Zeroday Cyber Academy

Glossaire cyber

IAM - Identity and Access Management, leaders 2026

IAM (Identity and Access Management) : SSO, MFA, RBAC, ABAC, PAM, IGA, leaders 2026 (Entra ID, Okta, Ping), Zero Trust, NIST SP 800-63, attaques 2024-2026.

Naim Aouaichia
18 min de lecture
  • Glossaire
  • IAM
  • Identity
  • Zero Trust
  • MFA
  • PAM
  • Compliance

L'IAM (Identity and Access Management) est l'ensemble des disciplines, technologies et processus qui gèrent qui peut accéder à quoi dans un système d'information : identification, authentification, autorisation, auditabilité. C'est la brique de sécurité n°1 d'une organisation moderne, selon le Verizon DBIR 2024 publié en mai 2024, 68 % des breaches impliquent une compromission d'identité humaine (credential theft, phishing, social engineering, MFA bypass), chiffre stable depuis 2021. Le marché IAM mondial 2026 pèse environ 25-30 milliards de dollars (Gartner, IDC), structuré en quatre sous-disciplines : IGA (Identity Governance & Administration), PAM (Privileged Access Management), CIAM (Customer IAM), Workforce IAM. Les leaders 2026 sont Microsoft Entra ID (ex-Azure AD, renommé en juillet 2023), Okta (rachat Auth0 mai 2021, Customer Identity Cloud), Ping Identity + ForgeRock (fusion Thoma Bravo 2023), SailPoint (IPO 2025 après rachat Thoma Bravo 2022), CyberArk (PAM leader). Comprendre la distinction RBAC/ABAC/PBAC, les standards SAML/OIDC/OAuth/FIDO2/SCIM, l'émergence des Passkeys, le Zero Trust selon NIST SP 800-207, et les leçons des attaques 2023-2024 (Storm-0558, Midnight Blizzard, Snowflake credential reuse) est non-négociable pour tout RSSI, architecte sécurité ou ingénieur IAM en 2026.

Pour le contexte adjacent : voir SIEM - Security Information Event Management pour la corrélation des événements identity, et SOAR - Security Orchestration Automation Response pour l'automation de réponse aux compromissions identity.

1. Définition AAA et architecture IAM moderne

L'IAM repose sur le modèle AAA historique (Authentication, Authorization, Accountability) étendu en 2026 :

PhaseAcronymeQuestion répondueStandards/Mécanismes
IdentificationIQui prétend être qui ?username, email, ID externe
AuthentificationACette identité est-elle vraie ?password, MFA, Passkeys, FIDO2, certificat
AutorisationAA-t-elle le droit de faire X ?RBAC, ABAC, PBAC, ACL
AuditabilitéAQu'a-t-elle fait, quand ?logs SIEM, audit trail
Cycle de vie(IGA)Provisioning, deprovisioning, certificationsSCIM, JML (Joiner/Mover/Leaver)

L'IAM moderne 2026 s'organise en quatre piliers :

PilierDéfinitionCibleLeaders 2026
Workforce IAMIdentités employés internesEmployés, contractorsMicrosoft Entra ID, Okta Workforce
CIAMCustomer Identity & Access ManagementClients, partenaires, citoyens (1M+ users)Okta CIC (Auth0), Entra External ID, ForgeRock
PAMPrivileged Access ManagementAdmins, root, service accountsCyberArk, BeyondTrust, Delinea
IGAIdentity Governance & AdministrationCycle de vie + certifications + role miningSailPoint IdentityNow, Saviynt EIC, Entra ID Governance

Architecture macro 2026 d'une organisation mature :

[Sources d'identité]                         [IdP central]                    [Apps / Resources]
                                              
HR system (Workday, BambooHR) ─────►  Microsoft Entra ID (workforce)  ◄────►  M365 (SAML/OIDC)
Active Directory on-prem      ─────►                                  ◄────►  Salesforce (SAML)
SCIM provisioning             ─────►                                  ◄────►  AWS (SAML federated)
                                                                       ◄────►  Custom apps (OIDC)
 
