SaaS et IAM : maîtriser la gestion des identités dans le cloud pour plus de sécurité et d’agilité
La transformation numérique et la généralisation des services SaaS ont profondément modifié la gestion des identités dans les systèmes d’information. Entre promesses d’agilité et réalités techniques, l’IAM devient un enjeu stratégique, touchant à la cybersécurité, à la gouvernance et à la conformité réglementaire. Nos experts partagent leurs retours d’expérience pour sécuriser et piloter efficacement les identités, humaines ou non, dans un environnement cloud.
La gestion des identités dans les systèmes d’information est depuis plusieurs années au cœur des enjeux de cybersécurité. Avec la transformation numérique accélérée par le cloud et la généralisation des services SaaS, les organisations ont été contraintes de revoir la manière dont elles pilotent les accès, les droits et la gouvernance de leurs utilisateurs. Revenons en profondeur sur les défis rencontrés et les bénéfices observés dans l’adoption des solutions IAM et SaaS.
Jean-François Pruvot, Regional Vice-President South Europe chez Saviynt, Vincent Laurens, directeur du développement cyber pour la région Europe du Sud chez Capgemini, et Sandy Dussottier, membre de la direction cybersécurité du groupe Crédit Agricole Personal Finance & Mobility, ont confronté leurs retours d’expérience. Leurs échanges apportent un éclairage utile sur une problématique à la fois technique, organisationnelle, stratégique et humaine.
La centralisation des identités dans le cloud : vecteur de risques ou d’opportunités ?
L’une des premières interrogations posées porte sur l’impact de la centralisation des identités dans le cloud. Cette question n’est pas anodine : selon une étude de l’IDSA (Identity Defined Security Alliance), 90 % des entreprises ont subi au moins un incident lié à l’identité numérique en 2024. De quoi alerter sur l’ampleur du risque, mais aussi sur la nécessité d’analyser finement ce que recouvre cette transformation.
L’identité comme cible stratégique
Pour Sandy Dussottier, il ne faut pas s’arrêter à l’apparente nouveauté du cloud. “Le cloud, aujourd’hui, on en a déjà.” La migration vers le cloud ne crée pas une faille en soi, mais elle rend plus visible une problématique déjà existante. En réalité, l’identité est une cible depuis longtemps, mais sa présence explicite dans des environnements partagés en renforce la criticité. Le problème n’est donc pas tant une surface d’attaque nouvelle, qu’un changement de perception : l’identité est aujourd’hui considérée comme un actif particulièrement convoité. C’est cet enjeu de valeur qui transforme les choses.
À lire aussi : L’avenir du pentest en Europe : sécurité continue, conformité NIS2 et DORA en 2026
Vincent Laurens, en écho, souligne que les attaquants ciblent systématiquement les identités, car “Derrière, ça leur ouvre des portes”. L’attaque passe souvent par l’exploitation d’un compte ou d’un jeton d’authentification mal protégé, car il s’agit d’un point d’entrée naturel pour escalader les privilèges ou détourner les ressources de l’entreprise. Tous les signaux du renseignement sur la menace le confirment : l’identité est l’élément pivot dans les scénarios d’intrusion moderne.
Cloud vs on-premise : la question de la gouvernance
Il serait cependant trop simpliste d’opposer cloud et on-premise de manière binaire. Comme le rappellent les intervenants, les environnements on-premises sont souvent eux-mêmes compliqués, avec des dizaines d’outils de gestion d’identité mal intégrés, parfois redondants, rarement automatisés. La centralisation dans le cloud permet au contraire d’unifier la gouvernance, de tracer les accès et d’appliquer plus facilement des politiques de sécurité homogènes. “Les clouds aujourd’hui sont extrêmement robustes”, confirme Vincent Laurens, et disposent de garanties techniques (chiffrement, authentification forte, résilience, auditabilité) qui, bien configurées, surpassent souvent les pratiques locales héritées.
Les bénéfices concrets du SaaS en matière d’agilité et de rapidité
Outre la sécurité, le passage à des solutions IAM SaaS s’explique aussi par un besoin croissant de réactivité. Jean-François Pruvot rappelle que l’on peut désormais délivrer des MVP en 6 semaines, là où il fallait parfois plusieurs années pour construire une solution IAM sur mesure en local. Cette capacité à déployer rapidement des socles fonctionnels, puis à les faire évoluer par itération, est devenue un atout majeur dans des organisations en perpétuelle transformation.
