), attributs du contexte (heure, lieu, type d'appareil, niveau de risque). Avantages : flexibilité maximale, règles contextuelles précises. Inconvénients : complexité de conception, difficulté de débogage, performance à l'échelle.

PBAC — Policy-Based Access Control

Évolution moderne d'ABAC. Les règles sont exprimées comme des politiques déclaratives centralisées (souvent dans un langage comme Rego ou XACML). Moteur d'évaluation à la volée. Outils : Open Policy Agent (OPA), Styra, Axiomatics. Particulièrement pertinent pour les microservices et les architectures cloud-native.

Approche hybride en pratique

La réalité des organisations combine les approches :

  • RBAC pour la structure de base (rôles organisationnels classiques).
  • ABAC pour les règles contextuelles (heure d'accès, lieu, risque).
  • PBAC pour certains environnements techniques avancés.
  • PAM pour les comptes à privilèges qui méritent une couche supplémentaire.

L'important est la cohérence et la capacité d'audit, plus que la pureté du modèle théorique.

05 — Cycle de vieDu joiner au leaver

Joiner — l'arrivée

Un nouveau collaborateur démarre. Le processus IAM idéal :

  • Création automatique du compte IdP à partir de l'entrée dans le SIRH.
  • Attribution automatique des rôles de base selon le département et le poste.
  • Provisioning des applications via SCIM en amont du jour J.
  • Accès opérationnel le premier jour, sans délais ni tickets manuels.
  • Demandes complémentaires via portail self-service avec workflow d'approbation.

Mover — les changements

Un collaborateur change de poste, de département, ou de périmètre. C'est le moment le plus délicat du cycle de vie :

  • Révocation des droits qui ne sont plus nécessaires.
  • Attribution des nouveaux droits correspondant au nouveau rôle.
  • Risque classique du privilege creep : accumulation de droits au fil des évolutions sans nettoyage.
  • L'IGA doit automatiser le recalcul et alerter sur les écarts.

Leaver — le départ

Le moment critique où tout doit s'arrêter proprement. Idéalement :

  • Désactivation immédiate de l'IdP au départ effectif — pas quelques jours après.
  • Propagation automatique via SCIM à toutes les applications.
  • Révocation des tokens OAuth et sessions actives.
  • Transfert des ressources partagées (documents, calendriers partagés).
  • Archivage des données selon la politique de rétention.
  • Audit post-départ pour vérifier qu'aucun accès résiduel ne subsiste.

Revues d'accès périodiques

Au-delà du cycle joiner/mover/leaver, des revues structurées complètent l'hygiène IAM :

  • Revue trimestrielle ou semestrielle où chaque manager valide les accès de son équipe.
  • Revue spécifique des comptes à privilèges (PAM) avec des seuils plus exigeants.
  • Revue des comptes de service et techniques — souvent oubliés mais à haut risque.
  • Revue des accès partenaires et prestataires.

06 — Enjeux 2026Pourquoi l'IAM est devenu stratégique

L'identité est le nouveau périmètre

Avec le cloud et le télétravail, la notion de réseau interne protégé par un pare-feu s'est effondrée. Applications, données et utilisateurs sont partout. La seule frontière qui reste pour décider qui accède à quoi est l'identité. C'est la raison fondamentale pour laquelle l'IAM est devenu central en architecture Zero Trust.

Les attaques ciblent massivement les identités

Selon les rapports annuels (Verizon DBIR, Microsoft Digital Defense Report, Mandiant M-Trends), plus de 80% des incidents modernes impliquent la compromission d'une identité à un moment ou un autre. Les techniques principales : phishing, MFA fatigue, compromission de token, attaque sur Active Directory, SIM swap, ingénierie sociale.

Le passage aux passkeys et FIDO2

2025-2026 marque le basculement concret vers des authentifications résistantes au phishing. L'IAM moderne doit accompagner ce basculement : déploiement des passkeys, abandon progressif du mot de passe, gestion des clés matérielles pour les comptes sensibles.

Identités non-humaines et secrets

Enjeu majeur en forte croissance. Les microservices, les pipelines CI/CD, les agents IA, les applications serverless génèrent une prolifération d'identités non-humaines avec des secrets (clés API, tokens, certificats). Les acteurs spécialisés émergent : Astrix, Entro, Oasis Security, Teleport. Sujet souvent sous-traité mais très à risque.