External users (B2B, B2C)     ─────►  Auth0 / Entra External ID       ◄────►  Customer apps
 
Privileged accounts           ─────►  CyberArk / BeyondTrust          ◄────►  Servers, databases,
                                                                                K8s, cloud admin
 
Governance                    ─────►  SailPoint / Saviynt             ◄────►  All of the above
                                       (provisioning + certif)

2. Authentication - du mot de passe aux Passkeys

2.1 Évolution historique

PériodeMécanisme dominantLimite structurelle
1960-2000Password seulPhishing, bruteforce, reuse
2000-2015Password + token TOTP/SMSSMS interceptable, push fatigue
2015-2020MFA push notification (Authenticator)Push fatigue, MFA bombing
2019-2024FIDO2 / WebAuthnAdoption inégale, UX imparfaite
2022-2026Passkeys (FIDO synced)Vendor lock-in éventuel sur le sync

FIDO2 (Fast Identity Online v2, finalisé W3C 2019) combine WebAuthn (API browser) + CTAP2 (Client to Authenticator Protocol). Cryptographie asymétrique device-bound : la clé privée ne quitte jamais l'authenticator (TPM, Secure Enclave, YubiKey). Phishing-resistant by design : impossible de forger un challenge depuis un site malveillant.

Passkeys (FIDO Alliance, mai 2022) ajoutent la synchronisation cross-device via cloud provider (Apple iCloud Keychain, Google Password Manager, Microsoft Authenticator). Trade-off : meilleure UX (login depuis nouveau device sans setup) mais lock-in cloud sync.

2.2 Recommandations 2026 par tier d'utilisateur

TierRecommandation 2026Raison
Tier 0 (admins domain controllers, hyperviseurs)Passkeys hardware (YubiKey) + PAM + JIT accessCibles APT, Storm-0558-like risk
Tier 1 (admins applicatifs, DBA, devops)Passkeys synced + MFA résistant phishingCible majeure
Tier 2 (utilisateurs business sensibles)Passkeys synced ou MFA Authenticator appCible phishing fréquente
Tier 3 (utilisateurs généraux)MFA Authenticator app, fallback TOTPVolume, transition Passkeys 2-4 ans
CIAM (clients)Passkeys optionnel + email magic link + MFA TOTPUX vs sécurité, choix utilisateur

3. Autorisation - RBAC vs ABAC vs PBAC

3.1 Définitions précises

ModèleDéfinitionForceLimite
DAC (Discretionary AC)Owner-defined, ACLs (POSIX, NTFS)Simple, intuitiveMauvaise gouvernance scale
MAC (Mandatory AC)Labels imposés (Bell-LaPadula, Biba)Compliance forte (défense, gov)Rigide, complexe
RBAC (Role-Based AC, NIST 1992)Droits par rôleStandard, auditableExplosion des rôles à scale
ABAC (Attribute-Based AC, NIST SP 800-162, 2014)Droits par attributs (user, resource, env)Expressif, scalable cloudComplexité gouvernance
PBAC (Policy-Based AC)Policies déclaratives (Cedar, OPA Rego, Casbin)Code-as-policy, testableMaturité variable
ReBAC (Relationship-Based AC, Google Zanzibar 2019)Graph relations user → resourceCible apps modernes (Notion, GitHub)Spécifique, peu de standards

Position tranchée 2026 : RBAC pur ne scale plus pour le cloud-native. Le pragmatique est RBAC base + ABAC conditional :

  • Définir 30-100 rôles métier RBAC stables.
  • Ajouter des conditions ABAC pour la finesse contextuelle : user.mfa_strength == "phishing-resistant", resource.classification == "confidential" → require justification, env.location ∉ countries_allowed → deny, env.time ∉ business_hours → require approval.

