Skip to content

IAM et IGA : il s'agit de deux ensembles de fonctionnalités de sécurité des identités qui remplissent des fonctions différentes, mais complémentaires.

  • L'IAM a pour objectif de permettre et de gérer l'accès sécurisé des utilisateurs aux ressources numériques (applications, systèmes et données) grâce à l'authentification, à l'authentification unique (SSO) et à d'autres fonctionnalités liées à l'authentification et à l'accès.
  • L'IGA va au-delà des principes fondamentaux de l'octroi et de la gestion des droits d'accès afin 1) de se concentrer sur la manière dont une organisation accorde l'accès aux ressources numériques et 2) de s'assurer que les droits d'accès accordés sont appropriés et conformes — et de prendre des mesures si ce n'est pas le cas.

En substance, l'IAM traite des questions fondamentales suivantes : qui se connecte, comment s'y prend-il pour se connecter et à quoi a-t-il droit une fois connecté ? L'IGA, quant à elle, vise à déterminer si les droits d'accès qui lui ont été accordés sont adaptés à son rôle et aux activités qui lui ont été attribuées.

Qu'est-ce que l'IAM ?

L'IAM désigne les politiques et les processus liés à l'authentification de l'identité d'un utilisateur (humain ou machine) cherchant à accéder en toute sécurité à une ou plusieurs ressources au sein d'une organisation. L'authentification de l'identité de l'utilisateur a pour objectif 1) de confirmer que l'utilisateur est bien habilité à bénéficier de l'accès demandé en fonction de son rôle et de ses responsabilités et 2) d'accorder (ou de refuser) l'accès en conséquence.

Principales fonctionnalités de l'IAM

L'IAM a pour objectif d'authentifier les utilisateurs et de leur donner accès aux ressources, tout en accordant la priorité à la fois à la sécurité de l'organisation et à la productivité des utilisateurs. Il a évolué au fil des décennies pour répondre simultanément à ces deux enjeux de manière de plus en plus sophistiquée.

  • Authentification : Dans sa forme la plus élémentaire, l’authentification consiste pour un utilisateur à fournir un ensemble classique d’identifiants — nom d’utilisateur et mot de passe — afin de prouver son identité. Cependant, à mesure que l’environnement d’identité et le paysage des menaces gagnent en ampleur et en complexité, le problème posé par des identifiants difficiles à mémoriser pour les utilisateurs et faciles à voler pour les acteurs malveillants devient de plus en plus pressant.
  • Authentification multifactorielle (MFA) : L'ajout d'un facteur d'identification supplémentaire, tel qu'un élément biométrique, renforce le niveau d'authentification, améliorant ainsi la sécurité. Cela s'avère particulièrement utile lorsque ce facteur supplémentaire n'est pas contraignant. Par exemple, une reconnaissance faciale ou une empreinte digitale ne demande que peu d'effort de la part de l'utilisateur, mais rend le vol d'identifiants beaucoup plus difficile.
  • Authentification unique (SSO) : À mesure que le nombre de ressources sécurisées auxquelles les utilisateurs doivent accéder augmente, l'authentification unique (SSO) leur permet d'accéder à plusieurs applications grâce à une authentification forte à partir d'un seul point de connexion, ce qui accélère et simplifie le processus. Le SSO réduit également la surface d'attaque en limitant les occasions pour les pirates d'exploiter les failles de sécurité liées à la multiplication des connexions.
  • Sans mot de passe: L'authentification sans mot de passe remplace les identifiants traditionnels par des données biométriques, des clés d'accès, des applications d'authentification et d'autres moyens de prouver son identité qui ne peuvent pas être facilement piratés. Elle facilite également l'authentification légitime, car elle évite aux utilisateurs d'avoir à mémoriser plusieurs identifiants pour accéder à un nombre croissant de ressources.

Point clé de l'IAM : Confiance zéro

Le « Zero Trust » est un concept de sécurité fondé sur l'idée d'établir la confiance avant d'accorder l'accès aux ressources — et de ne jamais présumer de cette confiance. C'est pourquoi la gestion des identités et des accès (IAM) est fondamentale pour les organisations qui s'engagent à mettre en place un environnement « Zero Trust », dans lequel l'identité doit être vérifiée à chaque fois qu'une personne ou un système tente d'accéder à des ressources.

Les environnements « Zero Trust » s'appuient sur les fonctionnalités et les pratiques fondamentales de la gestion des identités et des accès (IAM).

