Ce que vous saurez faire à la fin
- Comprendre les briques de l’IAM (identité, authentification, autorisation, gouvernance) et choisir une solution SSO adaptée.
- Déployer Microsoft Entra ID (ex-Azure AD), Okta ou Auth0 comme fournisseur d’identité central pour votre PME.
- Configurer le MFA, les politiques d’accès conditionnel et les méthodes d’authentification sans mot de passe.
- Automatiser le provisioning et le déprovisioning des comptes via SCIM avec vos applications SaaS.
- Appliquer le principe du moindre privilège et organiser des revues d’accès trimestrielles auditables OHADA.
Durée : 7h. Pré-requis : Microsoft 365 Business Premium (17 500 FCFA/user/mois, inclut Entra ID P1) OU Okta Workforce (à partir de 1 800 FCFA/user/mois) OU Auth0 (gratuit jusqu’à 7500 utilisateurs actifs), domaine professionnel (votreentreprise.sn), accès admin sur les applications SaaS à fédérer (Salesforce, Slack, Notion, etc.), budget MFA YubiKey en option : 15 000 FCFA/clé.
Étape 1 — Comprendre les piliers de l’IAM
| Pilier | Question | Outil clé |
|---|---|---|
| Identité | Qui est l’utilisateur ? | Annuaire (Entra ID, Okta Universal Directory) |
| Authentification | Comment prouve-t-il son identité ? | Mot de passe + MFA + biométrie |
| Autorisation | Que peut-il faire ? | Rôles, groupes, RBAC/ABAC |
| Federation/SSO | Comment accède-t-il à plusieurs apps ? | SAML 2.0, OIDC, OAuth 2.0 |
| Provisioning | Comment créer/supprimer ses comptes ? | SCIM 2.0, scripts API |
| Gouvernance | Qui a accès à quoi et pourquoi ? | Revues d’accès, logs d’audit |
Étape 2 — Comparer les solutions SSO du marché
| Solution | Tarif PME (10-50 users) | Forces | Limites |
|---|---|---|---|
| Microsoft Entra ID P1 | Inclus M365 Business Premium | Intégration M365 native, MFA, conditional access | Configuration apps tierces parfois complexe |
| Okta Workforce SSO | 1 800 FCFA/user/mois | Catalogue 7000+ apps, UX excellente | Coût par module (MFA, Lifecycle séparés) |
| Auth0 by Okta | Gratuit jusqu’à 7500 MAU | Pour développeurs, customisation forte | Plus orienté CIAM (clients) que workforce |
| Google Cloud Identity | 4 500 FCFA/user/mois | Inclus avec Workspace, simple | Catalogue d’apps moins riche |
| JumpCloud | 7 000 FCFA/user/mois | Tout-en-un (LDAP, MDM, RADIUS) | Moins connu en Afrique de l’Ouest |
Étape 3 — Configurer Microsoft Entra ID comme IDP central
Si votre PME utilise déjà Microsoft 365, Entra ID est inclus. Allez sur entra.microsoft.com connecté en admin global.
Configuration initiale :
1. Identité > Domaines personnalisés > Ajouter
- Saisir votreentreprise.sn
- Ajouter le record TXT MS=ms123456 chez votre registrar
- Vérifier (peut prendre 1h)
2. Identité > Utilisateurs > Nouvel utilisateur
- Nom, prénom, fonction
- Affecter à un groupe (Commerciaux, Compta, IT, Direction)
- Activer la licence M365
3. Identité > Groupes > Nouveau groupe
- Type : Sécurité
- Type d'appartenance : Dynamique
- Règle : (user.department -eq "Comptabilité")Pour synchroniser avec un AD on-premises existant, installez Microsoft Entra Connect (gratuit) sur un serveur Windows Server 2019+.
Étape 4 — Activer le MFA pour tous les utilisateurs
Le MFA bloque 99,2 % des attaques par compromission de compte (étude Microsoft 2025). Activez-le via Conditional Access :
Entra Admin Center > Protection > Conditional Access > Nouvelle stratégie
Nom : Exiger MFA pour tous les utilisateurs
Affectations :
- Utilisateurs : Tous (exclure compte break-glass)
- Applications : Toutes les applications cloud
- Conditions :
- Localisations : Toutes sauf "IP Bureau Dakar 41.82.x.x"
Contrôles d'accès :
- Octroyer : Exiger l'authentification multifacteur
- Exiger un appareil conforme : recommandé
Activer la stratégie : ActivéMéthodes MFA à autoriser par ordre de préférence :
- FIDO2 / Passkey (Windows Hello, YubiKey) — résistant phishing
- Microsoft Authenticator avec validation par numéro
- TOTP (Google Authenticator, Authy)
- SMS (à éviter : SIM swap fréquent en Afrique de l’Ouest)
Étape 5 — Toujours créer un compte break-glass
Avant d’activer le MFA strict, créez 2 comptes d’urgence non soumis aux politiques. Si le MFA tombe en panne, vous gardez l’accès admin.
