Le constat est sans appel :
- Les attaques sont plus complexes, plus rapides et automatisées grâce à l’IA.
- Les méthodes traditionnelles ne suffisent plus.
- Le cycle de vie des identités est devenu incontrôlable avec la prolifération des comptes.
Dans ce contexte, comment mieux protéger nos identités, éviter le chaos des accès et garantir un contrôle efficace ? Cette conférence a permis d’explorer des solutions concrètes, des pièges à éviter et des stratégies à adopter. Voici ce qu’il faut en retenir.
1. L’identité : le nouveau champ de bataille des cyberattaques
Les chiffres qui font froid dans le dos
La menace cyber évolue et s’intensifie. Si auparavant les attaquants visaient principalement les infrastructures réseau et les applications, leur priorité est désormais ailleurs : l’identité.
Selon l’ANSSI, 52 % des attaques ciblent les identités. Pourquoi ? Parce qu’aujourd’hui, les systèmes d’information ne reposent plus sur un périmètre de sécurité bien délimité. L’essor du cloud et des services SaaS a fait exploser le nombre d’accès distants, rendant chaque identité un point d’entrée potentiel pour un cybercriminel.
Parmi les vecteurs d’attaque les plus redoutables, on retrouve :
- L’hameçonnage avancé (phishing) qui permet de récupérer des identifiants et d’accéder aux systèmes critiques.
- Les deepfakes, utilisés pour des fraudes au président ou des usurpations d’identité sophistiquées.
- Les attaques ciblant les comptes SaaS, qui servent souvent de passerelles vers l’ensemble du SI. 40 % des attaques passent par ces services.
Cette nouvelle donne s’accompagne d’un autre phénomène inquiétant : la prolifération des identités. Aujourd’hui, un employé ne possède pas un seul compte professionnel, mais des dizaines. Dans certains secteurs, on atteint plus de 100 comptes par collaborateur. Cette démultiplication pose un défi majeur : comment gérer efficacement ces identités et leurs accès sans créer de vulnérabilités ?
👉 Une nouvelle approche de la cybersécurité est indispensable
Face à ces enjeux, une chose est claire : protéger les réseaux et les applications ne suffit plus. Les entreprises doivent repenser leur stratégie et faire de la gestion des identités un pilier central de leur cybersécurité. Cela passe par une approche plus rigoureuse :
- Limiter la surface d’attaque en réduisant les comptes inutiles et en maîtrisant leur cycle de vie.
- Renforcer l’authentification avec des solutions adaptées, comme le MFA ou le Zero Trust.
- Automatiser la gestion des identités pour éviter les erreurs humaines et assurer une réactivité optimale.
Les entreprises qui tardent à adopter ces pratiques s’exposent à un risque grandissant. Car dans un monde où les identités sont devenues le principal terrain de jeu des attaquants, l’inaction n’est plus une option.

2. IAM, IGA, Zero Trust… et si on arrêtait la confusion ?
La gestion des identités et des accès est devenue un enjeu stratégique, mais elle souffre d’un problème majeur : le flou terminologique. Trop souvent, les entreprises mélangent les concepts, confondent les outils et pensent qu’une solution technique suffira à régler tous leurs problèmes. Or, sécuriser les identités nécessite une approche claire et structurée.
Comprendre les concepts-clés
Trois notions reviennent systématiquement lorsqu’on parle de gestion des identités : IAM, IGA et Zero Trust. Pourtant, elles ne recouvrent pas exactement les mêmes réalités.
- IAM (Identity & Access Management) : Il s’agit de l’ensemble des technologies et processus qui permettent de gérer qui accède à quoi dans le système d’information. C’est l’ossature technique qui assure l’authentification des utilisateurs et leur attribution d’accès aux ressources nécessaires.
