Auteur/autrice : Matthieu Filizzola

  • Agentic IAM Runtime Architecture Blueprint : une lecture côté utilisateur

    Disclaimer : article
    rédigé en juin 2026 sur un sujet en constante évolution. Il témoigne des idées
    qui font actuellement consensus. L’émergence de nouveaux patterns (Aauth, AI
    gateway etc.) et leur impact sur l’architecture – façon 0 trust – proposée ici
    peut être à revoir.

    Une architecture IAM orientée
    agents ne peut plus être dessinée uniquement comme une succession de composants
    techniques. Elle doit raconter un parcours : celui d’un utilisateur, d’un
    service ou d’un agent qui veut réaliser une action, et celui des contrôles qui
    accompagnent cette action jusqu’à la ressource.

    Le schéma proposé part de cette
    idée simple : une action agentique n’est jamais seulement un appel technique.
    C’est une combinaison d’identité, de contexte, de politique, de posture,
    d’enforcement et d’audit.

    L’objectif n’est donc pas d’opposer les
    briques entre elles. Au contraire, l’enjeu est de montrer comment elles se
    complètent : Netwrix Identity Manager pour la gouvernance, Netwrix 1Secure pour
    la visibilité et la posture, Ping Identity pour l’authentification, HashiCorp
    pour les secrets, Axiomatics pour la décision d’autorisation, Apigee pour
    l’enforcement API, et Ariovis pour assembler cette trajectoire en architecture
    cohérente.

    Le point de départ : une
    demande utilisateur

    Imaginons un utilisateur métier
    qui demande à un agent IA de préparer une analyse client.

    L’agent doit peut-être consulter
    une application interne, appeler une API, interroger une base documentaire,
    utiliser un outil MCP, puis restituer une synthèse. Pour l’utilisateur,
    l’expérience doit rester fluide. Il ne veut pas voir toute la mécanique de
    sécurité. Il veut que l’agent accomplisse la tâche attendue.

    Mais côté architecture, plusieurs
    questions doivent être traitées sans ambiguïté.

    L’agent est-il connu ?

    A-t-il un propriétaire ?

    Agit-il pour un utilisateur, un service, ou de manière autonome ?

    Ses accès ont-ils été approuvés ?

    Les secrets qu’il utilise sont-ils maîtrisés ?

    La ressource appelée est-elle sensible ?

    La requête passe-t-elle par une API gateway, une AI gateway, un MCP server ou
    une couche d’accès aux données ?

    La décision doit-elle être prise une fois au départ, ou à chaque étape du
    parcours ?

    C’est ce parcours que le schéma
    organise.

    1. La fondation : identité et
    gouvernance

    La première zone du schéma est la
    Identity & Governance Foundation.

    Elle regroupe les identités
    humaines, les services, les workloads et les agents. Le choix de parler de Non-Human
    Identity Governance
    est important : on ne parle pas seulement d’un “agent”
    isolé, mais de l’ensemble des identités non humaines qui participent à
    l’exécution.

    Dans cette zone, Netwrix
    Identity Manager
    porte la fondation IAG :

    • gouvernance des identités ;
    • cycle de vie ;
    • ownership ;
    • accès approuvés ;
    • séparation des tâches ;
    • revues ;
    • gouvernance des identités non humaines.

    L’idée est de savoir, avant même
    l’exécution, si l’agent ou le service est légitime dans l’organisation. Qui en
    est responsable ? Quel est son périmètre ? Quels accès ont été accordés ? Quels
    accès doivent être revus ?

    À côté, Ping Identity
    porte l’authentification non humaine. Il répond à la question de la preuve
    d’identité au runtime.

    HashiCorp intervient sur
    les secrets et credentials. L’agent ou le service ne doit pas manipuler des
    secrets de manière opaque ou non maîtrisée.

    Cette première zone ne prend pas
    toute la décision runtime, mais elle donne une base indispensable : sans
    identité gouvernée, sans authentification fiable et sans secrets maîtrisés,
    l’autorisation contextuelle repose sur du sable.

    2. La décision : politique et
    autorisation runtime

    La deuxième zone est le cœur du
    schéma : Policy & Runtime Decision.

    C’est ici que Axiomatics
    est positionné comme moteur de décision. Deux briques sont importantes autour
    du PDP :

    Advanced Policy Management,
    pour modéliser les règles d’autorisation fines.

    Policy Governance, pour gérer, maintenir et faire évoluer ces règles
    dans le temps.

    Au centre, le bloc Runtime
    Authorizations
    représente le PDP, le Policy Decision Point.

    Quand l’agent veut agir, un point
    d’enforcement appelle Axiomatics avec un contexte. Ce contexte ne se limite pas
    à un rôle ou à un scope OAuth. Il combine plusieurs dimensions :

    User

    Service

    Agent

    Resource

    Action

    Sensitivity

    Environment

    Risk

    C’est là que le schéma devient
    intéressant. La décision n’est pas seulement : “cet agent a-t-il un droit ?”

    Elle devient : “cette action
    précise est-elle acceptable dans ce contexte précis ?”

    Par exemple :

    • l’agent peut lire une donnée, mais pas l’exporter ;
    • il peut appeler un outil MCP, mais pas avec
      certains paramètres ;
    • il peut accéder à une API, mais uniquement dans un
      environnement approuvé ;
    • il peut obtenir une réponse, mais avec masquage de
      certains champs ;
    • il peut poursuivre, mais avec un niveau d’audit
      renforcé.

    Cette zone centrale explique
    pourquoi l’IAG reste essentielle sans être le seul mécanisme. L’IAG donne la
    légitimité structurée. Le PDP traite la décision contextuelle au moment de
    l’usage.

    3. La visibilité : posture,
    découverte et audit

    Le schéma place une couche Audit,
    Visibility & Posture
    en haut, parce que ces capacités ne sont pas
    uniquement des fonctions de reporting. Elles alimentent le reste de
    l’architecture.

    Netwrix 1Secure est
    positionné sur :

    • la découverte ;
    • les insights ;
    • la posture ;
    • le risque ;
    • l’observabilité autour des agents et expositions.

    Netwrix Identity Manager
    est positionné sur :

    • Access & Authorization Audit & Insights ;
    • Administration Audit ;
    • Dashboards & Alerts ;
    • Governance Audit Trails.

    C’est une distinction importante.
    La visibilité n’est pas monolithique. Une partie relève de la posture et de
    l’exposition. Une autre relève de la gouvernance, de l’administration et des
    traces d’autorisation.

    Dans le parcours utilisateur,
    cette couche sert à répondre après coup, mais aussi à enrichir les décisions
    suivantes :

    Pourquoi l’agent a-t-il été autorisé ?

    Quelle politique a été appliquée ?

    Quel contexte de risque existait ?

    Quel propriétaire est responsable ?

    Faut-il revoir l’accès ?

    Faut-il déclencher une action corrective ?

    4. L’enforcement : là où
    l’architecture reste volontairement ouverte

    La troisième zone du schéma est Enforcement
    & Consumption
    .

