Aller au contenu

Gestion des identités et des accès

De Competences-metiers wiki
Version datée du 5 juin 2026 à 03:14 par Kecvn (discussion | contributions) (Publication via Quaero Hub)
(diff) ← Version précédente | Version actuelle (diff) | Version suivante → (diff)

La gestion des identités et des accès (anglais : Identity and Access Management, abrégé IAM) est l'ensemble des processus, politiques et technologies permettant à une organisation de contrôler l'identité numérique de ses utilisateurs et de réguler leur accès aux ressources informatiques. Elle constitue un pilier fondamental de la cybersécurité moderne, garantissant que chaque utilisateur, service ou appareil dispose uniquement des droits nécessaires à ses fonctions. Apparue dans les années 1990 avec l'essor des annuaires d'entreprise, l'IAM a évolué en réponse à la généralisation du cloud computing, de la mobilité et des architectures distribuées.

Définition et périmètre

L'IAM recouvre quatre fonctions complémentaires. La gestion des identités consiste à créer, modifier et supprimer les comptes numériques tout au long de leur cycle de vie, selon les processus de provisioning et deprovisioning. La gestion des accès définit et applique les règles déterminant quelles ressources sont accessibles, à qui, dans quelles conditions et depuis quels équipements. La gouvernance des identités (Identity Governance and Administration, IGA) assure la revue périodique des habilitations et la conformité réglementaire. La gestion des accès privilégiés (Privileged Access Management, PAM) traite spécifiquement les comptes administrateurs et les droits élevés, qui représentent des cibles prioritaires pour les attaquants.

Selon le Verizon Data Breach Investigations Report 2023, 74 % des violations de données impliquaient un facteur humain ou une compromission d'identifiants (credentials), soulignant le rôle central de l'IAM dans la réduction de la surface d'attaque des organisations.

Composants techniques

Annuaires et référentiels d'identités

Le référentiel d'identités centralise les attributs de chaque utilisateur : nom, rôles, appartenance à des groupes, adresse de messagerie, attributs organisationnels. Deux technologies sont dominantes : l'Annuaire LDAP (Lightweight Directory Access Protocol, RFC 4511) comme OpenLDAP, et Active Directory, le service d'annuaire de Microsoft présent dans plus de 90 % des grandes entreprises selon Gartner. L'annuaire constitue la source de vérité (source of truth) à partir de laquelle les droits sont propagés vers les applications.

Le protocole SCIM (System for Cross-domain Identity Management, RFC 7644) standardise la synchronisation des identités entre systèmes hétérogènes, en particulier dans les environnements multi-cloud.

Fédération d'identités et protocoles

La fédération d'identités permet à un utilisateur authentifié dans un domaine de confiance d'accéder aux ressources d'un autre domaine sans authentification supplémentaire. Les protocoles utilisés sont :

  • SAML 2.0 (Security Assertion Markup Language, standard OASIS 2005) : échange d'assertions XML d'authentification et d'autorisation, largement adopté dans les environnements d'entreprise ;
  • OAuth 2.0 (RFC 6749, 2012) associé à OpenID Connect (OIDC, 2014) : protocoles orientés API pour l'autorisation déléguée et l'authentification dans les applications web et mobiles ;
  • WS-Federation : protocole de fédération Microsoft principalement utilisé dans les environnements Active Directory.

Authentification unique

L'Authentification unique (Single Sign-On, SSO) permet à un utilisateur de s'authentifier une seule fois pour accéder à l'ensemble des applications auxquelles il est habilité. Elle repose sur un fournisseur d'identité (Identity Provider, IdP) qui émet des jetons d'authentification validés par les fournisseurs de services (Service Providers). Des solutions comme Okta, Microsoft Entra ID (anciennement Azure Active Directory) et Ping Identity s'appuient sur cette architecture.

Méthodes d'authentification

L'authentification vérifie l'identité d'un utilisateur en combinant un ou plusieurs facteurs :

  • Connaissance : mot de passe, code PIN ;
  • Possession : code TOTP (Time-based One-Time Password, RFC 6238), clé de sécurité matérielle (YubiKey, Titan Key) conforme FIDO2/WebAuthn ;
  • Inhérence : biométrie — empreinte digitale, reconnaissance faciale, iris.

