L'IAM (Identity and Access Management) est la discipline cybersécurité qui gère qui a accès à quoi, quand, dans quelles conditions sur un système d'information. C'est la couche cyber la plus exploitée 2024-2025 : selon Verizon DBIR 2024, 74% des breaches impliquent un facteur humain (credentials volés, phishing, abus d'accès), et selon Microsoft Digital Defense Report 2024, 600 millions d'attaques identité/jour ciblent les comptes Entra ID. Le marché IAM mondial atteint 22 € milliards en 2026 (+12%/an Gartner) avec stack 2026 = AuthN (FIDO2 + OAuth 2.1 + SAML legacy) + AuthZ (RBAC + ABAC + ReBAC) + Governance (IGA SailPoint) + Privileged (PAM CyberArk) + Cloud (CIEM Wiz). Cet article documente les 7 priorités à comprendre : AuthN vs AuthZ, modèles RBAC/ABAC/ReBAC, protocoles OAuth 2.1/OIDC/SAML/FIDO2, IAM cloud (AWS/Azure/GCP), Zero Trust, JIT (just-in-time access), erreurs fréquentes, avec chiffres FR 2026 et positions tranchées.
Pour le contexte cloud : voir cloud security priorités 2026. Pour l'API security : voir sécurité API priorités 2026.
Le bon mental model : IAM = AuthN + AuthZ + Lifecycle, pas mots de passe
Beaucoup de candidats confondent IAM avec « gestion des mots de passe » ou « login-mot-de-passe ». C'est une compréhension primitive. L'IAM moderne 2026 est un système intégré 4 couches : authentication (qui es-tu ?), authorization (que peux-tu faire ?), governance (cycle de vie identité), audit (qu'as-tu fait ?). Réduire IAM à l'auth password = passer à côté de 80% du sujet.
Mythe IAM (réducteur) vs Réalité IAM 2026
───────────────────────────────────── ────────────────────────────────────
IAM = login + mot de passe → IAM = AuthN + AuthZ + Lifecycle + Audit
MFA SMS suffit → FIDO2/WebAuthn + Passkeys phishing-resistant
RBAC = solution unique → RBAC + ABAC + ReBAC empilés selon contexte
1 IDP centralisé = simple → Federation multi-IDP + Zero Trust
Mot de passe complexe = sécurisé → Passkeys + 0 mot de passe en 2026 idéal
Offboarding = supprimer compte → Offboarding = revoke tokens + audit + compliance
Long-lived sessions = ergonomique → JIT (just-in-time) + sessions courtes obligatoire
Admin permanent root = pratique → Break-glass + JIT + PAM + audit obligatoire
Position 1 : tout système IAM 2026 qui repose encore sur mots de passe permanents + MFA SMS est en dette technique sécurité majeure. Microsoft Digital Defense Report 2024 documente >600M attaques identité/jour sur Entra ID. Stratégie de référence 2026 = migration vers Passkeys (FIDO2/WebAuthn) + suppression progressive des mots de passe + MFA strong (FIDO2/TOTP) sur tous comptes critiques.
Position 2 : la mode 2024-2025 du « multi-IDP par défaut » (Okta + Entra + Auth0 + ...) complique l'IAM 5-10x sans gain business pour 80% des entreprises FR. Stratégie pragmatique : mono-IDP principal (Entra ID si M365, Okta si neutre, AWS IAM Identity Center si AWS-first) + federation entrante/sortante documentée + plan B documenté. Multi-IDP actif = grands groupes uniquement.