Implementations 2026 :

Cloud / PlateformeModèle natif
AWS IAMRBAC roles + ABAC IAM conditions + Cedar (Verified Permissions)
Azure RBACRBAC + ABAC conditions (storage, KV depuis 2022)
GCP IAMRBAC + IAM Conditions
KubernetesRBAC natif + OPA Gatekeeper / Kyverno pour PBAC
Apps modernesOPA Rego, Casbin, Cedar (AWS), Permify, SpiceDB (Authzed, ReBAC)

3.2 Exemple concret AWS ABAC condition

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::company-confidential-*/*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalTag/Department": "${s3:ExistingObjectTag/Department}"
        },
        "Bool": {
          "aws:MultiFactorAuthPresent": "true"
        },
        "NumericLessThan": {
          "aws:MultiFactorAuthAge": "3600"
        },
        "IpAddress": {
          "aws:SourceIp": ["10.0.0.0/8", "172.16.0.0/12"]
        }
      }
    }
  ]
}

Cette policy autorise s3:GetObject uniquement si : (1) le département de l'utilisateur match le tag du bucket, (2) MFA présent, (3) MFA datée de moins d'1h, (4) IP source dans le réseau d'entreprise. Impossible à exprimer en RBAC pur.

4. Standards et protocoles IAM 2026

StandardAnnéeRôleStatut 2026
SAML 2.02005 (OASIS)SSO web XML-basedLegacy mais omniprésent
OAuth 2.02012 (RFC 6749)Délégation autorisationStandard, mais nombreuses variantes
OAuth 2.12024 (Internet-Draft)OAuth 2.0 + best practices fixEn cours de finalisation
OpenID Connect (OIDC)2014Identity layer sur OAuth 2.0Standard moderne
SCIM 2.02015 (RFC 7644)Provisioning user accountsStandard de fait
WebAuthn2019 (W3C)API browser FIDO2Adoption croissante
CTAP22019 (FIDO)Client-to-AuthenticatorCombiné WebAuthn
Passkeys2022 (FIDO)FIDO synced cross-deviceAdoption en cours
DIF / DIDs / VCs2022+ (W3C)Decentralized IdentityÉmergent, encore niche

NIST SP 800-63 publications de référence :

DocumentVersion 2026Sujet
NIST SP 800-63-32017, 800-63-4 in progress 2024Digital Identity Guidelines (umbrella)
NIST SP 800-63A-3Identity proofing (KYC equivalent)
NIST SP 800-63B-3Authenticator strengths (AAL1/2/3)
NIST SP 800-63C-3Federation et assertions
NIST SP 800-2072020Zero Trust Architecture
NIST SP 800-1622014ABAC Guide
NIST SP 800-53 Rev 52020AC family controls

Le draft NIST SP 800-63-4 (publication finale attendue 2024-2025) a déprécié SMS comme méthode d'authentification AAL2/AAL3 et a renforcé les exigences sur la résistance phishing (FIDO2/Passkeys requis pour AAL3).

5. Leaders du marché IAM 2026

5.1 Workforce IAM

ProduitVendorForceLimiteTarif indicatif
Microsoft Entra IDMicrosoftIntégration M365, Conditional Access, PIM, Workload IdentityLock-in MicrosoftInclus M365 Business Premium ; Premium P2 ~9 €/user/mois
Okta Workforce IdentityOktaCatalogue 7000+ apps SAML/OIDC pré-intégréesLock-in Okta, prix premium5-15 €/user/mois selon tier
Ping Identity / ForgeRockThoma Bravo (fusion 2023)Marché grand compte, ZTNA fortRoadmap fusion en coursVariable, sur quote
JumpCloudJumpCloudMid-market, multi-OSMoins riche que leadersVariable
Auth0 WorkforceOktaPour développeurs, dev-friendlyIntégration directe Workforce limitéeVariable
Google Cloud IdentityGoogleStack Google WorkspaceAdoption hors Google modesteVariable

5.2 PAM (Privileged Access Management)

ProduitVendorForceLimiteTarif indicatif
CyberArkCyberArkLeader Gartner, mature, exhaustifTarif premium, complexité100-500 k€/an grand compte
BeyondTrustBeyondTrustPrivileged Remote Access fortMarché US dominantVariable
DelineaThycotic + Centrify (fusion 2021)Mid-market friendlyRoadmap fusion en coursVariable
HashiCorp VaultHashiCorp (IBM acquisition 2024)Secrets management cloud-nativePAM session moins mature que CyberArkOpen-source + Enterprise
Microsoft Entra PIMMicrosoftInclus Entra ID P2, JIT admin Azure/M365Couvre M365 ecosystem seulementInclus P2
AWS Identity Center + Verified PermissionsAWSNative AWS, Cedar policiesSpécifique AWSInclus AWS

