Introduction : quatre couches complémentaires, pas des outils concurrents
Un constat s'impose régulièrement lors des audits de sécurité : les organisations déploient des solutions d'identité en silo, sans vision architecturale d'ensemble. Pourtant, IAM, PAM, IGA et CIEM ne sont pas des produits concurrents — ce sont quatre couches fonctionnelles distinctes d'une même architecture cohérente, communément désignée sous le terme Identity Fabric.
Chaque couche répond à une question précise et couvre un périmètre spécifique du cycle de vie des identités et des accès. Isolées, elles génèrent des angles morts. Intégrées, elles forment un maillage de défense robuste, particulièrement adapté aux environnements Microsoft 365 et Azure, où Microsoft Entra ID joue un rôle transversal sur plusieurs de ces couches.
Définition : Identity Fabric
L'Identity Fabric désigne une architecture unifiée de gestion des identités qui intègre l'ensemble des couches IAM, PAM, IGA et CIEM au sein d'un continuum cohérent, plutôt que d'une collection d'outils disparates. Ce concept est au cœur de la stratégie Zero Trust.
IAM : la fondation de l'authentification et de l'autorisation
Périmètre fonctionnel
L'Identity and Access Management (IAM) constitue la première couche de l'Identity Fabric. Elle répond à la question fondamentale : Qui êtes-vous, et que pouvez-vous faire ?
Ses fonctions couvrent :
- Authentification (AuthN) : vérification de l'identité via mot de passe, MFA, certificats, FIDO2
- Autorisation (AuthZ) : contrôle des permissions sur la base de rôles ou d'attributs (RBAC/ABAC)
- Single Sign-On (SSO) : accès unifié à plusieurs applications depuis une authentification unique
- Multi-Factor Authentication (MFA) : second facteur obligatoire pour réduire la surface d'attaque
- Gestion du cycle de vie de base : provisionnement et déprovionnement des identités collaborateurs
Solutions représentatives
Les acteurs majeurs de ce segment incluent Microsoft Entra ID, Okta, Ping Identity et ForgeRock. Dans l'écosystème Microsoft, Entra ID constitue la pierre angulaire de toute architecture Identity Fabric, en servant de fournisseur d'identité (IdP) pour l'ensemble des services M365 et Azure.
Astuce Microsoft
Dans un tenant Microsoft 365, activez les stratégies d'accès conditionnel Entra ID pour renforcer l'IAM au-delà de la simple authentification. Combinez-les avec Entra ID Protection pour une détection des risques en temps réel.
PAM : la protection des accès à haut privilège
Périmètre fonctionnel
Le Privileged Access Management (PAM) constitue la deuxième couche. Elle répond à une problématique distincte : Comment protéger les actifs critiques (Tier-0) et les secrets d'entreprise ?
Le PAM est souvent décrit comme le coffre-fort de l'Identity Fabric. Ses capacités incluent :
- Password Vaulting : stockage chiffré et rotation automatique des secrets et mots de passe de comptes à privilèges
- Session Recording : enregistrement et rejeu des sessions administrateurs pour des besoins d'audit et de forensique
- Just-In-Time Access (JIT) : élévation temporaire et à la demande des privilèges, limitant l'exposition permanente
- Secrets Management : gestion centralisée des clés API, certificats et tokens utilisés par les applications
- Least Privilege Enforcement : application systématique du principe du moindre privilège
Pourquoi le PAM est sous-intégré
Dans la majorité des organisations, le PAM reste la couche la moins mature. C'est pourtant là que se joue la défense contre les ransomwares et les mouvements latéraux post-compromission. Un attaquant qui obtient des credentials standards sans accès PAM reste cantonné à un périmètre limité ; un attaquant qui compromet un compte administrateur non vaulté peut atteindre l'ensemble de l'infrastructure.
Les solutions de référence incluent CyberArk, BeyondTrust, Delinea et HashiCorp Vault. Du côté Microsoft, Entra Privileged Identity Management (PIM) offre des capacités JIT natives pour les rôles Azure AD et Azure RBAC.
