IAM — Définition IT

L'IAM (Identity and Access Management, ou Gestion des Identités et des Accès) est la discipline qui répond à une question simple en apparence et redoutable en pratique : « qui a accès à quoi dans le SI, à quel moment, et est-ce justifié ? ». C'est l'un des piliers de la cybersécurité moderne et un sujet directement lié à la gouvernance SI.

Avec la généralisation du SaaS, du télétravail et du multi-cloud, le périmètre IAM a explosé : un collaborateur moyen utilise aujourd'hui plus de 35 applications dans sa journée de travail, chacune avec ses propres comptes et permissions. Selon Verizon DBIR 2024, 74 % des violations de données impliquent un facteur humain et 49 % une compromission d'identifiants — l'IAM est donc une première ligne de défense.

Les briques de l'IAM

L'IAM regroupe plusieurs composants techniques qui travaillent ensemble :

• •Identity Provider (IdP): : la source de vérité des identités (Microsoft Entra ID, Okta, Google Workspace, Ping). C'est lui qui authentifie les utilisateurs.
• •[SSO](/fr/glossary/sso): : Single Sign-On, un seul login pour accéder à toutes les applications connectées.
• •MFA / 2FA: : Multi-Factor Authentication, deuxième facteur (TOTP, clé FIDO2, push mobile) qui réduit de 99 % le risque de compromission par mot de passe.
• •Provisioning automatique (SCIM): : création et suppression des comptes dans les apps cibles dès qu'un collaborateur arrive ou part.
• •PAM: (Privileged Access Management) : gestion spécifique des comptes à hauts privilèges (administrateurs, racine).
• •CIAM: (Customer IAM) : IAM tourné vers les clients externes plutôt que les collaborateurs.

IAM, IdM et IGA : démêler les acronymes

• •IdM: (Identity Management) : la gestion technique des identités — création, modification, suppression.
• •AM: (Access Management) : le contrôle d'accès au moment où l'utilisateur essaie d'utiliser une ressource (authentification + autorisation).
• •IAM: : le terme générique qui couvre IdM + AM.
• •IGA: (Identity Governance and Administration) : la dimension gouvernance — revues d'accès, certification, gestion des rôles, conformité. C'est l'IAM vu sous l'angle des auditeurs.

Les protocoles IAM standards

• •SAML 2.0: : standard historique du SSO entreprise.
• •OpenID Connect (OIDC): : version moderne basée sur OAuth 2.0, plus simple à intégrer.
• •OAuth 2.0: : pour la délégation d'autorisation (souvent confondu avec l'authentification — ce n'est pas son rôle premier).
• •SCIM 2.0: : pour le provisioning automatique des comptes entre IdP et applications.
• •FIDO2 / WebAuthn: : pour l'authentification sans mot de passe (passkeys).

Pourquoi l'IAM est un enjeu stratégique

• •Sécurité: : la compromission d'identifiants reste la principale cause d'incidents. MFA + SSO + revues régulières font baisser drastiquement le risque.
• •Conformité: : RGPD, NIS2, DORA, SOX, ISO 27001 imposent une traçabilité des accès, des revues périodiques et un principe de moindre privilège.
• •Productivité: : un nouveau collaborateur opérationnel dès J+1 plutôt qu'après une semaine de tickets d'accès.
• •Coût: : sans automatisation IAM, jusqu'à 30 % des comptes SaaS restent actifs après le départ d'un collaborateur — failles de sécurité et licences gaspillées.
• •[Shadow IT](/fr/glossary/shadow-it): : les apps non gouvernées échappent à l'IAM, créant des points aveugles.

Bonnes pratiques IAM

• •Principe de moindre privilège: : chaque utilisateur a juste les accès nécessaires à son rôle, ni plus, ni moins.
• •Zero Trust: : ne jamais faire confiance, toujours vérifier — chaque requête est authentifiée et autorisée, peu importe le réseau.
• •Revues d'accès périodiques: : trimestrielles pour les rôles sensibles, annuelles pour les autres.
• •Joiner-Mover-Leaver automatisé: : workflows pour l'arrivée, le changement de poste et le départ d'un collaborateur.
• •Centralisation: : un IdP unique, pas un mille-feuille de directories séparés.

IAM et cartographie applicative

L'IAM ne peut être efficace que si la DSI sait quelles applications existent dans le SI — y compris celles non déclarées. Kabeen révèle automatiquement les applications utilisées par les collaborateurs, y compris hors SSO, et permet de prioriser le rattachement à l'IdP central pour fermer les points aveugles.