Gouvernance des identités (IGA) : le guide complet

IGA & gouvernance

À retenir

  • L’IGA (Identity Governance and Administration, gouvernance et administration des identités) répond à une question simple mais difficile à l’échelle : qui a accès à quoi, pourquoi, et est-ce toujours justifié ?
  • Elle combine deux faces : la gouvernance (visibilité, politiques, rôles, séparation des tâches, recertification, reporting) et l’administration (gestion des comptes, provisioning, gestion des droits).
  • L’IGA est une composante de l’IAM, distincte de l’Access Management (authentification, SSO) et du PAM (comptes à privilèges).
  • Ses fonctions clés : cycle de vie des identités, provisioning, gestion des rôles, séparation des tâches, recertification, audit et conformité.
  • C’est une démarche continue, pas un projet ponctuel : sa réussite tient d’abord à la qualité des données et à l’implication des responsables métier, bien avant le choix d’un outil.

Introduction

Dans une organisation de taille moyenne, un collaborateur peut détenir des accès à plusieurs dizaines d’applications, réparties entre systèmes internes, services cloud et SaaS. Multipliez par des centaines ou des milliers de personnes, ajoutez les arrivées, les changements de poste, les départs, les prestataires et les comptes techniques : savoir précisément qui a accès à quoi devient rapidement ingérable à la main.

La gouvernance des identités est la discipline qui remet de l’ordre et du contrôle dans cet ensemble. Cette page sert de point d’entrée au sujet : elle définit l’IGA, la situe par rapport aux notions voisines, détaille ses grandes fonctions et explique comment se déroule un projet. Chaque fonction renvoie vers un article dédié pour aller plus loin. Elle s’adresse en premier lieu aux chefs de projet et responsables de programme IAM, ainsi qu’aux RSSI.

Qu’est-ce que la gouvernance des identités (IGA) ?

L’IGA est l’ensemble des politiques, processus et technologies qui permettent de gérer et de contrôler les identités numériques et leurs droits d’accès au sein d’une organisation. Son objectif tient en une formule : faire en sorte que les bonnes personnes disposent des bons accès, aux bonnes ressources, au bon moment, et pour des raisons justifiables et traçables.

Un point d’honnêteté utile : il n’existe pas de définition formelle et universelle de l’IGA, normalisée par un organisme de standardisation. Le terme désigne une catégorie de pratiques et d’outils dont le périmètre exact varie légèrement d’une source à l’autre. La définition de travail ci-dessus fait toutefois consensus sur l’essentiel.

Les deux faces : gouvernance et administration

Le sigle réunit deux volets complémentaires :

  • La gouvernance des identités porte sur le contrôle et la visibilité : qui a accès à quoi, selon quelles politiques, avec quelles vérifications. Elle couvre la gestion des rôles, la séparation des tâches, les revues et certifications d’accès, l’analyse et le reporting.
  • L’administration des identités porte sur l’exécution : la création et la gestion des comptes et des identifiants, le provisioning et le déprovisioning, la gestion des droits dans les applications.

Dit autrement : la gouvernance définit les règles et en vérifie le respect ; l’administration les met en œuvre. Une démarche IGA solide a besoin des deux.

D’où vient le terme

La gouvernance des identités a émergé comme catégorie sous l’impulsion d’exigences réglementaires de transparence et de contrôle des accès. Le terme « IGA » a été popularisé par le cabinet d’analystes Gartner : en 2012, celui-ci a identifié la gouvernance des identités comme le segment à plus forte croissance du marché de la gestion des identités, puis, en 2013, a publié son premier Magic Quadrant dédié à l’IGA, fusionnant deux catégories jusque-là distinctes (gouvernance des identités et administration des identités). Cette origine explique que l’IGA soit souvent décrite à travers le prisme des outils du marché — un biais que cette page s’efforce d’éviter.

IGA, IAM, Access Management, PAM : situer les termes

Ces sigles se chevauchent et prêtent à confusion. Voici comment les articuler :

  • L’IAM (Identity and Access Management, gestion des identités et des accès) est la discipline globale. Elle englobe tout ce qui concerne les identités et leurs accès.
  • L’IGA est une composante de l’IAM, centrée sur la gouvernance et l’administration des identités et des droits — le « qui a accès à quoi, et est-ce légitime ».
  • L’Access Management est l’autre grande composante de l’IAM, centrée sur l’accès au moment de la connexion : authentification, SSO (authentification unique), MFA (authentification multifacteur). Il répond au « comment l’utilisateur se connecte ».
  • Le PAM (Privileged Access Management, gestion des accès à privilèges) traite spécifiquement les comptes à fort pouvoir (administrateurs, comptes techniques sensibles), avec des contrôles renforcés.