1# Exemple : activer un rôle éligible via Microsoft Graph (Entra PIM)2# Prérequis : module Microsoft.Graph installé et authentifié3 4$body = @{5 action = "selfActivate"6 principalId = "<user-object-id>"7 roleDefinitionId = "<role-definition-id>"8 directoryScopeId = "/"9 justification = "Maintenance planifiée - ticket #INC-0042"10 scheduleInfo = @{11 startDateTime = (Get-Date).ToUniversalTime().ToString("o")12 expiration = @{13 type = "AfterDuration"14 duration = "PT2H"15 }16 }17}18 19Invoke-MgGraphRequest -Method POST `20 -Uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests" `21 -Body ($body | ConvertTo-Json -Depth 5)Attention : comptes de break-glass
Toute organisation utilisant Entra PIM doit maintenir au moins deux comptes d'accès d'urgence (break-glass) exclus des politiques d'accès conditionnel et stockés hors du coffre-fort PAM principal.
IGA : la gouvernance et la conformité des accès
Périmètre fonctionnel
L'Identity Governance and Administration (IGA) est la troisième couche. Sa question directrice : Cet utilisateur devrait-il encore avoir cet accès, et pouvez-vous le démontrer aux auditeurs ?
L'IGA intervient là où l'IAM s'arrête. Elle ne se contente pas de vérifier l'identité — elle gouverne la pertinence des droits dans le temps :
- Cycle de vie Joiner-Mover-Leaver (JML) : automatisation du provisionnement, des changements de poste et de la révocation des accès
- Access Certification Campaigns : campagnes périodiques de recertification des droits par les responsables métier
- Separation of Duties (SoD) : détection et prévention des conflits de rôles incompatibles
- Role Mining et Role Engineering : analyse des droits effectifs pour construire des rôles cohérents et auditables
- Audit Trail : traçabilité complète des décisions d'accès pour répondre aux exigences réglementaires (ISO 27001, SOC2, NIS2)
IGA dans l'écosystème Microsoft
Microsoft Entra ID Governance intègre nativement des fonctionnalités IGA directement dans la plateforme Entra : Access Reviews, Entitlement Management et Lifecycle Workflows. Cette convergence IAM+IGA au sein d'une même plateforme constitue un avantage architectural significatif pour les organisations Microsoft-centric.
Les solutions spécialisées incluent SailPoint, Saviynt et Oracle Identity Governance.
CIEM : la visibilité sur les droits cloud et machine
Périmètre fonctionnel
Le Cloud Infrastructure Entitlement Management (CIEM) est la quatrième couche, la plus récente et souvent la moins couverte. Sa question : Qui a accès à quoi dans le cloud — qu'il s'agisse d'humains ou de machines ?
Le CIEM adresse une réalité propre aux environnements cloud : les identités non humaines (service accounts, managed identities, workload identities, agents IA) prolifèrent bien au-delà des identités humaines, créant une surface d'attaque invisible pour les outils IAM et IGA traditionnels.
Ses capacités clés :
- Entitlement Discovery : cartographie exhaustive de tous les droits effectifs dans les environnements multi-cloud (Azure, AWS, GCP)
- Permission Right-Sizing : identification des droits excessifs et recommandations de réduction au principe du moindre privilège
- Workload Identity Management : gouvernance des identités attribuées aux VMs, conteneurs, fonctions serverless et pipelines CI/CD
- Non-Human Identity (NHI) Governance : contrôle des service principals, managed identities et tokens d'API
- CIEM + CSPM Integration : corrélation entre les droits cloud et la posture de sécurité de l'infrastructure
Importance croissante à l'ère de l'IA
Avec la multiplication des agents IA et des workloads automatisés, les identités non humaines représentent désormais la majorité des identités actives dans un tenant Azure. Le CIEM devient donc la couche critique pour gouverner ces entités. Les acteurs de référence incluent Wiz CIEM, Sonrai Security, Ermetic (acquis par Tenable) et Saviynt.
Risque : sur-provisionnement des Managed Identities
Dans Azure, les Managed Identities sont souvent créées avec des rôles trop larges (Contributor au niveau souscription) par souci de simplicité. Un audit CIEM régulier est indispensable pour détecter ces dérives avant qu'elles ne soient exploitées. Utilisez Azure RBAC Analyzer et les recommandations Microsoft Defender for Cloud.