    Elle contient les contrôles
    proches de l’usage :

    • Input Guardrails ;
    • Data Access Controls ;
    • MCP & API Controls ;
    • Tool / Parameter Controls ;
    • Output Guardrails.

    Elle montre aussi Apigee
    comme API Gateway / Enforcement Point.

    Mais le message n’est pas : “tout
    passera toujours par une API Gateway”. Le message est plus nuancé : à date,
    l’API gateway reste un point d’enforcement naturel pour beaucoup de flux. Mais
    selon les architectures, d’autres points deviennent tout aussi importants : AI
    gateway, MCP gateway, agent framework, MCP server, SDK d’enforcement, data
    access layer.

    C’est pour cela que le schéma
    ajoute une bande en bas : Distributed PEP Fabric.

    Elle montre que l’enforcement peut être
    porté par plusieurs points :

    SDK / Enforcement Library

    AI / MCP Gateway

    API Gateway / PEP

    Agent Framework

    MCP Server

    Data Access Layer[MF3] 

    Ces PEPs ne remplacent pas le
    PDP. Ils l’appellent. Ils collectent le contexte, demandent une décision, puis
    appliquent le résultat.

    Dans une architecture plus
    mature, certains flux passeront probablement davantage par des AI gateways ou
    des MCP gateways que par des API gateways classiques. Le schéma garde donc
    Apigee comme brique concrète, mais il ne ferme pas l’architecture autour d’Apigee
    uniquement.

    C’est un point clé : le schéma
    est une recommandation d’architecture à date, pas une prophétie figée.

    Le parcours complet, vu
    simplement

    Reprenons notre utilisateur qui
    demande à un agent de produire une analyse.

    L’utilisateur est connu. L’agent
    est gouverné. Le service qui l’exécute est identifié. Les secrets sont
    récupérés proprement. L’agent prépare son action et passe par un point
    d’enforcement : par exemple Apigee, une AI/MCP gateway ou un SDK.

    Ce PEP rassemble le contexte :

    Qui demande ?

    Quel agent agit ?

    Pour quelle ressource ?

    Quelle action ?

    Quelle sensibilité ?

    Quel environnement ?

    Quel risque ?

    Il appelle Axiomatics.

    Axiomatics applique les
    politiques. Il peut s’appuyer sur les attributs d’identité, les règles de
    gouvernance, le contexte de posture, la sensibilité de la donnée ou les
    paramètres de l’action.

    La décision revient au PEP.

    Le PEP applique : autoriser,
    refuser, limiter, masquer, journaliser, ou déclencher un workflow.

    L’action atteint alors une
    ressource protégée : MCP server, API, application, service ou data source.

    En parallèle, les événements
    remontent vers les couches d’observabilité et d’audit. Ils alimentent les
    tableaux de bord, les traces de gouvernance, les revues et les éventuelles
    actions correctives.

    Alternative Microsoft (la
    précédente image étant bâtie à partir des partenaires technologiques de
    Ariovis) :

     

    Ce qu’il faut retenir

    Le schéma ne cherche pas à figer
    une architecture une fois pour toutes. Il propose une lecture pragmatique d’une
    architecture agentique recommandée aujourd’hui : une fondation IAG solide, une
    décision runtime centralisée et gouvernée, et des points d’enforcement
    distribués.

    La valeur vient de l’assemblage.

    Netwrix Identity Manager structure la légitimité.

    Netwrix 1Secure apporte la visibilité et les signaux de posture.

    Ping Identity authentifie.

    HashiCorp protège les secrets.

    Axiomatics décide.

    Apigee applique sur les flux API.

    Les autres PEPs étendent l’enforcement vers les agents, MCPs, SDKs et couches
    de données.

    C’est cette articulation qui
    permet de garder une expérience utilisateur fluide tout en contrôlant
    précisément ce que les agents peuvent réellement faire.

  • Mois des Fiertés : pourquoi la confiance et le respect font partie de l’ADN d’Ariovis

    Dans la cybersécurité, nous passons nos journées à protéger les systèmes contre les risques. Nous aidons les organisations à sécuriser leurs infrastructures, leurs données et leurs activités face à des menaces toujours plus complexes.

    Mais la confiance ne se limite pas aux systèmes d’information.

    Elle se construit aussi entre les personnes.

    Chez Ariovis, nous sommes convaincus qu’un environnement de travail fondé sur le respect, l’écoute et la liberté d’être soi-même est un levier essentiel de performance, d’innovation et d’épanouissement professionnel.

    Le Mois des Fiertés est l’occasion de rappeler cette conviction.

    S’il est aujourd’hui célébré dans de nombreux pays, c’est parce que les personnes LGBTQIA+ continuent de faire face à des discriminations, y compris dans le monde professionnel. Pour beaucoup, parler librement de leur vie personnelle, de leur conjoint.e ou simplement être eux-mêmes au travail reste encore source d’appréhension.

    Ces réalités nous rappellent qu’une entreprise a un rôle à jouer dans la construction d’environnements professionnels respectueux, sûrs et ouverts à tous.tes.

    La responsabilité d’une entreprise ne s’arrête pas à ses services

    Les enjeux de cybersécurité évoluent rapidement. Les organisations doivent s’adapter, innover et attirer les meilleurs talents pour relever des défis toujours plus complexes.

    Mais cette capacité d’innovation dépend avant tout des personnes qui composent les équipes.

    C’est pourquoi notre démarche RSE s’appuie sur une conviction forte : chaque collaborateur.trice doit pouvoir évoluer dans un environnement où il est respecté.e, reconnu.e pour ses compétences et libre d’exprimer pleinement son potentiel.

    Cette approche se traduit par plusieurs engagements :

    • Favoriser l’égalité des chances ;

    • Encourager la diversité des profils et des parcours ;

    • Prévenir toute forme de discrimination ;

    • Développer une culture d’entreprise basée sur le respect et l’écoute ;

    • Créer un cadre de travail où chacun peut s’exprimer librement et être reconnu pour ses compétences.

    Parce qu’au-delà des expertises techniques, ce sont aussi les conditions de travail et la qualité des relations humaines qui permettent à chacun de donner le meilleur de lui-même.

    La diversité comme moteur de performance

    Dans les métiers de la cybersécurité et du numérique, la diversité n’est pas uniquement une question de représentation.

    Elle constitue un véritable avantage stratégique.

    Des équipes composées de profils variés apportent des visions complémentaires, enrichissent les réflexions et permettent d’aborder les problématiques sous différents angles.

    Cette pluralité favorise l’innovation, améliore la prise de décision et contribue à construire des solutions plus adaptées aux réalités des organisations que nous accompagnons.

    Les cybermenaces évoluent en permanence. Pour y répondre efficacement, nous avons besoin de talents capables de remettre en question les certitudes, d’identifier des angles morts et de proposer de nouvelles approches.

    La richesse des parcours, des expériences et des sensibilités contribue directement à cette capacité d’adaptation.

    La confiance, une valeur essentielle en cybersécurité comme dans les relations humaines

    La cybersécurité repose sur un principe fondamental : la confiance.

