Comment fonctionne l’IAM
L’IAM couvre le cycle de vie complet d’une identité numérique, de la création du compte jusqu’à sa suppression. Chaque étape répond à un besoin de sécurité précis.
Le cycle de vie de l’identité
Création (provisioning). Quand un employé rejoint l’entreprise, l’IAM crée automatiquement ses comptes sur les différents systèmes (messagerie, CRM, ERP, outils métier) et lui attribue les droits correspondant à son poste. Sans IAM, cette création se fait manuellement, avec des demandes par email au service IT, des délais de plusieurs jours, et des erreurs — comme donner à un commercial les mêmes droits qu’un administrateur système “parce que c’est plus simple”.
Mise à jour. Quand un employé change de poste ou de département, ses droits doivent évoluer. L’IAM ajuste les accès : ajout des nouveaux droits nécessaires, retrait des anciens. Ce point est souvent négligé. Dans beaucoup d’entreprises, les droits s’accumulent au fil des mutations sans que les anciens soient révoqués. Un chef de projet passé par la comptabilité, le marketing et la production finit avec les accès de ces trois départements.
Suppression (deprovisioning). Quand un employé quitte l’entreprise, tous ses accès doivent être coupés immédiatement. Selon une étude Osterman Research pour Intermedia, 89 % des anciens employés conservent l’accès à au moins une application professionnelle après leur départ. Ces comptes orphelins sont des cibles de choix pour le credential stuffing.
Authentification : prouver qui on est
L’authentification est le processus qui vérifie l’identité d’un utilisateur avant de lui accorder l’accès. L’IAM centralise cette vérification et définit le niveau de preuve requis :
- Mot de passe seul : le niveau le plus faible. Un mot de passe volé par phishing donne un accès direct.
- MFA (authentification multifacteur) : exige un second facteur (application d’authentification, clé physique, biométrie) en plus du mot de passe. Selon Microsoft, le MFA bloque 99,9 % des attaques automatisées sur les comptes.
- SSO (Single Sign-On) : l’utilisateur s’authentifie une seule fois auprès du fournisseur d’identité (Azure AD, Google, Okta) et accède à toutes les applications connectées. Moins de mots de passe signifie moins de réutilisation et moins de vecteurs de phishing.
- Authentification adaptative : le niveau de vérification s’ajuste au contexte. Connexion depuis le bureau sur un poste connu ? Mot de passe + MFA suffit. Connexion depuis un pays étranger à 3h du matin ? Vérification renforcée, voire blocage et alerte.
Autorisation : contrôler qui accède à quoi
Une fois l’identité vérifiée, l’IAM détermine les ressources accessibles. Deux modèles principaux existent :
RBAC (Role-Based Access Control). Les droits sont attribués par rôle, pas par individu. Le rôle “commercial” donne accès au CRM, à la base prospects et à l’outil de devis. Le rôle “développeur” donne accès au dépôt de code et aux serveurs de test. Quand un employé change de poste, on change son rôle plutôt que de modifier ses droits un par un.
ABAC (Attribute-Based Access Control). Les droits dépendent d’attributs dynamiques : département, localisation, heure de connexion, type d’appareil. Plus granulaire que le RBAC, mais plus complexe à gérer. Exemple : un responsable RH peut consulter les dossiers de son site uniquement pendant les heures ouvrées et depuis un poste géré par l’entreprise.
Audit : tracer ce qui se passe
L’IAM enregistre chaque action liée aux accès : qui s’est connecté, quand, depuis où, à quelle ressource, et ce qu’il a fait. Ces journaux alimentent le SOC et le SIEM pour détecter les comportements anormaux.
Un compte qui télécharge 500 fichiers du SharePoint à 2h du matin, ou qui tente d’accéder à une base de données RH sans raison métier — ces anomalies ne sont détectables que si l’IAM enregistre les accès et qu’un système les analyse.
Les composants d’un IAM
SSO (Single Sign-On)
Le SSO permet à un utilisateur de se connecter une seule fois pour accéder à l’ensemble de ses applications. Au lieu de jongler entre 10 mots de passe (messagerie, CRM, ERP, outil de ticketing, plateforme de visioconférence…), l’employé s’authentifie auprès du fournisseur d’identité et circule librement entre les applications autorisées.