  • Authentification : vérification de l'identité grâce à l'authentification multifactorielle (MFA) et à l'authentification sans mot de passe
  • Accès : adoption de politiques d'accès adaptées au contexte et conditionnelles
  • Centralisation : utilisation de l'authentification unique (SSO) pour l'ensemble des applications et des environnements d'accès
Qu'est-ce que l'IGA ?

Alors que l’IAM vise principalement à authentifier l’identité d’un utilisateur avant de lui accorder l’accès, l’IGA se concentre sur la gouvernance comment déterminer à qui l'accès est accordé et s'assurer qu'il est toujours adapté à l'utilisateur et à la situation. L'objectif général de l'IGA est de garantir que les droits d'accès respectent les politiques de l'entreprise, répondent aux exigences de conformité et soient conformes aux meilleures pratiques en matière de sécurité.

Principales fonctionnalités de l'IGA

Alors que la gestion des identités et des accès (IAM) s'intéresse à qui a accès à quoi, la gouvernance des accès (IGA) vise à déterminer si cet accès est accordé de manière appropriée, en fonction de facteurs tels que le rôle de l'utilisateur au sein de l'organisation, ainsi que les politiques et pratiques de l'organisation en matière de sécurité et de conformité.

  • Demandes d'accès et autorisations : dans les environnements IGA, la gestion des droits d'accès basée sur des workflows allie automatisation et intervention humaine afin d'évaluer rapidement et avec précision les demandes d'accès et d'attribuer les droits aux utilisateurs.
  • Certification des accès : les rôles et responsabilités des utilisateurs évoluant constamment, la gouvernance des identités nécessite une certification régulière des accès afin de vérifier l'adéquation des niveaux d'accès. Les interventions manuelles ne peuvent en aucun cas suivre le rythme de ces changements, ce qui rend l'automatisation indispensable.
  • Gestion des rôles : la création de rôles pour les utilisateurs est essentielle pour leur garantir facilement l'accès aux ressources sécurisées dont ils ont besoin pour exercer leurs fonctions. Une gestion rigoureuse des rôles est tout aussi importante pour s'assurer qu'ils ne disposent pas de privilèges excessifs susceptibles de créer des risques de sécurité.
  • Gestion du cycle de vie des identités : les modifications des droits d'accès font partie intégrante du cycle de vie d'une identité, qui va de l'arrivée dans une organisation à son départ, en passant par l'exercice de différents rôles. La gestion du cycle de vie des identités est essentielle pour garantir que les droits d'accès restent adaptés au rôle actuel.
  • Audit et reporting : Il est essentiel de dresser un état des lieux des personnes ayant accès à quelles ressources pour se conformer aux exigences réglementaires et disposer d'une bonne visibilité sur les risques liés aux accès. L'audit et le reporting sont indispensables pour atteindre ces deux objectifs.

Point clé de l'IGA : Confiance zéro

Le modèle « zero trust » repose sur le principe selon lequel la confiance ne peut jamais exister par défaut, mais doit être établie à chaque fois qu'une personne ou un système tente d'accéder à un système. L'IGA fournit les contrôles et la gouvernance dont une organisation a besoin pour évaluer en permanence si un accès est approprié, en fonction du niveau de confiance accordé à l'utilisateur.

Les environnements « Zero Trust » s'appuient notamment sur plusieurs fonctionnalités et pratiques fondamentales de l'IGA.

  • Provisionnement basé sur des workflows : recourir à l'automatisation pour garantir une supervision adéquate des accès
  • Certification d'accès : validation continue des accès et ajustements en conséquence
  • Gestion des rôles : identifier et éviter les combinaisons d'accès néfastes
  • Gestion du cycle de vie des identités : mise à jour immédiate des droits d'accès en cas de changement ou de fin de rôle
  • Audit et reporting : soutenir le principe du « Zero Trust » consistant à justifier les décisions en matière de confiance

Priorité de l'IGA : conformité réglementaire

Les réglementations SOX, HIPAA, RGPD, PCI-DSS, ISO 27001 IGA et autres exigent un contrôle d'accès rigoureux, ainsi que la capacité de démontrer que ce contrôle respecte les normes établies par ces réglementations. C'est précisément ce type de responsabilité et d'auditabilité qu'offre l'IGA.