    Les organisations nous confient la protection de leurs données, de leurs infrastructures et parfois de leurs activités les plus critiques.

    Cette confiance ne peut exister sans transparence, écoute et respect.

    Nous pensons que ces mêmes principes doivent également guider les relations humaines au sein de l’entreprise.

    Créer un environnement où chacun peut être lui-même, sans avoir à masquer son identité ou ses différences, participe à construire cette confiance au quotidien.

    Car une équipe dans laquelle les collaborateur.trice se sentent respectés et écoutés est une équipe qui communique mieux, collabore davantage et ose exprimer ses idées.

    Cette sécurité psychologique est essentielle. Elle favorise la circulation de l’information, la créativité, l’engagement et la capacité à relever collectivement les défis auxquels nous faisons face.

    Un engagement qui dépasse le Mois des Fiertés

    Le Mois des Fiertés permet de célébrer les avancées réalisées, mais aussi de rappeler que l’égalité et le respect ne doivent jamais être considérés comme acquis.

    Pour nous, ces sujets ne se limitent pas à une prise de parole ponctuelle ou à une action symbolique.

    Ils s’inscrivent dans une démarche continue visant à promouvoir un numérique plus responsable, plus ouvert et plus respectueux des individus.

    Chez Ariovis, nous croyons qu’un environnement professionnel fondé sur la confiance et le respect n’est pas seulement une question de valeurs : c’est aussi une condition nécessaire pour attirer les talents, favoriser l’innovation et construire des organisations plus solides.

    Construire un avenir numérique plus sûr passe également par la création d’environnements professionnels où chacun a sa place, où les différences sont respectées et où les compétences peuvent pleinement s’exprimer.

    C’est cette vision que nous continuerons à porter, pendant le Mois des Fiertés et tout au long de l’année.

  • Et si l’IAG devenait enfin la tour de contrôle de l’identité ?

    Pendant longtemps, les programmes IAM ont été pensés comme des assemblages d’outils.
    Un annuaire d’un côté. Un SSO de l’autre. Un PAM à part. Et, au milieu, une gouvernance des identités souvent perçue comme un sujet de conformité, utile pour les campagnes de revue d’accès, mais loin des décisions d’accès réelles.
    Cette lecture ne tient plus.
    Aujourd’hui, les entreprises doivent gérer des collaborateurs, des prestataires, des comptes techniques, des API, des machines, des partenaires, demain des agents IA. Dans ce contexte, l’identité ne peut plus être un stock d’informations recopiées d’un système à l’autre. Elle doit devenir une capacité d’orchestration.
    C’est là que l’IAG change de statut.
    Non plus simple outil de gouvernance documentaire.
    Non plus simple moteur de workflow joiner-mover-leaver.
    Mais véritable tour de contrôle de l’identité.


    Le vrai problème : trop de décisions d’accès sont encore dispersées

    Dans beaucoup d’organisations, les droits sont encore décidés ou reconstruits à plusieurs endroits :
    • dans les applications ;
    • dans des groupes techniques ;
    • dans des règles locales peu documentées ;
    • dans des scripts ;
    • parfois même dans des fichiers Excel.
    Résultat : les rôles dérivent, les exceptions s’accumulent, les revues d’accès deviennent pénibles, et personne ne sait vraiment où se prend la décision.
    Le coût de cette situation n’est pas seulement technique. Il est aussi opérationnel et métier :
    • les onboardings ralentissent ;
    • les retraits d’accès prennent trop de temps ;
    • les projets redéveloppent leur propre logique d’habilitation ;
    • le privilège reste souvent trop permanent ;
    • les audits révèlent surtout une absence de lisibilité.
    Le sujet n’est donc plus seulement “qui a accès à quoi ?”.
    Le vrai sujet est : où s’organise l’intelligence de l’accès ?


    L’IAG comme point de contrôle, pas seulement comme point de passage

    Chez Ariovis, nous défendons une idée simple : l’IAG doit redevenir central, mais pas centralisateur.
    La nuance est essentielle.
    Il ne s’agit pas de faire de l’IAG un monolithe qui stocke tout, réplique tout et décide de tout.
    Il s’agit d’en faire le point où l’on structurequalifie et gouverne l’information d’identité utile aux décisions.
    Autrement dit, l’IAG devient la couche qui :
    • consolide les bonnes données ;
    • qualifie les rôles, attributs et relations utiles ;
    • met en cohérence les règles de gouvernance ;
    • éclaire les décisions d’accès ;
    • prépare l’automatisation ;
    • et alimente, au bon moment, les bons mécanismes d’application.
    C’est une logique de tour de contrôle : elle n’ouvre pas toutes les portes elle-même, mais elle permet que les bonnes décisions soient prises, au bon endroit, avec le bon niveau de contexte.

    Sortir d’une logique de réplication

    L’un des héritages les plus coûteux de l’IAM historique, c’est la copie.
    On copie l’identité dans les applications.
    On copie les rôles dans des annuaires secondaires.
    On copie les attributs dans des bases locales.
    Puis on essaie de réconcilier l’ensemble.
    Cette approche donne une illusion de maîtrise, mais elle produit surtout de la dette.
    À l’inverse, une approche moderne consiste à considérer l’identité comme une information orchestrée, consommée dynamiquement selon les usages. L’enjeu n’est plus d’avoir partout la même copie, mais d’avoir partout la bonne décision, fondée sur une information fiable, gouvernée et exploitable.
    C’est précisément ce basculement qui permet de passer d’un IAM centré sur la réplication à un IAM centré sur l’orchestration.


    Le trio à clarifier : information, décision, application

    Une architecture d’identité mature distingue clairement trois rôles.
    D’abord, il faut un endroit où l’on prépare l’information utile : rôles, attributs, statut, contexte, relations, signaux, périmètres.
    Ensuite, il faut un endroit où l’on prend la décision d’accès.
    Enfin, il faut un endroit où cette décision est appliquée.
    Tant que ces trois responsabilités restent mélangées, l’organisation subit :
    • des règles incohérentes ;
    • des circuits opaques ;
    • des exceptions difficiles à gouverner ;
    • une explosion du RBAC ;
    • et des intégrations fragiles.
    Quand elles sont clarifiées, l’IAG peut pleinement jouer son rôle : devenir le point d’information gouverné qui nourrit des décisions plus fines, plus auditables et plus évolutives.


    Pourquoi cela change aussi le PAM et l’Access Management

    Penser l’IAG comme tour de contrôle change immédiatement la lecture de deux autres domaines : l’Access Management et le PAM.

    Côté Access Management
    L’authentification ne suffit plus.
    Le SSO, le MFA ou l’accès conditionnel ne créent de valeur que s’ils s’appuient sur un contexte d’identité propre, gouverné et exploitable.
    Une politique d’accès n’est intelligente que si elle sait lire :
    • le bon statut utilisateur ;
    • le bon rôle ;
    • le bon niveau de risque ;
    • la bonne relation à la ressource ;
    • le bon contexte d’exécution.
    Sans cette colonne vertébrale, l’Access Management reste performant sur le front door, mais limité sur la finesse réelle des décisions.