Les bénéfices sont directs :
- Moins de mots de passe = moins de réutilisation = moins de surface d’attaque pour le credential stuffing
- Moins de tickets IT pour réinitialisation de mot de passe (Gartner estime qu’entre 20 et 50 % des tickets helpdesk concernent des réinitialisations)
- Contrôle centralisé : désactiver le compte SSO coupe l’accès à toutes les applications d’un coup
Attention cependant : si le compte SSO est compromis, l’attaquant accède à tout. C’est pourquoi le SSO doit être couplé au MFA. L’un sans l’autre crée un faux sentiment de sécurité.
MFA (Authentification multifacteur)
Le MFA est le verrou le plus efficace contre le vol d’identifiants. Même si un employé entre son mot de passe sur une page de phishing, l’attaquant ne peut pas se connecter sans le deuxième facteur.
Niveaux de MFA par ordre de sécurité croissante :
| Méthode | Sécurité | Exemple |
|---|---|---|
| SMS / appel vocal | Moyenne (vulnérable au SIM swapping) | Code reçu par SMS |
| Application TOTP | Bonne | Microsoft Authenticator, Google Authenticator |
| Push notification | Bonne (attention au “MFA fatigue”) | Notification Okta Verify, Duo Push |
| Clé physique FIDO2 | Très élevée (résistante au phishing) | YubiKey, Google Titan |
| Passkey | Très élevée | Intégrée au système d’exploitation |
Les clés FIDO2 et les passkeys sont résistantes au phishing par conception : elles vérifient cryptographiquement le domaine du site, ce qui rend impossible la saisie d’identifiants sur un faux site.
RBAC et gestion des rôles
Le RBAC transforme la gestion des accès d’une tâche individuelle en une logique organisationnelle. Au lieu de configurer les droits de chaque nouvel employé manuellement, le service IT lui assigne un rôle prédéfini.
Exemple de matrice pour une PME de 100 personnes :
| Rôle | Messagerie | CRM | Comptabilité | Serveurs | Admin IT |
|---|---|---|---|---|---|
| Commercial | Oui | Oui | Non | Non | Non |
| Comptable | Oui | Lecture seule | Oui | Non | Non |
| Développeur | Oui | Non | Non | Test uniquement | Non |
| Direction | Oui | Oui | Lecture seule | Non | Non |
| Admin IT | Oui | Oui | Oui | Oui | Oui |
La règle d’or : chaque rôle ne contient que les accès nécessaires. C’est le principe du moindre privilège appliqué à l’échelle de l’organisation.
Provisioning et deprovisioning automatisé
L’automatisation de la création et de la suppression de comptes élimine les deux risques les plus courants :
- Le retard au départ : un employé quitte l’entreprise un vendredi, mais ses accès ne sont coupés que le mercredi suivant parce que le ticket IT traîne. Pendant ce délai, les identifiants restent utilisables.
- L’accumulation silencieuse : un employé qui change de poste conserve ses anciens droits par défaut. Après trois mutations internes, il a accès à la quasi-totalité du système d’information.
Les solutions IAM modernes se connectent au SIRH (système d’information RH) : quand le SIRH enregistre un départ, l’IAM déclenche automatiquement la désactivation de tous les comptes associés. Même logique pour une arrivée ou un changement de poste.
IAM et phishing : limiter les dégâts après une compromission
Le phishing est le premier vecteur de compromission des identifiants. Le Verizon DBIR 2024 indique que les identifiants volés sont impliqués dans 31 % des compromissions. La question n’est pas de savoir si un employé se fera piéger par un email de phishing — c’est quand. L’IAM contrôle ce qui se passe après.
Scénario sans IAM
Un comptable clique sur un lien de spear phishing imitant une alerte Microsoft 365. Il entre son mot de passe. L’attaquant se connecte et découvre que ce compte a accès à la messagerie, au SharePoint de toute l’entreprise, au CRM, à l’ERP comptable, et à un lecteur réseau contenant les contrats clients. En une heure, l’attaquant exfiltre les données financières et envoie des emails de BEC depuis le compte légitime du comptable.
Scénario avec IAM
Le même comptable se fait piéger par le même email. Mais :
- Le MFA bloque la connexion : l’attaquant a le mot de passe mais pas le second facteur. Fin de l’attaque dans 99 % des cas.
