L'identité est devenue le nouveau périmètre de sécurité. Lorsque les applications vivent dans le cloud, que les salariés travaillent depuis leur domicile et que les prestataires accèdent à des systèmes internes, le pare-feu d'entreprise cesse d'être la frontière qui protège l'organisation. Ce qui protège réellement, c'est la réponse correcte à deux questions : qui êtes-vous ? (authentification) et qu'avez-vous le droit de faire ? (autorisation). La gestion des identités et des accès, connue sous son sigle anglais IAM (Identity and Access Management), est la discipline qui répond à ces deux questions de manière systématique, auditable et reproductible.
Cet article parcourt les composants techniques de l'IAM moderne, les protocoles standards qui le soutiennent, la réglementation applicable en Espagne et dans l'Union européenne, ainsi que les étapes concrètes pour déployer une authentification robuste sans entraver l'expérience utilisateur.
Qu'est-ce que l'IAM et pourquoi le périmètre ne suffit-il plus
L'IAM est l'ensemble des politiques, processus et technologies qui garantit que les personnes et les services appropriés accèdent aux ressources appropriées, au moment approprié et pour les motifs appropriés. Il comprend quatre fonctions essentielles : l'authentification (vérifier l'identité), l'autorisation (décider ce que cette identité peut faire), l'administration (création, suppression et modification des comptes tout au long de leur cycle de vie) et l'audit (journalisation de qui a accédé à quoi et quand).
Le modèle de sécurité dominant en 2026 est le Zero Trust (« confiance zéro »), formalisé par le NIST dans la publication spéciale SP 800-207. Son principe directeur est « ne jamais faire confiance, toujours vérifier » : aucune requête n'est considérée comme fiable du seul fait qu'elle provient du réseau interne. Chaque accès est évalué en continu en fonction de l'identité, de l'état de l'appareil, de la localisation et du contexte. L'IAM est le moteur qui rend le Zero Trust opérationnel, car toute décision d'accès part d'une identité vérifiée.
Authentification : mots de passe, MFA et la voie vers le passwordless
Le mot de passe, à lui seul, est un facteur faible. Selon les rapports annuels sur les violations de sécurité, les identifiants volés ou réutilisés restent le vecteur d'intrusion le plus courant. L'authentification multifacteur (MFA) atténue ce risque en exigeant deux facteurs ou plus de catégories différentes : quelque chose que vous savez (mot de passe, code PIN), quelque chose que vous possédez (un téléphone, une clé physique) et quelque chose que vous êtes (empreinte digitale, visage).
Tous les seconds facteurs n'offrent pas la même protection. L'envoi de codes par SMS est vulnérable à l'échange frauduleux de carte SIM (SIM swapping) et à l'interception du réseau SS7 ; les directives du NIST SP 800-63B déconseillent le SMS comme facteur à haut niveau de garantie. Les applications de codes temporaires (TOTP, fondées sur la norme RFC 6238) sont nettement plus sûres. Le niveau le plus élevé actuellement est apporté par les clés de sécurité FIDO2/WebAuthn, résistantes à l'hameçonnage car l'identifiant cryptographique est lié au domaine légitime et ne quitte jamais l'appareil.
L'horizon est l'authentification passwordless (sans mot de passe) au moyen de passkeys, des clés d'accès fondées sur la cryptographie asymétrique qui remplacent intégralement le mot de passe. L'utilisateur s'authentifie avec la biométrie ou le code PIN de son appareil, et celui-ci signe un défi cryptographique. Il n'y a aucun secret partagé à dérober, si bien que l'hameçonnage traditionnel cesse de fonctionner.
SSO et fédération : SAML, OAuth 2.0 et OpenID Connect
L'authentification unique (SSO, Single Sign-On) permet à un utilisateur de s'authentifier une seule fois puis d'accéder à plusieurs applications sans ressaisir ses identifiants. Cela réduit la fatigue liée aux mots de passe, diminue les tickets de support et centralise le contrôle des accès. Trois protocoles soutiennent le SSO moderne :
| Protocole | Fonction principale | Format | Cas d'usage typique |
|---|---|---|---|
| SAML 2.0 | Authentification et SSO d'entreprise | XML | Applications d'entreprise, SSO B2B |
| OAuth 2.0 | Autorisation déléguée (accès aux ressources) | Jetons JSON/JWT | API, accès de tiers aux données |
| OpenID Connect | Authentification au-dessus d'OAuth 2.0 | JWT (ID Token) | Connexion sociale, applis web et mobiles |
Il convient de ne pas les confondre : OAuth 2.0 est un cadre d'autorisation, et non d'authentification ; il résout la manière dont une application obtient la permission d'accéder à des ressources au nom de l'utilisateur. OpenID Connect (OIDC) ajoute une couche d'identité au-dessus d'OAuth 2.0 et émet un jeton d'identité (ID Token) signé qui, lui, prouve qui est l'utilisateur. SAML demeure le cheval de bataille du SSO d'entreprise classique, en particulier dans les intégrations avec des fournisseurs d'identité bien établis.
Autorisation : du RBAC à l'ABAC et le principe du moindre privilège
Une fois l'identité vérifiée, il faut décider de ce qu'elle peut faire. Le contrôle d'accès basé sur les rôles (RBAC) regroupe les permissions en rôles (par exemple « comptabilité », « administrateur systèmes ») et attribue des rôles aux utilisateurs. Il est simple à gouverner et suffisant pour la plupart des organisations. Le contrôle d'accès basé sur les attributs (ABAC) est plus granulaire : les décisions dépendent d'attributs de l'utilisateur, de la ressource et du contexte (service, heure, localisation, sensibilité de la donnée), et s'expriment sous forme de politiques évaluables en temps réel.