La conformité réglementaire s'appuie notamment sur plusieurs capacités et pratiques fondamentales d'IGA :

  • Certification d'accès : vérification des accès et présentation de la validation des droits d'accès
  • Audit et rapports : respecter les exigences réglementaires spécifiques en matière de preuve de conformité
  • Gestion du cycle de vie des identités : garantir la cohérence des droits d'accès avec les rôles actuels
En quoi l'IGA et l'IAM diffèrent-ils ?

L'IGA et l'IAM traitent toutes deux de l'accès sécurisé aux ressources. Cependant, alors que l'IAM permet aux utilisateurs d'accéder de manière sécurisée et pratique aux ressources auxquelles ils sont autorisés à accéder, l'IGA détermine s'ils doivent ou non disposer de ce droit d'accès. Dans ce contexte, les principales différences sont les suivantes :

IAM : Activer l'accès
IGA : Gestion des accès
Objectif/but
Faciliter un accès sécurisé et pratique aux ressources auxquelles un utilisateur est autorisé à accéder
Veiller à ce que l'accès de l'utilisateur à une ressource soit adapté à son rôle et à ses responsabilités
Principale préoccupation
Qui êtes-vous et à quoi avez-vous accès ou de quoi avez-vous besoin ?
Qui êtes-vous et que devrait auxquelles vous avez accès ?
Capacités clés
  • Authentification
  • Authentification multifactorielle (AMF)
  • Identité fédérée
  • Sans mot de passe
  • Provisionnement basé sur des workflows
  • Certification d'accès
  • Gestion des rôles
  • Gestion du cycle de vie des identités
  • Audit et rapports
Exemples d'indicateurs de réussite
  • Taux de réussite/d'échec de l'authentification
  • Taux d'adoption de l'authentification multifactorielle (MFA) et de l'authentification sans mot de passe
  • Délai moyen de création des comptes
  • Délai moyen de résolution des problèmes d'authentification
  • Niveaux de disponibilité et de fonctionnement continu du système
  • Délai moyen de traitement des demandes d'accès
  • Pourcentage d'évaluations d'accès menées à bien
  • Violations de la séparation des tâches détectées
  • Nombre de comptes respectant le principe du privilège minimal
  • Nombre de constatations d'audit relatives à des problèmes

Objectif/but

IAM : Activer l'accès

Faciliter un accès sécurisé et pratique aux ressources auxquelles un utilisateur est autorisé à accéder

IGA : Gestion des accès

Veiller à ce que l'accès de l'utilisateur à une ressource soit adapté à son rôle et à ses responsabilités

Principale préoccupation

IAM : Activer l'accès

Qui êtes-vous et à quoi avez-vous accès ou de quoi avez-vous besoin ?

IGA : Gestion des accès

Qui êtes-vous et que devrait auxquelles vous avez accès ?

Capacités clés

IAM : Activer l'accès

  • Authentification
  • Authentification multifactorielle (AMF)
  • Identité fédérée
  • Sans mot de passe

IGA : Gestion des accès

  • Provisionnement basé sur des workflows
  • Certification d'accès
  • Gestion des rôles
  • Gestion du cycle de vie des identités
  • Audit et rapports

Exemples d'indicateurs de réussite

IAM : Activer l'accès

  • Taux de réussite/d'échec de l'authentification
  • Taux d'adoption de l'authentification multifactorielle (MFA) et de l'authentification sans mot de passe
  • Délai moyen de création des comptes
  • Délai moyen de résolution des problèmes d'authentification
  • Niveaux de disponibilité et de fonctionnement continu du système

IGA : Gestion des accès

  • Délai moyen de traitement des demandes d'accès
  • Pourcentage d'évaluations d'accès menées à bien
  • Violations de la séparation des tâches détectées
  • Nombre de comptes respectant le principe du privilège minimal
  • Nombre de constatations d'audit relatives à des problèmes
IAM et IGA combinés : une gestion complète des identités

Pour couvrir l'ensemble des aspects liés à la sécurité des identités, les organisations ont idéalement besoin d'une combinaison de solutions IAM (pour permettre aux utilisateurs d'accéder aux ressources de manière sécurisée et pratique) et IGA (pour garantir et démontrer que l'accès des utilisateurs aux ressources est approprié et ne présente aucun risque pour la sécurité). Cependant, chaque organisation a des exigences et des ressources différentes qui détermineront la marche à suivre, comme le montrent les scénarios suivants.

Scénario : Déployer conjointement l'IAM et l'IGA ? Oui, dans la mesure du possible.

