Qu'est-ce que la gestion des identites et des acces (IAM) ?

La gestion des identites et des acces (IAM) est l'ensemble des politiques, processus et technologies qui garantissent que les bonnes personnes ont un acces approprie aux bonnes ressources, au bon moment et pour les bonnes raisons. L'IAM couvre le cycle de vie complet de l'identite : provisionnement, authentification, autorisation, surveillance et deprovisionnement de l'acces utilisateur sur tous les systemes et applications.

Quelle est la difference entre authentification et autorisation ?

L'authentification verifie qui vous etes (verification d'identite) — prouver votre identite a l'aide d'identifiants comme les mots de passe, les jetons MFA ou la biometrie. L'autorisation determine ce que vous pouvez faire (controle d'acces) — definir quelles ressources, actions et donnees une identite verifiee est autorisee a acceder. L'authentification vient toujours en premier ; l'autorisation suit.

Qu'est-ce que l'authentification unique (SSO) et pourquoi est-elle importante pour la securite ?

Le SSO permet aux utilisateurs de s'authentifier une seule fois et d'acceder a plusieurs applications sans ressaisir d'identifiants. Il ameliore la securite en reduisant la fatigue des mots de passe (moins de mots de passe signifie moins de mots de passe faibles ou reutilises), en permettant un controle et une surveillance centralises des acces, en simplifiant l'application du MFA sur toutes les applications, et en accelerant le deprovisionnement en desactivant un seul compte pour revoquer tous les acces.

Qu'est-ce que le principe du moindre privilege ?

Le principe du moindre privilege signifie n'accorder aux utilisateurs que les permissions d'acces minimales necessaires a l'exercice de leurs fonctions — rien de plus. Cela reduit le rayon de l'impact des comptes compromis, limite l'impact des menaces internes et est explicitement exige par ISO 27001 (A.8.2), SOC 2 (CC6.1), NIS2 (Article 21) et DORA (Article 9).

Quelle est la difference entre RBAC et ABAC ?

Le controle d'acces base sur les roles (RBAC) attribue des permissions en fonction de roles predefinis (par exemple, « Analyste financier » accede aux systemes financiers). Le controle d'acces base sur les attributs (ABAC) prend des decisions d'acces basees sur de multiples attributs (departement, localisation, conformite de l'appareil, heure, classification des donnees). Le RBAC est plus simple a mettre en oeuvre ; l'ABAC offre un controle plus fin et contextuel.

A quelle frequence les revues d'acces doivent-elles etre effectuees ?

Bonne pratique : revues d'acces trimestrielles pour tous les utilisateurs, revues mensuelles pour les comptes a privileges et revue immediate en cas de changement de role ou de depart. ISO 27001 exige une revue periodique des droits d'acces (A.5.18), SOC 2 exige une evaluation periodique (CC6.2) et DORA exige une revue reguliere des droits d'acces TIC (Article 9). Automatisez les revues dans la mesure du possible pour reduire l'effort manuel et garantir l'exhaustivite.

Quels referentiels de conformite exigent des controles IAM ?

Tous les referentiels majeurs exigent l'IAM : ISO 27001 (A.5.15-A.5.18, A.8.2-A.8.5 — Politiques de controle d'acces, gestion des acces utilisateurs, authentification), SOC 2 (CC6.1-CC6.3 — Controles d'acces logiques et physiques), NIS2 (Article 21(2)(d) — Politiques de controle d'acces), DORA (Article 9(4) — Gestion des identites, authentification, controle d'acces) et PCI DSS (Exigences 7-8 — Controle d'acces et authentification).

Qu'est-ce que la gouvernance et l'administration des identites (IGA) ?

L'IGA est le cadre de politiques et l'outillage qui gere le cycle de vie complet de l'identite : integration (provisionnement de l'acces base sur le role), maintien (revues d'acces, campagnes de certification, exploration des roles) et depart (deprovisionnement rapide de tous les acces). Les outils IGA automatisent les demandes d'acces, les approbations, les revues et les rapports de conformite, fournissant la piste d'audit exigee par les referentiels de conformite.

Gestion des identites et des acces (IAM) : le guide complet pour les equipes securite et conformite

Published 8 mars 2026

By Emre Salmanoglu

Gestion des identites et des acces (IAM) : le guide complet pour les equipes securite et conformite

Decouvrez comment mettre en oeuvre la gestion des identites et des acces conforme a ISO 27001, SOC 2, NIS2 et DORA. Couvre SSO, MFA, RBAC, ABAC, acces a privileges, gouvernance des identites et preuves d'audit.