- Si l’attaquant passe le MFA (attaque en temps réel de type adversary-in-the-middle), le principe du moindre privilège limite l’accès au périmètre comptable uniquement. Pas de SharePoint global, pas de CRM, pas de contrats clients.
- L’authentification adaptative détecte une connexion depuis une IP inhabituelle et déclenche une vérification supplémentaire ou une alerte au SOC.
- Les journaux IAM permettent d’identifier rapidement le compte compromis, de le bloquer et de mesurer l’étendue de l’accès.
Empêcher le mouvement latéral
Le mouvement latéral, c’est la capacité d’un attaquant à se déplacer d’un système à l’autre après la compromission initiale. C’est ce qui transforme un simple vol de mot de passe en ransomware déployé sur tout le réseau.
L’IAM freine le mouvement latéral de trois manières :
- Segmentation des accès : chaque rôle n’accède qu’à son périmètre. Un compte commercial compromis ne mène pas aux serveurs de production.
- Comptes administrateur séparés : les admins IT utilisent un compte standard pour le quotidien et un compte privilégié (protégé par MFA renforcé) uniquement pour les tâches d’administration. Le modèle Zero Trust systématise cette séparation.
- Sessions limitées : l’IAM impose des durées de session et des revalidations périodiques. Un jeton de session volé expire avant que l’attaquant n’ait le temps d’explorer le réseau.
Mettre en place un IAM dans une PME
L’IAM n’est pas réservé aux grandes entreprises. Les outils que vous utilisez déjà intègrent des fonctionnalités IAM — il suffit de les activer et de les configurer correctement.
Microsoft Entra ID (ex Azure AD)
Si votre entreprise utilise Microsoft 365, vous disposez déjà de Microsoft Entra ID. Les fonctions IAM incluses dans les licences Microsoft 365 Business Premium :
- SSO vers toutes les applications Microsoft et les applications tierces compatibles (Salesforce, Slack, Zoom, etc.)
- MFA configurable par politique de sécurité (exigé pour tous, ou conditionnel selon le contexte)
- Accès conditionnel : autoriser ou bloquer la connexion selon l’appareil, la localisation, le niveau de risque
- Groupes de sécurité : attribution de droits par groupe (équivalent RBAC)
- Journaux d’audit : historique de toutes les connexions et actions administratives
Coût : inclus dans Microsoft 365 Business Premium (20,60 EUR/utilisateur/mois). Les fonctionnalités avancées (Privileged Identity Management, Access Reviews) nécessitent un plan Entra ID P2.
Google Workspace
Pour les entreprises sur Google Workspace :
- SSO Google pour les applications Google et les applications tierces via SAML
- Vérification en deux étapes (MFA) configurable comme obligatoire pour tous les utilisateurs
- Groupes et unités organisationnelles pour gérer les accès par département
- Console d’administration centralisée pour le provisioning/deprovisioning
- Journaux d’audit dans la console Admin
Coût : inclus dans Google Workspace Business Starter (6,90 EUR/utilisateur/mois). Les contrôles avancés (accès contextuel, DLP) nécessitent Business Plus ou Enterprise.
Étapes de mise en œuvre pour une PME de 50 à 200 personnes
Semaine 1-2 : état des lieux.
- Inventorier toutes les applications utilisées par l’entreprise (SaaS, on-premise, cloud)
- Lister les comptes actifs et identifier les comptes orphelins (anciens employés non désactivés)
- Cartographier qui accède à quoi aujourd’hui
Semaine 3-4 : socle d’authentification.
- Activer le MFA pour tous les utilisateurs, en commençant par les comptes administrateur et les dirigeants
- Configurer le SSO pour les applications principales (messagerie, CRM, ERP)
- Définir une politique de mots de passe (longueur minimale 12 caractères, pas de renouvellement forcé tous les 90 jours — l’ANSSI recommande de privilégier la complexité et le MFA plutôt que le renouvellement fréquent)
Semaine 5-6 : gestion des rôles.
- Définir 5 à 10 rôles couvrant les profils types de l’entreprise
- Attribuer chaque utilisateur à un rôle et supprimer les accès excédentaires
- Documenter la matrice rôle/accès pour référence
En continu : gouvernance.
