La gestion des identités et des accès n’apparaît plus comme un sujet purement technique : elle devient un levier de gouvernance, de conformité et de réduction des risques.
Un débat du Forum Cybersécurité de Paris l’a clairement démontré début avril : à l’ère des agents IA et de la convergence des systèmes informatiques et de production, l’IAM s’impose comme une brique centrale de l’organisation.
Pour les décideurs, l’enjeu n’est pas seulement de sécuriser des comptes, mais de savoir qui accède à quoi, quand, et dans quelles conditions de traçabilité. Les quatre intervenants du débat public ont insisté sur la nécessité de consolider les données venant du SIRH, de la finance, des annuaires et d’autres référentiels pour construire une vision fiable et unifiée des droits et règles d’accès.
Un impératif de conformité
Wadiha El Batti, Directrice en charge des produits du français Wallix, rappelle que les outils IAM du marché répondant à des certifications et réglementations européennes constituent un socle de base pour réagir vite après une attaque. Elle souligne que les grands comptes sont déjà bien équipés, tandis que les ETI industrielles et les TPE-PME sont encore en phase de montée en puissance, poussées par la mise en conformité réglementaire.
Cette dynamique concerne les sous-traitants et les prestataires externes, la chaîne d’accès ne saurait être sécurisée qu’au sein d’un périmètre interne : les mainteneurs, fournisseurs et acteurs tiers doivent respecter les mêmes règles, faute de quoi des failles apparaissent vite sur les segments les plus exposés du système d’informations.
Le poids des fraudes
Frédéric Baud, président de Patronymus, illustre les vulnérabilités du quotidien à l’aide de cas concrets de fraudes à l’identité numérique. Il évoque des scénarios de deepfake en visioconférence, un compte e-mail de manager compromis servant une requête de virement de 23 millions de dollars. La requête est exécutée par un collaborateur convaincu d’agir sur instruction légitime. Il mentionne les fraudes au salaire, un faux RIB et quelques renseignements pouvant aider à détourner la paie mensuelle d’un employé.
Ces exemples servent un point central pour les décideurs : l’identité n’est plus un simple identifiant statique. Elle doit être prouvée, recoupée et contextualisée, car une connaissance partielle d’un collaborateur peut suffire à tromper les équipes internes. “Montrer patte blanche”, comme le recommande la fable du Loup et des sept Chevreaux, prend une pertinence nouvelle dans le cadre des accès numériques.
Il précise que l’Europe ne compte pas laisser le champs libre sur ce point à Google, Apple ni à d’autres géants étrangers du numérique : « Dans le cadre du règlement européen eIDAS 2, chaque État membre de l’UE a l’obligation de mettre à disposition de ses citoyens, d’ici au 24 décembre 2026, au moins une solution de portefeuille européen d’identité numérique (EUDI Wallet). Ce portefeuille permettra à chacun de prouver son identité, de signer des documents avec une signature électronique qualifiée et de partager des attestations de manière sécurisée et souveraine. Contrairement aux solutions propriétaires des géants du numérique, ce dispositif européen propose un cadre de confiance, de portabilité et de contrôle des données d’identités par les utilisateurs de l’Union. »
Données RH et responsabilités
Vidya Jungleea, vice-trésorière du CEFCYS, désigne la DRH comme la porte d’entrée naturelle des salariés. C’est donc aussi la source de données à prendre en considération pour le projet de gestion d’identités numériques. « Sans les données du SIRH, l’outil IAM sera mal alimenté et ne pourra pas fonctionner correctement. Les processus d’onboarding, d’offboarding et de changements de poste reposent sur cette source de vérité. » Elle ajoute que Le DPO doit être associé au projet, pour décider quelles données doivent être visibles, réservées ou masquées dans l’outil.
La gestion opérationnelle, au quotidien, s’écarte néanmoins de l’impulsion par la DRH. Le SIRH fournit les données, mais ensuite, c’est une équipe technique qui assure le suivi de l’outil et le contrôle des droits. Une clé de succès dès le départ du projet passe donc par la collaboration des services RH, IT et conformité.
Souveraineté et choix techniques
La question de la souveraineté numérique soulève le choix des prestataires, parfois soumis à des lois extra-territoriales. Wadiha souligne des risques clairs pour les DSI et chefs d’entreprise, qu’il s’agisse de veille économique, de fraudes ou d’attaques. Elle note une demande croissante pour des solutions européennes, y compris chez certains clients britanniques, ainsi que le retour de solutions hébergées sur site, en mode hybride ou en SaaS, selon les besoins.
Nicolas Milosavljevic, ingénieur avant-vente d’Okta France, apporte un angle de gouvernance : face à la diversité des systèmes critiques, l’entreprise industrielle doit pouvoir choisir l’architecture adaptée à ses priorités, tout en gardant une capacité de réversibilité. Il rappelle qu’un projet IAM réussi doit être évolutif (scalable) et compatible avec des environnements hybrides, faute de quoi la migration devient difficile, à plus ou moins long terme.
L’organisation des droits
Au-delà de la conformité, les intervenants soulignent l’intérêt très concret de l’IAM pour fluidifier les activités. Nicolas explique : « la gestion du cycle de vie des identités – arrivée, mobilité, départ – permet au collaborateur d’être opérationnel dès les premiers jours, alors que certaines structures mettent encore une à deux semaines à ouvrir tous les accès nécessaires. » Il y voit des bénéfices cyber et RH, et même un impact sur la fidélité et la rétention des salariés.
Une matrice des rôles et habilitations, construite à partir des profils du SIRH, fournit les règles techniques au cœur de l’outil d’IAM. Ce dernier devient ainsi le point de consolidation pour améliorer la réactivité face aux compromissions, et vérifier les accès aux ressources sensibles.
Des agents IA à superviser
Un point du débat porte sur les agents IA. Les intervenants considèrent que ces agents vont accéder à davantage de données et devront, eux aussi, être tracés, contrôlés et dotés d’identités ou de secrets spécifiques. Vidya indique une mise sous approbation humaine impossible à grande échelle, face au nombre croissant d’agents IA professionnels, d’où la nécessité d’intégrer ces éléments dans l’IAM.
Frédéric ajoute que la question de responsabilité demeure entière : « si un agent agit, il faudra bien remonter à une personne physique ou morale responsable en cas d’erreur, à moins de créer un véritable statut légal pour ces agents. » Pour l’entreprise, cela signifie que la gouvernance de l’identité ne se limite plus aux salariés ; elle doit déjà anticiper l’usage et la délégation des droits aux agents automatisés.
Le projet IAM n’est plus un simple défi d’outillage, mais vise à bâtir une infrastructure de confiance, à réduire les risques et responsabilités, en particulier l’exposition aux fraudes. Son succès dépend d’une gouvernance fine des données et d’un suivi des missions attribuées à chacun.