5.3 IGA (Identity Governance and Administration)

ProduitVendorForceLimiteTarif indicatif
SailPoint IdentityNowSailPoint (IPO 2025)Leader Gartner IGA, mature certificationsCoût, complexité200-800 k€/an
Saviynt EICSaviyntCloud-native, ABAC fortMarché plus restreintVariable
Microsoft Entra ID GovernanceMicrosoftInclus Entra ID Governance SKUCouvre M365/Azure principalement~7 €/user/mois
One IdentityOne Identity (Quest)Marché mid-marketRoadmap moins activeVariable

5.4 CIAM

ProduitVendorForceLimiteTarif indicatif
Okta Customer Identity Cloud (Auth0)OktaDev-friendly, scale 100M+ usersPricing complexe0.023 $/MAU
Microsoft Entra External IDMicrosoftMigration B2C → External ID en coursMaturité fonctionnelle inégaleVariable
Ping Identity Customer 360Thoma BravoMarché B2B grand compteFusion ForgeRockVariable
AWS CognitoAWSIntégration AWS, prix accessibleFonctionnalités limitées0.0055 $/MAU
FronteggFronteggB2B SaaS focus, dev-firstAdoption modesteVariable

6. Zero Trust et IAM - opérationnalisation 2026

Zero Trust est formalisé par John Kindervag (Forrester, 2010) puis par NIST SP 800-207 (Zero Trust Architecture, août 2020). Cinq piliers selon CISA Zero Trust Maturity Model 2.0 (avril 2023) :

PilierExigence Zero TrustMaturité 2026 attendue
IdentityAuthentification forte continue, JIT, ZSPMFA partout, Passkeys Tier 0-1, PIM admin
DevicesPosture device validée, EDR, complianceIntune compliance, EDR mandatory
NetworksMicro-segmentation, encrypt allZTNA, SASE, encrypt in-transit
Applications & WorkloadsAuthorization continue, secure SDLCOAuth 2.1, OPA, mTLS workloads
DataClassification, encryption at-rest, DLPMicrosoft Purview, classification labels

Pratiques opérationnelles Zero Standing Privilege (ZSP) 2026 :

  1. Aucun compte admin permanent sur Tier 0. Activation via PIM (Entra ID) ou CyberArk Alero pour 1-8h max avec justification + approval.
  2. Just-in-Time access sur AWS, Azure, GCP via service accounts à courte durée (sts:AssumeRole, Azure managed identities éphémères).
  3. Conditional Access : MFA strength conditionnelle, geo-fence, risk score Entra ID Identity Protection.
  4. Continuous evaluation : Entra ID Continuous Access Evaluation (CAE) révoque tokens en quasi-temps réel sur signal de risque.

Maturité observée 2026 (rapports Gartner, Forrester, CISA) : 50-60 % des grandes orgs ont une stratégie Zero Trust formalisée, 20-30 % l'ont implémentée sur > 50 % de leur surface, < 10 % sont au stade « optimal » selon CISA Maturity Model.