    Côté PAM

    Le privilège ne peut plus être géré uniquement comme un coffre et une session.

    Bien sûr, les fondamentaux restent nécessaires : contrôle, traçabilité, rotation, supervision.

    Mais ils ne suffisent plus dans un monde où l’on cherche à réduire le privilège permanent, à introduire du JIT, à mieux gouverner les comptes techniques, et à articuler les accès sensibles avec le reste du modèle d’identité.
    Là encore, l’IAG a un rôle clé : qualifier les populations, structurer les droits, identifier les zones grises, soutenir les scénarios de privilège dynamique, et rendre le PAM plus lisible dans une architecture globale.


    Le bénéfice concret : moins de dette, plus de cohérence

    Quand l’IAG joue vraiment son rôle de tour de contrôle, les bénéfices sont très concrets.
    Les projets redéveloppent moins de logique locale.
    Les raccordements sont plus simples.
    Les revues d’accès deviennent plus pertinentes.
    Les scénarios JML sont plus robustes.
    Les cas de privilège sont mieux gouvernés.
    Les trajectoires Zero Trust deviennent enfin praticables.
    Surtout, l’entreprise gagne ce qui manque le plus souvent dans les programmes IAM : de la lisibilité.
    Et en IAM, la lisibilité n’est pas un luxe.
    C’est une condition de la sécurité durable.


    Ce que nous observons sur le terrain

    Dans les programmes que nous accompagnons, le vrai déclic n’arrive pas quand une organisation ajoute un outil de plus.
    Il arrive quand elle commence à poser les bonnes questions :
    • quelle information d’identité doit être gouvernée ici ?
    • quelle décision doit être prise là ?
    • quel composant applique réellement l’accès ?
    • où se trouvent les duplications inutiles ?
    • quels privilèges peuvent devenir temporaires ?
    • quels usages justifient une autorisation plus fine ?
    À partir de là, le programme IAM cesse d’être un catalogue de briques.
    Il devient une trajectoire d’architecture.
    Et c’est exactement à cet endroit qu’Ariovis apporte le plus de valeur : transformer un paysage d’identité fragmenté en lecture claire, progressive et exploitable.


    En conclusion

    L’IAG ne doit plus être regardée comme un sujet annexe de conformité.
    Elle peut devenir la tour de contrôle qui redonne de la cohérence à l’ensemble : identité, accès, autorisation et privilèges.
    Pas pour tout centraliser.
    Pas pour complexifier.
    Mais pour remettre de l’ordre dans la façon dont l’entreprise décide, applique et gouverne les accès.
    Dans un monde où l’identité devient le point de passage de presque tout, cette évolution n’est plus un raffinement d’architecte.
    C’est un choix de maturité.
  • Guide d’installation PingIDM 8.0.1 sur Debian avec PostgreSQL

    Environnement : Debian 12 • PingIDM 8.0.1 • PostgreSQL 17 • Java Temurin 17

    Conventions : Toutes les commandes sont exécutées en tant qu’utilisateur standard avec sudo quand l’élévation de privilèges est nécessaire.
    Le répertoire d’installation est /opt/openidm/ (le zip extrait un dossier openidm/).

    Étape 1 – Mise à jour du système

    sudo apt update -y && sudo apt upgrade -y

    Étape 2 – Installation de Java (Temurin JDK 17)

    PingIDM 8 requiert JDK 17.0.3 ou supérieur. La doc officielle recommande Eclipse Temurin.

    sudo apt install -y wget apt-transport-https gnupg

    wget -O - https://packages.adoptium.net/artifactory/api/gpg/key/public \
    | sudo tee /usr/share/keyrings/adoptium.asc

    echo "deb [signed-by=/usr/share/keyrings/adoptium.asc] \
    https://packages.adoptium.net/artifactory/deb \
    $(awk -F= '/^VERSION_CODENAME/{print$2}' /etc/os-release) main" \
    | sudo tee /etc/apt/sources.list.d/adoptium.list

    sudo apt update -y
    sudo apt install -y temurin-17-jdk

    Configurer JAVA_HOME

    echo "export JAVA_HOME=/usr/lib/jvm/temurin-17-jdk-amd64" | sudo tee -a /etc/environment
    source /etc/environment
    java -version

    Étape 3 – Installation de PostgreSQL

    PingIDM 8.0.1 supporte PostgreSQL 16 et 17.

    sudo apt install -y postgresql postgresql-contrib
    sudo systemctl enable --now postgresql
    sudo systemctl status postgresql

    Étape 4 – Installation des utilitaires

    sudo apt install -y wget unzip curl

    Étape 5 – Créer un utilisateur dédié et déployer le binaire PingIDM

    Le zip contient un dossier openidm/. On l’extrait directement dans /opt/ pour obtenir /opt/openidm/.

    sudo useradd -r -m -d /opt/openidm -s /bin/bash openidm
    cp IDM-8.0.1.zip /tmp/
    cd /opt
    sudo unzip /tmp/IDM-8.0.1.zip
    sudo chown -R openidm:openidm /opt/openidm
    rm /tmp/IDM-8.0.1.zip

    Étape 6 – Configurer PostgreSQL pour IDM

    6.1 – Modifier pg_hba.conf

    sudo nano /etc/postgresql/17/main/pg_hba.conf

    Ajouter :

    local   all   openidm   trust
    local all postgres trust

    Note : trust est acceptable en lab. En production, utiliser md5 ou scram-sha-256.

    Puis redémarrer PostgreSQL :

    sudo systemctl restart postgresql

    6.2 – Créer la base de données et le rôle openidm

    sudo -u postgres psql -f /opt/openidm/db/postgresql/scripts/createuser.pgsql

    6.3 – Créer les tables IDM

    psql -U openidm < /opt/openidm/db/postgresql/scripts/openidm.pgsql

    6.4 – Créer les tables Flowable (workflow engine)

    psql -d openidm -U openidm < /opt/openidm/db/postgresql/scripts/flowable.postgres.all.create.sql

    6.5 – Créer les tables d’audit (optionnel)

    psql -d openidm -U openidm < /opt/openidm/db/postgresql/scripts/audit.pgsql

    6.6 – Optimisation des index (recommandé)

    Relire le script avant exécution pour vérifier que les index correspondent à votre déploiement :

    sudo -u postgres psql -d openidm -f /opt/openidm/db/postgresql/scripts/default_schema_optimization.pgsql

    Étape 7 – Configurer IDM pour PostgreSQL

    7.1 – Supprimer la config DS par défaut

    cd /opt/openidm/conf/
    sudo rm repo.ds.json

    7.2 – Copier les fichiers de configuration PostgreSQL

    sudo cp /opt/openidm/db/postgresql/conf/datasource.jdbc-default.json \
    /opt/openidm/conf/

    sudo cp /opt/openidm/db/postgresql/conf/repo.jdbc.json \
    /opt/openidm/conf/

    7.3 – Configurer la connexion JDBC

    Éditer datasource.jdbc-default.json si vous avez changé le mot de passe de l’utilisateur openidm :

    sudo nano /opt/openidm/conf/datasource.jdbc-default.json

    Contenu attendu :

