Accueil Articles Sécurité
Sécurité
IAM : Gérer les identités et les accès pour protéger votre organisation

IAM : Gérer les identités et les accès pour protéger votre organisation

14 Mar 2026 Mis à jour le 24 May 2026 19 vues MAKHZOUM Hussein
Sécurité IAM Azure AD MFA PIM Accès conditionnel Identités Zero Trust

Introduction à l'IAM

L'Identity and Access Management (IAM) regroupe l'ensemble des processus et technologies permettant de gérer les identités numériques et de contrôler l'accès aux ressources. Dans un monde où l'identité est le nouveau périmètre, l'IAM est la priorité numéro 1 des équipes sécurité.

1. Authentification forte (MFA)

Le MFA réduit de 99,9% le risque de compromission de compte selon Microsoft. Les options disponibles, de la plus pratique à la plus sécurisée :

  • Microsoft Authenticator : notification push ou TOTP
  • FIDO2 / Clés de sécurité (YubiKey, clé FIDO2) : résistant au phishing
  • Windows Hello for Business : biométrie + PIN lié au TPM
  • Passwordless Authentication : se connecter sans mot de passe via l'app Authenticator
# Identifier les utilisateurs sans MFA enregistré (MS Graph PowerShell)
Connect-MgGraph -Scopes "UserAuthenticationMethod.Read.All"

Get-MgUser -All | ForEach-Object {
    $methods = Get-MgUserAuthenticationMethod -UserId $_.Id
    if ($methods.Count -le 1) {
        Write-Warning "MFA non configuré : $($_.UserPrincipalName)"
    }
}

2. Accès Conditionnel

Les politiques d'accès conditionnel Azure AD évaluent en temps réel et appliquent des contrôles dynamiques :

  • Exiger le MFA pour tout accès depuis un appareil non conforme
  • Bloquer les connexions depuis des pays à risque
  • Exiger un appareil Azure AD Joined pour les applications sensibles (RH, Finance)
  • Forcer un changement de mot de passe si le risque utilisateur est élevé

3. Privileged Identity Management (PIM)

PIM permet l'activation Just-In-Time des rôles privilégiés, avec approbation et durée limitée :

# Activer un rôle PIM pour 2 heures via PowerShell (MS Graph)
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

New-MgRoleManagementDirectoryRoleAssignmentScheduleRequest `
  -Action "selfActivate" `
  -PrincipalId $userId `
  -RoleDefinitionId $roleId `
  -ScheduleInfo @{expiration=@{type="afterDuration"; duration="PT2H"}} `
  -Justification "Intervention urgente sur le tenant"

4. Cycle de vie des identités

  • Onboarding : provisionnement automatique via connecteur RH (Workday, SAP SuccessFactors → Azure AD)
  • Mutations : mise à jour automatique des groupes et accès selon l'attribut Department
  • Offboarding : désactivation immédiate, révocation de toutes les sessions actives, archivage des données

5. Revues d'accès périodiques (Access Reviews)

Planifiez des revues régulières pour nettoyer les accès obsolètes et démontrer la conformité :

  • Revue mensuelle des membres des groupes à privilèges élevés
  • Revue trimestrielle des accès des applications tierces (OAuth)
  • Revue semestrielle des comptes de service

Score de maturité IAM

Azure AD fournit un Identity Secure Score (0–100%) mesurant votre maturité IAM. Suivez les recommandations de Microsoft Secure Score pour progresser méthodiquement et prioriser les actions à fort impact.

Conclusion

Une stratégie IAM robuste combine MFA, accès conditionnel, PIM et revues d'accès. Ces contrôles, correctement déployés, constituent une défense en profondeur contre les attaques d'identité. L'identité est le nouveau périmètre — protégez-la en priorité.

MAKHZOUM Hussein
Auteur
MAKHZOUM Hussein
Consultant Cloud & Infrastructure Engineer
Voir le profil

Articles similaires