Priorité 1, AuthN (Authentication) : prouver qui tu es
| Mécanisme | Niveau | Coût/UX | Recommandation 2026 |
|---|---|---|---|
| Mot de passe seul | Faible | Bas | À éliminer (NIST SP 800-63B, OWASP) |
| Password + MFA SMS | Très faible | Bas | À éliminer (SIM swap, NIST déprécié 2017) |
| Password + TOTP (Google Authenticator, Authy) | Moyen | Bas | Acceptable transitoire 2026 |
| Password + Push notification (Duo, Okta Verify) | Moyen | Moyen | Acceptable, vulnérable MFA fatigue 2024 |
| Password + FIDO2 / Passkey | Fort | Moyen | Recommandé 2026 |
| Passwordless (Passkey only) | Fort | Élevé | Cible 2026-2027 |
| Certificate-based (mTLS, smart card) | Très fort | Très élevé | Workloads + admins critiques |
| Risk-based authentication (Okta Adaptive, Entra Conditional Access) | Adaptatif | Variable | Stack 2026 entreprise |
# Exemple Passkey enrollment WebAuthn (à savoir intégrer en 2026)
# Backend : Node.js + @simplewebauthn/server
import {
generateRegistrationOptions,
verifyRegistrationResponse,
} from '@simplewebauthn/server';
// 1. Server génère les options (challenge, RP info, exclude existing credentials)
const options = await generateRegistrationOptions({
rpName: 'Example Corp',
rpID: 'example.com',
userID: user.id,
userName: user.email,
attestationType: 'none',
excludeCredentials: existingCredentials,
authenticatorSelection: {
residentKey: 'required', // Discoverable credential (UX moderne)
userVerification: 'required', // PIN ou biometric obligatoire
authenticatorAttachment: 'platform', // Touch ID, Windows Hello, Android
},
});
// 2. Frontend appelle navigator.credentials.create() avec options
// 3. Server vérifie attestation
const verification = await verifyRegistrationResponse({
response: clientResponse,
expectedChallenge: options.challenge,
expectedOrigin: 'https://example.com',
expectedRPID: 'example.com',
});
if (verification.verified) {
// Stocker credentialID, publicKey, counter pour future authentification
await saveCredential(user.id, verification.registrationInfo);
}Référence : NIST SP 800-63B (Digital Identity Guidelines, 2017, mise à jour drafts 2024-2025) classe les niveaux AAL (Authenticator Assurance Level) AAL1/AAL2/AAL3. AAL2 minimum pour data sensible, AAL3 pour secrets cryptographiques (FIDO2 hardware ou smart card).
Priorité 2, AuthZ (Authorization) : RBAC + ABAC + ReBAC empilés
| Modèle | Force | Faiblesse | Use case 2026 |
|---|---|---|---|
| RBAC (Role-Based Access Control) | Simple, débogage facile | Ne scale pas avec contexte | 80% cas simples (admin, user, viewer) |
| ABAC (Attribute-Based) | Décisions contextuelles riches | Complexité écriture/débogage | Conditions dynamiques (heure, MFA, IP, sensibilité) |
| ReBAC (Relationship-Based) | Multi-tenant SaaS, ownership graphes | Très complexe à déboguer | SaaS B2B (Notion, Slack, Doctolib) |
| PBAC (Policy-Based, OPA Rego) | Policy-as-code, versionnable | Apprentissage Rego | Cloud-native + GitOps |
| DAC (Discretionary Access Control) | Owner décide | Pas de gouvernance centrale | Filesystems Linux historique |
| MAC (Mandatory Access Control) | Très strict, classifications | Très lourd à opérer | Militaire, défense (SELinux) |
# Exemple combinaison RBAC + ABAC avec OPA (Open Policy Agent) Rego
# policy.rego, règles d'autorisation as code
package authz
default allow = false
# RBAC base : seuls admins ou owners peuvent supprimer
allow {
input.action == "delete"
input.user.role == "admin"
}
allow {
input.action == "delete"
input.user.id == input.resource.owner_id
}
# ABAC overlay : conditions contextuelles obligatoires
allow {
input.action in ["read", "list"]
input.user.department == input.resource.department
input.user.mfa_present == true # MFA obligatoire
time.now_ns() < input.user.session_expiry_ns # Session valide
input.request.ip in input.allowed_corporate_ips # IP whitelist
}
# Deny override : block si user est dans liste compromise
deny {
input.user.id in data.compromised_users
}
# ReBAC pattern : ownership multi-tenant
allow {
input.action == "read"
input.user.id in input.resource.shared_with
}# Stack OPA + GitOps 2026 (à mettre en place pour AuthZ centralisé)
# Tester localement
opa eval --data policy.rego --input request.json "data.authz.allow"
# Intégration K8s admission control via Gatekeeper
helm install gatekeeper gatekeeper/gatekeeper
# Intégration sidecar microservices via Envoy ext_authz
# 100k req/s par instance OPA en mémoirePosition 3 : la solution structurelle 2026 = policy-as-code via OPA + Gatekeeper (Kubernetes), Cerbos (apps), OpenFGA/SpiceDB (multi-tenant), avec policies versionnées en Git et tests automatisés CI. Hardcoder l'authz dans chaque microservice = dette inviolable à 12-24 mois.
