Retour aux actualités
    Sécurité Cloud19 min de lecture

    MFA et IAM dans le cloud : guide complet de la sécurité des identités 2026

    Guide expert sur le MFA et l'IAM cloud : FIDO2/passkeys, SSO, gestion des accès AWS/Azure/GCP, PAM, Zero Standing Privilege, comparatif Okta, Entra ID, Ping et bonnes pratiques.

    L'identité est devenue le nouveau périmètre de sécurité. Selon le Verizon DBIR 2024, plus de 80% des intrusions impliquent des identifiants compromis. Un IAM mal géré ou un MFA absent ouvre la porte aux ransomwares, à la fraude au président et à l'exfiltration de données. Ce guide couvre tout ce qu'il faut savoir pour bâtir une stratégie d'identité moderne dans le cloud en 2026.

    1. Pourquoi l'identité est le périmètre n°1 en 2026

    • Disparition du périmètre réseau classique avec le SaaS et le télétravail.
    • Explosion des comptes machine (services, workloads, API) : 45 identités machine pour 1 humaine en moyenne (CyberArk 2024).
    • Attaques d'identité industrialisées : phishing AiTM, MFA fatigue, session hijacking, SIM swapping.
    • Convergence avec le modèle Zero Trust : never trust, always verify.

    2. MFA : panorama des facteurs et de leur robustesse

    2.1 Hiérarchie de robustesse

    1. FIDO2 / Passkeys / clés matérielles (YubiKey, Titan) : résistantes au phishing AiTM. Recommandé.
    2. Authentificateurs push avec number matching (Microsoft Authenticator, Okta Verify FastPass).
    3. TOTP (Google Authenticator, Authy) : robuste, mais vulnérable au phishing temps réel.
    4. Push simple sans number matching : sensible au MFA fatigue.
    5. SMS / appel vocal : à proscrire (SIM swap, interception SS7).

    2.2 Passkeys : la fin du mot de passe

    Les passkeys (FIDO2 + WebAuthn synchronisés iCloud/Google Password Manager/1Password) deviennent le standard 2026. Avantages : phishing resistant, UX excellente, déploiement large (Google, Apple, Microsoft, GitHub, Shopify…). À privilégier pour tous les comptes utilisateurs et administrateurs.

    3. IAM Cloud : AWS, Azure, GCP

    3.1 AWS IAM & IAM Identity Center

    • Bannir les utilisateurs IAM avec clés d'accès longue durée.
    • Utiliser IAM Identity Center (ex-SSO) + rôles assumés.
    • Activer MFA obligatoire sur le root et tous les utilisateurs (politique SCP).
    • Auditer avec IAM Access Analyzer et CloudTrail.
    • Appliquer le principe de moindre privilège via les Permission Sets.

    3.2 Microsoft Entra ID (ex Azure AD)

    • Conditional Access : MFA contextuelle, blocage des pays à risque, conformité device.
    • Privileged Identity Management (PIM) pour Just-In-Time admin.
    • Désactiver l'authentification legacy (POP, IMAP, SMTP basic auth).
    • Activer Identity Protection pour la détection de risque.
    • Passer en passwordless avec Windows Hello + passkeys.

    3.3 Google Cloud IAM

    • Utiliser les groupes Workspace, jamais d'attribution directe à l'utilisateur.
    • Workload Identity Federation pour les workloads externes (GitHub Actions, AWS).
    • Activer Access Transparency et Policy Analyzer.
    • Imposer la sécurité avancée (2SV obligatoire, clés FIDO2 pour les admins).

    4. SSO et fédération : centraliser pour mieux contrôler

    Le SSO via SAML 2.0 ou OIDC reste la fondation pour unifier l'accès aux SaaS et au cloud. Bénéfices : un seul point de révocation, MFA centralisée, audit consolidé, onboarding/offboarding rapide.

    4.1 Comparatif des IdP en 2026

    • Microsoft Entra ID : leader pour les organisations M365, inclus dans E3/E5.
    • Okta Workforce Identity : best-of-breed, catalogue de 7 000+ intégrations.
    • Ping Identity : fort sur les grandes entreprises et le B2C.
    • Google Workspace Cloud Identity : naturel pour les Google shops.
    • JumpCloud : IdP + MDM pour les PME.
    • Keycloak : open source, idéal en B2C ou SaaS interne.

    5. PAM : protéger les comptes à privilèges

    Le PAM (Privileged Access Management) est indispensable pour les administrateurs, DBA, DevOps et workloads sensibles.

    • Vault de mots de passe rotatifs (CyberArk, Delinea, BeyondTrust, HashiCorp Boundary).
    • Session recording et brokering (jamais d'accès direct au serveur).
    • Just-In-Time access : élévation temporaire validée et tracée.
    • Zero Standing Privilege (ZSP) : aucun droit permanent, tout passe par une demande approuvée.
    • Intégration avec un secrets manager pour les workloads non humains.

    6. CIEM : maîtriser les permissions cloud

    Les environnements cloud génèrent une explosion de permissions (35 000+ permissions AWS, 6 000+ Azure). Le CIEM (Cloud Infrastructure Entitlement Management) analyse les permissions effectives, détecte les toxic combinations et propose des moindres privilèges automatiquement.

    • Solutions : Wiz, Orca, Microsoft Defender for Cloud, Sonrai, Tenable Cloud Security.
    • Objectif : réduire de 80%+ les permissions inutilisées en 90 jours.

    7. Identités machine et workloads

    • SPIFFE / SPIRE : standard d'identité workload pour Kubernetes et multi-cloud.
    • IAM Roles for Service Accounts (IRSA) sur EKS, Workload Identity sur GKE.
    • Managed Identities sur Azure : pas de secret à stocker.
    • Rotation automatique des certificats (cert-manager, ACM Private CA).

    8. Gouvernance : IGA et revue d'accès

    L'IGA (Identity Governance & Administration) assure que les bonnes personnes ont les bons accès au bon moment.

    • Revue d'accès trimestrielle (campagnes Sailpoint, Saviynt, Omada, Okta IGA).
    • Automatisation du JML (Joiner-Mover-Leaver) via le SIRH (Workday, BambooHR).
    • SoD (Segregation of Duties) sur les rôles critiques (finance, prod).

    9. Conformité et cadre réglementaire

    • NIS2 : MFA obligatoire pour tous les accès distants et privilégiés.
    • ISO 27001 A.5.15 / A.8.2 / A.8.3 : gestion des accès et des privilèges.
    • DORA : authentification forte pour les actifs ICT critiques.
    • PCI-DSS v4.0 : MFA pour tout accès au CDE.
    • RGPD : article 32, mesures techniques appropriées (MFA, principe de moindre privilège).

    10. Feuille de route en 90 jours

    1. J+30 : MFA résistante au phishing pour tous les admins, blocage des protocoles legacy.
    2. J+60 : SSO sur les 10 SaaS critiques, désactivation des comptes dormants.
    3. J+90 : PIM/PAM sur les rôles admin cloud, première campagne de revue d'accès, déploiement passkeys utilisateurs.

    11. Conclusion

    En 2026, sécuriser l'identité est le levier ROI numéro 1 en cybersécurité. La combinaison MFA phishing-resistant + SSO + PAM + Zero Standing Privilege bloque la majorité des chemins d'attaque actuels. Chez CloudSecure, nous concevons et déployons des architectures IAM cloud robustes et conformes. À lire ensuite : Zero Trust, Gestion des secrets, CASB & Shadow IT.

    Besoin d'un accompagnement en cybersécurité ?

    CloudSecure vous aide à sécuriser votre infrastructure cloud et à protéger vos données.

    Contactez-nous