La gestion des identités et des accès ou IAM (pour Identity and Access Management en anglais) est devenue l’un des piliers de la transformation numérique.
Après avoir accompagné la généralisation du cloud hybride puis l’essor du télétravail, elle se retrouve aujourd’hui au cœur d’un nouveau défi: l’arrivée massive des agents IA et des identités non humaines dans les systèmes d’information.
Acteur mondial de référence de l’IAM, Okta accompagne plus de 19 000 clients dans le monde. L’éditeur américain emploie environ 6500 collaborateurs, réalise près de 3 milliards de dollars de chiffre d’affaires, et travaille avec plus de 70 % des entreprises du CAC 40 et plusieurs centaines d’organisations en France. Son positionnement repose sur une plateforme indépendante de gestion des identités et des accès capable de fédérer des environnements hétérogènes, tout en renforçant la sécurité et la gouvernance des accès.
Cependant, à mesure que les entreprises déploient des agents IA dans leurs processus métiers, les enjeux évoluent. Comment identifier ces nouvelles entités numériques? Comment contrôler leurs privilèges et leurs actions alors qu’elles ne suivent pas les mêmes règles qu’un utilisateur humain? Et comment concilier sécurité, résilience et souveraineté dans un contexte où les organisations doivent opérer à l’échelle mondiale tout en maîtrisant leurs risques?
Pour évoquer ces mutations et les nouvelles approches nécessaires en matière de gouvernance des identités, Place de l’IT a rencontré Xavier Mathis, directeur général France chez Okta, et Aziz Si Mohammed, expert Identity and Access Management chez Okta.
Place de l’IT – Depuis l’arrivée d’Okta en France, quelles sont les grandes évolutions dans la gestion des identités et des accès?
Xavier Mathis: Depuis 2018, nous avons observé trois grandes vagues successives.
La première a été celle du cloud hybride. Les entreprises devaient gérer simultanément des applications SaaS et des environnements on-premise, tout en offrant une expérience fluide aux utilisateurs. Et ce, quel que soit leur lieu de travail ou leur terminal.
La deuxième vague a été provoquée par la crise sanitaire du Covid-19 et aux confinements. Le télétravail massif a remis en question des architectures de sécurité historiquement conçues autour du périmètre réseau. Cette période a accéléré l’adoption du Zero Trust et confirmé que le mot de passe seul n’était plus une réponse adaptée face à des attaques reposant largement sur la compromission d’identifiants.
Enfin, nous sommes aujourd’hui confrontés à une troisième transformation: l’IA agentique. Elle ouvre des perspectives considérables en matière de productivité mais introduit également de nouveaux défis de visibilité, de gouvernance et de contrôle.
Pourquoi les agents IA constituent-ils un défi différent de celui des identités humaines?
Aziz Si Mohammed: Beaucoup d’organisations commettent encore une erreur fondamentale: considérer qu’un agent IA peut être géré comme un utilisateur classique. Or ce n’est pas le cas. Un collaborateur possède une identité connue, un cycle de vie défini, et des responsabilités identifiées. Un agent IA peut être créé n’importe où, par différents utilisateurs ou plateformes, évoluer rapidement et agir de façon non déterministe. Il peut accéder à des données, lancer des traitements ou prendre des initiatives sans reproduire exactement le même comportement à chaque sollicitation. Cela impose de repenser les modèles de contrôle traditionnels et d’introduire davantage de visibilité sur les transactions, les interactions et les privilèges réellement utilisés.
Xavier Mathis: La première question que nous posent aujourd’hui les entreprises est souvent simple: «Où sont nos agents IA?». Beaucoup se montrent incapables d’y répondre précisément.
Pourtant, ces agents peuvent avoir accès à des systèmes critiques ou interagir avec des données sensibles. Avant même de parler de contrôle, il faut donc disposer d’une cartographie fiable des identités humaines et non humaines présentes dans l’organisation.
Comment les entreprises peuvent-elles reprendre la main face à la multiplication des identités non humaines?