Une manière simple de retenir la distinction : l’Access Management gère la porte d’entrée (s’authentifier), l’IGA gère ce que l’on a le droit d’ouvrir une fois entré et s’assure que ces droits restent justifiés, et le PAM verrouille les pièces les plus sensibles.

Pourquoi l’IGA est devenue essentielle

Plusieurs facteurs expliquent que l’IGA soit passée d’un sujet de spécialistes à une priorité de sécurité :

  • La conformité. De nombreuses réglementations et référentiels exigent de démontrer un contrôle d’accès documenté et auditable. L’ISO/IEC 27001:2022 le traduit notamment dans les contrôles 5.15 (contrôle d’accès), 5.16 (gestion des identités) et 5.18 (droits d’accès) de son Annexe A. (Le détail réglementaire UE/FR — NIS2, DORA — fait l’objet d’articles dédiés du silo Conformité.)
  • La réduction du risque interne. Les accès accumulés et jamais retirés constituent une surface d’attaque et un risque de fraude. L’IGA applique le principe du moindre privilège : n’accorder que ce qui est nécessaire.
  • L’efficacité opérationnelle. Automatiser l’attribution et le retrait des accès au fil du cycle de vie réduit les erreurs, accélère l’intégration des collaborateurs et décharge les équipes IT.
  • La visibilité. Disposer d’une vue centralisée « qui a accès à quoi » est la condition de tout le reste : sans elle, ni contrôle ni audit fiables.

Les grandes fonctions de l’IGA

C’est le cœur de la discipline. Chaque fonction ci-dessous fait l’objet d’un article dédié ; cette section en donne la vue d’ensemble.

Gestion du cycle de vie des identités (JML)

Le modèle JML (Joiner-Mover-Leaver : arrivée, mobilité, départ) structure les événements qui rythment la vie d’une identité. À chaque étape, les accès doivent être attribués, ajustés ou retirés. C’est le socle opérationnel de l’IGA : un départ non traité laisse des accès orphelins, une mobilité mal gérée laisse s’accumuler des droits.

Provisioning et déprovisioning

Le provisioning est la création et l’attribution effective des comptes et des droits dans les applications ; le déprovisioning, leur retrait. Automatisés et connectés aux sources de référence (RH, annuaires), ils donnent corps au cycle de vie.

Gestion des rôles et modèles d’accès

Plutôt que d’attribuer des permissions une à une, on les regroupe en rôles correspondant à des fonctions. Cela suppose de choisir un modèle de contrôle d’accès (RBAC, ABAC, PBAC) et, souvent, de reconstruire des rôles à partir de l’existant — une démarche appelée role mining.

Séparation des tâches (SoD)

La séparation des tâches (Segregation of Duties) empêche qu’une même personne cumule des droits permettant de commettre et de dissimuler une action sensible — par exemple créer un fournisseur et approuver ses paiements. C’est un contrôle clé de l’IGA, également présent dans l’ISO/IEC 27001:2022 (contrôle 5.3).

Revues et recertification des accès

Périodiquement, des responsables vérifient que les accès accordés restent justifiés et révoquent ceux qui ne le sont plus. Ces campagnes de recertification sont au cœur de la dimension « gouvernance » et de la preuve de conformité.

Audit, reporting et conformité

L’IGA produit une piste d’audit centralisée : qui a demandé, accordé, utilisé ou retiré quel accès, et quand. C’est ce qui permet de répondre à un auditeur et de détecter les anomalies.

Comment se déroule un projet IGA

Un projet IGA est avant tout un projet de gouvernance et de données, pas seulement un déploiement d’outil. Les grandes étapes :

  1. Cadrage et gouvernance. Définir le périmètre, les objectifs (conformité, sécurité, efficacité), les responsabilités et les politiques d’accès.
  2. Connexion aux sources. Relier les sources de référence : système RH (souvent la source d’autorité des identités), annuaires, applications cibles.
  3. Qualité des données. Étape critique et systématiquement sous-estimée : les données d’accès existantes sont presque toujours incomplètes ou obsolètes. Les nettoyer conditionne tout le reste.
  4. Modèle de rôles. Construire une structure de rôles exploitable, ni trop rigide ni explosée en exceptions.
  5. Déploiement progressif. Procéder par périmètres successifs plutôt que par un « big bang » risqué.
  6. Conduite du changement. Impliquer les responsables métier, qui valident les rôles et mènent les recertifications : sans leur adhésion, le dispositif se vide de son sens.