7. Attaques IAM 2024-2026 - cas d'école et leçons

IncidentDateVecteurImpactLeçon
Storm-0558 (Microsoft)Juillet 2023Vol clé MSA via crash dump exfiltréForge tokens Outlook.com, accès gov USAudit signing keys, HSM, rotation, segmentation crash dumps
Okta breach (Cloudflare et autres)Octobre 2023Session token volé via support agentAccès consoles plusieurs clientsRotation token, monitoring session, allowlist support
Midnight Blizzard / NOBELIUM (Microsoft)Janvier-juin 2024Password spray sur tenant test sans MFA + OAuth app malicieuseMailbox executives MicrosoftMFA partout, audit OAuth apps, isolation test/prod
Snowflake credential reuseMai-juin 2024Infostealer + Snowflake comptes sans MFA165+ victimes (Ticketmaster, Santander, AT&T)MFA SaaS cloud data, IP allowlist, monitoring
MGM Resorts / Caesars (Scattered Spider)Septembre 2023Vishing IT helpdesk, MFA reset frauduleuxRansomware 90M €+ impactVerification helpdesk renforcée, callback obligatoire
Microsoft email theft (HHS, State Dep)Juin-juillet 2024Continuation Storm-0558 + Midnight BlizzardDonnées sensibles gov USRenforcement Tier 0 admin, Passkeys hardware
Okta SSPRMars 2024Customer support breach (Octa.com)Logs clients exfiltrésAudit logs partage, MFA support staff
Lapsus$ T-Mobile, MGM, Uber2022-2023SIM swap, social engineering, push fatigueMulti-victime massiveSMS-MFA déconseillé, push fatigue mitigations

8. Erreurs fréquentes et anti-patterns IAM

ErreurSymptômeFix
Comptes admin partagésPas d'auditabilité, difficile à révoquerCompte personnel admin + PAM + JIT
MFA push sans number matchingPush fatigue / MFA bombingActiver Number Matching (Entra ID), tokens TOTP fallback
Comptes service avec mot de passe statiqueRotation jamais faite, cible APTManaged identities, Vault dynamic secrets, rotation automatique
50+ rôles RBAC custom dupliquésExplosion de complexité, certifications impossiblesRole mining (SailPoint), consolidation, ABAC pour finesse
OAuth apps consenties sans auditStorm-0558 / Midnight Blizzard patternAudit mensuel apps consenties, restrict admin consent
Pas de JIT pour adminsCompromission = accès permanentEntra ID PIM, CyberArk Alero, JIT 1-8h max
SMS MFA sur comptes adminSIM swap, SS7 attacksPasskeys hardware obligatoire Tier 0
Pas d'évaluation continue sessionToken volé reste valide jusqu'à expirationEntra ID Continuous Access Evaluation
Lifecycle mal automatiséComptes orphelins ex-employés actifsSCIM provisioning, deprovisioning HR-driven
Pas de monitoring identity-centricLogin geo-impossible non détectéEntra ID Identity Protection, Falcon ITP, UEBA SIEM

9. Stack opérationnelle IAM 2026 - tarification et déploiement

Tarification ordre de grandeur 2026 (France, EUR HT) :

Profil organisationStack typiqueCoût annuel
PME 100-500 employésMicrosoft 365 Business Premium (Entra P1 inclus) + CyberArk PAM lite50-150 k€
ETI 500-3000 employésM365 E5 (Entra P2 inclus) + SailPoint IGA + CyberArk PAM300-800 k€
Grand compte 3000-15000Entra P2 ou Okta Workforce + SailPoint + CyberArk + Auth0 CIAM1-5 M€
Très grand compte 15k+Idem + ZTNA (Zscaler/Cloudflare/Entra Internet Access) + UEBA5-30 M€

Quick wins d'amélioration IAM 2026, ROI sécurité immédiat :

  1. MFA partout sans exception (incluant tenants test, comptes service support), coût marginal, blocs ~99 % credential stuffing.
  2. Passkeys sur Tier 0 (admin domain controllers, hyperviseurs, prod database), YubiKey ~80 €/admin one-shot, blocs Storm-0558-like.
  3. JIT admin via PIM Entra ID ou CyberArk Alero, élimine les attaques sur comptes admin permanents.
  4. Audit OAuth apps mensuel, détecte Midnight Blizzard pattern.
  5. Conditional Access geo + risk, bloque login geo-impossible automatique.
  6. Monitoring identity-centric : Entra ID Identity Protection, Falcon Identity Threat Protection, Defender for Identity, UEBA dédié identity.
  7. Lifecycle SCIM HR-driven, élimine comptes orphelins ex-employés.

