Se rendre au contenu

Zero Trust & IAM : Le rôle de l’IAM dans une stratégie Zero Trust efficace

2 juillet 2025 par
Zero Trust & IAM : Le rôle de l’IAM dans une stratégie Zero Trust efficace
Ariovis

Le modèle périmétrique traditionnel devient de plus en plus obsolète. Une fois qu’un attaquant rentre dans le SI et a l’accès au réseau interne, il peut se déplacer latéralement (cela signifie qu’il peut explorer et accéder à des systèmes et des services dans le réseau) souvent sans authentification forte ou un contrôle des autorisations à chaque étape. 

Ce manque de contrôle permet à l’attaquant de faire une élévation de privilège, d'accéder à des données sensibles, ou de compromettre d'autres systèmes. 

C'est là que le Zero Trust entre en jeu. En Zero Trust, on ne fait confiance à rien et à personne par défaut, même dans le périmètre. Les tentatives d'accès sont vérifiées dynamiquement en prenant en compte l'identité, le contexte et la posture de sécurité. 

L’IAM (Identity and Access Management) a pour objectif de : 

  • Vérifier l’identité (humain et non-humain) 
  • Appliquer les politiques d’accès conditionnels 
  • Gérer les droits avec des modèles (RBAC, ABAC, CBAC) 

Dans cet article, nous allons voir que l'IAM n'est pas juste une brique, mais un pilier d'une stratégie Zero Trust. 


Zero Trust en bref selon le NIST 

C’est quoi le Zero Trust ? 

Le NIST (National Institute of Standards and Technology) répond à la question dans une publication nommé Zero Trust Architecture. 

Le NIST définit le Zero Trust comme un paradigme qui n'accorde pas de confiance implicite à un utilisateur, appareil ou un réseau (qu'il soit interne ou externe). L'accès à une ressource doit être authentifié, autorisé et validé en continu. 


Les 7 piliers du Zero Trust 

Pour mettre en place une bonne stratégie Zero Trust, le NIST retient 7 piliers de valeurs :

  1. Ressources : Tout les assets (données, appareils, …) sont considérés comme des ressources. 
  2. Communication : On ne fait plus confiance aux communications, qu'elles soient internes aux équipements de l'entreprise, ou venant de l'extérieur. En conséquence, on doit appliquer par défaut les mêmes mesures de sécurité (elles doivent être authentifiées et autorisées). 
  3. Accès par session : Les accès sont accordés par session avec un contrôle granulaire. 
  4. Politiques dynamiques : Les décisions d'accès sont basées sur des politiques dynamiques qui incluent une analyse du contexte et du comportement. 
  5. Surveillance : L'intégrité et la sécurité des assets de l’entreprise doivent être surveillées en continu. 
  6. Authentification & Autorisation : L’accès aux ressources est authentifié et autorisé dynamiquement grâce à une surveillance, une réévaluation et une application continues des politiques afin de maintenir un équilibre entre la sécurité et l’efficacité. 
  7. Amélioration continue : L'organisation doit collecter le plus d'informations possible sur ses assets, son infrastructure et ses réseaux ainsi que ses communications dans le but de renforcer ses politiques de sécurité. 


Composants logiques d’une ZTA 

Il y a plusieurs composants logiques nécessaire à la mise en place d’une ZTA (Zero Trust Architecture). Ces composants sont des services qui peuvent être On-Premises ou même en Cloud. 

Voici la description des composants : 

  • Policy Engine (PE) : Prend les décisions d’accès. 
  • Policy Administrator (PA) : Applique les décisions via le réseau. 
  • Policy Enforcement Point (PEP) : Applique les politiques d’accès au niveau de la ressource. 
  • Data sources : CDM, PKI, SIEM, IAM, etc. 


IAM : Les fondations d’une politique ZTA 

L’IAM est au cœur du Zero Trust 

L'IAM, c'est elle qui va gérer, vérifier et contrôler les identités (humains et non-humains). Il permet un contrôle granulaire et dynamique des accès en s’appuyant sur les attributs, le contexte (localisation, heure) et le contexte comportemental. 

En Zero Trust, chaque décision dépend d'une vérification précise de l'identité et d'une évaluation du contexte en temps réel. Ces deux points sont gérés par l'IAM. 

Sans l'IAM, une stratégie Zero Trust ne pourrait pas être pertinente.