Priorité 3, Protocoles fédération : OAuth 2.1, OIDC, SAML, FIDO2
| Protocole | Année | Usage 2026 | Notes |
|---|---|---|---|
| OAuth 2.0 (RFC 6749) | 2012 | Délégation API legacy | À migrer vers OAuth 2.1 |
| OAuth 2.1 (draft RFC) | 2024-2025 | API authorization moderne | PKCE obligatoire, refresh rotation, response_type=code only |
| OIDC (OpenID Connect 1.0) | 2014 | Auth fédérée moderne | Sur OAuth 2.1, ID Token JWT, userinfo endpoint |
| SAML 2.0 (OASIS) | 2005 | SSO entreprise legacy | XML, complexe, mais entrenched grandes entreprises |
| WS-Federation | 2003 | Microsoft legacy | Migrer vers SAML/OIDC |
| FIDO U2F | 2014 | 2e facteur hardware | Remplacé par FIDO2 |
| FIDO2 / WebAuthn (W3C) | 2019 | Authentification phishing-resistant | Standard 2026 |
| Passkeys (FIDO Alliance + Apple/Google/Microsoft) | 2022-2023 (déploiement large 2024) | Auth passwordless | Cible 2026-2027 |
| SCIM 2.0 (System for Cross-domain Identity Management) | 2015 | Provisioning automated | RH → IDP → Apps |
# Exemple OIDC discovery endpoint (à savoir consommer en 2026)
# https://accounts.example.com/.well-known/openid-configuration
issuer: "https://accounts.example.com"
authorization_endpoint: "https://accounts.example.com/oauth2/authorize"
token_endpoint: "https://accounts.example.com/oauth2/token"
userinfo_endpoint: "https://accounts.example.com/oauth2/userinfo"
jwks_uri: "https://accounts.example.com/.well-known/jwks.json"
response_types_supported: ["code"] # OAuth 2.1 : code only
grant_types_supported: ["authorization_code", "refresh_token"]
code_challenge_methods_supported: ["S256"] # PKCE obligatoire
id_token_signing_alg_values_supported: ["RS256", "ES256"]
scopes_supported: ["openid", "profile", "email"]Priorité 4, IAM cloud : AWS / Azure / GCP comparés
| Feature | AWS IAM | Azure Entra ID (ex-Azure AD) | Google Cloud IAM |
|---|---|---|---|
| Granularité policy | JSON très fine, conditions riches | Conditional Access (UI + JSON), RBAC | Roles + IAM Conditions YAML |
| Workload identity | IRSA (IAM Roles for Service Accounts) EKS | Managed Identities + Workload Identity Federation | Workload Identity GKE |
| Federation OIDC entrante | Web Identity (Cognito, Auth0, Keycloak) | External Identities (B2B, B2C) | Workforce Identity Federation |
| MFA / Conditional Access | IAM MFA basique + AWS SSO | Conditional Access avancé (ML risk + locations) | Context-Aware Access (BeyondCorp) |
| Auditing | CloudTrail (event-level) | Sign-in logs + audit logs Entra | Cloud Audit Logs |
| Privilege analyzer | IAM Access Analyzer (gratuit) | Microsoft Defender for Identity | Recommender + Policy Analyzer |
| Cost | Gratuit avec resources AWS | Inclus dans M365/E5 ou 5.4 €-9/user/mois P1/P2 | Gratuit avec GCP resources |
| Marché FR 2026 | Dominant 50% (DevSecOps + scale-ups) | Dominant entreprises 60% (M365) | Niche premium 10% (scale-ups GCP) |
# Exemple Terraform AWS IAM least-privilege avec ABAC (à savoir écrire 2026)
data "aws_iam_policy_document" "team_data_access" {
statement {
sid = "AllowS3ReadOwnTeamData"
effect = "Allow"
actions = ["s3:GetObject", "s3:ListBucket"]
resources = [
"arn:aws:s3:::data-bucket-team-*",
"arn:aws:s3:::data-bucket-team-*/*"