    {
    "driverClass" : "org.postgresql.Driver",
    "jdbcUrl" : "jdbc:postgresql://&{openidm.repo.host}:&{openidm.repo.port}/openidm",
    "databaseName" : "openidm",
    "username" : "openidm",
    "password" : "openidm",
    "connectionTimeout" : 30000,
    "connectionPool" : {
    "type" : "hikari",
    "minimumIdle" : 20,
    "maximumPoolSize" : 50
    }
    }

    7.4 – Configurer boot.properties

    sudo nano /opt/openidm/resolver/boot.properties

    Ou exporter la variable OPENIDM_OPTS :

    export OPENIDM_OPTS="-Xmx2048m -Xms2048m -Dopenidm.repo.host=localhost -Dopenidm.repo.port=5432"

    Étape 8 – Configurer les locales (si nécessaire)

    sudo dpkg-reconfigure locales
    sudo nano /etc/default/locale
    sudo reboot

    PostgreSQL nécessite des locales UTF-8 correctement configurées.

    Étape 9 – Démarrer PingIDM

    sudo su - openidm
    cd /opt/openidm
    ./startup.sh

    Sortie attendue :

    Using OPENIDM_HOME: /opt/openidm
    Using PROJECT_HOME: /opt/openidm
    Using OPENIDM_OPTS: -Xmx2048m -Xms2048m ...
    -> OpenIDM version "8.0.1"
    OpenIDM ready

    IDM écoute par défaut sur les ports 8080 (HTTP) et 8443 (HTTPS).

    Note production : Configurez openidm.host dans boot.properties sur l’URL de votre déploiement, sinon les redirections vers /admin ne fonctionneront pas correctement.

    Références

  • Cartographie IAM : Aligner la gestion des identités avec la stratégie business

    Introduction : L’IAM, bien plus qu’une question technique

    À l’ère de la transformation numérique, la gestion des identités et des accès (IAM) est souvent perçue comme un sujet réservé aux équipes IT. Pourtant, une cartographie IAM bien conçue est un levier stratégique pour les entreprises qui souhaitent concilier sécurité, conformité et performance. Comment ? En rendant visible l’invisible : les liens entre les identités, les droits d’accès et les objectifs métiers.

    Exemple concret : Un groupe industriel a réduit de 40 % les délais d’intégration de ses équipes après une fusion en cartographiant ses accès selon les nouveaux processus métiers — un gain direct sur sa capacité à capitaliser sur la synergie post-acquisition, sans surcoût.

    La cartographie IAM : Un outil au service de la performance business

    Pourquoi cartographier son IAM ?

    La cartographie IAM est une représentation dynamique des identités, des rôles, des droits d’accès et des flux au sein de votre système d’information. Son objectif : aligner la gestion des accès sur les enjeux métiers et en mesurer l’impact.

    Enjeu Business Apport de la cartographie IAM Exemple concret Impact mesurable
    Croissance Standardiser les accès pour les nouvelles filiales ou partenaires. Un acteur du retail a déployé 8 enseignes en 3 mois (au lieu de 6) grâce à des profils d’accès préconfigurés. Intégration 2x plus rapide.
    Innovation Sécuriser l’accès aux environnements cloud et aux données R&D. Un laboratoire pharma a réduit de 70 % les demandes d’accès urgentes,
    accélérant la mise sur marché
    .
    Lancement de produits accéléré de 25 %.
    Conformité Faciliter les audits et réduire les risques de sanctions (RGPD, NIS2, etc.). Une institution financière a cartographié les accès aux données clients sensibles par métier,
    évitant des pénalités coûteuses.
    -40 % d’écarts détectés en audit.
    Expérience collaborateur Simplifier l’accès aux outils (SSO, délégation de droits). Une ESN a mis en place un portail d’accès unifié, réduisant de 60 % les demandes de réinitialisation de mot de passe. -50 % de tickets IT liés aux problèmes d’accès.
    Maîtrise des coûts Éliminer les comptes inutiles et optimiser les licences logicielles. Un groupe logistique a identifié et désactivé 1 200 comptes inactifs,
    libérant des licences sans achat supplémentaire
    .
    Jusqu’à 20 % d’économies.

    Comment construire une cartographie IAM alignée sur le business ?

    6 étapes clés pour une IAM « Security meet Business »
    1. Impliquer les métiers dès le départPourquoi ? Parce qu’une cartographie efficace commence par comprendre les processus critiques (ex. : vente, production, RH) et leurs besoins réels en accès.Bénéfice : Réduction des coûts cachés liés aux accès mal gérés.
    2. Prioriser en fonction des enjeux stratégiquesQuestion clé : « Quels projets (digitalisation, expansion) seront accélérés par une IAM optimisée ? »Exemple : Une banque a priorisé l’accès aux données clients pour son projet de plateforme digitale, évitant des retards coûteux.
    3. Cartographier les rôles métiers, pas les postesRésultat : Moins de doublons, moins de temps perdu à gérer des droits inutiles.
    4. Visualiser les liens entre IAM et performanceExemple : Un schéma partagé entre DSI et RH a permis de réduire les délais d’intégration de 30 %, avec un impact direct sur la productivité.
    5. Automatiser la gouvernanceAvantage : Des règles dynamiques (accès temporaires, revues automatiques) réduisent les coûts manuels.
    6. Itérer et s’adapterObjectif : Une cartographie qui évolue avec la stratégie, sans investissements répétés.

    Étude de cas : L’IAM au cœur de la transformation

    Contexte : Un acteur de la logistique digitalise sa supply chain. Les accès fragmentés ralentissent la collaboration et génèrent des coûts évitables.

    Solution :

    • Cartographie des rôles supply chain (ex. : « Approvisionneur Europe ») et de leurs besoins.
    • Automatisation des droits en fonction des événements métiers (ex. : ouverture d’un nouveau site).

    Résultats :

    • Réduction de 30 % des délais de traitement des commandes.
    • Baisse de 60 % des erreurs liées aux droits manquants.
    • Économies significatives sur les licences et le support.

     

    Conclusion : L’IAM, un accélérateur invisible mais puissant et rentable

    Une cartographie IAM bien conçue est invisible pour les utilisateurs, mais visible pour la stratégie et le ROI. Elle permet de : 

    Sécuriser sans freiner l’innovation, tout en réduisant les coûts cachés (licences, support, retards). 

    Concilier conformité et agilité, en évitant les amendes et les risques opérationnels. ✅ Transformer les accès en levier de performance, avec un retour sur investissement mesurable (jusqu’à 300 % sur 2 ans pour les projets alignés).

    Prochaine étape : Auditez votre maturité IAM avec notre grille d’analyse « Security meet Business » pour identifier vos gains potentiels.