L'authentification multifacteur (MFA) combine au moins deux de ces facteurs. Le NIST, dans sa publication SP 800-63B (2017, révisée en 2024), classe les mécanismes d'authentification en trois niveaux d'assurance (AAL1 à AAL3). L'authentification sans mot de passe (passwordless) représente la trajectoire actuelle du secteur : elle s'appuie sur FIDO2 et WebAuthn pour substituer les mots de passe par des clés cryptographiques stockées sur l'appareil ou sur une clé de sécurité matérielle.

Modèles de contrôle d'accès

Plusieurs modèles formalisent la manière dont les droits sont attribués et vérifiés :

Modèle Sigle Principe Usage typique
Contrôle d'accès discrétionnaire DAC Le propriétaire de la ressource définit les droits Systèmes de fichiers Unix/Windows
Contrôle d'accès obligatoire MAC Des étiquettes de classification gouvernent l'accès Systèmes militaires, SELinux
Contrôle d'accès basé sur les rôles RBAC Les droits sont associés à des rôles métier ERP, messagerie d'entreprise
Contrôle d'accès basé sur les attributs ABAC Des politiques évaluent des attributs contextuels Cloud computing, API dynamiques
Accès réseau Zero Trust ZTNA Aucune confiance implicite, vérification systématique Accès distants, architectures SD-WAN

Le modèle Zero Trust, formalisé par Forrester Research en 2010 et précisé par le NIST SP 800-207 (2020), repose sur le principe « ne jamais faire confiance, toujours vérifier » (never trust, always verify). Il implique une vérification continue de l'identité, de l'appareil et du contexte de connexion, indépendamment de la localisation réseau de l'utilisateur.

Gouvernance des identités et conformité

La gouvernance des identités assure la traçabilité des habilitations et leur alignement sur les exigences réglementaires. Les campagnes de revue des droits (access certification) sollicitent périodiquement les responsables métier pour valider ou révoquer les accès existants, permettant de détecter les accès orphelins ou excessifs.

Plusieurs textes encadrent directement l'IAM :

  • Le RGPD (Règlement (UE) 2016/679) impose, en son article 32, des mesures techniques garantissant que seules les personnes autorisées accèdent aux données personnelles ;
  • La directive NIS2 (2022/2555), dont la transposition dans les États membres était attendue pour octobre 2024, impose la gestion des comptes à privilèges et l'authentification multifacteur aux entités essentielles et importantes ;
  • ISO/IEC 27001 (révision 2022) intègre l'IAM via les contrôles A.5.15 (contrôle d'accès), A.5.16 (gestion des identités) et A.8.2 (droits d'accès privilégiés) ;
  • PCI DSS v4.0 (mars 2022) impose le MFA pour tout accès aux environnements de données de porteurs de carte (exigences 8.4 et 8.5).

L'ANSSI a publié en 2023 un guide de recommandations sur la gestion des comptes à privilèges, précisant les architectures et contrôles attendus dans les organisations soumises à la réglementation française. L'ISO/IEC 27017 complète ces exigences pour les services cloud, en précisant la répartition des responsabilités IAM entre fournisseur et client.

Gestion des accès privilégiés (PAM)

Les comptes à privilèges — administrateurs systèmes, comptes de service, accès root ou domain admin — représentent des cibles prioritaires. Les mécanismes PAM comprennent :

  • Coffre-fort de mots de passe (password vault) : stockage chiffré avec rotation automatique des identifiants ;
  • Enregistrement de sessions (session recording) : capture des actions réalisées lors des sessions administrateurs, à des fins d'audit et de forensique ;
  • Just-in-Time access (JIT) : attribution temporaire de droits élevés pour une durée et un périmètre stricts, sans permanence ;
  • Principe du moindre privilège (least privilege) : restriction des droits au strict nécessaire selon la mission de l'utilisateur ou du processus.

Des solutions spécialisées — CyberArk, BeyondTrust, Delinea (anciennement Thycotic et Centrify) — couvrent ces besoins dans les grandes organisations.

Menaces et vecteurs d'attaque

L'IAM est exposée à des vecteurs d'attaque documentés :

  • Le hameçonnage (phishing) vise à dérober des identifiants ; le Verizon DBIR 2023 attribue 36 % des violations à cette technique ;
  • Le SIM swapping contourne l'authentification par SMS en détournant un numéro de téléphone auprès de l'opérateur mobile ;
  • Le credential stuffing exploite des bases de données d'identifiants compromis pour tester des combinaisons sur d'autres services, avec des taux de succès compris entre 0,1 et 2 % selon les analyses sectorielles ;
  • Les attaques pass-the-hash et pass-the-ticket ciblent les environnements Active Directory pour élever les privilèges latéralement sans connaître le mot de passe en clair ;
  • Le détournement de jetons (token hijacking) exploite des failles de configuration dans les flux OAuth 2.0.