Au-dessus de l'un ou l'autre de ces modèles règne le principe du moindre privilège : chaque identité ne reçoit que les permissions strictement indispensables à sa fonction, et rien de plus. Son complément opérationnel est l'accès just-in-time, qui accorde des privilèges élevés de manière temporaire et les révoque automatiquement, réduisant ainsi la surface d'attaque des comptes à privilèges.
Cycle de vie de l'identité et provisionnement
Une identité naît lorsque quelqu'un est recruté, change lorsqu'il évolue de poste et doit disparaître le jour de son départ. Le provisionnement automatisé au moyen de la norme SCIM (System for Cross-domain Identity Management) synchronise les créations, les suppressions et les modifications entre l'annuaire d'entreprise et les applications SaaS. Le plus grand risque ici est le deprovisioning tardif : des comptes d'anciens salariés qui restent actifs des semaines après le départ. Une gouvernance des identités mature exécute des revues d'accès périodiques et désactive les comptes orphelins de manière systématique.
Cadre réglementaire : RGPD, NIS2 et schémas de certification
Le Règlement général sur la protection des données (RGPD) impose d'appliquer des mesures techniques appropriées pour garantir la sécurité du traitement (article 32), parmi lesquelles le contrôle des accès et la traçabilité sont des pièces centrales. En Espagne, l'Agence espagnole de protection des données (AEPD) oriente sur la mise en œuvre de ces mesures. La Directive NIS2, transposée dans l'ordre juridique des États membres, renforce les obligations de cybersécurité pour les secteurs essentiels et importants et inclut expressément le contrôle des accès et l'authentification multifacteur parmi les mesures exigibles. Au niveau de la gestion, la norme ISO/IEC 27001 et son catalogue de contrôles ISO/IEC 27002 détaillent les exigences de gestion des identités, d'authentification et de revue des accès au sein d'un système de management de la sécurité de l'information.
Gestion des accès à privilèges (PAM)
Toutes les identités ne se valent pas. Les comptes à privilèges — administrateurs systèmes, de bases de données, de domaine — concentrent un pouvoir disproportionné et constituent la cible de prédilection de tout attaquant : compromettre l'un d'eux revient souvent à compromettre l'organisation tout entière. La gestion des accès à privilèges (PAM, Privileged Access Management) est la discipline spécifique qui protège ces comptes au moyen de coffres-forts d'identifiants qui font tourner les mots de passe automatiquement, de sessions supervisées et enregistrées, et d'une élévation de privilèges just-in-time qui accorde les permissions pendant une fenêtre limitée et les révoque à la fin.
Le principe qui soutient le PAM est que personne ne devrait disposer d'un accès administratif permanent « au cas où ». Chaque usage d'un privilège élevé laisse une trace auditable, se justifie par un motif et expire de lui-même. Combiné à la MFA et à la journalisation centralisée des événements, le PAM comble l'une des brèches les plus exploitées dans les incidents de sécurité graves : les identifiants d'administration oubliés, partagés ou jamais renouvelés.
Erreurs courantes qui compromettent un déploiement IAM
- MFA par SMS comme unique renfort : mieux que rien, mais vulnérable ; privilégier TOTP ou FIDO2.
- Comptes de service aux permissions excessives : des identifiants non renouvelés et dotés de privilèges d'administrateur constituent une cible prioritaire pour les attaquants.
- Ne pas révoquer les accès au moment du départ : source fréquente d'incidents ; automatiser le deprovisioning.
- Autoriser des exceptions MFA « temporaires » qui deviennent permanentes.
- Ne pas journaliser ni examiner les événements d'authentification, ce qui empêche de détecter les accès anormaux.
Foire aux questions
MFA et 2FA sont-ils la même chose ? La vérification en deux étapes (2FA) est un cas particulier de MFA avec exactement deux facteurs. MFA est le terme générique pour deux facteurs ou plus.
Le SSO n'augmente-t-il pas le risque en concentrant l'accès sur un seul identifiant ? Le SSO concentre le point d'authentification, c'est pourquoi il doit être protégé par une MFA robuste. En contrepartie, il élimine la prolifération de mots de passe faibles et réutilisés, qui constitue un risque bien plus grand en pratique.
Les passkeys éliminent-elles le besoin de MFA ? Une passkey combine en un seul geste la possession (l'appareil) et l'inhérence ou la connaissance (biométrie ou code PIN) ; elle constitue donc déjà une authentification forte résistante à l'hameçonnage, et n'exige pas de second facteur supplémentaire.
Par où commencer si je n'ai pas d'IAM ? En activant la MFA sur les comptes à privilèges et d'administration, en inventoriant les identités existantes et en supprimant les comptes orphelins. C'est le changement au plus fort impact pour le moindre coût.
Conclusion
La sécurité des identités n'est pas un produit que l'on achète une fois, mais une pratique continue de vérification. L'organisation qui adopte une MFA résistante à l'hameçonnage, centralise l'accès avec le SSO sur des protocoles standards, applique le moindre privilège au moyen du RBAC ou de l'ABAC et automatise le cycle de vie des comptes élimine d'un seul coup les vecteurs d'intrusion les plus exploités : identifiants volés, comptes orphelins et privilèges oubliés. La destination est un environnement passwordless gouverné par le Zero Trust, où chaque accès est évalué selon son contexte et où voler un mot de passe n'a plus de sens parce qu'il n'y a plus de mots de passe à voler. Chez Summum Sistemas, nous concevons des architectures IAM qui avancent vers cette destination sans sacrifier la productivité des équipes.