]
# ABAC : condition basée sur tag team
condition {
test = "StringEquals"
variable = "aws:ResourceTag/team"
values = ["${aws:PrincipalTag/team}"]
}
# MFA obligatoire
condition {
test = "Bool"
variable = "aws:MultiFactorAuthPresent"
values = ["true"]
}
# IP whitelist corporate
condition {
test = "IpAddress"
variable = "aws:SourceIp"
values = ["10.0.0.0/8", "192.168.0.0/16"]
}
}
}Priorité 5, Zero Trust + JIT (just-in-time access)
Le Zero Trust (NIST SP 800-207, août 2020) abandonne le périmètre réseau au profit de « never trust, always verify » par requête. Implications IAM :
| Pilier Zero Trust | Implémentation IAM 2026 |
|---|---|
| Verify explicitly | MFA strong (FIDO2) + device posture (Intune, Jamf) + geolocation + behavior analytics |
| Least privilege | RBAC + ABAC + JIT (Just-In-Time) + reviews trimestriels |
| Assume breach | Continuous monitoring + UEBA + session recording PAM |
JIT (Just-In-Time) Access, la pratique 2026
# Exemple workflow JIT access avec Okta + ServiceNow ou approche custom
# 1. User demande accès admin via portail (ServiceNow, custom)
# 2. Approbation manager + validation automatique (no recent incidents, MFA verified)
# 3. Provisioning temporaire :
# - Ajout user à group "admin-prod" pour 4 heures max
# - Notification Slack + alert SOC
# - Logs CloudTrail + audit Entra
# 4. Auto-revoke à expiration (cron ou Okta Workflows)
# 5. Post-session review : commandes exécutées, audit complet
jit_access_policy = {
"max_duration_hours": 4,
"approval_required": True,
"approver": "manager_l2_or_above",
"auto_revoke": True,
"session_recording": True, # PAM CyberArk Session Manager
"alerting": ["slack-secops", "siem-splunk"],
"audit_retention_days": 365,
}| Pratique | Anti-pattern | Pratique 2026 |
|---|---|---|
| Admins permanents root cloud | Comptes service permanents avec admin: * | JIT 2-8h max + MFA + session recording PAM |
| Long-lived AWS access keys | aws_access_key valide 5 ans | STS AssumeRole 1-12h + OIDC dynamic creds |
| Sessions infinies SaaS | "Remember me" 30j | Sessions 8h max + re-MFA toutes 24h |
| Break-glass non monitoré | Compte "emergency" jamais audité | Break-glass + alerting immédiat + audit hebdo |
Position 4 : tout architecte IAM 2026 qui ne déploie pas JIT access avec PAM sur les comptes privilégiés cloud (AWS root, Azure Global Admin, GCP Owner) ne fait pas son job. CyberArk PAM, BeyondTrust Privileged Remote Access, Delinea Secret Server, HashiCorp Boundary (OSS) sont les options matures 2026. Coût justifié vs risque breach (CyberArk State of Privilege Security 2024 : 60% breaches impliquent privilèges non gérés).
Priorité 6, Stack outillage IAM 2026
# Stack IAM 2026 minimum entreprise sérieuse (ordre par criticité)
# === IDP (Identity Provider), choisir 1 principal ===
# - Microsoft Entra ID (ex-Azure AD) si M365 dominant, leader marché FR
# - Okta Workforce Identity si neutre cloud
# - Auth0 (acquis par Okta 2021) si focus apps custom B2B/B2C
# - Keycloak (open source Red Hat) si auto-hébergé / on-prem
# === IGA (Identity Governance) ===
# - SailPoint IdentityNow / IdentityIQ (leader Gartner 2024)
# - Saviynt
# - Omada
# - Okta Identity Governance (intégré Okta)
# === PAM (Privileged Access Management) ===
# - CyberArk Privilege Cloud / Privileged Access Manager (leader Gartner)
# - BeyondTrust Privileged Remote Access
# - Delinea Secret Server
# - HashiCorp Boundary (OSS, integration Vault)
# === CIEM (Cloud Infrastructure Entitlement Management) ===
# - Wiz CIEM (CNAPP), leader 2024-2025
# - Sonrai Security
# - Permiso
# - AWS IAM Access Analyzer (gratuit AWS native)
# === Authorization as code ===
brew install opa # Open Policy Agent (OPA)