Réglementation et conformité

NIS2, DORA, ISO 27001 Annex A.9, PCI DSS imposent tous des contrôles stricts sur les identités et les accès. L'IAM n'est plus une option mais un prérequis réglementaire pour de nombreux secteurs.

IAM et IA générative

Enjeu émergent en 2025-2026 : les agents IA qui agissent au nom des utilisateurs nécessitent un modèle d'identité et d'autorisation adapté. Comment déléguer des droits à un agent sans lui donner tous les privilèges de l'utilisateur ? Comment tracer les actions de l'agent ? Les premières réponses techniques arrivent avec des extensions IAM dédiées aux agents.

07 — MarchéPrincipaux acteurs IAM en 2026

IdP et plateformes intégrées

  • Microsoft Entra (ex-Azure AD) : leader du marché entreprise, intégration native avec l'écosystème Microsoft 365 et Azure.
  • Okta : référence indépendante, écosystème d'intégrations très riche.
  • Google Cloud Identity : pour les organisations Google Workspace.
  • Ping Identity (fusionné avec ForgeRock) : orienté grands comptes, flexibilité.
  • Duo Security (Cisco) : focus MFA et Trusted Access.

IGA

  • SailPoint : leader IGA grands comptes.
  • Saviynt : challenger cloud-native en forte croissance.
  • Omada : éditeur européen, bonne présence en France.
  • Microsoft Entra Identity Governance : offre intégrée.

PAM

  • CyberArk : référence historique, leader PAM mondial.
  • BeyondTrust : alternative majeure, orientée solutions intégrées.
  • Delinea (ex-Thycotic + Centrify) : offre mid-market et enterprise.
  • Wallix : éditeur français, qualifié ANSSI, bonne présence souveraine.
  • Teleport : orienté PAM moderne pour environnements cloud-native.

CIAM (identités clients)

  • Okta Customer Identity (ex-Auth0), Microsoft Entra External ID, Ping Identity.
  • Stytch, Clerk, FusionAuth : alternatives orientées développeurs.

Open source et alternatives

  • Keycloak : IdP open source leader.
  • Authentik, Authelia : alternatives modernes.
  • HashiCorp Vault : gestion des secrets pour identités non-humaines.

Émergents — identités non-humaines

  • Astrix Security, Entro Security, Oasis Security, Clutch Security : catégorie en forte croissance.

08 — FAQQuestions fréquentes

Par où commencer quand on n'a pas d'IAM structuré ?

Démarrer par un IdP central (Entra ID si Microsoft, Google Workspace si Google, Okta sinon), activer MFA obligatoire sur tous les comptes, déployer SSO sur les applications principales, automatiser le provisioning/déprovisioning via SCIM. Ces fondations couvrent 80% du risque. Les couches avancées (IGA, PAM, ITDR) viennent dans un second temps selon les priorités.

Faut-il différencier IAM interne et CIAM ?

Oui, presque toujours. L'IAM interne gère un nombre limité d'utilisateurs avec des relations employeur/employé, des workflows d'approbation structurés, des besoins de gouvernance forte. Le CIAM gère des millions d'utilisateurs finaux avec des enjeux UX, de privacy (RGPD, cookies), et de parcours d'inscription. Les plateformes et les critères de choix diffèrent.

Comment gérer les prestataires et externes ?

Plusieurs approches : création de comptes dédiés dans votre IdP avec des politiques plus strictes (MFA obligatoire, durée limitée, accès restreint), federation B2B avec leur IdP, ou solutions spécialisées (Entra B2B, Okta B2B). L'important : dates d'expiration strictes, revues fréquentes, principe du moindre privilège appliqué plus sévèrement qu'en interne.

Qu'est-ce qu'un compte de service et comment le sécuriser ?

Compte technique utilisé par une application ou un script, non lié à un humain. Problèmes classiques : mots de passe jamais changés, privilèges excessifs, partage entre équipes, pas de MFA possible. Bonnes pratiques : rotation automatisée via un coffre-fort (PAM, HashiCorp Vault), privilèges minimaux, traçabilité stricte, et idéalement remplacement progressif par des identités non-humaines managées (managed identities, workload identities).

Quelle est l'approche zero trust côté IAM ?

Elle repose sur quelques principes : authentification forte systématique (idéalement FIDO2), évaluation continue du risque à chaque requête (Conditional Access), principe du moindre privilège appliqué strictement, séparation des administrations (SoD), JIT (just-in-time access) pour les élévations temporaires, et audit complet. Voir la fiche Zero Trust pour la vision d'ensemble.