Composants IAM essentiels  

 Plusieurs composants de l'IAM sont primordiaux pour mettre en place une ZTA. Ariovis propose ici une liste des essentiels : 

  • Gestion du cycle de vie des identités : Onboarding, Offboarding, Joiner-Mover-Leaver (JML), accès temporaire, tous les processus qui assurent le bon accès au bon moment avec la durée nécessaire. 
  • Authentification forte : MFA adaptatif, biométrie, passwordless. 
  • Modèles de droits : Utilisation de modèles de droits comme le RBAC (Role Base Access Control) et/ou ABAC (Attribute Base Access Control) pour le principe du moindre privilège et l'accès contextuel. 
  • Privileged Access Management (PAM) : Un contrôle et une surveillance strict des comptes administrateurs et sensibles. 
  • Non-Person Identity (NPE) : Sécuriser la gestion des comptes de service, des clefs API, des secrets et des certificats utilisés par les services, bots et applications.


De l’IAM traditionnel à l’IAM Zero Trust 

IAM statique vs IAM dynamique 

Traditionnellement, l'IAM s'appuie sur une authentification unique lors de la connexion et sur un modèle RBAC statique. L'IAM Zero Trust impose une validation continuelle de l'identité et du contexte lors d'une session. L'accès est réévalué dynamiquement basé sur le contexte. 


Intégration avec d’autres composants du Zero Trust 

L’IAM ne fonctionne pas dans son coin dans une ZTA. Pour que l’IAM soit le plus efficace possible, il doit être intégré dans des composant du Zero Trust : 

  • UEBA (User and Entity Behavior Analytics) : En analysant le comportement et en détectant les anomalies, l'UEBA permet à l'IAM de déclencher une authentification additionnelle ou de restreindre l'accès dynamiquement. 
  • Policy Engine (PE) et Policy Administrator (PA) : L'IAM utilise directement ces composants pour appliquer des décisions en temps réel sur un contrôle d'accès. PE et PA vont utiliser les informations de l'IAM pour prendre des décisions granulaires. 
  • Protocole standard : Les protocoles SAML, OIDC (OpenID Connect) et SCIM sont primordiaux pour fluidifier la fédération d'identité, l'authentification et pour gérer le cycle de vie des identités. Ici, vous pouvez trouver un guide sur comment connecter une application avec OIDC.


Migration vers une ZTA 

Pour migrer vers une ZTA, il y a deux points clefs selon le NIST : 

  • Commencer avec une approche hybride : La plupart des organisations utilisent un modèle hybride, qui combine le modèle périmétrique avec une approche Zero Trust. 
  • Progressive et basée sur des Use Case : La migration devrait être incrémentale, focalisée sur des use cases spécifiques plutôt que sur une transformation totale tout en une fois. 

Voici les étapes de migration clef : 

  1. Identifier les acteurs : Pour commencer, il faut lister les utilisateurs, services et les identités non-humaines qui interagissent avec les ressources. Ne pas oublier les identités qui proviennent du shadow IT, nous appelons cela l' « Hidden IAM ». 
  2. Inventaire des assets : Ensuite, il faut dresser un catalogue des hardwares, softwares, données et des services cloud que gère ou possède l'organisation. 
  3. Identifier les processus clefs : Après, il faut identifier les workflows critiques, et après faire une analyse de risque pour définir les exigences d'accès. 
  4. Définition des politiques d'accès : Ensuite, il faut développer les politiques dynamiques basées sur les identités, statuts des assets et du contexte (ex : localisation, heure, etc). 
  5. Sélection des technologies : Avant le déploiement, il faut rechercher et choisir les solutions pour les composants Zero Trust : IAM, PDP, PEP, etc. 
  6. Déploiement initial et surveillance : On peut maintenant commencer le déploiement de la ZTA. On commence par les use cases avec un risque faible. On surveille la nouvelle architecture et, si besoin, on fait des ajustements sur les configurations. 
  7. Étendre le ZTA : Pour finir, on continue le déploiement sur des systèmes de plus en plus critiques. 


Conclusion 

L'IAM, c'est bien plus qu'un composant de cybersécurité, c'est un pilier d'une bonne stratégie Zero Trust. Dans un monde où l'identité est une cible majeure des attaquants, l'IAM est la tour de contrôle pour vérifier, autoriser et surveiller en continu chaque demande d'accès. 

Chez Ariovis, nous appliquons ces principes chez nos clients.  Dans toutes nos intégrations, on utilise une approche Zero Trust. Cela implique que chaque solution que nous implémentons n'a pas de confiance implicite, impose de l'authentification à chaque étape et applique des règles dynamiques suivant le contexte. Pour nous, le Zero Trust n'est pas qu'un « buzzword », mais un modèle concret ancré au cœur de nos projets IAM. 



 

Partager cet article
Nos blogs