- IGA (Identity Governance & Administration) : Contrairement à l’IAM, qui se concentre sur l’accès opérationnel, l’IGA prend de la hauteur. Il s’agit d’orchestrer et de superviser les identités, de gérer leur cycle de vie et de s’assurer que chaque utilisateur dispose des bons droits au bon moment. L’IGA répond aux enjeux de gouvernance et de conformité.
- Zero Trust : Ce n’est pas un outil, mais un principe fondamental de sécurité. L’idée est simple : ne jamais faire confiance par défaut et toujours vérifier l’identité et les droits d’un utilisateur avant de lui accorder un accès. Le Zero Trust repose sur des contrôles continus et contextuels, qui vont bien au-delà d’un simple mot de passe ou d’un SSO.
Les conséquences d’une mauvaise compréhension
Confondre ces notions peut avoir des répercussions concrètes. Trop souvent, les entreprises pensent qu’implémenter un SSO (Single Sign-On) suffit à garantir la sécurité des accès. Or, le SSO n’est qu’un mécanisme d’authentification : il facilite la connexion des utilisateurs, mais ne gère ni la gouvernance des identités ni la vérification continue de leurs accès.
Un exemple frappant illustre ce problème. Un client a été très surpris de découvrir qu’un utilisateur s’était connecté trois jours avant un audit, alors que son départ de l’entreprise remontait à un mois. Pourtant, son offboarding avait bien été réalisé.
Problème : certaines sessions mobiles restent actives indéfiniment et ne redemandent pas systématiquement une réauthentification via le SSO. Résultat, l’utilisateur pouvait encore accéder à l’application, sans que personne ne s’en rende compte.
Cet exemple illustre un point clé : déployer un SSO ne suffit pas, il faut aussi surveiller et gérer les sessions en cours. Sans une politique stricte de révocation des sessions mobiles, une entreprise peut croire qu’un compte est bien fermé alors qu’il reste, en réalité, une porte d’entrée béante pour d’éventuelles intrusions.
Vers une approche globale et cohérente
Pour sécuriser réellement les identités, il faut adopter une approche complète et cohérente :
- Mettre en place une vraie gouvernance des identités (IGA), pour s’assurer que chaque compte est créé, modifié et supprimé selon des règles strictes.
- Appliquer les principes du Zero Trust, en exigeant une vérification continue et en segmentant les accès.
- Ne pas se reposer uniquement sur le SSO, mais s’assurer que les sessions sont bien révoquées et que les droits sont ajustés en temps réel.
Une gestion efficace des identités ne se résume pas à une simple implémentation technique. C’est un travail d’organisation, de supervision et d’adaptation continue, sans quoi les failles persistent, et les menaces prolifèrent.
Les intervenants appuyaient leurs propos en expliquant que l’IAM et la gestion des comptes étaient bénéfique pour tout le monde :
“C’est le seul sujet de sécurité qui facilite la vie des utilisateurs.”
3. Shadow IT : mythe ou réalité ?
Traditionnellement, le Shadow IT désigne l’ensemble des logiciels et services utilisés par les employés sans validation de l’IT. Slack, Trello, Google Drive… Ces outils sont souvent mis en place par des équipes métier pour pallier des besoins immédiats, sans attendre une validation officielle.
Mais aujourd’hui, la véritable menace vient des applications SaaS qui sont connues, utilisées à grande échelle et pourtant mal intégrées dans l’écosystème de l’entreprise.
Contrairement aux idées reçues, il devient de plus en plus rare d’avoir des logiciels installés en douce, ce sont surtout les outils légitimes que l’IT n’a pas pris la peine de superviser correctement qui posent problème. Trop souvent, les équipes IT n’ont pas fait l’effort d’intégrer ces applications aux systèmes de gestion des identités (IAM, SSO, IGA), ce qui crée des brèches de sécurité invisibles.
Un exemple frappant : l’application Snowflake oubliée
L’un des cas les plus parlants évoqué durant la conférence est celui d’un compte Snowflake utilisé par une équipe depuis deux ans, sans que le département IT en ait connaissance. Cette application n’était pas secrète : elle était employée quotidiennement, partagée entre collaborateurs, et pourtant elle était hors du radar de l’IT.