Complexité technique vs complexité métier
Mais cette accélération ne doit pas masquer les complexités. Vincent Laurens distingue clairement les aspects techniques, effectivement simplifiés par le SaaS, des aspects métier, qui restent exigeants. “Le SaaS et le cloud vont accélérer la dimension technique, mais tout l’aspect métier ne doit pas être négligé.” Un projet IAM repose autant sur l’outillage que sur l’appropriation des usages par les métiers, la définition fine des processus, et l’adéquation avec les contraintes réglementaires ou sectorielles.
À lire aussi : Palantir : l’entreprise qui façonne la surveillance mondiale et redéfinit la souveraineté
La rapidité du SaaS permet néanmoins d’allouer davantage de ressources à ces dimensions métier. En raccourcissant le temps de mise en œuvre technique, les équipes peuvent concentrer leurs efforts sur l’alignement stratégique, la gouvernance des accès et la conduite du changement. Une manière d’éviter les erreurs du passé, où des projets IAM échouaient faute d’une implication suffisante des fonctions non techniques.
Connectivité et intégration SaaS
Cette capacité à s’aligner rapidement sur les priorités métiers explique aussi l’attrait croissant pour les solutions IAM en mode SaaS. En parallèle, les outils ont gagné en connectivité. Les API standardisées, les intégrations natives avec les systèmes d’information, ou encore les capacités à opérer en environnement hybride permettent une interopérabilité étendue, qui contraste fortement avec les solutions traditionnelles nécessitant des développements sur mesure longs et coûteux.
À lire aussi : Panne Cloudflare : quand une erreur interne révèle la fragilité structurelle de l’Internet mondial
Mais cette agilité a un prix : elle impose aux organisations une rigueur accrue dans la préparation des projets. Une solution SaaS mal intégrée, mal configurée ou mal gouvernée peut, par sa rapidité même, accélérer la propagation des erreurs. C’est pourquoi les intervenants insistent sur la nécessité d’un soutien fort de la direction, d’une analyse métier approfondie, et d’une phase de préparation contractuelle rigoureuse. Comme le rappelle Jean-François Pruvot, “Il faut rattacher le projet à la valeur métier que ça va dégager pour l’entreprise”. Sans cela, l’adhésion des parties prenantes restera fragile.
Le poids des systèmes legacy et les défis de l’intégration
Malgré la montée en puissance du cloud, le poids du legacy reste une réalité structurante dans beaucoup de grands groupes. Les applications développées en interne, parfois il y a plus de vingt ans, sont encore critiques. Mal documentées, difficilement interopérables, elles ne disposent souvent pas des API nécessaires à une intégration fluide avec les solutions modernes.
Défis opérationnels et sécurité
Cette situation génère des tensions opérationnelles, mais aussi des risques de sécurité. Sandy Dussottier le souligne : “Ces applications sont codées, hardcodées, et les gens qui les ont développées sont parfois partis.” En d’autres termes, la dette technique s’accompagne d’une perte de compétences, qui freine la transformation.
Solutions modernes et connecteurs SaaS
Néanmoins, les experts relativisent. Les solutions SaaS modernes proposent aujourd’hui des connecteurs capables d’interagir avec des systèmes anciens via des mécanismes de ticketing ou des interfaces intermédiaires. Il s’agit moins d’un verrou technique que d’un frein à la scalabilité : ce qui se fait en quelques secondes dans un environnement natif prendra potentiellement des heures lorsqu’on doit passer par des traitements manuels pour les applications legacy. D’où l’importance de phaser les projets, d’identifier les dépendances critiques, et d’évaluer avec lucidité ce qui peut (et ne peut pas) être automatisé.
