.webp)
IAM et IAG désignent deux approches complémentaires pour gérer les identités et les accès dans une organisation.
Ils sont aujourd’hui essentiels pour sécuriser les systèmes d’information et répondre aux exigences de conformité.
Qu’est-ce que IAM / IAG ?
IAM signifie « Identity and Access Management », soit gestion des identités et des accès.
IAG signifie « Identity and Access Governance », soit gouvernance des identités et des accès.
IAM se concentre sur les processus techniques : authentification, autorisation, attribution des droits.
IAG ajoute une couche de contrôle, de supervision et de conformité autour de ces accès.
Ensemble, IAM et IAG permettent de savoir « qui peut faire quoi, quand, comment et pourquoi » dans un système.
À quoi sert IAM / IAG ?
Ils permettent de protéger les données contre les accès non autorisés.
Ils donnent aux bonnes personnes les bons accès aux bons systèmes, au bon moment.
IAM/IAG limitent les risques d’erreur humaine, de fuite de données ou d’intrusion malveillante.
Ils répondent aux exigences réglementaires (comme le RGPD, ISO 27001 ou la loi Sarbanes-Oxley).
Ils facilitent l’intégration des collaborateurs (onboarding) tout en sécurisant leur départ (offboarding).
Comment fonctionne IAM / IAG ?
IAM repose sur un système centralisé de gestion des identités numériques.
À chaque utilisateur est associé un profil avec des droits d’accès définis.
L’accès aux ressources (applications, fichiers, réseaux) dépend de ces droits.
Les règles peuvent être basées sur le rôle de la personne (RH, comptable, développeur).
Les mécanismes d’authentification (mot de passe, double facteur, badge) renforcent la sécurité.
IAG ajoute un suivi périodique de ces accès : qui a eu quoi, pourquoi et pendant combien de temps.
Cela permet d’effectuer des audits réguliers et d’automatiser la révocation d’accès inutiles.
Différences avec des notions proches
IAM est parfois confondu avec la cybersécurité en général. Or c’est une composante spécifique de la sécurité.
IAM ne remplace pas les antivirus, pare-feu ou sauvegardes, mais les complète.
IAM/IAG ne sont pas des outils RH, même s’ils interagissent étroitement avec les ressources humaines.
La gestion des mots de passe à elle seule ne constitue pas un IAM complet.
Une solution IAM inclut aussi la journalisation, les alertes et les droits conditionnels.
Exemples ou cas d’usage concrets
Une entreprise de 500 personnes utilise un outil IAM pour automatiser les créations de compte à l’embauche.
Elle relie son système RH à son annuaire d’entreprise (Active Directory) pour synchroniser les profils.
Un développeur accède uniquement aux serveurs nécessaires à son travail, pas aux documents financiers.
Lors d’un changement de poste, le système met à jour ses droits en fonction de son nouveau rôle.
Quand un collaborateur quitte la société, tous ses accès sont désactivés immédiatement.
L’équipe sécurité utilise IAG pour vérifier tous les trimestres que les droits reflètent bien les fonctions réelles.
Un tableau de bord permet au DSI et aux auditeurs de prouver que seuls les utilisateurs autorisés accèdent aux données sensibles.