Qu'est-ce que la gestion des identites et des accès (IAM) ?

La gestion des identites et des accès (IAM) est l'ensemble des politiques, processus et technologies qui garantissent que les bonnes personnes ont un accès approprie aux bonnes ressources, au bon moment et pour les bonnes raisons. L'IAM couvre le cycle de vie complet de l'identite : provisionnement, authentification, autorisation, surveillance et deprovisionnement de l'accès utilisateur sur tous les systemes et applications.

Quelle est la difference entre authentification et autorisation ?

L'authentification vérifie qui vous etes (verification d'identite) — prouver votre identite a l'aide d'identifiants comme les mots de passe, les jetons MFA ou la biometrie. L'autorisation determine ce que vous pouvez faire (contrôle d'accès) — définir quelles ressources, actions et données une identite verifiee est autorisee a acceder. L'authentification vient toujours en premier ; l'autorisation suit.

Qu'est-ce que l'authentification unique (SSO) et pourquoi est-elle importante pour la sécurité ?

Le SSO permet aux utilisateurs de s'authentifier une seule fois et d'acceder a plusieurs applications sans ressaisir d'identifiants. Il ameliore la sécurité en réduisant la fatigue des mots de passe (moins de mots de passe signifie moins de mots de passe faibles ou reutilises), en permettant un contrôle et une surveillance centralises des accès, en simplifiant l'application du MFA sur toutes les applications, et en accelerant le deprovisionnement en desactivant un seul compte pour revoquer tous les accès.

Qu'est-ce que le principe du moindre privilege ?

Le principe du moindre privilege signifie n'accorder aux utilisateurs que les permissions d'accès minimales nécessaires a l'exercice de leurs fonctions — rien de plus. Cela réduit le rayon de l'impact des comptes compromis, limite l'impact des menaces internes et est explicitement exige par ISO 27001 (A.8.2), SOC 2 (CC6.1), NIS2 (Article 21) et DORA (Article 9).

Quelle est la difference entre RBAC et ABAC ?

Le contrôle d'accès base sur les roles (RBAC) attribue des permissions en fonction de roles predefinis (par exemple, « Analyste financier » accede aux systemes financiers). Le contrôle d'accès base sur les attributs (ABAC) prend des décisions d'accès basees sur de multiples attributs (departement, localisation, conformité de l'appareil, heure, classification des données). Le RBAC est plus simple a mettre en oeuvre ; l'ABAC offre un contrôle plus fin et contextuel.

A quelle frequence les revues d'accès doivent-elles etre effectuees ?

Bonne pratique : revues d'accès trimestrielles pour tous les utilisateurs, revues mensuelles pour les comptes a privileges et revue immediate en cas de changement de role ou de depart. ISO 27001 exige une revue periodique des droits d'accès (A.5.18), SOC 2 exige une évaluation periodique (CC6.2) et DORA exige une revue reguliere des droits d'accès TIC (Article 9). Automatisez les revues dans la mesure du possible pour réduire l'effort manuel et garantir l'exhaustivite.

Quels référentiels de conformité exigent des contrôles IAM ?

Tous les référentiels majeurs exigent l'IAM : ISO 27001 (A.5.15-A.5.18, A.8.2-A.8.5 — Politiques de contrôle d'accès, gestion des accès utilisateurs, authentification), SOC 2 (CC6.1-CC6.3 — Contrôles d'accès logiques et physiques), NIS2 (Article 21(2)(d) — Politiques de contrôle d'accès), DORA (Article 9(4) — Gestion des identites, authentification, contrôle d'accès) et PCI DSS (Exigences 7-8 — Contrôle d'accès et authentification).

Qu'est-ce que la gouvernance et l'administration des identites (IGA) ?

L'IGA est le cadre de politiques et l'outillage qui gere le cycle de vie complet de l'identite : integration (provisionnement de l'accès base sur le role), maintien (revues d'accès, campagnes de certification, exploration des roles) et depart (deprovisionnement rapide de tous les accès). Les outils IGA automatisent les demandes d'accès, les approbations, les revues et les rapports de conformité, fournissant la piste d'audit exigee par les référentiels de conformité.

Gestion des identites et des accès (IAM) : le guide complet pour les équipes sécurité et conformité

Published 8 mars 2026

By Emre Salmanoglu

Gestion des identites et des accès (IAM) : le guide complet pour les équipes sécurité et conformité

Decouvrez comment mettre en oeuvre la gestion des identites et des accès conforme a ISO 27001, SOC 2, NIS2 et DORA. Couvre SSO, MFA, RBAC, ABAC, accès a privileges, gouvernance des identites et preuves d'audit.