IAM

gestion des identites

controle d'acces

MFA

conformite

Qu'est-ce que la gestion des identites et des acces ?

La gestion des identites et des acces (IAM) est la discipline qui garantit que les bonnes personnes ont le bon acces aux bonnes ressources pour les bonnes raisons. Elle englobe les politiques, processus et technologies qui gerent les identites numeriques et controlent l'acces aux systemes et donnees de l'organisation tout au long du cycle de vie de l'identite.

Un programme IAM mature va au-dela des simples comptes utilisateurs et mots de passe pour mettre en oeuvre une gouvernance centralisee des identites, une authentification basee sur les risques, une autorisation fine et une surveillance continue des acces.

Composants fondamentaux de l'IAM

Composant	Fonction	Valeur de conformite
Gestion du cycle de vie des identites	Provisionnement, modification et deprovisionnement des comptes	Preuves entrants/mutations/sortants
Authentification	Verifier l'identite de l'utilisateur (mots de passe, MFA, biometrie, certificats)	Preuves d'authentification forte
Authentification unique (SSO)	Une seule authentification donne acces a plusieurs applications	Controle d'acces centralise
Autorisation	Definir et appliquer ce que les utilisateurs authentifies peuvent acceder	Preuves du moindre privilege
Revues d'acces	Verification periodique que l'acces reste approprie	Preuves de recertification
Gestion des acces a privileges	Controler et surveiller les acces administratifs et eleves	Preuves d'acces a privileges
Services d'annuaire	Magasin central d'identites (Active Directory, Entra ID, Okta)	Source de verite des identites
Journalisation d'audit	Enregistrer tous les evenements d'authentification et d'acces	Preuves de piste d'audit

Methodes d'authentification

Methode	Niveau de securite	Experience utilisateur	Ideal pour
Mot de passe uniquement	Faible	Friction moderee	Systemes patrimoniaux (deconseille)
Mot de passe + SMS OTP	Moyen	Friction moderee	Conformite MFA de base
Mot de passe + application d'authentification	Eleve	Friction moderee	MFA standard
Mot de passe + jeton materiel (FIDO2)	Tres eleve	Faible friction apres configuration	Environnements haute securite
Sans mot de passe (FIDO2/passkeys)	Tres eleve	Faible friction	Applications modernes
Base sur les certificats	Tres eleve	Transparent apres configuration	Identites machine, VPN
Biometrique + liaison a l'appareil	Tres eleve	Faible friction	Mobile et acces a privileges

Modeles d'autorisation

Modele	Fonctionnement	Avantages	Inconvenients
RBAC	Acces base sur les roles attribues	Simple, auditable, bien compris	Explosion des roles dans les organisations complexes
ABAC	Acces base sur les attributs (utilisateur, ressource, contexte)	Granulaire, contextuel	Complexe a implementer et auditer
PBAC	Acces base sur des politiques combinant roles et attributs	Flexible, gere de maniere centralisee	Charge de gestion des politiques
ReBAC	Acces base sur les relations entre entites	Naturel pour les donnees hierarchiques	Plus recent, moins d'outillage
Juste-a-temps (JIT)	Acces eleve temporaire sur demande	Minimise les privileges permanents	Necessite des workflows d'approbation

Gestion du cycle de vie des identites

Phase	Activites	Controles cles
Entrant	Creer l'identite, attribuer l'acces base sur le role, provisionner les comptes	Provisionnement automatise depuis le systeme RH
Mutation	Mettre a jour l'acces lors d'un changement de role ou de departement	Declenchement de revue d'acces lors du changement de role
Sortant	Desactiver les comptes, revoquer tous les acces, recuperer les actifs	Deprovisionnement automatise sous 24 heures
Prestataire	Acces a duree limitee avec dates d'expiration	Expiration automatique, pas de comptes permanents
Compte de service	Identites non humaines pour la communication systeme a systeme	Attribution de proprietaire, rotation, surveillance