  • Communiqué de presse

    Paris, le 26 mars 2026

    Ariovis finalise une levée de fonds d’amorçage et un management package pour accélérer sa croissance dans la cybersécurité

    Ariovis, société française innovante en cybersécurité fondée par Matthieu Filizzola, annonce la finalisation d’une levée de fonds d’amorçage et la mise en place d’un management package dédié à ses collaborateurs clés. Ces opérations, qui s’inscrivent dans une réorganisation stratégique de son capital, visent à renforcer sa capacité à innover et à accompagner ses clients dans la durée.

    Une approche disruptive de la cybersécurité

    Depuis sa création en 2024, Ariovis réinvente la sécurité informatique en la positionnant comme un levier de performance plutôt qu’une contrainte. Sa signature « Security meets Business » résume cette vision : intégrer la cybersécurité au cœur des stratégies métiers de ses clients pour en faire un facteur de croissance. Présente en Île-de-France, en Nouvelle-Aquitaine et dans plusieurs pays européens, la société couvre l’ensemble des enjeux cyber :

    • Gestion des identités et des accès (IAM/PAM)
    • Gouvernance et conformité (GRC)
    • Formation et sensibilisation à la cybersécurité

    Une levée de fonds pour accélérer l’innovation

    Cette levée de fonds d’amorçage permettra à Ariovis de renforcer ses équipes, de développer de nouveaux services et de consolider sa position de leader dans un secteur en pleine expansion. Elle vient récompenser l’expertise unique de la société, déjà saluée par deux distinctions majeures en 2026 :

    • Grand Prix des Cas d’Or 2026 (catégorie Cyber Gouvernance & Risk Management, secteur public)
    • Prix de la Gestion des Risques Cybersécurité du Service Public

    Un management package pour ancrer la culture entrepreneuriale

    Parallèlement, la mise en place d’un management package reflète l’engagement d’Ariovis à associer ses talents à la création de valeur et à fidéliser ses collaborateurs clés. Cette initiative s’inscrit dans sa volonté de bâtir une culture entrepreneuriale durable, au service de ses clients et de ses équipes.

    Ariovis a été conseillée par Wan Avocats dans le cadre de cette opération (Isabelle Wekstein, associée, Ellogne Tigori, Counsel, et Pierre Diaz del Castillo, collaborateur)

  • V26.02

     

    Ariovis Extranet Updates: Discover What’s New in February 2026!

    New Features

    • The « Cybersecurity for Developers » training is now available on the Ariovis Academy.
      Académie Ariovis
      • A structured program divided into 2 sessions:

        • Session 1: Cybersecurity fundamentals, secret management, and data protection (GDPR, encryption).

        • Session 2: Common vulnerabilities (SQLi, XSS, CSRF), secure development best practices, and integrating security into your CI/CD pipeline.
          Flexible and accessible:

      • Flexible and easy to access:

        • Sessions in small groups (max 4 participants) for effective learning.

    Improvements

    • Responsive design for smooth access on all devices.

    Fixes

    • Fixed tab display on mobile (enhanced compatibility).

    Your Ariovis Team


  • Processus d’identité dans une grande structure

    Un enjeu stratégique pour les grandes organisations

    Dans les grandes organisations modernes, la gestion manuelle des identités et des accès (IAM) représente un défi majeur en termes de sécurité, de conformité et d’efficacité opérationnelle. Selon Gartner, jusqu’à 15 % des comptes utilisateurs deviennent orphelins après un départ, et 60 % des grandes organisations gèrent encore une partie de leur provisioning de manière manuelle, générant des erreurs, des retards et des risques de sécurité. Face à ces enjeux, les solutions d’automatisation comme Netwrix Identity Manager (NIM) permettent de transformer radicalement ces processus, en assurant une gestion fluide, sécurisée et conforme des identités, du système RH jusqu’à l’activation des comptes dans les systèmes IT.

    Les défis critiques de la gestion manuelle des identités

    La gestion manuelle des identités expose les entreprises à plusieurs risques majeurs :

    • Délais d’intégration : La création manuelle des comptes peut prendre plusieurs jours, retardant l’accès des nouveaux employés aux ressources nécessaires.
    • Comptes orphelins : Jusqu’à 15 % des comptes restent actifs après le départ des employés, créant des failles de sécurité majeures.
    • Permissions excessives : L’absence de contrôle granulaire favorise la prolifération des privilèges, augmentant la surface d’attaque.
    • Non-conformité réglementaire : Les audits RGPD, SOX ou HIPAA exigent une traçabilité complète et un contrôle rigoureux des accès, difficiles à garantir manuellement.
    • Charge IT élevée : La gestion manuelle mobilise des ressources importantes, détournées de tâches à plus forte valeur ajoutée.

    Ces défis sont confirmés par des études récentes, qui soulignent que l’automatisation du cycle de vie des identités est un levier essentiel pour réduire les risques et améliorer l’efficacité.

    Netwrix Identity Manager : un pont automatisé entre le système RH et l’infrastructure IT

    Netwrix Identity Manager (NIM) est une solution d’Identity Governance and Administration (IGA) qui automatise la gestion des identités et des accès dans des environnements hybrides. Son architecture repose sur un serveur central et des agents qui communiquent avec les systèmes IT, isolant les flux de données sensibles et garantissant une sécurité optimale.

    1. Architecture et intégration

    NIM utilise une architecture à deux niveaux :

    • Un serveur principal qui gère les politiques et les workflows.
    • Des agents qui exécutent les tâches sur les systèmes cibles (Active Directory, Entra ID, applications métiers).

    Cette architecture garantit une sécurité renforcée en isolant le serveur des systèmes sensibles et en utilisant des protocoles sécurisés (HTTP/HTTPS) pour les échanges. L’intégration avec les systèmes RH (Workday, SAP SuccessFactors, Oracle HCM) permet de synchroniser les données des employés et de déclencher automatiquement les processus d’intégration, de modification et de départ.

    2. Automatisation du cycle de vie des identités

    NIM automatise l’ensemble du cycle de vie des identités, de l’onboarding à l’offboarding, via des workflows préconfigurés et basés sur des politiques. Ces workflows assurent un provisionnement rapide, conforme et sécurisé des comptes dans Active Directory, Entra ID et les applications connectées. L’automatisation réduit les erreurs humaines, accélère les processus et garantit une application cohérente des politiques de sécurité.

    3. Gestion des groupes et des droits

    NIM automatise la création, la mise à jour et la suppression des groupes de sécurité et de distribution, en fonction des rôles et des attributs des utilisateurs. Cette gestion dynamique permet de maintenir un accès au moindre privilège, de prévenir la prolifération des permissions et de simplifier les rapports de conformité. La gestion déléguée aux responsables métiers via des portails en libre-service réduit la charge IT et améliore la précision des droits accordés.

    4. Détection des risques et conformité

    NIM détecte en temps réel les risques liés aux identités, tels que les permissions excessives, les conflits de séparation des tâches (SoD) et les comptes dormants. Il génère des rapports d’audit complets, facilite les campagnes de certification des accès et assure une préparation continue aux audits réglementaires (RGPD, HIPAA, SOX, ISO 27001).