Dans cette nouvelle ère du Shadow IT, le danger ne vient plus uniquement de logiciels non autorisés, mais aussi d’outils mal configurés, sans supervision, et dont les accès ne sont pas sécurisés.
Le problème n’est pas que ces outils soient difficiles à intégrer, mais que les équipes IT ne vont pas au bout du processus. Elles se cachent derrière des excuses techniques (« Ce n’est pas compatible », « On n’a pas le temps de tout gérer ») alors que des solutions existent pour recenser et sécuriser ces applications.
Comment reprendre le contrôle ?
Face à ce phénomène, il est essentiel d’adopter une approche proactive plutôt que réactive. Lutter contre le Shadow IT ne signifie pas interdire aux employés d’adopter de nouveaux outils, mais les intégrer intelligemment et les superviser correctement. Lors de la conférence, il a été souligné que l’IT souffre parfois d’une véritable paresse intellectuelle sur ces sujets.
- Mettre fin à la posture défensive de l’IT. Il ne suffit pas de dire « ce n’est pas possible » ou « c’est trop compliqué ». L’IT doit travailler main dans la main avec les métiers pour cartographier et intégrer les applications utilisées.
- Superviser activement les applications SaaS. Il existe aujourd’hui des outils capables de détecter automatiquement les services connectés au SI, même lorsqu’ils ne sont pas officiellement validés.
- Mettre en place une gouvernance stricte des accès. Une fois les applications identifiées, elles doivent être intégrées dans l’IAM et soumises aux mêmes exigences de sécurité que le reste du SI.
Le Shadow IT n’est pas une fatalité. Mais tant que l’IT continuera à fermer les yeux sur certaines pratiques, les failles de sécurité resteront béantes. Ce n’est pas seulement une question de technologie, mais aussi d’attitude et de volonté.
Venez assister à notre prochain webinaire, nous vous présenterons les enjeux de l'IAM, les problématiques de la gestion manuelle des comptes utilisateurs.
Nous verrons ensemble comment Youzer peut vous aider à les automatiser.
4. Comment implémenter un projet IAM efficacement ?
Déployer une solution de gestion des identités et des accès (IAM) peut sembler complexe. Trop d’entreprises hésitent, repoussent ou se lancent dans des projets tentaculaires qui n’aboutissent jamais. Lors de la conférence, un message clair a été martelé : il faut arrêter de chercher des excuses et avancer, étape par étape, avec pragmatisme.
L’erreur classique dans les projets IAM est de vouloir tout sécuriser immédiatement, en espérant une transformation radicale et instantanée. Résultat : des projets qui s’enlisent et n’aboutissent jamais.
Ce déploiement progressif permet de gagner rapidement en sécurité tout en améliorant l’expérience utilisateur. Car contrairement à d’autres initiatives IT, l’IAM est l’un des rares sujets de cybersécurité qui peut réellement simplifier la vie des collaborateurs en réduisant la friction liée aux accès.
Arrêter avec les excuses et les faux blocages
Trop d’entreprises retardent leur projet IAM sous prétexte qu’elles doivent "faire un audit complet avant de se lancer" ou qu’elles craignent de "ne pas pouvoir tout intégrer". Ces arguments sont souvent des prétextes pour ne rien faire.
Un point essentiel souligné lors de la conférence : aucune solution IAM ne couvrira 100 % des applications et des scénarios dès le départ. Et ce n’est pas grave.
Exemple concret : un prospect expliquait qu’il ne pouvait pas gérer une application utilisée par 10 collaborateurs. Son raisonnement ? Si cette application ne pouvait pas être intégrée immédiatement, alors le projet IAM dans son ensemble devait être mis en pause. Un non-sens, sachant que 2000 autres utilisateurs et 300 autres applications auraient pu être sécurisés immédiatement.
