IAM (Identity and Access Management)

L'IAM (Identity and Access Management) regroupe l'ensemble des politiques, processus et technologies qui permettent à une organisation de contrôler qui peut accéder à quelles ressources, et avec quel niveau de privilège. Concrètement, l'IAM gère le cycle de vie des identités (création, modification, suppression) ainsi que l'authentification (vérifier qui vous êtes) et l'autorisation (déterminer ce que vous avez le droit de faire).

Dans le cloud, l'IAM est un service central : AWS IAM, Azure AD/Entra ID, Google Cloud IAM. Ces services proposent des concepts comme les utilisateurs, groupes, rôles, politiques (policies), et fournissent généralement des mécanismes avancés : MFA, conditional access, role assumption, federation SAML/OIDC.

Une configuration IAM rigoureuse repose sur le principe du moindre privilège (least privilege) : chaque entité ne doit disposer que des permissions strictement nécessaires à sa mission. Une politique IAM mal configurée est l'une des principales sources d'incidents de sécurité dans le cloud.