L'identité a une occasion unique de renforcer son rôle et de redéfinir son importance en matière de sécurité au sein de l'organisation. Non pas en ajoutant un nouveau produit, mais en devenant une discipline fondamentalement différente : une discipline au cœur même de la sécurité de l'entreprise. Pour les praticiens de l'IAM, c'est l'occasion de cesser d'être perçus comme une fonction de back-office et d'assumer un rôle d'orchestrateur et de défenseur de première ligne.
« Pour les professionnels de l'IAM, c'est l'occasion de cesser d'être perçus comme une fonction de back-office et d'assumer plutôt le rôle d'orchestrateurs et de défenseurs de première ligne. »
Pourquoi maintenant? L'explosion des logiciels SaaS, Cloud et Agentic, des agents IA, des services automatisés et des transactions numériques à grande vitesse a bouleversé le statu quo. Les identités ne se limitent plus aux employés et à quelques-uns. comptes de serviceElles incluent désormais des agents, scripts, charges de travail et bots éphémères qui apparaissent et disparaissent à la vitesse de la machine. Cette prolifération d'identités humaines et non humaines engendre une nouvelle ampleur et une complexité que la gestion des identités et des accès traditionnelle ne peut maîtriser. Parallèlement, elle ouvre la voie à une transformation nécessaire de notre façon de concevoir, d'exploiter et de sécuriser les identités.
En toile de fond, un fait demeure : plus de 80 % des attaques actuelles reposent toujours sur la compromission d’identité. Même les plus petites organisations jonglent désormais avec des dizaines, voire des centaines, d’identités, tandis que les grandes entreprises en gèrent des dizaines, voire des centaines de milliers. Face à l’explosion des identités, aucune organisation ne peut les tracer ou les contrôler manuellement. Ce n’est pas seulement un risque, c’est une opportunité de construire un nouveau paradigme pour sécuriser les accès.
L'identité n'est plus seulement une « structure informatique » ou une « automatisation de la conformité ». Elle est devenue l'élément clé de la sécurisation des infrastructures cloud, des opérations pilotées par l'IA et de l'avenir de la confiance en entreprise. Ce milieu de décennie ne marque pas seulement un nouveau tournant dans l'évolution technologique. C'est un tournant où l'identité devient le fondement de la sécurité moderne.
Dans ce blog, j'explorerai brièvement l'histoire de l'IAM, son évolution de la gestion des identités et des accès (IAM) à la conformité et à la sécurité, et j'utiliserai cette perspective pour proposer une transition progressive et concrète vers votre futur rôle. L'objectif est de vous apporter une perspective et une opinion tranchée : il est temps pour les organisations de considérer l'IAM non pas comme un simple outil d'audit, mais comme la première ligne de défense pour les cinq prochaines années.
Une brève histoire de l'IAM : des opérations informatiques au cœur de la sécurité
Années 1960-1970 : la naissance de l'identité en informatique
Les origines de l'identité numérique remontent au Système de partage de temps compatible (CTSS) du MIT, dirigé par Fernando Corbató. Corbató a introduit le concept de mots de passe par utilisateur, sans doute le premier contrôle d'identité grand public, permettant à plusieurs personnes de partager des ressources informatiques en toute sécurité. Cette innovation s'est déroulée en plusieurs étapes : protocoles d'authentification, l'autorisation et la responsabilité, toutes liées aux identifiants d'utilisateur individuels. C'est ce qui a donné naissance à la discipline IAM.
Années 2000 : les identifiants, le chiffrement et la conformité prennent le dessus
Au début des années 2000, les entreprises étaient submergées d'identifiants : noms d'utilisateur, mots de passe, codes PIN, cartes à puce, jetons physiques et expériences biométriques. Le chiffrement s'est généralisé, tout comme le stockage et l'échange sécurisés d'identifiants. C'était aussi la décennie du « Bring Your Own Credential » (BYOC), des sous-traitants, des partenaires et des accès fédérés. Parallèlement, les exigences de conformité telles que SOX, HIPAA et PCI ont mis la gestion des identités et des accès (IAM) au premier plan. L'identité est devenue moins une question de facilitation du travail qu'une question de satisfaction des auditeurs. La gestion des identités et des accès (IAM) était de plus en plus évaluée à l'aune de sa capacité à produire des preuves : examens d'accès, contrôles de séparation des tâches et workflows de gouvernance. Dans de nombreuses organisations, la gouvernance est devenue plus urgente que la sécurité.