Attendre l’implémentation parfaite, c’est ne jamais rien faire.
Se concentrer sur des solutions accessibles et flexibles
Autre erreur fréquente : choisir des solutions complexes qui nécessitent des compétences pointues ou enferment l’entreprise dans un écosystème captif.
Les intervenants prenaient en exemple Microsoft Azure AD. À première vue, c’est une solution IAM complète. Mais pour bénéficier des niveaux de sécurité avancés, il faut payer des coûts supplémentaires élevés (9€ par utilisateur et par mois) et accepter une boîte noire dont personne ne maîtrise vraiment le fonctionnement.
À l’inverse, il existe des solutions plus flexibles, qui permettent :
- Une mise en place rapide et autonome, sans nécessiter une armée de consultants.
- Un dialogue fluide avec les équipes métier, pour intégrer l’IAM dans les processus de travail sans friction.
- Une harmonisation entre sécurité et expérience utilisateur, pour éviter que la cybersécurité ne devienne un frein à la productivité.
L’important n’est pas d’avoir la solution parfaite, mais une solution qui s’adapte aux besoins et contraintes réels de l’entreprise.
Chez Youzer nous avons fait ce choix, d’avoir une solution qui s’intègre facilement dans le paysage de nos clients en évitant les frictions et en facilitant la gestion des comptes IT. Pour voir Youzer en pratique c’est par ici.
Les bonnes pratiques pour se lancer
Les intervenants de la conférence ont insisté sur un point clé : il ne faut pas tout mélanger au moment du lancement.
Voici les cinq étapes essentielles pour un déploiement réussi :
1️⃣ Avoir la volonté d’y aller. Un projet IAM, ce n’est pas juste un choix technologique, c’est une décision stratégique. Si l’impulsion ne vient pas du top management et des équipes IT, rien ne bougera.
2️⃣ Établir un référentiel. Il faut commencer par cartographier les identités existantes, les accès, les rôles et les applications critiques. Cette étape permet d’éviter une gestion chaotique.
3️⃣ Mettre en place une fédération des identités via un SSO par exemple. Le SSO ne doit pas être l’unique solution, mais c’est un bon point de départ pour améliorer l’expérience utilisateur et sécuriser les connexions.
4️⃣ Automatiser la revue des accès. Les audits de permissions doivent être récurrents et systématiques pour éviter l’accumulation de comptes fantômes ou de droits excessifs.
5️⃣ Automatiser l’onboarding et l’offboarding. Chaque entrée et sortie d’un collaborateur doit être immédiatement synchronisée avec le SI pour éviter les oublis.
Ces étapes permettent de structurer l’implémentation de l’IAM en évitant de se disperser.
L’important, c’est d’agir
Tous les projets IAM qui échouent ont un point commun : ils n’ont jamais vraiment démarré.
Le plus grand danger, ce n’est pas d’avoir une intégration IAM incomplète au début, c’est de continuer à ne rien faire sous prétexte que tout n’est pas parfait.
Comme l’a souligné la conférence, se tromper fait partie du processus. L’important est d’adopter une approche pragmatique, de tester, d’ajuster et d’avancer.
Et surtout, de ne plus se cacher derrière des excuses pour éviter d’agir.
Conclusion
Cette conférence InCyber a mis en évidence un fait incontournable : la gestion des identités et des accès n’est plus une option, mais une nécessité absolue. À l’heure où plus de la moitié des attaques ciblent les identités, où les entreprises jonglent avec des centaines d’applications SaaS et où les menaces s’automatisent grâce à l’IA, protéger ses accès revient à protéger l’ensemble du système d’information.
Loin d’être une simple contrainte technique, l’IAM est un levier de sécurité, de conformité et d’efficacité opérationnelle. Mais pour en tirer tous les bénéfices, il faut abandonner les excuses, adopter une approche pragmatique et surtout, agir.
L’inaction n’est plus une option. Maîtriser ses identités, c’est maîtriser sa sécurité.