En cas d’incident de sécurité, notre Force d’intervention Rapide est disponible 24h/24 et 7j/7

IAM : 4 fonctionnalités à connaître pour répondre aux enjeux de conformité


< Retour

Thématique : Conformité, IAM, Non classifié(e)

Type de contenu : Article

Langue : Français

Entre le RGPD, la directive européenne NIS2 et le règlement DORA, l’environnement réglementaire se densifie. Face à cela, les entreprises n’ont plus d’autre choix que de démontrer leur capacité à durcir l’accès à leurs systèmes d’information.

Dans ce contexte, se contenter de simples mots de passe pour sécuriser l’accès aux données critiques n’est plus suffisant. Il devient indispensable de mettre en place des outils capables de maîtriser, contrôler et tracer les accès, à la fois dans un souci de protection opérationnelle, mais aussi de conformité réglementaire.

Face à ces enjeux, les solutions d’IAM (Identity & Access Management) permettent de structurer, provisionner et auditer la gestion des identités et des accès.

Décryptage avec Cheikh Ahmedou, Manager de l’offre IAM chez Formind.

Qu’est-ce que la gestion des identités et des accès (IAM) ?

La gestion des identités et des accès – ou IAM (Identity and Access Management) – désigne les mécanismes qui permettent de gérer « qui accède à quoi » dans un système d’information, en fonction de son rôle dans l’organisation. Il s’agit de contrôler :

  1. l’attribution des droits,
  2. leur évolution dans le temps,
  3. la manière dont les utilisateurs s’authentifient aux services numériques.

Toutefois, l’IAM ne se résume pas à un outil unique. Comme le souligne Cheikh Ahmedou : « L’IAM est un ensemble de dispositifs qui permet à une entreprise de maîtriser la gestion du cycle de vie de ses utilisateurs sur deux axes : la Gouvernance des Identités et le Processus d’Authentification. »

  • La première brique, Gouvernance des Identités, permet d’aligner les droits d’accès sur la réalité de sa mission dans l’entreprise. Elle garantit qu’un collaborateur dispose des accès strictement nécessaires et rien de plus.
  • La seconde, Processus d’Authentification, porte sur la manière dont les collaborateurs accèdent concrètement aux applications et services de l’entreprise. En effet, créer les habilitations n’est pas suffisant en soi, il faut aussi sécuriser la façon dont ils y accèdent, tout en évitant de créer des frictions dans l’expérience des collaborateurs.

Comme l’explique l’expert : « Le challenge est de sécuriser l’authentification tout en rendant l’expérience aussi fluide que possible. »

Ainsi, mettre en place une gestion des identités et des accès ne relève pas d’un simple choix technique, mais d’un véritable projet d’entreprise. Il nécessite des décisions structurantes, une gouvernance adaptée et un accompagnement au changement, en tenant compte du niveau de maturité cyber de l’organisation et de ses contraintes réglementaires sectorielles.

4 fonctionnalités IAM pour répondre aux enjeux de conformité

L’IAM s’impose ainsi comme un projet global, en phase avec les exigences de conformité actuelles. Voici 4 fonctionnalités IAM qui répondent directement à ces enjeux.

1.     La gestion des identités centralisée

La première fonctionnalité IAM qui répond aux enjeux de conformité est la gestion centralisée des identités. Souvent portée par des solutions dites IGA (Identity Governance and Administration), cette fonctionnalité permet de piloter l’ensemble des droits d’accès des utilisateurs depuis une interface unique, quelle que soit l’application concernée.

En effet, sans gouvernance claire et une solution IAM, les organisations peuvent s’exposer à l’accumulation de droits au fil du temps. Un employé qui change de poste conserve souvent ses anciens accès, créant des situations à risque où une même personne peut accéder à des informations qui ne sont plus en lien avec ses fonctions actuelles.

C’est ici que se joue un enjeu de conformité : il ne s’agit pas seulement de prouver lors d’un audit que les accès sont maîtrisés, mais surtout de réduire les risques d’incidents. Mieux contrôler qui accède à quoi, et à quel moment, permet de limiter les abus, les erreurs et les dérives.

Comme le rappelle Cheikh Ahmedou, l’utilisation de l’IAM permet également d’améliorer la posture de cybersécurité : « Lorsqu’un collaborateur quitte l’entreprise, il est impératif de pouvoir révoquer immédiatement l’ensemble de ses accès. Faute de quoi, des droits obsolètes s’accumulent, exposant l’organisation à des risques invisibles, mais bien réels. »

Ce mécanisme est aussi l’occasion d’identifier des situations à risque : comptes inactifs non supprimés, utilisateurs qui ont changé de rôle sans mise à jour de leurs droits, ou encore conflits d’intérêt dans le cadre de la séparation des tâches (SoD).