helm install gatekeeper gatekeeper/gatekeeper # K8s admission control
# Cerbos (Go), OpenFGA (Auth0/Okta), SpiceDB (Authzed)
# === MFA / Passkey ===
# Yubikey 5 Series + Yubico Authenticator (FIDO2 hardware)
# 1Password / Bitwarden Passkey support
# WebAuthn frameworks : @simplewebauthn (JS), webauthn-rs (Rust), py-webauthn (Python)
# === Provisioning automation ===
# SCIM 2.0 (RFC 7644) implémentations
# Workato, Zapier (lightweight), Saviynt (entreprise)
# === Monitoring identité ===
# Microsoft Defender for Identity
# Okta ThreatInsight
# CrowdStrike Identity Protection
# Splunk UEBA, Exabeam| Catégorie | OSS / Free | Commercial leader |
|---|---|---|
| IDP | Keycloak | Okta, Microsoft Entra ID, Auth0 |
| IGA | (peu d'OSS mature) | SailPoint, Saviynt, Omada |
| PAM | HashiCorp Boundary, Vault | CyberArk, BeyondTrust, Delinea |
| CIEM | AWS IAM Access Analyzer (AWS only) | Wiz, Sonrai, Permiso |
| AuthZ as code | OPA, Cerbos, OpenFGA, SpiceDB | (commercial = service mesh managed) |
| MFA / Passkey | Yubikey + open-source apps | Duo (Cisco), Okta Verify |
| Provisioning | SCIM 2.0 + custom | Saviynt, Okta Lifecycle |
| Identity Threat Detection | (UEBA OSS limité) | Microsoft Defender, CrowdStrike Falcon Identity, Okta ThreatInsight |
Priorité 7, Salaires IAM Engineer FR 2026 + trajectoire carrière
| Niveau | Paris | Lyon/Toulouse/Bordeaux | Niche premium |
|---|---|---|---|
| Junior 0-2 ans (rare en pur IAM) | 45-55 k€ | 38-48 k€ | (non junior accessible) |
| Confirmé IAM Specialist 3-5 ans | 60-75 k€ | 55-68 k€ | +10-15 k€ |
| Senior IAM Architect 5-8 ans | 80-105 k€ | 72-90 k€ | +15-25 k€ |
| Lead IAM / IAM Director 8+ ans | 100-130 k€ + bonus | 90-115 k€ + bonus | +20-35 k€ |
| Specialist niche (Zero Trust BeyondCorp, ABAC + workload identity) | 95-130 k€ | 85-110 k€ | LLM Security IAM |
Top employeurs IAM FR 2026
| Tier | Type | Exemples | Salaire senior |
|---|---|---|---|
| 1 | Pure players IAM globaux | Okta France, Entrust, Ping Identity, SailPoint | 95-130 k€ + RSU |
| 2 | Banques / FinTech | BNP Paribas, SocGen, CA-CIB, Lydia, Spendesk | 80-105 k€ + bonus |
| 3 | Scale-ups SaaS premium | Doctolib, Mirakl, Back Market, Alan, Qonto | 80-105 k€ + BSPCE |
| 4 | ESN cyber spécialisées | Wavestone Cyber Solutions, Synetis, Almond | 70-90 k€ |
| 5 | Industrie / défense | Thales, Airbus, Naval Group | 70-90 k€ |
| 6 | Énergie / Telco | EDF, Orange, Engie, Bouygues Telecom | 70-90 k€ |
Position 5 : la combinaison Okta + Entra ID + AWS IAM + ABAC OPA + PAM CyberArk débloque les postes senior IAM Architect 95-110 k€ rapidement (5-7 ans XP). Investir dans un seul IDP toute sa carrière = plafonnement 75-85 k€. Multi-IDP + multi-cloud expertise est le levier salaire IAM 2026.