10. Pour aller plus loin

11. Points clés à retenir

  • IAM = AAA étendu : Identification + Authentification + Autorisation + Auditabilité + Cycle de vie. 4 piliers : Workforce IAM, CIAM, PAM, IGA.
  • 68 % des breaches impliquent une compromission d'identité (Verizon DBIR 2024). Brique sécurité n°1 du SI moderne.
  • Marché 2026 : 25-30 milliards de dollars. Leaders : Microsoft Entra ID, Okta, Ping/ForgeRock (fusion Thoma Bravo 2023), SailPoint (IPO 2025), CyberArk (PAM).
  • Microsoft Azure AD renommé Entra ID en juillet 2023. Continuité technique mais branding différent.
  • RBAC base + ABAC conditional = pragmatique 2026. PBAC (Cedar AWS, OPA Rego) pour cloud-native et microservices.
  • Passkeys (FIDO Alliance, mai 2022) : phishing-resistant, sync cross-device, adoption ~25-35 % grandes orgs sur Tier 0 en 2026.
  • SMS-MFA déconseillé par NIST SP 800-63B-4 (draft 2024). À considérer single factor sur comptes sensibles.
  • Zero Trust formalisé par NIST SP 800-207 (2020) et CISA Zero Trust Maturity Model 2.0 (2023). Maturité observée 2026 : 20-30 % grandes orgs implémentent réellement > 50 % surface.
  • Standards core : SAML 2.0 (2005), OAuth 2.0 (RFC 6749, 2012), OIDC (2014), OAuth 2.1 (draft 2024), SCIM 2.0 (RFC 7644, 2015), WebAuthn (W3C 2019), Passkeys (2022).
  • Attaques IAM 2023-2024 majeures : Storm-0558 (juillet 2023, MSA key vol), Midnight Blizzard (janvier-juin 2024, password spray + OAuth), Okta breach (octobre 2023), Snowflake credential reuse (mai-juin 2024, 165+ victimes), MGM/Caesars Scattered Spider (septembre 2023, 90M €+).
  • Anti-pattern n°1 : MFA absent ou bypass-able sur surfaces perçues comme periphery (tenants test, comptes service, SaaS data).
  • Quick wins ROI 2026 : MFA partout + Passkeys Tier 0 + JIT admin + audit OAuth apps mensuel + Conditional Access + monitoring identity-centric.

