IAM et gouvernance des accès : le guide complet pour maîtriser l’identité numérique dans l’entreprise

Maîtriser l’identité numérique pour sécuriser durablement l’ensemble du système d’information.

L’identité numérique, colonne vertébrale silencieuse de l’entreprise

Chaque organisation repose sur un principe de confiance invisible : qui peut accéder à quoi, quand et comment. Cette confiance est distribuée à travers des identités — humaines et non humaines — qui déterminent, dans l’ombre, la capacité d’une entreprise à fonctionner.

La gouvernance des accès n’est pas un sujet technique. C’est un sujet d’ordre, de cohérence, de sécurité et de responsabilité. Il définit ce que signifie “travailler” dans un système complexe où chaque action passe par une authentification.

L’IAM (Identity & Access Management) organise cette confiance. Sans IAM solide, l’entreprise n’a pas de sécurité. Elle n’a qu’une illusion.

Pourquoi l’IAM est devenu un enjeu stratégique absolu

Autrefois, l’identité se résumait à un compte Active Directory et un mot de passe. Aujourd’hui, l’identité s’étend :

• au cloud
• aux applications SaaS
• aux terminaux mobiles
• aux clés API
• aux bots
• aux identités non humaines
• aux intégrations tierces
• aux privilèges administrateurs
• aux accès partenaires
• aux comptes techniques
• aux environnements industriels (OT)

L’identité numérique est désormais le périmètre de sécurité principal. Ce n’est plus le réseau. Ce n’est plus le poste de travail.C’est l’utilisateur et ce qu’il peut faire.

Quand une identité est compromise, l’entreprise entière peut l’être.

Comprendre la structure d’un système d’identités

La gouvernance des accès repose sur quatre piliers fondamentaux :

1. L’identification
   Qui est l’utilisateur ?
   Comment est-il reconnu ?
   Comment son identité est-elle créée ?
2. L’authentification
   Comment prouve-t-il qu’il est bien lui ?
   MFA ? Passkeys ? Certificats ?
3. L’autorisation
   À quoi a-t-il droit ?
   Et pourquoi ?
4. L’auditabilité
   Peut-on retracer ce qu’il fait ?
   Peut-on détecter une anomalie ?

C’est la maîtrise simultanée de ces quatre dimensions qui constitue une gouvernance digne de ce nom.

Les failles de gouvernance les plus fréquentes en IAM

Dans la plupart des organisations, les problèmes ne viennent pas d’une technologie insuffisante, mais d’une gouvernance insuffisante. Les failles les plus courantes sont presque toujours les mêmes :

• comptes orphelins après départ d’un collaborateur
• droits jamais revus
• privilèges administrateurs distribués trop largement
• absence d’audit des comptes techniques
• authentification faible ou inégale entre applications
• absence de MFA ou MFA optionnel
• identités non humaines non surveillées
• accès partenaires non tracés
• provisioning manuel (erreurs, sur-provisionnement)
• mots de passe partagés dans des équipes métier
• applications SaaS non rattachées à l’annuaire central
• Shadow IT contenant des données sensibles
• absence de logique JML (Joiner / Mover / Leaver)

L’IAM révèle toujours les faiblesses réelles d’une organisation. Ce n’est pas une question d’outils : c’est une question de discipline.

Joiner – Mover – Leaver : la structure vitale de tout IAM

Le cycle de vie des identités — JML — est le cœur opérationnel de la gouvernance des accès.

Joiner (arrivée)

À l’arrivée d’un collaborateur, l’entreprise doit définir :

• qui crée l’identité
• quels droits initiaux lui sont attribués
• sur quelles bases métier
• selon quelles règles de moindre privilège
• avec quelles validations

Le sur-provisionnement à l’arrivée est l’une des premières sources de dérive des accès.

Mover (mobilité interne)

• La mobilité interne est le casse-tête absolu des organisations :
• l’utilisateur change de service
• mais garde ses anciens droits
• et ajoute les nouveaux
• parfois sans limite, sans cohérence, sans nettoyage

Ce cumul des privilèges est à l’origine de la plupart des comptes à risque.

Leaver (départ)

Le départ est l’étape la plus critique. Un seul compte non désactivé = une porte ouverte.

Le processus doit garantir :

• la désactivation immédiate des accès
• la révocation des tokens
• la suppression des accès SaaS
• la gestion des boîtes mails partagées
• la rotation des accès non humains liés au collaborateur
• la fermeture des comptes administrateurs

La gouvernance réelle se voit toujours au moment du départ.