Années 2010 : clés, jetons, certificats et essor des identités non humaines (NHI)
L'ère du cloud a fait exploser de nouveaux types d'identifiants : clés API, jetons OAuth, certificats et comptes de service, des identifiants invisibles pour la plupart des équipes de sécurité, mais qui géraient des infrastructures entières. C'est ainsi que naquit le Identité non humaine (NHI) en tant que classe identitaire dominante, souvent plus nombreuse que les humains dans un rapport de plus de 40 contre 1. Parallèlement, l'effondrement du périmètre du réseau a contraint les équipes de sécurité à déclarer : l'identité est le nouveau périmètre. authentification multi-facteurL'authentification unique (SSO) et l'identité fédérée sont devenues des attentes de base. Pourtant, l'IAM restait réactive, s'appuyant sur des cycles de provisionnement et des modèles de rôle statiques, tandis que les attaquants ciblaient de plus en plus ces nouvelles informations d'identification machine.
L'identité est le nouveau périmètre. L'authentification multifacteur (MFA), l'authentification unique (SSO) et l'identité fédérée sont devenues des attentes fondamentales. Pourtant, l'IAM restait réactif.
Années 2020 : les processus IAM humains ne suffisent pas
Aujourd'hui, dans les années 2020, la tendance est revenue à une gestion des identités axée sur la sécurité. Les processus IAM pilotés par l'humain (approbations manuelles, rôles statiques, revues périodiques) ne peuvent plus suivre l'ampleur, la rapidité et la complexité des écosystèmes cloud et IA. Les identités incluent désormais des agents IA, des charges de travail éphémères, des pipelines et des systèmes décisionnels automatisés. La sécurité ne peut pas considérer l'identité comme une considération secondaire de la conformité, ni se reposer sur des fonctionnalités d'identité faibles, intégrées aux solutions de terminaux ou cloud fondamentales. L'IAM doit devenir la première ligne. Les praticiens de l'identité utilisent désormais un plan de contrôle unique pour l'ensemble de leur infrastructure IAM afin de prendre des décisions, de gérer le contexte et de garantir leur application en temps réel.
Cette urgence est soulignée par les changements tectoniques du marché : Palo Alto Networks a acquis CyberArk, Microsoft comble Entra de fonctionnalités axées sur la sécurité, la détection et la réponse aux menaces d'identité (ITDR) a explosé, et la gestion des actifs elle-même est de plus en plus définie en termes d'identité plutôt que de matériel ou de topologie réseau. Ces évolutions confirment une réalité : l'identité n'est plus une simple connexion filaire, mais le nouveau tissu de sécurité.
Pourquoi la sécurité doit évoluer vers une sécurité centrée sur l'identité et pourquoi il est temps pour les professionnels de l'IAM de se développer
L'ancienne boîte à outils IAM, avec ses approbations d'accès manuelles, ses révisions périodiques, ses rôles statiques et son application par proxy, ne suit plus le rythme de l'ère du cloud et de l'IA. L'IAM est désormais le tissu conjonctif reliant les systèmes, les plateformes et les données au-delà des frontières et des organisations. Plus rapide, plus dynamique et, dans certains cas, autonome, l'identité sert aujourd'hui aussi bien les bons que les méchants : les agents d'IA qui développent les logiciels peuvent également être utilisés comme des logiciels malveillants ou des bots malveillants.
Les professionnels de l'IAM sont ainsi les derniers intervenants dans la nouvelle frontière des identités numériques. Nous sommes en mesure de bloquer, d'éliminer et de repousser les attaques avant qu'elles ne réussissent, tout en automatisant la gouvernance et les opérations qui les entourent. Si l'IAM évolue correctement, il ne constituera pas une seconde couche de défense, mais la première ligne de sécurité elle-même.
« Aujourd'hui, l'identité sert aussi bien les bons que les méchants : les mêmes agents d'IA qui créent des logiciels peuvent également être utilisés comme des logiciels malveillants ou des robots malveillants. »
Redéfinir le rôle de l'équipe d'identité
Cette transformation nécessite de repenser le fonctionnement des équipes IAM. La fonction IAM ne se limite plus à provisionner les utilisateurs ou à activer l'authentification unique (SSO), mais devient l'orchestrateur humain et le défenseur de première ligne de la sécurité. Les équipes IAM connectent l'organisation, optimisent les activités grâce aux privilèges et aux identifiants et, surtout, orchestrent les décisions d'accès contextuelles à grande échelle. Elles sont les partenaires de la sécurité, car l'identité devient la première ligne.
Considérez vos contrôles IAM comme de « petits agents » intégrés à chaque privilège accordé. Ces agents doivent ajuster et adapter dynamiquement chaque décision d'accès, en temps réel et en fonction du contexte. C'est là que le rôle de l'équipe IAM devient stratégique : concevoir, exploiter et affiner ces agents au sein d'une infrastructure de sécurité évolutive pour l'entreprise.
Comme je l'expliquerai dans mes prochains articles, l'IAM doit évoluer vers une discipline d'orchestration, où le professionnel de l'IAM n'est pas seulement un facilitateur d'accès, mais aussi un défenseur qui garantit que chaque utilisation de l'accès est continuellement évaluée, appliquée contextuellement et sécurisée en temps réel.
