L’analyse
de François Poulet chez Youzer.
À mesure que les
organisations grandissent, leur système d’information se complexifie. Nouveaux
collaborateurs, multiplication des applications SaaS, mobilités internes plus
fréquentes : chaque évolution crée de nouveaux accès… rarement nettoyés avec la
même rigueur. C’est dans ce contexte que la gestion des identités et des accès
devient un sujet critique.
L’IGA (Identity
Governance & Administration) désigne la capacité d’une organisation à
maîtriser les accès : qui a accès à quoi, pourquoi et pour combien de temps.
Sur le papier, le constat est largement partagé : la gouvernance des identités
est un prérequis de sécurité, de conformité et d’efficacité opérationnelle.
Dans la réalité, elle reste pourtant incomplète, partiellement manuelle, voire
absente. Et cette situation génère une dette invisible : une dette IAM qui
s’accumule silencieusement, jusqu’au jour où un audit, un incident ou une
croissance trop rapide la rend impossible à ignorer.
Pourquoi la gouvernance
des identités reste un sujet si difficile à faire aboutir
La question n’est pas
de savoir si les organisations ont compris l’importance de l’IGA. La majorité
des DSI en sont conscientes, et le sujet n’est généralement ni un problème de
budget ni de volonté.
En réalité, beaucoup de
projets IGA peinent à tenir leurs promesses pour une raison simple : le modèle
historique de déploiement est mal adapté à la réalité des organisations
actuelles. Pensés trop larges et déployés sur des cycles longs, ces projets arrivent
souvent en production dans un environnement qui n’est déjà plus celui pour
lequel ils ont été conçus.
Or, la gouvernance des identités
est par nature dynamique. Quand elle ne parvient pas à suivre l’évolution des
équipes, des rôles, des outils et des exigences de sécurité, elle devient
rapidement obsolète. Le projet ne s’arrête pas toujours, mais il s’essouffle :
la mise en production est difficile, les usages peinent à s’installer et, au
lieu de réduire le risque, la gouvernance finit par en créer un nouveau, celui
d’un système complexe et difficile à maintenir. Dans certains cas, la déception
est telle que le sujet est mis de côté pendant plusieurs années.
Changer d’approche :
faire de l’IGA un levier opérationnel, pas un projet à rallonge
L’enjeu aujourd’hui
n’est plus de savoir s’il faut mettre en place une gouvernance des identités,
mais comment la rendre réellement opérationnelle et durable. Cela suppose de
rompre avec les approches traditionnelles fondées sur des projets monolithiques
et des cycles interminables, au profit de mises en production rapides, d’une
montée en charge progressive et d’une gouvernance conçue comme un mécanisme
vivant, capable d’évoluer au rythme de l’organisation.
Une IGA efficace n’est
pas celle qui promet de tout couvrir dès le premier jour, mais celle qui
apporte rapidement de la valeur : des processus d’onboarding et d’offboarding
fiables, des habilitations cohérentes, une traçabilité claire et une réduction
mesurable du risque.
Faire de la dette IAM
une opportunité de reprise de contrôle
Lancer un projet IGA en
2026 ne devrait plus être perçu comme une aventure risquée ou un chantier
interminable. C’est au contraire l’occasion de reprendre le contrôle sur un
sujet devenu critique, sans ajouter une couche de complexité supplémentaire au
système d’information. À condition de changer de modèle, la gouvernance des
identités peut devenir un véritable levier : moins de risques, plus de
visibilité, moins de charge opérationnelle pour les équipes IT, et une
organisation capable de grandir sans accumuler une dette invisible. La dette
IAM n’est pas une fatalité. Mais plus elle est ignorée, plus son coût — humain,
opérationnel et sécuritaire — augmente.