Erreurs fréquentes IAM 2026
| Erreur | Symptôme / risque | Fix |
|---|---|---|
| MFA SMS comme second facteur | SIM swap exploit, NIST déprécié 2017 | FIDO2/WebAuthn ou TOTP minimum |
| Mots de passe permanents | Phishing + credential stuffing | Migration progressive Passkeys 2026-2027 |
| Admins permanents root cloud | Compromission = breach total | JIT 2-8h max + PAM session recording |
| RBAC seul sans contexte | Excessive privileges, pas de conditions | RBAC + ABAC + condition keys (heure, IP, MFA) |
| Long-lived access keys cloud | Leak = compromission permanente | STS AssumeRole + OIDC dynamic + Vault rotation |
| Authz hardcoded dans microservices | Dette technique inviolable | Policy-as-code OPA + Gatekeeper + Cerbos |
| Multi-IDP non orchestré | Identity sprawl, comptes oubliés | Mono-IDP principal + federation documentée |
| Offboarding = supprimer compte | Tokens valides, accès résiduels | Revoke tokens + audit + compliance reviews |
| Pas de IGA (gouvernance) | Privilege creep silencieux | SailPoint / Saviynt + reviews trimestriels |
| Audit CloudTrail / Entra logs off | Détection breach +200j (IBM 2024) | CloudTrail multi-region + Entra sign-in logs + SIEM |
| MFA fatigue exploitable (push notifications) | Attaque 2024 (Uber, Cisco) | Number matching + verified push (Duo, Okta Verify) |
| Pas de break-glass formalisé | Pas de plan B en cas crisis | Break-glass account + alerting immédiat + audit |
Pour aller plus loin
- Cloud Security priorités 2026, IAM cloud AWS/Azure/GCP en détail.
- DevSecOps c'est quoi vraiment, concept englobant et anti-patterns.
- Sécurité API priorités 2026, authentification API OAuth 2.1 + mTLS.
- Pipeline CI/CD sécurisé exemple, secrets management + IAM CI/CD.
- AppSec définition priorités 2026, programme AppSec global.
- Salaire DevSecOps priorités 2026, leviers salariaux.
- Métiers cybersécurité priorités 2026, comparaison familles BUILD/BREAK/DEFEND/GOVERN.
Points clés à retenir
- IAM (Identity and Access Management) = AuthN (qui es-tu) + AuthZ (que peux-tu faire) + Lifecycle (joiner/mover/leaver) + Audit. Pas juste « login + mot de passe ».
- IAM = couche cyber la plus exploitée 2024-2025 : 74% breaches impliquent facteur humain (Verizon DBIR 2024), 600M attaques identité/jour Entra ID (Microsoft DDR 2024), 99% cloud users ont privilèges excessifs (Datadog 2024).
- 4 disciplines distinctes 2026 : IAM (Okta/Entra) + IGA (SailPoint/Saviynt) + PAM (CyberArk/BeyondTrust) + CIEM (Wiz/Sonrai). Stack entreprise selon maturité.
- AuthN moderne : FIDO2/WebAuthn obligatoire admins, Passkeys cible 2026-2027 (FIDO Alliance + Apple/Google/Microsoft 2022-2023). SMS MFA déprécié NIST SP 800-63B.
- AuthZ : RBAC + ABAC + ReBAC empilés selon contexte. Policy-as-code via OPA + Gatekeeper + Cerbos (apps) + OpenFGA/SpiceDB (multi-tenant SaaS).
- Protocoles fédération 2026 : OAuth 2.1 (PKCE obligatoire) pour APIs + OIDC pour SSO modernes + SAML 2.0 pour legacy + FIDO2 pour MFA + SCIM 2.0 pour provisioning automatisé.
- IAM cloud : AWS IAM dominant 50% FR (DevSecOps), Entra ID dominant 60% entreprises FR (M365), Okta neutre multi-cloud, GCP IAM niche 10%. Workload identity : IRSA (AWS), Managed Identities (Azure), Workload Identity (GCP), SPIFFE/SPIRE multi-cloud.
- Zero Trust + JIT (Just-In-Time) : abandonner admins permanents root, JIT 2-8h max + PAM session recording + alerting + audit. NIST SP 800-207 (août 2020) référence.
- Coût IAM stack entreprise FR 2026 : PME (200-2 000 users) ~100-300 k€/an (Okta + IGA), ETI ~1-3 M€/an, grand groupe (10 000+) 5-15 M€/an stack complet.
- Salaires IAM FR 2026 : confirmé 60-75 k€, senior architect 80-105 k€, lead 100-130 k€ + bonus. Top employeurs : Okta France, banques (BNP, SocGen), scale-ups SaaS (Doctolib, Mirakl), industrie défense.
- Anti-pattern majeur : multi-IDP par défaut sans orchestration → identity sprawl. Stratégie pragmatique 2026 : mono-IDP principal + federation entrante/sortante documentée. Multi-IDP actif = grands groupes uniquement.
- Évolution attendue 2026-2028 : déploiement Passkeys massif (élimination progressive mots de passe), Zero Trust devient standard, ABAC + ReBAC remplacent RBAC pur, ITDR (Identity Threat Detection & Response) émerge comme catégorie.
