Veille Technologique : Gestion des Identités et Accès (IAM)

Sujet : La centralisation des accès via le SSO et la sécurisation MFA dans une infrastructure virtualisée.

Méthodologie de veille

Outils Push

• Flux RSS via Feedly
• Alertes Google :
  • “OIDC vulnerability”
  • “SAML exploit”
  • “Authentik update”
  • “Keycloak security”
  • “Zero Trust IAM”

Sources surveillées

• ANSSI
• Le Monde Informatique
• IT-Connect
• Microsoft Learn
• Grafana Labs

---

Été 2024 : Centralisation des identités : montée en puissance des solutions IAM Open Source

Les entreprises utilisent de plus en plus d’applications SaaS, de serveurs virtualisés et d’outils d’administration accessibles à distance. Cette multiplication des comptes entraîne des risques importants : réutilisation de mots de passe, comptes oubliés, mauvaise gestion des droits.

Les solutions IAM deviennent alors essentielles pour centraliser l’authentification et appliquer une politique de sécurité homogène.

Évolution technique observée

Comparaison des principales solutions du marché :

• Keycloak : solution historique très utilisée en entreprise mais gourmande en ressources.
• Authentik : solution moderne orientée Docker et reverse proxy.
• Authelia : solution légère adaptée aux infrastructures web.
• Microsoft Entra ID : leader du marché cloud et hybride.

Les protocoles évoluent également :

• abandon progressif de LDAP seul,
• adoption de OIDC, OAuth2 et SAML.

Sources consultées

• https://docs.goauthentik.io/
• https://www.keycloak.org/documentation

---

Automne 2024 : La généralisation du MFA (Multi-Factor Authentication)

Généralisation du MFA face à l’augmentation des cyberattaques

Les attaques par vol d’identifiants deviennent la première cause d’intrusion dans les systèmes d’information.

Les entreprises mettent progressivement en place :

• le MFA (Multi-Factor Authentication),
• les politiques Zero Trust,
• les contrôles d’accès conditionnels.

Évolution technique observée

Les solutions IAM intègrent désormais :

• TOTP,
• Push Notification,
• clés physiques FIDO2,
• biométrie.

Les recommandations de l’ANSSI insistent désormais sur l’utilisation du MFA pour protéger les accès sensibles.

Sources consultées

• https://www.cert.ssi.gouv.fr/dur/CERTFR-2025-DUR-003/
• https://learn.microsoft.com/fr-fr/entra/identity/authentication/concept-mfa-howitworks

---

Hiver 2024-2025: Sécuriser les applications « anciennes » via Proxy Auth

• Analyse de la situation : Le problème du SSO, c’est que toutes les applications ne sont pas compatibles nativement avec SAML ou OIDC (ex: une vieille interface de gestion de switch).
• Événement technique : Découverte de la fonctionnalité Proxy Provider. Cela permet au SSO de se placer devant l’application.
• L’œil du tech (SISR) : Ma veille porte sur le flux réseau. Le serveur Web (Nginx ou Traefik) intercepte la requête, demande au SSO si l’utilisateur est logué. Si oui, il laisse passer. Cela permet de « moderniser » la sécurité de vieux serveurs virtualisés sans modifier leur code.
• Sources consultées :
  • Blog Traefik : « Smart Routing and SSO with Authentik » (Lien)
  • ZDNet : « Cyberattaques : comment protéger ses actifs hérités (Legacy) » (Lien)

---

Printemps 2025 : L’avènement du « Passwordless » avec FIDO2

• Analyse de la situation : Le maillon faible reste l’humain. Même avec du MFA, le phishing (hameçonnage) peut fonctionner. L’industrie pousse pour les Passkeys (FIDO2) pour supprimer le mot de passe.
• Événement technique : Mise à jour majeure d’Authentik intégrant le support natif de WebAuthn. Cela permet d’utiliser une clé de sécurité physique (Yubikey) ou la biométrie du smartphone pour se connecter sans taper aucun caractère.
• L’œil du tech (SISR) : Test en environnement virtuel : j’ai configuré ma VM IAM pour qu’elle accepte l’empreinte digitale (via Windows Hello) comme seul facteur d’entrée. Résultat : Une sécurité impénétrable par phishing car il n’y a plus de mot de passe à voler.
• Sources consultées :
  • FIDO Alliance : « How FIDO2/WebAuthn works » (Lien)
  • YouTube (Chaîne : NetworkChuck) : « The end of passwords? Passkeys explained »

---

Été 2025 : Centralisation des journaux (Logs) et conformité

• si le serveur IAM tombe,
• toute l’infrastructure devient inaccessible.

---

Automne 2025 : Automatisation du provisioning (SCIM)

Analyse de la situation

La gestion manuelle des comptes provoque :

• privilèges excessifs.
• erreurs humaines,
• comptes oubliés,

Le protocole SCIM permet :

• la synchronisation automatique des utilisateurs,
• le provisioning,
• le déprovisioning.
• Il devient essentiel dans les infrastructures hybrides.

Sources consultées :

• RFC SCIM 2.0
• Microsoft Learn – Déploiement SCIM
• Authentik SCIM Provider

---

Hiver 2025-2026 : Sécurité des API et « Machine-to-Machine »

Analyse de la situation

Les échanges entre applications deviennent majoritaires :

• microservices,
• Docker,
• Kubernetes,
• scripts automatisés.

Le stockage de mots de passe dans les scripts représente un risque critique.

Les architectures modernes utilisent désormais :

• OAuth2 Client Credentials,
• tokens temporaires,
• authentification machine-to-machine.

Cela applique le principe du moindre privilège.

Sources consultées

• Auth0 – Client Credentials Flow
• OAuth 2.0 RFC

---

Conclusion de la veille

Cette veille technologique m’a permis d’observer l’évolution rapide des infrastructures IAM modernes.

Les principales tendances observées sont :

• le développement du modèle Zero Trust.
• la disparition progressive du mot de passe,
• la généralisation du MFA,
• l’arrivée du Passwordless,
• la sécurisation des API,
• l’automatisation des comptes.

mon Profil Wakelet