Le principe du moindre privilège : une règle simple, rarement respectée

Le principe du moindre privilège (Least Privilege) dit une chose simple : un utilisateur ne doit disposer que des droits nécessaires, ni plus ni moins.

Dans les organisations réelles :

• les accès sont cumulés
• les privilèges sont rarement révisés
• les exceptions deviennent permanentes
• les comptes administrateurs prolifèrent
• les droits sont accordés « au cas où »

L’entreprise se retrouve avec :

• des comptes trop puissants
• des comptes trop nombreux
• des comptes trop anciens
• des comptes trop flous

L’IAM vise à restaurer une sobriété utile : des droits sélectifs, justifiés et révisés régulièrement.

Les identités non humaines : le maillon le plus faible

Les NHIs (Non Human Identities) sont devenues l’un des risques les plus massifs :

• clés API
• jetons OAuth
• connecteurs SaaS
• scripts automatisés
• webhooks
• robots logiciels
• comptes techniques
• tâches automatisées
• accès machine-to-machine

Problème :
elles n’apparaissent pas dans les inventaires humains. Elles ne sont pas révisées. Elles n’ont pas de cycle JML. Elles ne sont pas surveillées. Elles sont permanentes. Elles ne changent jamais de mot de passe.

Elles représentent souvent 10x plus d’identités que les utilisateurs humains. Une clé API oubliée peut suffire à exposer tout un environnement.

Séparation des privilèges : un principe fondateur

Une identité ne doit jamais pouvoir :

• créer un utilisateur
• modifier des permissions
• accéder à des données sensibles
• gérer les logs
• administrer un système

… en même temps.

La séparation des rôles (SoD – Segregation of Duties) évite :

• les abus
• les erreurs
• les fraudes internes
• les escalades de privilèges
• les incidents majeurs

Chaque rôle doit être distinct, clair, limité, explicable.

Contrôler les comptes à privilèges : l’enjeu le plus critique

Les comptes à privilèges sont l’or de la cybersécurité :

• Administrateurs de domaines
• Admins SaaS globaux
• Super Admins cloud
• AdminLinux/Root
• Admins applicatifs
• Comptes à haut privilège dans les ERP
• Accès à la configuration réseau

Ils doivent être :

• isolés
• traçables
• utilisés via bastions ou coffres PAM
• protégés par MFA fort
• contrôlés régulièrement
• limités dans le temps
• minimisés au maximum

Un compte admin mal géré est une bombe à retardement.

L’audit des accès : la mesure de maturité la plus honnête

Une entreprise mature sait répondre à ces trois questions :

• Qui a accès à quoi ?
• Pourquoi ?
• Qui a validé ces accès ?

Dans la majorité des organisations, aucun service ne peut répondre aux trois. L’audit fait apparaître :

• des droits jamais supprimés
• des comptes orphelins
• des administrateurs dormants
• des privilèges non justifiés
• des accès doublons
• des applications SaaS non rattachées à l’annuaire
• des rôles “temporaires” devenus définitifs

L’audit des accès n’est pas un contrôle : c’est un révélateur de maturité.

Impact réglementaire : NIS2, DORA, RGPD

Le législateur exige maintenant une identité maîtrisée.

• NIS2 impose une gouvernance stricte des accès, privilégiant MFA, révision périodique et ségrégation.
• DORA impose une gestion stricte des comptes critiques dans la finance.
• RGPD exige le “need to know” sur les données personnelles.
• ISO 27001 consacre tout un chapitre à la gestion des identités.

L’IAM n’est plus une bonne pratique : c’est une obligation structurelle.

IAM : un outil de sécurité, mais aussi d’efficacité

Une bonne gouvernance des accès :

• simplifie l’onboarding
• accélère l’offboarding
• réduit les coûts
• fluidifie les audits
• améliore la productivité
• limite les incidents de sécurité
• renforce la confiance interne
• structure l’entreprise autour de rôles clairs

L’IAM est autant un outil d’organisation qu’un outil de sécurité.

L’identité est la nouvelle frontière

Les entreprises modernes ne se sécurisent plus en protégeant un réseau. Elles se sécurisent en maîtrisant leur identité.

L’IAM n’est pas une discipline technique. C’est la manière dont une organisation décide qui elle est, qui peut agir en son nom, et comment elle protège cette confiance.

La maturité d’une entreprise se lit toujours dans sa gestion des identités. Et c’est souvent là que se joue sa véritable résilience.