IAM

gestion des identites

contrôle d'accès

MFA

conformité

Qu'est-ce que la gestion des identites et des accès ?

La gestion des identites et des accès (IAM) est la discipline qui garantit que les bonnes personnes ont le bon accès aux bonnes ressources pour les bonnes raisons. Elle englobe les politiques, processus et technologies qui gerent les identites numeriques et controlent l'accès aux systemes et données de l'organisation tout au long du cycle de vie de l'identite.

Un programme IAM mature va au-dela des simples comptes utilisateurs et mots de passe pour mettre en oeuvre une gouvernance centralisee des identites, une authentification basee sur les risques, une autorisation fine et une surveillance continue des accès.

Composants fondamentaux de l'IAM

Composant	Fonction	Valeur de conformité
Gestion du cycle de vie des identites	Provisionnement, modification et deprovisionnement des comptes	Preuves entrants/mutations/sortants
Authentification	Verifier l'identite de l'utilisateur (mots de passe, MFA, biometrie, certificats)	Preuves d'authentification forte
Authentification unique (SSO)	Une seule authentification donne accès a plusieurs applications	Contrôle d'accès centralise
Autorisation	Definir et appliquer ce que les utilisateurs authentifies peuvent acceder	Preuves du moindre privilege
Revues d'accès	Verification periodique que l'accès reste approprie	Preuves de recertification
Gestion des accès a privileges	Controler et surveiller les accès administratifs et eleves	Preuves d'accès a privileges
Services d'annuaire	Magasin central d'identites (Active Directory, Entra ID, Okta)	Source de verite des identites
Journalisation d'audit	Enregistrer tous les événements d'authentification et d'accès	Preuves de piste d'audit

Methodes d'authentification

Methode	Niveau de sécurité	Experience utilisateur	Ideal pour
Mot de passe uniquement	Faible	Friction moderee	Systemes patrimoniaux (deconseille)
Mot de passe + SMS OTP	Moyen	Friction moderee	Conformité MFA de base
Mot de passe + application d'authentification	Eleve	Friction moderee	MFA standard
Mot de passe + jeton materiel (FIDO2)	Tres eleve	Faible friction apres configuration	Environnements haute sécurité
Sans mot de passe (FIDO2/passkeys)	Tres eleve	Faible friction	Applications modernes
Base sur les certificats	Tres eleve	Transparent apres configuration	Identites machine, VPN
Biometrique + liaison a l'appareil	Tres eleve	Faible friction	Mobile et accès a privileges

Modeles d'autorisation

Modèle	Fonctionnement	Avantages	Inconvenients
RBAC	Accès base sur les roles attribues	Simple, auditable, bien compris	Explosion des roles dans les organisations complexes
ABAC	Accès base sur les attributs (utilisateur, ressource, contexte)	Granulaire, contextuel	Complexe a implementer et auditer
PBAC	Accès base sur des politiques combinant roles et attributs	Flexible, gere de manière centralisee	Charge de gestion des politiques
ReBAC	Accès base sur les relations entre entites	Naturel pour les données hierarchiques	Plus recent, moins d'outillage
Juste-a-temps (JIT)	Accès eleve temporaire sur demande	Minimise les privileges permanents	Necessite des workflows d'approbation

Gestion du cycle de vie des identites

Phase	Activites	Contrôles cles
Entrant	Creer l'identite, attribuer l'accès base sur le role, provisionner les comptes	Provisionnement automatise depuis le systeme RH
Mutation	Mettre à jour l'accès lors d'un changement de role ou de departement	Declenchement de revue d'accès lors du changement de role
Sortant	Desactiver les comptes, revoquer tous les accès, recuperer les actifs	Deprovisionnement automatise sous 24 heures
Prestataire	Accès a duree limitee avec dates d'expiration	Expiration automatique, pas de comptes permanents
Compte de service	Identites non humaines pour la communication systeme a systeme	Attribution de proprietaire, rotation, surveillance

