IAM Gestion des identités et des accès.

L'IAM est la discipline qui détermine qui peut accéder à quoi, quand, comment et sous quelles conditions. Provisionnement, authentification, autorisation, déprovisionnement. L'identité est le nouveau périmètre. Toute architecture Zero Trust est, au fond, un problème IAM complexe déguisé en problème réseau.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La vision de Cyber Academy

L'IAM est la discipline qui détermine qui peut accéder à quoi, quand, comment et sous quelles conditions. Provisionnement, authentification, autorisation, déprovisionnement. L'identité est le nouveau périmètre. Toute architecture Zero Trust est, au fond, un problème IAM complexe déguisé en problème réseau.

Ce que recouvre réellement l'IAM

L'Identity and Access Management est la discipline opérationnelle qui décide qui peut accéder à quoi, quand, comment et sous quelles conditions. En pratique, elle repose sur un petit ensemble de fonctions répétables : provisionner une identité lorsqu'une personne ou un service arrive, authentifier cette identité au moment de l'accès, autoriser les actions et ressources spécifiques permises, et déprovisionner l'identité lorsque le rôle ou la relation prend fin. La difficulté ne réside que rarement dans un seul écran de connexion. Elle consiste à maintenir le lien entre une personne réelle, ses identités numériques et ses droits accumulés de façon fiable dans le temps, à travers des dizaines de systèmes qui ont chacun leur propre idée de ce qu'est un compte.

Un modèle mental utile est le cycle de vie de l'identité. Les arrivants reçoivent des comptes et un accès de base. Ceux qui changent de poste passent d'une équipe à une autre et devraient perdre leurs anciens droits à mesure qu'ils en acquièrent de nouveaux. Les partants doivent être coupés proprement. La plupart des incidents d'accès remontent à une défaillance dans ce cycle de vie : des comptes orphelins jamais désactivés, ou des privilèges qui se sont accumulés parce que l'accès a été accordé mais jamais revu. L'IAM est le système qui rend le processus arrivant-mutation-départ fiable plutôt qu'une débrouille manuelle.

L'identité comme périmètre

L'IAM compte davantage aujourd'hui parce que la frontière réseau a cessé d'être un contrôle significatif. Les utilisateurs se connectent depuis n'importe où, les charges de travail s'exécutent chez plusieurs fournisseurs cloud, et les identités machine (comptes de service, clés d'API, jetons de charge de travail) sont souvent plus nombreuses que les identités humaines. Lorsqu'il n'y a plus d'intérieur ni d'extérieur à défendre, l'identité devient la ligne qui décide de l'accès. C'est l'idée centrale derrière le Zero Trust : ne jamais accorder de confiance par défaut, vérifier chaque requête au regard de l'identité, de la posture de l'appareil et du contexte. Une architecture Zero Trust est, au fond, un problème d'IAM exigeant déguisé en problème réseau.

L'IAM est aussi le point où plusieurs contrôles adjacents viennent se brancher. L'authentification multifacteur renforce l'étape d'authentification. La gestion des accès à privilèges protège le petit nombre d'identités capables de causer le plus de dégâts. Le principe du moindre privilège est la politique que l'IAM applique : n'accorder que l'accès dont un rôle a véritablement besoin, et rien de plus. Traitez ces éléments comme des couches d'un même problème plutôt que comme des projets distincts.

Contexte de gouvernance et de normes

L'IAM se situe au cœur de la plupart des cadres de sécurité parce que le contrôle d'accès est fondamental. ISO/IEC 27001 traite le contrôle d'accès et la gestion des identités comme des domaines de mesures essentiels d'un système de management de la sécurité de l'information, en attendant des organisations qu'elles définissent une politique de contrôle d'accès, gèrent l'accès des utilisateurs sur l'ensemble du cycle de vie et revoient les droits d'accès.

Le NIST Cybersecurity Framework place la gestion des identités et le contrôle d'accès parmi les fonctions de protection que tout programme devrait couvrir. Pour les données réglementées, la discipline d'accès soutient aussi les obligations de confidentialité au titre du GDPR, puisque limiter qui peut atteindre des données personnelles fait partie de la démonstration de mesures techniques appropriées.

Ce que font réellement les praticiens en témoigne. Ils construisent des sources d'identité faisant autorité, automatisent le provisionnement et le déprovisionnement, centralisent l'authentification via le single sign-on, modélisent les droits sous forme de rôles lorsque c'est possible, mènent des revues d'accès récurrentes et conservent une piste d'audit indiquant qui s'est vu accorder quoi et pourquoi. Bien menée, l'IAM est invisible pour les utilisateurs et démontrable face aux auditeurs. Mal menée, elle est la cause racine silencieuse derrière une large part des violations.

Frequently asked questions

01Quelle est la différence entre authentification et autorisation dans l'IAM ?

L'authentification prouve qui est une identité, par exemple via un mot de passe et un second facteur. L'autorisation décide ce que cette identité prouvée a le droit de faire une fois vérifiée. L'IAM doit réussir les deux : une connexion robuste ne sert à rien si le compte dispose ensuite d'un accès qu'il n'aurait jamais dû avoir.

02Quel est le lien entre l'IAM et le Zero Trust ?

Le Zero Trust supprime la confiance implicite fondée sur l'emplacement réseau et vérifie chaque requête à la place. Parce que cette vérification s'appuie sur l'identité, l'appareil et le contexte, un déploiement Zero Trust est en grande partie un programme d'IAM. L'authentification forte, le moindre privilège et les décisions d'accès continues en sont les briques de base.

03Qu'est-ce que le cycle de vie de l'identité ?

C'est le flux arrivant, mutation et départ : provisionner l'accès lorsqu'une personne arrive, l'ajuster lorsque son rôle change, et le retirer lorsqu'elle part. La plupart des problèmes d'accès, comme les comptes orphelins et la dérive des privilèges, proviennent de lacunes dans ce cycle de vie.

04En quoi l'IAM diffère-t-il du PAM ?

L'IAM gouverne l'accès pour l'ensemble de la population des identités tout au long de leur cycle de vie. La gestion des accès à privilèges se concentre sur le petit ensemble de comptes à haut risque, comme les administrateurs et les comptes de service, en ajoutant des contrôles plus stricts tels que la mise en coffre, la surveillance des sessions et l'élévation à la demande. Le PAM est une couche spécialisée au sein de la discipline IAM plus large.

05Pourquoi les revues d'accès sont-elles importantes ?

L'accès tend à s'accumuler parce que l'octroi est facile et la révocation oubliée. La certification périodique des accès demande aux propriétaires de confirmer qui doit encore disposer de quoi, en détectant la dérive des privilèges et les droits orphelins. C'est aussi un contrôle que les auditeurs s'attendent à voir attesté sous des cadres comme ISO/IEC 27001.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.