L’IA : catalyseur de transformation des identités
Un des aspects les plus marquants de l’échange entre les intervenants réside dans le rôle que l’intelligence artificielle est appelée à jouer dans la gestion des identités. Loin des effets d’annonce, les cas d’usage sont concrets : automatisation des revues d’habilitation, détection de comportements anormaux, suggestion de rôles par analyse de patterns, gestion des droits pour les identités non humaines…
Car c’est là un point central : la multiplication des identités non humaines. Agents logiciels, bots, clés d’API, scripts automatisés… Ces entités, souvent invisibles aux yeux des équipes de sécurité traditionnelles, vont désormais représenter la majorité des identifiants actifs dans les SI. “Il va tellement y avoir d’identités non humaines qu’en fait la ligne humaine sera un pourcentage”, résume Sandy Dussottier.
Cela impose de revoir en profondeur les pratiques de gestion des identités. Il ne s’agit plus seulement de connaître les utilisateurs humains, mais aussi de cartographier et gouverner les identités machines, d’en comprendre les droits, les rôles, les interactions. L’IA devient alors un levier pour reprendre la main sur cette complexité grandissante, en automatisant les tâches répétitives et en offrant une granularité d’analyse jusque-là hors de portée.
Souveraineté, compliance et exigences réglementaires
Les contraintes réglementaires s’invitent de plus en plus tôt dans les projets IAM. Au-delà de la conformité GDPR, certains secteurs comme la santé ou la finance imposent des exigences spécifiques en matière de traçabilité, de souveraineté ou de certification (ISO 27001, GXP, PCI-DSS…).
Face à cela, les plateformes SaaS ont évolué. Il est désormais possible de choisir l’emplacement de stockage des données (Europe, France…), de recourir à des clouds souverains, voire de conserver sa propre clé de chiffrement, dans une logique de tenant dédié.
Mais au-delà des garanties techniques, c’est la transparence qui devient centrale. Les clients exigent des portails où les certifications sont disponibles, les audits publiés, les pratiques contractuelles documentées. “Il faut montrer carte sur table, il n’y a pas le choix”, explique Vincent Laurens. Le régulateur ne se contente plus d’un engagement de moyens : il exige une démonstration de résultats. Cela pousse les fournisseurs à adopter une posture proactive, à documenter précisément leur posture de sécurité, et à faciliter l’intégration des exigences clients dans leurs processus.
Vers un IAM intégré, hybride et piloté par les métiers
Une tendance se dégage : la fin des IAM fragmentés. L’époque où l’AM, le IGA et le PAM étaient traités en silos semble révolue. L’explosion du nombre d’identités, la multiplication des environnements (cloud, on-premise, hybridation) et la montée des exigences réglementaires imposent une convergence des plateformes, capable de gérer l’ensemble du cycle de vie des identités, qu’elles soient humaines ou non.
Pour autant, cette convergence ne doit pas être synonyme de dépendance excessive. Certains intervenants mettent en garde contre les risques d’un verrouillage fournisseur, qui pourrait freiner l’innovation ou limiter la résilience. D’où l’importance de clauses de réversibilité bien négociées, mais aussi d’une gouvernance des identités alignée sur les besoins métiers, et non dictée par une logique purement technique. Vincent Laurens résume bien cette tension entre intégration et indépendance : “Pas mettre tous ses œufs dans le même panier, comme dirait ma grand-mère, elle avait peut-être pas tort.”
Vers une nouvelle maturité de la gestion des identités
Ce que révèle cette émission, c’est qu’en 2025, la gestion des identités n’est plus un sujet purement technique. Elle touche à la stratégie, à la conformité, à l’innovation, à la transformation métier. Elle est au cœur des débats sur la souveraineté numérique, l’automatisation, l’IA, et la résilience des entreprises face à des menaces toujours plus sophistiquées.
Le SaaS, loin d’être une simple promesse d’agilité, impose une culture de la rigueur, un pilotage serré des responsabilités, et une capacité à aligner tous les acteurs (IT, cybersécurité, métiers, direction générale) autour d’un langage commun : celui de la gouvernance des identités.
La sécurité ne sera jamais absolue. Mais avec les bons outils, les bons partenaires, et une approche méthodique, les organisations peuvent non seulement maîtriser leur exposition au risque, mais aussi transformer leur gestion des identités en levier de performance, de conformité et d’innovation. La maîtrise des identités n’est plus une option technologique, mais un impératif stratégique.
.avif)