Questions fréquentes

  • Quelle différence concrète entre IAM, IGA, PAM et CIAM en 2026 ?
    **IAM** (Identity and Access Management) = umbrella couvrant l'identification + authentification + autorisation + auditabilité (AAA). **IGA** (Identity Governance and Administration) = sous-discipline focalisée sur le cycle de vie (provisioning, deprovisioning, role mining, certification d'accès), leaders SailPoint IdentityNow, Saviynt EIC, Microsoft Entra ID Governance. **PAM** (Privileged Access Management) = sous-discipline focalisée sur les comptes à privilèges (admin, root, service accounts, secrets), leaders CyberArk, BeyondTrust, Delinea, HashiCorp Vault. **CIAM** (Customer IAM) = IAM pour les utilisateurs externes (clients, partenaires, citoyens) avec scale 1M+ users, leaders Okta Customer Identity Cloud (Auth0), Microsoft Entra External ID, ForgeRock. Stack typique 2026 entreprise : Entra ID (workforce IAM) + SailPoint (IGA) + CyberArk (PAM) + Auth0 (CIAM si applicable). Pour PME/ETI : Entra ID Premium P2 couvre 80 % des besoins IAM/IGA usuels avec un seul produit.
  • RBAC vs ABAC : lequel choisir en 2026 ?
    **RBAC** (Role-Based Access Control, formalisé NIST en 1992) attribue les droits par **rôle**. Simple, auditable, scale modeste. Standard depuis 30 ans. **ABAC** (Attribute-Based Access Control, NIST SP 800-162 en 2014) attribue les droits par **attributs** (user.department, resource.classification, env.time, env.location, action.risk). Beaucoup plus expressif, scalable au cloud, mais complexe à gouverner. **PBAC** (Policy-Based Access Control) est un sur-ensemble ABAC avec policies déclaratives (OPA Rego, Cedar AWS). Position 2026 : RBAC reste majoritaire pour les apps SaaS classiques (≤ 50 rôles), ABAC/PBAC s'impose pour le cloud-native (AWS IAM Conditions, Azure RBAC + ABAC conditions, Google Cloud IAM Conditions, OPA pour Kubernetes/microservices). Hybride RBAC + ABAC est le pragmatique pour la plupart des organisations 2026 : rôles de base + conditions ABAC pour la finesse contextuelle (geo, time, MFA strength).
  • Passkeys et FIDO2, vraie révolution ou marketing ?
    **Vraie rupture, mais adoption inégale.** **FIDO2** (FIDO Alliance + W3C, finalisé 2019) combine **WebAuthn** (côté navigateur) et **CTAP2** (côté authenticator). **Passkeys** (FIDO Alliance, 2022) ajoutent la **synchronisation cross-device** via cloud (Apple iCloud Keychain, Google Password Manager, Microsoft Authenticator). Avantages réels : phishing-resistant (cryptographie asymétrique device-bound), pas de secret partagé, pas de mot de passe à voler. Adoption 2026 : ~25-35 % des grandes orgs ont déployé Passkeys côté admins (Tier 0), 5-15 % côté employés généraux, &lt; 5 % côté clients (CIAM). Microsoft a annoncé en mai 2024 le support Passkeys natif pour comptes consumer, Google support général depuis 2023. Position : Passkeys sur les comptes admin Tier 0 est non-négociable en 2026 (cf. attaques Storm-0558, Midnight Blizzard 2023-2024). Sur les utilisateurs généraux, déploiement progressif sur 2-4 ans avec fallback push notifications + TOTP.
  • Zero Trust en IAM 2026 : marketing ou réalité opérationnelle ?
    **Réalité opérationnelle, mais inégale.** Le concept **Zero Trust** est formalisé par John Kindervag (Forrester, 2010) puis par **NIST SP 800-207** (Zero Trust Architecture, août 2020). Principes clés : never trust always verify, least privilege, assume breach, micro-segmentation. Côté IAM concrètement 2026 : (1) **Conditional Access** (Entra ID), AccessControl Policies (Okta), évaluation continue du contexte ; (2) **Just-in-Time access** pour les comptes admin (CyberArk Alero, Entra ID PIM) ; (3) **Zero Standing Privilege**, aucun compte avec privilèges permanents ; (4) **ZTNA** (Zero Trust Network Access), Cloudflare Access, Zscaler ZPA, Microsoft Entra Internet Access, Cisco Duo. Maturité observée 2026 : 50-60 % des grandes orgs ont une stratégie Zero Trust formalisée, 20-30 % l'ont implémentée sur plus de 50 % de leur surface. Le passage à Zero Standing Privilege sur les comptes admin Tier 0 est devenu non-négociable côté NIST CSF 2.0 et NIS2.
  • Comment éviter les attaques IAM 2024-2026 (Storm-0558, Midnight Blizzard, Snowflake) ?
    **Trois leçons majeures**. **Storm-0558** (juillet 2023, acteur Chine) : vol d'une clé MSA (consumer signing key) Microsoft via crash dump exfiltré, permettant de forger des tokens Outlook.com. Leçon : auditer les **secrets de signing** centralement, rotation, HSM obligatoire. **Midnight Blizzard / NOBELIUM** (Microsoft 2024) : password spray sur un test tenant Microsoft sans MFA, pivot vers OAuth app malveillante, accès aux mailbox executives. Leçon : MFA partout sans exception, audit des OAuth apps consenties, **applicabilité sur les tenants test/dev équivalente à la prod**. **Snowflake credential reuse** (mai-juin 2024) : ~165+ victimes (Ticketmaster, Santander, AT&T, Advance Auto Parts) via credential stealing infostealer + Snowflake comptes sans MFA. Leçon : MFA obligatoire sur SaaS cloud data même perçus comme periphery, IP allowlist, monitoring login geo-anomalies. Patterns communs : MFA absente ou bypass-able, comptes service avec privilèges trop larges, pas de rotation des secrets, pas de monitoring identity-centric.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

À lire également