Bonnes pratiques des revues d'accès

Type de revue	Perimetre	Frequence	Reviseur
Revue d'accès utilisateur	Toutes les permissions utilisateurs sur les systemes	Trimestrielle	Managers
Revue d'accès a privileges	Comptes admin et eleves	Mensuelle	Équipe sécurité + proprietaires systeme
Revue des comptes de service	Comptes non humains et cles API	Trimestrielle	Proprietaires systeme
Revue des droits applicatifs	Permissions fines au sein des applications	Semestrielle	Proprietaires d'application
Audit des utilisateurs partis	Verifier que tous les accès sont supprimes pour les employes partis	Mensuelle	RH + IT

Exigences de conformité

Correspondance avec les référentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Politique de contrôle d'accès	A.5.15	CC6.1	Art. 21(2)(d)	Art. 9(4)(a)
Enregistrement/desenregistrement des utilisateurs	A.5.16	CC6.2	Art. 21(2)(d)	Art. 9(4)(a)
Provisionnement des droits d'accès	A.5.18	CC6.2	Art. 21(2)(d)	Art. 9(4)(a)
Revue des droits d'accès	A.5.18	CC6.2	Art. 21(2)(d)	Art. 9(4)(b)
Authentification multifacteur	A.8.5	CC6.1	Art. 21(2)(d)	Art. 9(4)(d)
Gestion des accès a privileges	A.8.2	CC6.1	Art. 21(2)(d)	Art. 9(4)(c)
Moindre privilege	A.8.2	CC6.1	Art. 21(2)(d)	Art. 9(4)(a)
Gestion de l'authentification	A.8.5	CC6.1	Art. 21(2)(d)	Art. 9(4)(d)

Preuves d'audit

Type de preuve	Description	Referentiel
Politique de contrôle d'accès	Politique documentee avec roles, responsabilites et procedures	Tous les référentiels
Enregistrements de provisionnement	Tickets/workflows montrant l'approbation et le provisionnement	ISO 27001, SOC 2
Rapports de revue d'accès	Revue trimestrielle completee avec décisions et actions	Tous les référentiels
Rapport de deploiement MFA	Couverture sur tous les utilisateurs et systemes	Tous les référentiels
Preuves de deprovisionnement	Revocation rapide des accès pour les employes partis	Tous les référentiels
Inventaire des comptes a privileges	Liste de tous les comptes admin avec justification	ISO 27001, SOC 2, DORA
Configuration SSO	Authentification centralisee pour toutes les applications	SOC 2
Politique de mots de passe	Politique documentee repondant aux exigences des référentiels	Tous les référentiels

Erreurs courantes

Erreur	Risque	Correction
Pas de deprovisionnement automatise	Les anciens employes conservent leurs accès	Integrer l'IAM au systeme RH pour un depart automatise
Comptes partages	Pas de responsabilite individuelle	Eliminer les comptes partages, utiliser des identites individuelles
Pas de MFA sur les systemes critiques	Compromission de compte par vol d'identifiants	Imposer le MFA partout, prioriser les accès a privileges
Accumulation d'accès obsoletes	Les utilisateurs accumulent des permissions inutiles	Mettre en place des revues d'accès trimestrielles avec remediation
Pas de gouvernance des comptes de service	Comptes de service orphelins avec des accès etendus	Attribuer des proprietaires, implementer la rotation, surveiller l'utilisation
Provisionnement manuel	Lent, sujet aux erreurs, pas de piste d'audit	Automatiser le provisionnement via la plateforme IAM
Authentification par mot de passe uniquement	Facilement compromis par le phishing	Deployer le sans mot de passe ou un MFA fort

Comment Orbiq accompagne la conformité IAM

Orbiq vous aide a demontrer vos contrôles de gestion des identites et des accès :

Collecte de preuves — Centralisez les rapports de revue d'accès, les preuves de deploiement MFA et les enregistrements de deprovisionnement
Surveillance continue — Suivez l'efficacite des contrôles IAM et les taux de conformité
Trust Center — Partagez votre posture IAM via votre Trust Center
Correspondance de conformité — Associez les contrôles IAM a ISO 27001, SOC 2, NIS2 et DORA
Preparation aux audits — Dossiers de preuves pre-elabores pour l'examen par les auditeurs

Pour aller plus loin

Contrôle d'accès — Modeles de contrôle d'accès detailles et mise en oeuvre
Architecture Zero Trust — Modèle de sécurité centre sur l'identite
SIEM — Surveillance des événements d'authentification et d'accès
Formation a la sensibilisation sécurité — Comportement des utilisateurs et hygiene des identifiants
Chiffrement — Protection des identifiants et des jetons
SMSI — L'IAM au sein du systeme de management de la sécurité de l'information