Gestion Identités & Accès : Guide IAM/IGA pour Leaders Tech

## Executive Summary

L'Identity and Access Management (IAM) et l'Identity Governance and Administration (IGA) constituent les piliers de la sécurité numérique en entreprise. Ces disciplines couvrent le cycle de vie complet des identités numériques : création, gestion, évolution et suppression. Les leaders techniques doivent maîtriser les risques majeurs associés aux comptes orphelins—comptes actifs sans propriétaire identifié—et à l'escalade de privilèges non contrôlée. Une stratégie IAM/IGA mature automatise le provisionnement selon les changements organisationnels (framework Joiner-Mover-Leaver) et centralise l'administration des accès, réduisant ainsi les vecteurs d'attaque et facilitant la conformité réglementaire.

## Principaux points abordés

- **Cycle de vie des identités numériques** : de la création à la suppression, chaque étape exige des contrôles définis pour éviter les configurations résiduelles dangereuses
- **Comptes orphelins et privilèges superflus** : deux risques critiques rarement détectés sans audit systématique, augmentant l'exposition de surface d'attaque
- **Authentification versus autorisation** : distinction fondamentale entre l'identification (MFA, SSO) et les modèles de contrôle d'accès (RBAC, ABAC)
- **Framework Joiner-Mover-Leaver** : automatisation du provisionnement/déprovisionnement alignée sur les transitions de rôle et départs
- **Limites des approches fragmentées** : sans plateforme centralisée, la gouvernance des accès reste manuelle et expose l'organisation à des incohérences
- **Impact opérationnel** : une IAM/IGA structurée réduit le temps d'onboarding, améliore la traçabilité d'audit et renforce la conformité réglementaire (RGPD, SOX, ISO 27001)

## Références (Golden Sources)

Sources :
- [Azure Active Directory Fundamentals](https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/)
- [NIST Special Publication on Identity Management](https://csrc.nist.gov/publications)