Bonnes pratiques des revues d'acces

Type de revue	Perimetre	Frequence	Reviseur
Revue d'acces utilisateur	Toutes les permissions utilisateurs sur les systemes	Trimestrielle	Managers
Revue d'acces a privileges	Comptes admin et eleves	Mensuelle	Equipe securite + proprietaires systeme
Revue des comptes de service	Comptes non humains et cles API	Trimestrielle	Proprietaires systeme
Revue des droits applicatifs	Permissions fines au sein des applications	Semestrielle	Proprietaires d'application
Audit des utilisateurs partis	Verifier que tous les acces sont supprimes pour les employes partis	Mensuelle	RH + IT

Exigences de conformite

Correspondance avec les referentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Politique de controle d'acces	A.5.15	CC6.1	Art. 21(2)(d)	Art. 9(4)(a)
Enregistrement/desenregistrement des utilisateurs	A.5.16	CC6.2	Art. 21(2)(d)	Art. 9(4)(a)
Provisionnement des droits d'acces	A.5.18	CC6.2	Art. 21(2)(d)	Art. 9(4)(a)
Revue des droits d'acces	A.5.18	CC6.2	Art. 21(2)(d)	Art. 9(4)(b)
Authentification multifacteur	A.8.5	CC6.1	Art. 21(2)(d)	Art. 9(4)(d)
Gestion des acces a privileges	A.8.2	CC6.1	Art. 21(2)(d)	Art. 9(4)(c)
Moindre privilege	A.8.2	CC6.1	Art. 21(2)(d)	Art. 9(4)(a)
Gestion de l'authentification	A.8.5	CC6.1	Art. 21(2)(d)	Art. 9(4)(d)

Preuves d'audit

Type de preuve	Description	Referentiel
Politique de controle d'acces	Politique documentee avec roles, responsabilites et procedures	Tous les referentiels
Enregistrements de provisionnement	Tickets/workflows montrant l'approbation et le provisionnement	ISO 27001, SOC 2
Rapports de revue d'acces	Revue trimestrielle completee avec decisions et actions	Tous les referentiels
Rapport de deploiement MFA	Couverture sur tous les utilisateurs et systemes	Tous les referentiels
Preuves de deprovisionnement	Revocation rapide des acces pour les employes partis	Tous les referentiels
Inventaire des comptes a privileges	Liste de tous les comptes admin avec justification	ISO 27001, SOC 2, DORA
Configuration SSO	Authentification centralisee pour toutes les applications	SOC 2
Politique de mots de passe	Politique documentee repondant aux exigences des referentiels	Tous les referentiels

Erreurs courantes

Erreur	Risque	Correction
Pas de deprovisionnement automatise	Les anciens employes conservent leurs acces	Integrer l'IAM au systeme RH pour un depart automatise
Comptes partages	Pas de responsabilite individuelle	Eliminer les comptes partages, utiliser des identites individuelles
Pas de MFA sur les systemes critiques	Compromission de compte par vol d'identifiants	Imposer le MFA partout, prioriser les acces a privileges
Accumulation d'acces obsoletes	Les utilisateurs accumulent des permissions inutiles	Mettre en place des revues d'acces trimestrielles avec remediation
Pas de gouvernance des comptes de service	Comptes de service orphelins avec des acces etendus	Attribuer des proprietaires, implementer la rotation, surveiller l'utilisation
Provisionnement manuel	Lent, sujet aux erreurs, pas de piste d'audit	Automatiser le provisionnement via la plateforme IAM
Authentification par mot de passe uniquement	Facilement compromis par le phishing	Deployer le sans mot de passe ou un MFA fort

Comment Orbiq accompagne la conformite IAM

Orbiq vous aide a demontrer vos controles de gestion des identites et des acces :

Collecte de preuves — Centralisez les rapports de revue d'acces, les preuves de deploiement MFA et les enregistrements de deprovisionnement
Surveillance continue — Suivez l'efficacite des controles IAM et les taux de conformite
Trust Center — Partagez votre posture IAM via votre Trust Center
Correspondance de conformite — Associez les controles IAM a ISO 27001, SOC 2, NIS2 et DORA
Preparation aux audits — Dossiers de preuves pre-elabores pour l'examen par les auditeurs

Pour aller plus loin

Controle d'acces — Modeles de controle d'acces detailles et mise en oeuvre
Architecture Zero Trust — Modele de securite centre sur l'identite
SIEM — Surveillance des evenements d'authentification et d'acces
Formation a la sensibilisation securite — Comportement des utilisateurs et hygiene des identifiants
Chiffrement — Protection des identifiants et des jetons
SMSI — L'IAM au sein du systeme de management de la securite de l'information