    Les gains métiers concrets de l’automatisation avec NIM

    Critère Gestion manuelle Gestion automatisée avec NIM Gain quantifié
    Délai d’intégration 3 à 5 jours < 24 heures Réduction de 80 %
    Erreurs de provisionnement 15-20 % < 1 % Réduction drastique
    Comptes orphelins 10-15 % 0 % Élimination totale
    Conformité réglementaire Audits manuels, coûteux Rapports automatisés, traçabilité Réduction de 50 % du temps d’audit
    Coût par utilisateur 50-100 €/an 10-20 €/an ROI en < 12 mois

    Réduction des délais et amélioration de la productivité

    L’automatisation du provisioning avec NIM réduit les délais d’intégration des nouveaux employés de 80 %, passant de plusieurs jours à quelques heures. Les employés disposent ainsi rapidement des accès nécessaires, ce qui améliore leur productivité dès leur arrivée.

    Réduction des erreurs humaines et des risques de sécurité

    En éliminant les interventions manuelles, NIM réduit drastiquement les erreurs de provisionnement, les permissions excessives et les comptes non désactivés. Cela diminue la surface d’attaque et le risque de violations de sécurité, tout en facilitant la conformité réglementaire.

    Optimisation des coûts et de la charge IT

    L’automatisation libère les équipes IT des tâches répétitives de gestion des identités, leur permettant de se concentrer sur des projets à plus forte valeur ajoutée. Les études de cas montrent une réduction des coûts de gestion des identités jusqu’à 40 % en six mois grâce à NIM.

    Conformité réglementaire facilitée

    NIM répond aux exigences des principales réglementations (RGPD, HIPAA, SOX, ISO 27001) en fournissant une traçabilité complète, un contrôle granulaire des accès et des rapports d’audit prêts à l’emploi. Cela simplifie les audits, réduit les risques de non-conformité et facilite la démonstration de la conformité aux régulateurs.

    Exemple concret : flux automatisé avec Netwrix Identity Manager

    Étape 1 : Création dans le système RH source

    Lorsqu’un nouvel employé est enregistré dans le système RH (Workday, SAP SuccessFactors), ses informations (nom, prénom, fonction, département, date de début) sont immédiatement disponibles pour NIM via une intégration API. Le système RH agit comme la source de vérité unique pour toutes les données d’identité.

    Étape 2 : Traitement par Netwrix Identity Manager

    NIM récupère automatiquement les informations du nouvel employé et déclenche un workflow de type « joiner » (nouvel arrivant). Le système analyse les attributs de l’employé (département, fonction, localisation) et détermine automatiquement les rôles à attribuer grâce à sa fonctionnalité de role mining et d’attribution basée sur des règles.

    Étape 3 : Provisioning automatisé des comptes et accès

    Une fois les rôles déterminés, NIM provisionne automatiquement les comptes utilisateurs sur l’ensemble des systèmes connectés :

    • Active Directory : création du compte utilisateur, attribution des groupes de sécurité.
    • Microsoft Entra ID : provisioning du compte cloud, attribution des licences Microsoft 365, configuration des politiques MFA.
    • Applications métiers : création des comptes dans l’ERP financier (SAP, Oracle), les outils de collaboration (Salesforce, SharePoint).
    Étape 4 : Résultat final – Utilisateur opérationnel dès le premier jour

    À l’issue de ce processus automatisé, l’utilisateur dispose dès son premier jour de travail de tous les accès nécessaires à sa fonction :

    • Compte Active Directory et adresse email professionnelle.
    • Accès aux applications métiers appropriées avec les bonnes permissions.
    • Appartenance aux groupes de sécurité et listes de distribution correspondant à son département.
    • Application automatique des politiques de sécurité (MFA, rotation de mots de passe).

    Gestion des changements et des départs

    Scénario de mobilité interne (Mover)

    Lorsque l’employé change de département ou obtient une promotion, les modifications sont enregistrées dans le système RH. NIM détecte automatiquement ces changements et ajuste les rôles en temps réel : révocation des anciens droits d’accès et provisioning des nouveaux accès correspondant à la nouvelle fonction.

    Scénario de départ (Leaver)

    Lorsque le statut de l’employé est marqué comme « terminé » dans le système RH, NIM déclenche automatiquement un workflow de type « leaver ». Les comptes sont désactivés ou supprimés selon les politiques de rétention, les appartenances aux groupes sont révoquées et tous les accès aux applications sont retirés.

    Conclusion

    L’automatisation du cycle de vie des identités à travers l’intégration d’une solution IGA comme Netwrix Identity Manager représente un levier stratégique pour les grandes organisations. En transformant un processus manuel et chronophage en un flux entièrement automatisé, les entreprises gagnent en efficacité opérationnelle tout en renforçant leur posture de sécurité.

    Les gains métiers sont tangibles :

    • Réduction des délais d’intégration.
    • Élimination des erreurs humaines.
    • Réduction des coûts IT.
    • Conformité réglementaire facilitée.

    Cette approche permet de réconcilier trois enjeux essentiels : la rapidité d’accès pour les collaborateurs, l’exigence de sécurité face aux menaces croissantes, et la conformité réglementaire stricte. Les équipes IT peuvent désormais se concentrer sur des initiatives à plus forte valeur ajoutée, tandis que les responsables sécurité bénéficient d’une visibilité complète sur l’ensemble des droits d’accès. Dans un contexte où la gestion des identités devient un enjeu de cybersécurité majeur, l’automatisation du cycle de vie n’est plus une option mais une nécessité pour toute grande structure.

    Références :
    • Netwrix Identity Manager – Documentation officielle
    • Gartner – Études de cas sur l’automatisation IAM
    • Cisco – Bonnes pratiques en gestion des identités
    • Réglementations RGPD, HIPAA, SOX
    À propos de l’auteur : 

    Thomas Bonnet est expert en transformation numérique et cybersécurité pour Ariovis. Il accompagne les grandes organisations dans l’optimisation de leurs processus IT et la sécurisation de leurs infrastructures.

  • V25.12

    Happy end-of-year holidays to all! 🎉

    Ariovis continues to improve your experience on the Academy: more consistency on the content side, better video performance, and the resolution of playback blockages related to the Extranet!🥳​

    Amélioration

    • Standardization of all Academy courses for a more consistent and easier-to-read experience.

    • Faster video loading on all Academy courses, with reduced start times.

       

    Corrections

    • Fixed a video playback issue in the Academy: some content was being blocked. The integration code has been secured to prevent these blocks.

    Your Ariovis Team

  • Identity Fabric : pourquoi Ariovis en a fait un pilier de sa vision IAM

    Chez Ariovis, une conviction s’est installée progressivement
    : le concept d’Identity Fabric doit désormais être maîtrisé non
    seulement par les équipes techniques IAM, mais aussi par les experts GRC, les
    auditeurs, les RSSI, les architectes et toutes les parties prenantes impliquées
    dans la gouvernance de l’identité.

    Non pas comme un slogan marketing.