Architecture comparative : les quatre couches en un coup d'œil
| Couche | Question clé | Fonctions principales | Solutions Microsoft |
|---|---|---|---|
| IAM | Qui êtes-vous et que pouvez-vous faire ? | AuthN, AuthZ, SSO, MFA | Microsoft Entra ID |
| PAM | Comment protéger les accès critiques ? | Vaulting, JIT, Session Recording, Secrets | Entra PIM, Azure Key Vault |
| IGA | Cet accès est-il encore justifié ? | JML Lifecycle, Certification, SoD, Audit | Entra ID Governance |
| CIEM | Qui accède à quoi dans le cloud ? | Entitlement Discovery, NHI, Right-Sizing | Defender for Cloud (CSPM) |
Comment les quatre couches s'articulent dans un modèle Zero Trust
L'interdépendance des couches est au cœur du modèle Zero Trust. Chaque couche alimente les autres selon une logique de continuité :
- L'IAM authentifie et établit l'identité → elle alimente l'IGA qui en gouverne les droits
- L'IGA certifie la légitimité des accès → elle informe le PAM sur quels comptes méritent d'être élevés
- Le PAM protège les accès critiques → il réduit le rayon d'explosion en cas de compromission IAM
- Le CIEM étend la visibilité au cloud → il complète l'IGA pour les identités machine hors du périmètre RH
Cette articulation peut être schématisée comme suit :
1[IAM] ──Identité vérifiée──► [IGA] ──Droits certifiés──► [PAM] ──Accès protégé──► Ressource Tier-02 │3 ▼4 [CIEM] ──► Identités cloud & machineAstuce d'architecture
Pour les organisations Microsoft, commencez par consolider IAM et IGA sur Entra ID + Entra ID Governance, puis intégrez Entra PIM pour le PAM. Le CIEM peut ensuite être adressé via Microsoft Defender for Cloud combiné à une solution tierce spécialisée pour les environnements multi-cloud.
Feuille de route : construire son Identity Fabric progressivement
Consolider la fondation IAM
Auditez votre fournisseur d'identité actuel. Pour les environnements Microsoft, assurez-vous qu'Entra ID est configuré avec MFA obligatoire, les politiques d'accès conditionnel actives et la synchronisation hybride (Entra Connect Sync ou Cloud Sync) opérationnelle.
Déployer le PAM sur les comptes Tier-0
Inventoriez tous les comptes à privilèges (administrateurs domaine, Global Admins, owners Azure). Activez Entra PIM pour les rôles Entra ID et Azure RBAC. Intégrez un coffre-fort de secrets (Azure Key Vault ou solution tierce) pour les credentials applicatifs.
1# Lister tous les Global Admins actifs (permanents) dans Entra ID2Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole | Where-Object { $_.DisplayName -eq "Global Administrator" }).Id | Select-Object Id, DisplayName, UserPrincipalNameImplémenter l'IGA pour la gouvernance des droits
Activez les Access Reviews dans Entra ID Governance pour les groupes à accès sensibles. Configurez les Lifecycle Workflows pour automatiser le processus Joiner-Mover-Leaver. Définissez des Access Packages pour les accès temporaires ou projet.
Étendre la visibilité avec le CIEM
Activez Microsoft Defender for Cloud (plan CSPM Defender) pour obtenir une vue des permissions excessives sur vos souscriptions Azure. Pour un contexte multi-cloud, évaluez une solution CIEM dédiée. Auditez régulièrement les Managed Identities et Service Principals.
1# Lister toutes les Managed Identities et leurs rôles Azure RBAC2Get-AzADServicePrincipal | Where-Object { $_.ServicePrincipalType -eq "ManagedIdentity" } | ForEach-Object {3 $sp = $_4 $roles = Get-AzRoleAssignment -ObjectId $sp.Id5 [PSCustomObject]@{6 Name = $sp.DisplayName7 ObjectId = $sp.Id8 Roles = ($roles.RoleDefinitionName -join ", ")9 Scopes = ($roles.Scope -join ", ")10 }11}Conclusion : penser en maillage, pas en catalogue d'outils
L'adoption d'une posture Identity Fabric ne se résume pas à l'acquisition successive de quatre produits. Elle exige une vision architecturale où chaque couche est déployée en connaissance des autres, avec des flux d'information bidirectionnels et une gouvernance centralisée.
Dans un contexte Zero Trust, la valeur réelle émerge de l'orchestration :
- Une identité vérifiée à l'entrée (IAM)
- Des accès privilégiés maîtrisés et temporaires (PAM)
- Une gouvernance auditable et certifiable (IGA)
- Une visibilité exhaustive sur le cloud et les machines (CIEM)
Pour les organisations engagées dans l'écosystème Microsoft, la convergence Entra ID + Entra ID Governance + Entra PIM + Defender for Cloud offre une couverture native des quatre couches, réduisant la complexité d'intégration tout en maintenant une ouverture vers les solutions tierces spécialisées.
Constituez votre Identity Fabric comme un système unifié — pas comme une collection d'outils.