La détection de ces comportements repose sur les SIEM et les SOC, qui corrèlent les événements d'authentification et d'autorisation pour identifier les anomalies comportementales. Un audit de cybersécurité ou un test d'intrusion ciblant l'IAM permet d'évaluer périodiquement l'exposition réelle de l'organisation.

Déploiements cloud et architectures hybrides

Avec la généralisation du cloud, l'IAM doit couvrir des environnements hétérogènes combinant infrastructure on-premises, SaaS, IaaS et PaaS. Le modèle de responsabilité partagée précise que les fournisseurs cloud (AWS, Azure, GCP) sécurisent l'infrastructure physique, tandis que le client reste responsable de la gestion des identités, des rôles et des politiques d'accès.

Les solutions Identity-as-a-Service (IDaaS) — Okta, Microsoft Entra ID, Google Cloud Identity — externalisent la couche IAM en SaaS. Selon Gartner, 80 % des nouvelles implémentations IAM en entreprise passaient par une solution IDaaS en 2024. La fédération via SAML 2.0 ou OpenID Connect connecte les annuaires d'entreprise aux applications cloud. L'utilisation d'un VPN combiné à l'IAM reste courante pour les accès distants, bien que l'approche ZTNA tende à le supplanter dans les déploiements Zero Trust.

Cycle de vie des identités

Le cycle de vie d'une identité numérique suit un modèle structuré en quatre phases :

  1. Création (joiners) : ouverture et provisionnement du compte lors de l'arrivée d'un collaborateur, d'un prestataire ou d'un système ;
  2. Modification (movers) : adaptation des droits lors d'un changement de poste, de service ou de périmètre de responsabilité ;
  3. Suppression (leavers) : révocation et clôture du compte lors d'un départ ou d'une fin de contrat, avec suppression des accès dormants ;
  4. Revue périodique : audit des habilitations actives pour détecter les accès orphelins, excessifs ou non conformes.

Ce modèle joiner-mover-leaver est généralement automatisé via des connecteurs entre le SIRH (Système d'Information des Ressources Humaines) et la solution IAM, déclenchant les actions de provisionnement sans intervention manuelle.

Métiers et certifications

La gestion des identités et des accès constitue une spécialité au sein des métiers de la cybersécurité. Les rôles associés comprennent l'ingénieur IAM, l'architecte IAM, l'administrateur d'annuaires et le RSSI, qui supervise la politique globale d'accès de l'organisation.

Les certifications professionnelles reconnues dans le domaine incluent :

  • CISSP (Certified Information Systems Security Professional, ISC²) : certification généraliste dont le domaine 5 est entièrement dédié à l'Identity and Access Management ;
  • Microsoft Certified : Identity and Access Administrator Associate (examen SC-300) ;
  • Okta Certified Professional et Okta Certified Administrator ;
  • SailPoint Certified IdentityNow Engineer pour les plateformes IGA.

Des ressources méthodologiques sont publiées par l'OWASP (Authentication Cheat Sheet, Session Management Cheat Sheet), le NIST Cybersecurity Framework (catégorie PR.AC — contrôle des accès et des identités) et l'ENISA (recommandations sur l'IAM en environnements cloud).

Tendances

L'intelligence artificielle est progressivement intégrée aux solutions IAM pour l'analyse comportementale (User and Entity Behavior Analytics, UEBA) : détection d'anomalies de connexion, scoring de risque en temps réel, recommandations de révocation automatique. Des plateformes comme Microsoft Sentinel et Splunk UBA intègrent ces capacités depuis 2021.

L'identité décentralisée (Decentralized Identity, DID), spécification W3C publiée en 2022, et les Verifiable Credentials proposent un paradigme où l'utilisateur contrôle directement ses attributs d'identité sans dépendance à un fournisseur centralisé, ouvrant la voie à l'identité souveraine (Self-Sovereign Identity, SSI).

Le Cyber Resilience Act (règlement (UE) 2024/2847) impose des exigences de cybersécurité aux fabricants de produits numériques, incluant la gestion sécurisée des authentifiants d'administration par défaut, ce qui étend le périmètre de l'IAM aux objets connectés (IoT).

Voir aussi

Récupérée de "https://competences-metier.fr/wiki/index.php?title=Gestion_des_identités_et_des_accès&oldid=240"