Un guide en 6 étapes pour élever l'identité au premier plan de la sécurité
(0) Videz votre esprit et votre liste de tâches : Automatisez tout ce que vous pouvez, dès maintenant. Automatisez les vérifications d'accès, les tâches de conformité, l'optimisation des autorisations et les attributions d'accès initiales. Ce travail est déjà une tâche courante ; concentrez-vous sur autre chose. Recherchez des plateformes qui intègrent l’automatisation de la gouvernance et suppriment la corvée d’audit manuel de votre travail quotidien.
(1) Créez votre plan de contrôle : Assurez la cohérence de tous vos contrôles. Finis les silos. Ajoutez une couche de corrélation et d'orchestration à tous les comptes humains et machines. Chaque entité racine, utilisateur, machine, logiciel ou agent, doit disposer d'un historique d'accès et d'un profil comportemental clairs, générés automatiquement dès sa création. Un graphique d'accès en temps réel par identité n'est plus facultatif. Recherchez des technologies qui unifient les identités à travers le cloud hybride, DevOps et SaaS, produisant une cartographie et un contrôle d'accès continus.
(2) Complétez les contrôles : Touchez l'intouchable. Assurez-vous de disposer des contrôles appropriés concernant l'IA, les pipelines DevOps, l'IoT, les ICS, les charges de travail cloud et les systèmes agents émergents. Les identités non humaines sont déjà majoritaires ; protégez-les comme des citoyens de premier ordre. Adoptez des outils qui étendent la visibilité IAM au-delà des utilisateurs jusqu’aux points de terminaison, aux charges de travail, aux API et à l’infrastructure.
(3) Faites en sorte que le contexte soit important pour chaque décision de transaction : Combinez (1) et (2) pour créer un contexte, un comportement, des privilèges, une posture et un risque qui alimentent vos systèmes de contrôle. Chaque demande d'accès doit être contextuelle, et pas seulement basée sur des identifiants. Commencez par des règles statiques avancées, puis évoluez vers des décisions basées sur les risques ou assistées par l'IA. Chercher sécurité d'identité qui intègre nativement le contexte dans leurs moteurs de décision.
(4) Devenez l'humain dans la boucle de l'accès dynamique automatisé : Une fois la plateforme en place pour automatiser les tâches quotidiennes, votre rôle consiste à prendre des décisions difficiles, à gérer les cas limites, les anomalies et les véritables décisions en matière de sécurité d'accès où le jugement humain est irremplaçable. Choisissez des technologies qui déclenchent l'intervention humaine uniquement pour les valeurs aberrantes, libérant ainsi votre temps pour la prise de décision stratégique.
(5) Construisez votre place à la table des crises de sécurité : En cas de faille de sécurité, l'IAM doit participer au comité de crise, et non rester en arrière-plan. Vous êtes un décideur, un observateur de la réalité et un leader en cas de faille. C'est ainsi que l'IAM devient véritablement une priorité en matière de sécurité. Investissez dans des plateformes qui alimentent directement les signaux IAM dans les flux de travail de réponse aux incidents et SOC.
L'avenir (proche) est axé sur l'identité : préparez-vous dès maintenant
Nous vivons une période passionnante et cruciale pour les professionnels de l'IAM. Avec 80 % des attaques liées à l'identité, et avec le cloud et l'IA qui transforment le paysage numérique, l'IAM est désormais la première ligne de défense des entreprises.
Vous devez maintenant décider : serez-vous l'un des premiers à adopter cette solution, à mener la charge et à remodeler la manière dont l'IAM sécurise votre entreprise, ou attendrez-vous que le changement se produise complètement et vous efforcerez-vous ensuite de vous adapter ?
La décennie du milieu des années 2020 à 2030 restera dans les mémoires comme celle où les professionnels de l'identité ont enfin pris la place qui leur revient en première ligne. Et si nous y parvenons, la gestion des identités et des accès ne se contentera pas de protéger nos entreprises, elle façonnera l'avenir de la confiance numérique sécurisée.
Nous publierons différents articles et analyses sur chacune de ces six étapes dans de futurs blogs et podcasts. Restez connectés et préparez-vous à entrer dans cette nouvelle ère.
Références
– MIT et Fernando Corbató, l’origine des mots de passe : [MIT News]
– Sonrai Security – Histoire de l'identité
– Acquisition de Palo Alto Networks CyberArk (2024) : [Rapports de SecurityWeek]
– Feuille de route de Microsoft Entra : Blog sur la sécurité Microsoft
– Croissance de la détection et de la réponse aux menaces d'identité (ITDR) : [Gartner – 2023-identity-threat-detection-and-response-gartner]