2.    Tracer les actions et conserver l’historique des accès

Dans une logique de conformité, savoir qui a accès à quoi ne suffit plus : encore faut-il pouvoir reconstituer l’historique complet des accès, des modifications et des authentifications, et cela, parfois sur une durée étendue.

Les solutions IAM vont ainsi permettre de générer des rapports complets qui seront particulièrement utiles en cas d’un audit de contrôle.

L’entreprise sera ainsi en mesure de justifier chaque étape du cycle de vie d’un compte utilisateur : date de création, origine de l’attribution (manuelle ou automatisée), évolutions, validations associées, mais aussi tentative de connexion, méthode d’authentification utilisée.

« À tout moment, il faut être capable de savoir comment un utilisateur a obtenu ses droits d’accès, par qui cette demande a été validée, et avec quels moyens il s’est authentifié. En cas de contrôle, le dire ne suffit plus, il faut pouvoir le prouver ».

3.    L’authentification multifactorielle (MFA)

Dès lors que la gouvernance des identités est établie, l’entreprise doit sécuriser l’étape d’authentification.

En cela, l’authentification multifacteur (MFA) permet d’ajouter une étape supplémentaire dans le processus de connexion au compte utilisateur. Il s’agit le plus souvent d’un code à usage unique reçu par SMS, d’une validation sur une application mobile, voire d’une reconnaissance par empreinte digitale.

L’objectif est simple : endiguer la possibilité de réutiliser un mot de passe qui aurait été volé. Sans cette deuxième étape d’authentification, le cybercriminel ne pourra accéder au service ciblé.

Toutefois, malgré les bénéfices prouvés du MFA, l’adoption reste partielle. Comme le rappelle Cheikh Ahmedou : « Si le secteur bancaire, soumis à une forte pression réglementaire et manipulant des données sensibles, a massivement intégré ces mécanismes, d’autres secteurs accusent du retard.  »

En cause, des raisons économiques, mais aussi humaines. À titre d’exemple, un projet de MFA basé sur des SMS peut échouer dès lors que les collaborateurs refusent de fournir leur numéro personnel, obligeant l’organisation à envisager des investissements lourds dans une flotte de téléphones professionnels.

4.    Détection d’anomalies et surveillance comportementale

Dans une optique de renforcer la sécurité des accès, la détection d’anomalies et la surveillance comportementale sont des fonctionnalités intégrées aux solutions IAM.

Elles consistent à analyser en temps réel le comportement des utilisateurs — localisation de connexion, type de terminal, horaire, habitudes d’usage — afin d’identifier toute activité inhabituelle qui pourrait signaler une compromission. Certaines solutions IAM vont jusqu’à analyser la manière dont un utilisateur tape sur son clavier pour détecter une usurpation d’identité.

L’enjeu est d’augmenter le niveau de vigilance sans surcharger les processus d’authentification classiques. Alors que les méthodes standards (mot de passe, MFA) restent statiques, la surveillance comportementale permet d’ajouter une couche dynamique, détectant des attaques même lorsque les identifiants sont valides.

Si la détection comportementale n’est pas une obligation technique explicite, elle constitue néanmoins un levier clé pour satisfaire aux exigences de surveillance et de réactivité posées par les référentiels de sécurité comme la norme ISO 27001:2022.

Plus précisément, la mesure A.8.16 de l’annexe A de cette norme impose que : « Les organisations doivent mettre en place une surveillance active de leurs réseaux, systèmes et applications afin d’identifier tout comportement inhabituel, et prendre les mesures nécessaires pour analyser et traiter les incidents potentiels liés à la sécurité de l’information. »

Une fonctionnalité qui s’inscrit également dans les bonnes pratiques du modèle Zero Trust, où chaque tentative d’accès est considérée comme potentiellement à risque, même provenant d’un utilisateur ou d’un appareil déjà connu.

Formind vous accompagne dans l’implémentation de solutions IAM.

Formind intervient sur les volets Identity & Access Management, gouvernance, gestion des risques et conformité. Nous vous accompagnons dans le déploiement de solutions reconnues pour sécuriser les accès et répondre aux exigences réglementaires. Grâce à une approche personnalisée, nous vous aidons à sécuriser vos systèmes d’information tout en assurant leur conformité avec les normes et régulations en vigueur.​

Pour découvrir comment Formind peut renforcer la sécurité de votre organisation :

Contactez nos experts