- Revue trimestrielle des accès : chaque manager valide que les droits de son équipe sont à jour
- Processus de départ : désactivation de tous les accès dans les 24 heures suivant le départ
- Surveillance des alertes de connexion suspecte dans les journaux d’audit
Coûts et retour sur investissement
Ce que coûte un IAM pour une PME
Pour une entreprise de 100 utilisateurs, les coûts typiques :
| Solution | Coût mensuel (100 utilisateurs) | Ce que ça inclut |
|---|---|---|
| Microsoft 365 Business Premium | ~2 060 EUR | Entra ID, MFA, accès conditionnel, SSO |
| Google Workspace Business Plus | ~1 800 EUR | SSO, MFA, accès contextuel, DLP |
| Okta (si environnement mixte) | ~400-800 EUR | SSO, MFA, annuaire universel, provisioning |
| JumpCloud | ~300-700 EUR | IAM cloud, SSO, MFA, gestion d’appareils |
La plupart des PME n’ont pas besoin d’une solution IAM dédiée si elles sont déjà sur Microsoft 365 ou Google Workspace. Activer les fonctionnalités existantes coûte zéro euro de plus.
Ce que coûte l’absence d’IAM
Les coûts de la non-gestion des identités et des accès :
- Coût moyen d’une fuite de données impliquant des identifiants volés : 4,81 millions de dollars selon le IBM Cost of a Data Breach Report 2024
- Temps IT perdu : réinitialisations de mots de passe, création manuelle de comptes, traitement des incidents liés aux accès. Une PME de 100 personnes y consacre 2 à 5 jours par mois.
- Non-conformité réglementaire : la directive NIS2 et le RGPD exigent des mesures de contrôle d’accès. Une absence d’IAM expose à des sanctions en cas de contrôle ou d’incident.
- Impact d’un ransomware : sans segmentation des accès, un seul compte compromis suffit pour chiffrer l’ensemble du réseau. Le coût moyen d’un ransomware pour une PME française dépasse 150 000 EUR (interruption d’activité incluse).
L’investissement dans un IAM correctement configuré se rentabilise dès le premier incident évité. Et dans la majorité des cas, les outils sont déjà payés — il ne manque que la configuration.
Commencez par vérifier la sécurité email de votre domaine avec notre vérificateur de sécurité email. Une configuration SPF, DKIM et DMARC correcte complète votre stratégie IAM en empêchant l’usurpation d’identité par email — le premier vecteur de vol d’identifiants.
Questions fréquentes
C'est quoi l'IAM en cybersécurité ?
L'IAM (Identity and Access Management) est le système qui gère les identités numériques et les droits d'accès dans une entreprise. Il répond à trois questions : qui est cet utilisateur (authentification), à quoi a-t-il droit (autorisation), et que fait-il avec ces droits (audit). Concrètement, c'est ce qui fait que chaque employé accède uniquement aux outils et données nécessaires à son poste.
Quelle est la différence entre IAM et MFA ?
L'IAM est le cadre global qui gère les identités et les accès : création de comptes, attribution de rôles, authentification, autorisation, audit. Le MFA (authentification multifacteur) est un outil au sein de l'IAM qui renforce l'étape d'authentification en exigeant plusieurs preuves d'identité. Le MFA est un composant de l'IAM, pas un substitut.
C'est quoi le SSO (Single Sign-On) ?
Le SSO permet à un utilisateur de s'authentifier une seule fois pour accéder à plusieurs applications (messagerie, CRM, ERP, outils internes) sans ressaisir ses identifiants. Cela réduit la fatigue liée aux mots de passe et diminue le risque de credential stuffing, car les employés n'ont plus besoin de créer un mot de passe distinct par application.
C'est quoi le principe du moindre privilège ?
Chaque utilisateur ne reçoit que les droits d'accès strictement nécessaires à l'exercice de ses fonctions. Un commercial accède au CRM mais pas aux serveurs de production. Un stagiaire ne voit pas les données RH. Ce principe limite les dégâts si un compte est compromis : l'attaquant n'hérite que des droits limités de l'utilisateur piégé.
Pourquoi l'IAM est-il important contre le phishing ?
Si un compte est compromis par phishing, l'IAM limite ce que l'attaquant peut atteindre. Un compte avec des droits restreints donne un accès restreint. Combiné au MFA (qui bloque la majorité des connexions avec mot de passe volé) et au Zero Trust (qui vérifie chaque accès en continu), l'IAM forme un rempart qui contient les dégâts même après une compromission initiale.