IAM : Identity and Access Management (gestion des identités et des accès)

L'IAM est la discipline de cybersécurité qui gère le provisionnement et la protection des identités numériques ainsi que les permissions d'accès des utilisateurs. Son objectif : s'assurer que les bonnes personnes peuvent accéder aux bonnes ressources, pour les bonnes raisons, au bon moment. Un système IAM centralise la création, la modification et la suppression des comptes utilisateurs, tout en contrôlant finement qui peut faire quoi dans le système d'information.

Périmètre et fonctionnement

L'IAM traite du provisionnement et de la protection des identités numériques et des permissions d'accès ; les outils IAM permettent aux organisations de créer et supprimer de manière sécurisée les identités numériques, de définir et appliquer des politiques de contrôle d'accès, de vérifier les utilisateurs et de surveiller leur activité.

Le fonctionnement repose sur quatre piliers : l'administration des identités (création, maintenance, suppression des comptes), l'authentification (vérification de l'identité via mots de passe, MFA, biométrie), l'autorisation (attribution de droits en fonction des rôles – RBAC – ou selon le principe du moindre privilège), et l'audit (traçabilité des activités pour garantir conformité et détection d'anomalies).

L'IAM automatise le provisionnement, le déprovisionnement et la gestion des accès basée sur les rôles, réduisant considérablement la charge manuelle des équipes IT et augmentant la productivité. Les solutions modernes intègrent SSO (authentification unique), MFA (authentification multifacteurs) et fédération d'identité pour couvrir utilisateurs humains, machines, services et partenaires externes.

Lien avec NIS2

L'IAM constitue l'un des aspects les plus significatifs de NIS2 ; parmi les 20 objectifs de sécurité du texte de transposition français, l'objectif 13 est entièrement consacré à l'IAM. L'article 21 de la directive impose aux entités essentielles et importantes de prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques ; la gestion des identités et des accès est au cœur d'une gestion efficace des risques et de la cyber-résilience.

Concrètement, NIS2 exige la mise en œuvre de comptes individuels (interdiction des comptes partagés sauf exception), l'authentification multifactorielle, le principe du moindre privilège, la gestion rigoureuse des accès à privilèges (PAM) et une traçabilité complète des actions. La gestion des identités et des accès est la pierre angulaire de tout effort de conformité NIS2. Les organisations doivent pouvoir documenter et justifier chaque attribution ou suppression de droits lors des audits.

→ Voir aussi : Article 21 §2 – Mesures de gestion des risques
→ Prestataires qualifiés : PASSI pour les audits, PACS pour l'accompagnement stratégique

Pour aller plus loin

• ANSSI – Recommandations relatives à l'administration sécurisée des SI
• NIST Special Publication 800-63 – Digital Identity Guidelines