    Mais comme un cadre stratégique permettant enfin de relier, structurer
    et piloter l’ensemble des disciplines de l’IAM.

    Aujourd’hui, intégrer ce concept dans les audits et les
    schémas directeurs est devenu indispensable pour dépasser une vision uniquement
    centrée IAG et embrasser toute la richesse et la complexité de l’IAM
    moderne.

    Le déclic : EIC 2025, un moment fondateur

    Le concept dépasse largement le marketing, et Ariovis en a
    pris pleinement conscience lors de l’EIC 2025, le salon international de
    référence organisé par KuppingerCole.

    Invitée par Axiomatics à participer à plusieurs sessions, l’équipe Ariovis a
    été marquée par une phrase prononcée lors d’une keynote (traduction libre) :

    « Une Identity Fabric n’est pas un produit : c’est une
    manière de penser l’IAM comme un tissu cohérent qui relie tous les services
    d’identité au service du métier. »

    Le mot tissu est resté.

    Parce qu’il décrit parfaitement ce que vivent les organisations : un domaine
    IAM éclaté, fragmenté, dispersé, difficile à gouverner et presque impossible à
    piloter en stratégie globale.

    Le problème fondamental : un IAM éclaté entre silos et
    sponsors

    Pour comprendre l’intérêt de l’Identity Fabric, il suffit
    d’observer la réalité :

    • Le
      PAM est piloté par l’infrastructure et la sécurité technique.
    • L’IAG
      par les RH, le juridique ou la conformité.
    • L’AM
      et le SSO par des équipes digitales ou applicatives.
    • Le
      CIAM par le marketing.
    • Le
      Password Management par l’IT opérationnel.
    • La
      PKI par des équipes historiques parfois isolées.
    • L’autorisation
      avancée (ABAC/PBAC/ReBAC) par… personne, très souvent.
    • Le
      ZTNA par les équipes réseau.

    Comment, dans ces conditions, bâtir une vraie stratégie
    IAM globale
    ?

    L’IAM n’est pas un empilement de technologies.

    C’est un ensemble d’identités, de droits, de politiques et de signaux qui
    doivent fonctionner ensemble.

    Le découpage actuel des responsabilités rend la cohérence quasi impossible.

    L’Identity Fabric propose enfin un cadre pour réunifier ces
    domaines.

    Le cœur de la vision : orchestration et unification

    Ariovis défend une approche exigeante de l’Identity Fabric,
    articulée autour de deux piliers majeurs.

    1. L’orchestration : le chaînon manquant

    Dans la majorité des organisations, l’IAM souffre moins d’un
    manque de produits que d’un manque de liaison entre ces produits.

    L’orchestration permet :

    • de
      relier les différents silos d’identité,
    • de
      normaliser les flux et événements,
    • de
      gouverner les droits de manière transverse,
    • de
      gérer les identités humaines, machines et services selon une logique
      homogène,
    • de
      créer un plan de contrôle unique.

    Cette idée d’orchestrateur indépendant, fondé sur des
    politiques explicites, résonne particulièrement avec les travaux modernes sur
    l’autorisation, domaine dans lequel Ariovis est très engagée.

    2. L’unification : rassembler tous les domaines de l’IAM

    L’ambition n’est pas de fusionner les outils, mais d’avoir
    une vision unifiée des domaines IAM.

    Pour Ariovis, le périmètre de l’Identity Fabric couvre :

    • IAG
      (gouvernance, cycles de vie, conformité)
    • AM / SSO (authentification, fédération,
      MFA, risk-based)
    • CIAM
      (identités externes, consentement, profil client)
    • PAM
      (comptes à privilèges, bastion, secrets)
    • Password
      Management
      (self-service, politique, durcissement)
    • PKI
      & certificats
      (identités machines, signature, chiffrement)
    • Authorization Management (ABAC, PBAC, ReBAC, policy
      engine)
    • ZTNA
      (contrôle réseau piloté par l’identité)

    Tant que ces domaines restent gérés séparément, il n’y a pas
    de stratégie IAM au sens global.

    L’Identity Fabric crée le cadre permettant justement de les analyser, les
    relier et les piloter ensemble.

    Ce que l’Identity Fabric change concrètement

    ✔ Une nouvelle façon de réaliser
    les audits IAM

    Les audits traditionnels, très centrés sur l’IAG, ne
    permettent plus d’évaluer la maturité réelle d’une organisation.

    Les audits basés sur l’Identity Fabric évaluent :

    • la
      cohésion inter-domaines,
    • la
      qualité de l’orchestration,
    • la
      visibilité globale sur les identités,
    • les
      responsabilités et la gouvernance,
    • les
      redondances et incohérences,
    • les
      flux d’identité et d’autorisation.

    C’est exactement le type d’analyse qu’Ariovis pousse : un
    IAM évalué dans son ensemble, pas par sous-systèmes.

    ✔ Une gouvernance unifiée

    Une Identity Fabric ne peut pas être pilotée via quatre
    comités séparés.

    Elle apporte le cadre pour mettre en place une gouvernance centrale :

    un comité IAM unifié, transverse, disposant enfin d’une vision globale.

    ✔ Une architecture cible
    réaliste

    L’Identity Fabric ne demande pas de détruire l’existant.

    Elle permet :

    • d’intégrer
      les outils déjà en place,
    • de
      les orchestrer,
    • d’améliorer
      leur cohérence,
    • d’offrir
      une trajectoire d’évolution progressive, pragmatique et réaliste.

    C’est exactement le type de trajectoire qu’Ariovis conçoit
    pour ses clients.

     

    La position d’Ariovis : une vision d’orchestration assumée

    Pour Ariovis :

    L’IAM moderne doit être conçu comme un tissu d’identités,
    de politiques et de flux orchestrés et non comme la juxtaposition de
    produits.

    Cette conviction influence :

    • ses
      audits,
    • ses
      schémas directeurs,
    • ses
      accompagnements IAM & PAM,
    • ses
      travaux sur l’autorisation fine,
    • sa
      vision du CIAM,
    • ses
      réflexions sur l’AD d’administration,
    • ses
      projets autour de la sécurité du poste de travail et du ZTNA,
    • ses
      conseils en gouvernance.

    L’Identity Fabric est devenue la grille de lecture naturelle
    pour comprendre, structurer et sécuriser l’ensemble de la chaîne de l’identité.

    Conclusion : un concept que la GRC doit intégrer dès
    maintenant

    L’Identity Fabric doit maintenant devenir un standard dans :

    • les
      audits,
    • les
      stratégies,
    • les
      analyses de risques,
    • les
      discussions entre métier, RH, IT, sécurité, infra, réseau, digital,
    • la
      gouvernance.

    Tant que l’IAM est piloté en silos, il restera
    sous-optimisé, incohérent et difficile à sécuriser.

    Avec l’Identity Fabric, il devient enfin un système cohérent, logique,
    pilotable et orienté métier.

    Et c’est précisément cette vision qu’Ariovis porte et
    défend.

    Un projet d’IAM ? Contactez-nous ici : 
    Bookings avec moi – Matthieu Filizzola – Outlook