MFA et IAM dans le cloud : guide complet de la sécurité des identités 2026
Guide expert sur le MFA et l'IAM cloud : FIDO2/passkeys, SSO, gestion des accès AWS/Azure/GCP, PAM, Zero Standing Privilege, comparatif Okta, Entra ID, Ping et bonnes pratiques.
L'identité est devenue le nouveau périmètre de sécurité. Selon le Verizon DBIR 2024, plus de 80% des intrusions impliquent des identifiants compromis. Un IAM mal géré ou un MFA absent ouvre la porte aux ransomwares, à la fraude au président et à l'exfiltration de données. Ce guide couvre tout ce qu'il faut savoir pour bâtir une stratégie d'identité moderne dans le cloud en 2026.
1. Pourquoi l'identité est le périmètre n°1 en 2026
- Disparition du périmètre réseau classique avec le SaaS et le télétravail.
- Explosion des comptes machine (services, workloads, API) : 45 identités machine pour 1 humaine en moyenne (CyberArk 2024).
- Attaques d'identité industrialisées : phishing AiTM, MFA fatigue, session hijacking, SIM swapping.
- Convergence avec le modèle Zero Trust : never trust, always verify.
2. MFA : panorama des facteurs et de leur robustesse
2.1 Hiérarchie de robustesse
- FIDO2 / Passkeys / clés matérielles (YubiKey, Titan) : résistantes au phishing AiTM. Recommandé.
- Authentificateurs push avec number matching (Microsoft Authenticator, Okta Verify FastPass).
- TOTP (Google Authenticator, Authy) : robuste, mais vulnérable au phishing temps réel.
- Push simple sans number matching : sensible au MFA fatigue.
- SMS / appel vocal : à proscrire (SIM swap, interception SS7).
2.2 Passkeys : la fin du mot de passe
Les passkeys (FIDO2 + WebAuthn synchronisés iCloud/Google Password Manager/1Password) deviennent le standard 2026. Avantages : phishing resistant, UX excellente, déploiement large (Google, Apple, Microsoft, GitHub, Shopify…). À privilégier pour tous les comptes utilisateurs et administrateurs.
3. IAM Cloud : AWS, Azure, GCP
3.1 AWS IAM & IAM Identity Center
- Bannir les utilisateurs IAM avec clés d'accès longue durée.
- Utiliser IAM Identity Center (ex-SSO) + rôles assumés.
- Activer MFA obligatoire sur le root et tous les utilisateurs (politique SCP).
- Auditer avec IAM Access Analyzer et CloudTrail.
- Appliquer le principe de moindre privilège via les Permission Sets.
3.2 Microsoft Entra ID (ex Azure AD)
- Conditional Access : MFA contextuelle, blocage des pays à risque, conformité device.
- Privileged Identity Management (PIM) pour Just-In-Time admin.
- Désactiver l'authentification legacy (POP, IMAP, SMTP basic auth).
- Activer Identity Protection pour la détection de risque.
- Passer en passwordless avec Windows Hello + passkeys.
3.3 Google Cloud IAM
- Utiliser les groupes Workspace, jamais d'attribution directe à l'utilisateur.
- Workload Identity Federation pour les workloads externes (GitHub Actions, AWS).
- Activer Access Transparency et Policy Analyzer.
- Imposer la sécurité avancée (2SV obligatoire, clés FIDO2 pour les admins).
4. SSO et fédération : centraliser pour mieux contrôler
Le SSO via SAML 2.0 ou OIDC reste la fondation pour unifier l'accès aux SaaS et au cloud. Bénéfices : un seul point de révocation, MFA centralisée, audit consolidé, onboarding/offboarding rapide.
4.1 Comparatif des IdP en 2026
- Microsoft Entra ID : leader pour les organisations M365, inclus dans E3/E5.
- Okta Workforce Identity : best-of-breed, catalogue de 7 000+ intégrations.
- Ping Identity : fort sur les grandes entreprises et le B2C.
- Google Workspace Cloud Identity : naturel pour les Google shops.
- JumpCloud : IdP + MDM pour les PME.
- Keycloak : open source, idéal en B2C ou SaaS interne.
5. PAM : protéger les comptes à privilèges
Le PAM (Privileged Access Management) est indispensable pour les administrateurs, DBA, DevOps et workloads sensibles.
- Vault de mots de passe rotatifs (CyberArk, Delinea, BeyondTrust, HashiCorp Boundary).
- Session recording et brokering (jamais d'accès direct au serveur).
- Just-In-Time access : élévation temporaire validée et tracée.
- Zero Standing Privilege (ZSP) : aucun droit permanent, tout passe par une demande approuvée.
- Intégration avec un secrets manager pour les workloads non humains.
6. CIEM : maîtriser les permissions cloud
Les environnements cloud génèrent une explosion de permissions (35 000+ permissions AWS, 6 000+ Azure). Le CIEM (Cloud Infrastructure Entitlement Management) analyse les permissions effectives, détecte les toxic combinations et propose des moindres privilèges automatiquement.
- Solutions : Wiz, Orca, Microsoft Defender for Cloud, Sonrai, Tenable Cloud Security.
- Objectif : réduire de 80%+ les permissions inutilisées en 90 jours.
7. Identités machine et workloads
- SPIFFE / SPIRE : standard d'identité workload pour Kubernetes et multi-cloud.
- IAM Roles for Service Accounts (IRSA) sur EKS, Workload Identity sur GKE.
- Managed Identities sur Azure : pas de secret à stocker.
- Rotation automatique des certificats (cert-manager, ACM Private CA).
8. Gouvernance : IGA et revue d'accès
L'IGA (Identity Governance & Administration) assure que les bonnes personnes ont les bons accès au bon moment.
- Revue d'accès trimestrielle (campagnes Sailpoint, Saviynt, Omada, Okta IGA).
- Automatisation du JML (Joiner-Mover-Leaver) via le SIRH (Workday, BambooHR).
- SoD (Segregation of Duties) sur les rôles critiques (finance, prod).
9. Conformité et cadre réglementaire
- NIS2 : MFA obligatoire pour tous les accès distants et privilégiés.
- ISO 27001 A.5.15 / A.8.2 / A.8.3 : gestion des accès et des privilèges.
- DORA : authentification forte pour les actifs ICT critiques.
- PCI-DSS v4.0 : MFA pour tout accès au CDE.
- RGPD : article 32, mesures techniques appropriées (MFA, principe de moindre privilège).
10. Feuille de route en 90 jours
- J+30 : MFA résistante au phishing pour tous les admins, blocage des protocoles legacy.
- J+60 : SSO sur les 10 SaaS critiques, désactivation des comptes dormants.
- J+90 : PIM/PAM sur les rôles admin cloud, première campagne de revue d'accès, déploiement passkeys utilisateurs.
11. Conclusion
En 2026, sécuriser l'identité est le levier ROI numéro 1 en cybersécurité. La combinaison MFA phishing-resistant + SSO + PAM + Zero Standing Privilege bloque la majorité des chemins d'attaque actuels. Chez CloudSecure, nous concevons et déployons des architectures IAM cloud robustes et conformes. À lire ensuite : Zero Trust, Gestion des secrets, CASB & Shadow IT.
Besoin d'un accompagnement en cybersécurité ?
CloudSecure vous aide à sécuriser votre infrastructure cloud et à protéger vos données.
Contactez-nous