Xavier Mathis: La visibilité constitue le point de départ. Il devient indispensable de connaître la posture de sécurité de chaque identité, qu’elle soit humaine ou non. C’est précisément l’objectif de nouvelles approches comme l’Identity Security Posture Management. Une fois cette visibilité acquise, il devient possible de mettre en œuvre des politiques cohérentes d’authentification forte, de gouvernance et d’automatisation.
Aziz Si Mohammed: Les volumes sont également un facteur clé. Selon les environnements, une entreprise peut compter entre dix et soixante-dix identités non humaines pour une seule identité humaine.
Les approches manuelles ne sont donc plus envisageables. C’est pourquoi les organisations doivent automatiser les processus de découverte, de contrôle et de supervision afin de conserver une maîtrise opérationnelle de ces nouveaux actifs numériques.
Qu’apporte une plateforme IAM indépendante?
Xavier Mathis: Les systèmes d’information sont devenus extrêmement hétérogènes. Les entreprises opèrent à l’international, réalisent des acquisitions et héritent régulièrement de nouvelles briques technologiques. Elles ne souhaitent plus être enfermées dans un environnement unique.
La valeur d’une plateforme indépendante comme Okta réside dans sa capacité à fédérer ces différents mondes et à offrir un cadre de sécurité cohérent malgré la complexité existante.
Aziz Si Mohammed: L’objectif ne consiste pas à demander aux clients de repartir de zéro. Lorsqu’une organisation dispose déjà de certaines briques IAM, nous cherchons surtout à compléter l’existant avec les fonctions de gouvernance, d’administration des identités ou de contrôle des accès privilégiés qui lui manquent. L’enjeu vise à apporter une vision unifiée, tout en préservant la simplicité d’intégration et les investissements déjà réalisés.
La simplification du paysage technologique devient-elle un objectif aussi important que la sécurité?
Xavier Mathis: Les deux sujets sont étroitement liés. Dans un premier temps, les entreprises cherchent à obtenir une meilleure visibilité afin d’améliorer leur gouvernance. Ensuite vient souvent une phase de rationalisation visant à réduire la complexité, les coûts et les risques.
Les fusions, les acquisitions ou l’accumulation de solutions spécialisées ont créé de véritables millefeuilles technologiques. Simplifier permet non seulement de gagner en efficacité mais également de renforcer la sécurité globale.
Aziz Si Mohammed: L’automatisation joue ici un rôle essentiel. Par exemple, nous pouvons nous interfacer avec Workday : lorsqu’un collaborateur rejoint l’entreprise, son arrivée déclenche automatiquement la création de son identité et l’attribution des droits correspondant à sa fonction. À l’inverse, les accès peuvent être retirés immédiatement lors de son départ. Cette automatisation réduit fortement les erreurs humaines et améliore la conformité.
La souveraineté est aujourd’hui au cœur des débats. Comment abordez-vous cette question?
Xavier Mathis: La souveraineté est un sujet complexe parce que chacun en a sa propre définition. Pour beaucoup, elle se limite à la localisation des données. Pourtant, la principale question est celle de la capacité à poursuivre ses activités lorsque survient un incident majeur, qu’il soit technique, géopolitique ou opérationnel.
Les grandes entreprises ont besoin d’opérer à l’échelle mondiale tout en respectant les réglementations locales. La résilience devient donc un élément central de la réflexion.
Aziz Si Mohammed: Nous encourageons nos clients à travailler sur des plans de continuité d’activité et sur des architectures capables d’absorber des scénarios extrêmes.
La souveraineté ne se résume pas à un choix binaire entre une technologie locale ou internationale. Elle implique aussi la capacité à redémarrer un service critique, à maintenir l’accès aux applications essentielles et à garantir la maîtrise du traitement des données. Cette combinaison entre résilience, conformité et gouvernance constitue aujourd’hui la véritable souveraineté numérique.
Je me connecte
Se connecterTags Agents IA Aziz Si Mohammed gestion identite acces IA agentique Identity Security Posture Management Intelligence Artificielle Okta ISPM RSSI Xavier Mathis