Le déploiement conjoint de l'IAM et de l'IGA est presque toujours la solution idéale, que l'organisation envisage un nouveau déploiement des deux solutions ou qu'elle souhaite remplacer un déploiement IAM existant tout en y ajoutant l'IGA. En déployant simultanément les fonctionnalités IGA et IAM d’un même fournisseur, l’entreprise s’assure une couverture complète de la sécurité des identités dans deux domaines complémentaires et critiques, sans risque de failles de sécurité inutiles, de problèmes d’intégration ou d’autres difficultés pouvant découler d’un déploiement échelonné.

H3 Scénario : Intégrer IGA à un déploiement IAM existant ? Peut-être.

Pour les organisations qui disposent déjà d’un déploiement IAM offrant tout ce qui est nécessaire pour accorder et gérer les accès, il peut être intéressant de conserver ce déploiement afin de préserver leur investissement initial en matière d’identité, tout en y ajoutant une solution IGA. Cette approche fonctionne bien si la solution IGA provient du même fournisseur. Dans le cas contraire, la gestion globale de la sécurité des identités risque d’être bien plus complexe ; l’intégration des deux systèmes peut s’avérer difficile ; et l’exploitation de systèmes disparates peut entraîner des problèmes récurrents de dépannage.

Scénario : S'en tenir uniquement à l'IAM ? Non recommandé.

Il est possible de mettre en place l’IAM sans l’IGA, comme certaines organisations envisagent de le faire en raison de contraintes budgétaires ou opérationnelles. Mais ce n’est pas forcément recommandé. Il est vrai qu’avec un système IAM en place pour authentifier les utilisateurs, le risque qu’une personne non autorisée obtienne un accès de quelque manière que ce soit est moindre. Mais cela ne tient pas compte de la question de savoir si l’accès dont disposent les utilisateurs est le droit accès. C'est pourquoi les organisations qui se contentent d'utiliser un système IAM s'exposent à des problèmes de sécurité liés à l'accumulation de privilèges d'accès excessifs par les utilisateurs. Les organisations dépourvues d'un système IGA ne disposent pas non plus de pistes d'audit ni d'autres éléments permettant de prouver leur conformité en cas de contrôle réglementaire.

Scénario : Utiliser uniquement l'IGA ? Ce n'est pas vraiment une option.

Il n'est pas logique de disposer d'un système IGA sans IAM, car l'application des politiques de sécurité par l'IGA repose sur les mécanismes d'authentification et d'autorisation sous-jacents fournis par l'IAM. En d'autres termes, sans IAM, l'IGA n'a aucune base sur laquelle s'appuyer. Le seul choix à faire est entre l'IAM seul ou l'IAM associé à l'IGA.

Foire aux questions : IGA vs IAM
En quoi consiste la sécurité des identités ?

La sécurité des identités consiste à protéger les identités numériques en vérifiant les identités et en appliquant des contrôles d'accès, dans le but d'empêcher tout accès non autorisé.

L'IAM fait-il partie de la sécurité des identités ?

Oui. L'IAM associe la gestion des identités et la gestion des accès afin de sécuriser les identités numériques et de protéger les ressources contre tout accès non autorisé dans les environnements numériques.

Qu'est-ce que la gestion des identités et des accès ?

La gestion des identités et des accès (IAM) permet le stockage sécurisé des ressources sensibles et un accès sécurisé à celles-ci grâce à des méthodes telles que l'authentification unique (SSO), l'authentification multifactorielle (MFA) et sans mot de passe.

Quel est l'objectif de la gestion des identités ?

La gestion des identités a pour objectif de réduire le risque de failles de sécurité en garantissant que seules les personnes autorisées puissent accéder aux ressources sécurisées.

Quels sont les avantages de la gestion des identités ?

La gestion des identités permet un accès sécurisé aux ressources, facilite la mise en conformité réglementaire et optimise l'expérience utilisateur en rendant l'accès à la fois pratique et sécurisé.

Quelle est la différence entre l'IGA et l'IAM ?

L'IAM porte sur l'identité des personnes autorisées à accéder aux ressources, c'est-à-dire sur l'authentification des utilisateurs et la gestion de leurs droits d'accès, tandis que l'IGA vise à déterminer si les droits d'accès d'un utilisateur sont adaptés à son rôle et à ses responsabilités.

Demander une démonstration

Obtenir une démonstration