Erreurs fréquentes et facteurs de succès

  • Sous-estimer la qualité des données. Un projet IGA bâti sur des données sales produit une gouvernance illusoire.
  • Vouloir tout automatiser d’emblée. L’automatisation se construit par paliers, à mesure que les processus se fiabilisent.
  • Négliger les responsables métier. L’IT ne peut pas juger seul de la légitimité d’un accès ; le métier est indispensable.
  • Oublier la gouvernance dans la durée. Rôles et accès dérivent avec le temps ; sans entretien, le modèle se dégrade.
  • Réduire l’IGA à un outil. L’outil accélère, mais ne remplace ni les politiques, ni la qualité des données, ni la validation métier.

IGA et conformité réglementaire

L’IGA est l’un des principaux moyens de démontrer la maîtrise des accès exigée par les cadres de sécurité. Au-delà de l’ISO/IEC 27001:2022 déjà citée, la réglementation européenne et française (NIS2, DORA, et plus largement le RGPD pour la protection des données) renforce ces attentes pour de nombreuses organisations. Ces textes, leur périmètre et leur calendrier sont traités en détail dans les articles dédiés du silo Conformité, afin de ne donner ici qu’une vue d’ensemble.

FAQ

Quelle différence entre IAM et IGA ? L’IAM est la discipline globale de gestion des identités et des accès. L’IGA en est la composante centrée sur la gouvernance et l’administration des identités et des droits : qui a accès à quoi, et est-ce justifié. L’authentification et le SSO relèvent de l’autre grande composante, l’Access Management.

IGA et PAM, est-ce la même chose ? Non. Le PAM gère spécifiquement les comptes à privilèges (administrateurs, comptes techniques sensibles) avec des contrôles renforcés. L’IGA gouverne l’ensemble des identités et de leurs droits. Les deux sont des composantes complémentaires de l’IAM.

Faut-il un outil dédié pour faire de l’IGA ? Pas nécessairement au démarrage. Une démarche IGA repose d’abord sur des politiques, une cartographie des accès et une gouvernance. Un outil devient indispensable pour automatiser à l’échelle, mais il ne crée pas la gouvernance à lui seul.

Par où commencer un projet IGA ? Par un périmètre limité et représentatif : connecter la source RH, fiabiliser les données d’accès, formaliser le cycle de vie (JML), puis introduire progressivement rôles et recertifications. Mieux vaut un périmètre maîtrisé qu’un déploiement total mal contrôlé.

Quel rapport entre IGA et l’annuaire (Active Directory, etc.) ? L’annuaire est l’un des systèmes que l’IGA gouverne et alimente. L’IGA s’appuie sur les sources de référence (RH, annuaires) pour décider des accès, puis orchestre leur application dans les applications cibles. L’annuaire n’est pas une solution d’IGA en soi.

Conclusion

La gouvernance des identités n’est pas un produit que l’on installe, mais une démarche continue : décider qui doit avoir accès à quoi, l’appliquer, le vérifier régulièrement, et le prouver. Sa réussite tient moins à la technologie qu’à la qualité des données et à l’implication du métier. Pour démarrer concrètement, le plus efficace est de fiabiliser la source des identités et le cycle de vie de base avant d’ajouter, par couches, la gestion des rôles puis les recertifications. Les articles du silo détaillent chacune de ces fonctions.

Sources

  • Gartner — reconnaissance de la gouvernance des identités comme segment à plus forte croissance (2012) et premier Magic Quadrant IGA fusionnant les catégories gouvernance et administration des identités (2013).
  • ISO/IEC 27001:2022, Annexe A — contrôles 5.3 (séparation des tâches), 5.15 (contrôle d’accès), 5.16 (gestion des identités) et 5.18 (droits d’accès).
  • ANSI/INCITS 359, Information Technology – Role Based Access Control (modèle RBAC du NIST), pour la gestion des rôles.