Connect-AzureAD
# Créer compte break-glass
$password = ConvertTo-SecureString "MotDePasseTrèsLongEtComplexe!2026" -AsPlainText -Force
$passwordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$passwordProfile.Password = "MotDePasseTrèsLongEtComplexe!2026"
$passwordProfile.ForceChangePasswordNextLogin = $false
New-AzureADUser -DisplayName "Break Glass Admin 1" `
-UserPrincipalName "breakglass1@votreentreprise.sn" `
-PasswordProfile $passwordProfile `
-AccountEnabled $true `
-MailNickName "breakglass1"
# Assigner Global Administrator
$role = Get-AzureADDirectoryRole | Where-Object {$_.DisplayName -eq "Global Administrator"}
$user = Get-AzureADUser -ObjectId "breakglass1@votreentreprise.sn"
Add-AzureADDirectoryRoleMember -ObjectId $role.ObjectId -RefObjectId $user.ObjectIdStockez les mots de passe dans un coffre physique (1 dans le coffre du DG, 1 chez le notaire). Surveillez ces comptes spécifiquement : toute connexion = alerte critique.
Étape 6 — Fédérer les applications SaaS via SAML/OIDC
L’objectif du SSO : un mot de passe unique, plus de réutilisation. Exemple avec Slack :
Slack côté admin :
1. Slack > Workspace settings > Authentication
2. SAML Authentication > Configure
3. Récupérer "Sign-in URL" et "Certificate"
Entra ID côté :
1. Identité > Applications > Applications d'entreprise
2. Nouvelle application > Slack (depuis la galerie)
3. Configuration SSO > SAML
4. Identifiant : https://votreentreprise.slack.com
5. URL de réponse : https://votreentreprise.slack.com/sso/saml
6. Télécharger le certificat de signature
7. Affecter les groupes utilisateurs autorisés
Test : aller sur votreentreprise.slack.com, cliquer "Sign in with SSO"Procédure similaire pour Salesforce, Notion, Asana, Zoom, GitHub, AWS Console, etc. Le catalogue Entra ID contient 3000+ applications préconfigurées.
Étape 7 — Automatiser le provisioning avec SCIM
SCIM (System for Cross-domain Identity Management) crée et supprime automatiquement les comptes dans les apps SaaS quand un utilisateur rejoint ou quitte un groupe.
Exemple Slack + Entra ID :
1. Dans Slack > Settings > Authentication > SCIM provisioning
2. Générer un token SCIM
3. Récupérer l'URL : https://api.slack.com/scim/v1
Dans Entra > Application Slack > Provisioning :
1. Mode : Automatique
2. URL : coller l'URL SCIM
3. Token secret : coller le token
4. Tester la connexion
5. Mappings : par défaut conviennent
6. Étendue : Synchroniser uniquement les utilisateurs et groupes assignés
7. Activer
Résultat :
- Nouvel arrivant ajouté au groupe "Marketing" → compte Slack créé
- Départ → compte Slack désactivé sous 5 minÉtape 8 — Appliquer le principe du moindre privilège
Personne ne doit avoir plus de droits que nécessaire. Construisez votre matrice RBAC :
| Rôle | Accès Entra | M365 | Apps métier |
|---|---|---|---|
| Commercial | Utilisateur | Outlook, Teams, OneDrive | Salesforce (lecture/écriture sur ses comptes) |
| Comptable | Utilisateur | Outlook, Excel, Teams | Sage, banque (consultation) |
| RH | Reader | SharePoint RH (admin) | SIRH (admin) |
| IT Admin | Helpdesk Admin | Reset mots de passe | Pas d’accès Global Admin |
| Global Admin | Global Admin | Tous | Tous (à limiter à 2 personnes) |
| DG | Utilisateur | Tous M365 | Reporting BI, signature électronique |
Règle d’or : maximum 4 Global Admins pour une PME, idéalement 2 + comptes break-glass.
Étape 9 — Activer Privileged Identity Management (PIM)
Disponible avec Entra ID P2 (environ 6 000 FCFA/user/mois supplémentaire). PIM transforme les rôles permanents en rôles éligibles, activables temporairement avec justification.
Entra Admin Center > Identity Governance > Privileged Identity Management
1. Sélectionner Microsoft Entra roles > Roles > Global Administrator
2. Add assignments
- Utilisateur : votre admin IT
- Type : Eligible (au lieu de Active)
- Durée : Permanent
3. Configurer le rôle :
- Activation max : 4 heures
- MFA exigé pour activer
- Justification obligatoire
- Approbation par DG pour les rôles critiques
Résultat : l'admin doit "réclamer" son rôle avec justification,
trace dans les audit logs, désactivation auto après 4h.Étape 10 — Configurer l’authentification sans mot de passe
Le mot de passe disparaît progressivement. Activez les Passkeys et Windows Hello :
Entra Admin Center > Protection > Méthodes d'authentification
Activer :
1. FIDO2 Security Key (YubiKey 5C : 25 000 FCFA, à offrir aux comptes critiques)
2. Microsoft Authenticator (passwordless mode)
3. Windows Hello for Business (sur postes Windows 10/11)
4. Passkey (Authenticator) : disponible 2024+
Désactiver progressivement :
- SMS (vulnérable au SIM swap)
- Voice call
Bénéfice : 0 mot de passe à gérer pour l'utilisateur,
résistance phishing native.Étape 11 — Mettre en place les revues d’accès
Tous les trimestres, faites valider par les managers que leurs équipes ont les bons accès. Avec Entra ID Governance :
Entra Admin Center > Identity Governance > Access Reviews
1. Nouveau Access Review
- Nom : "Revue trimestrielle Q1 2026 - Groupe Comptabilité"
- Type : Group
- Périmètre : Tous les membres
2. Reviewers
- Manager du groupe (ex: Directeur Financier)
3. Settings
- Durée : 14 jours
- Récurrence : Trimestrielle
- Si non reviewé : retirer l'accès automatiquement
- Notifications : email tous les 3 jours
4. Démarrer
Résultat : audit trail complet pour conformité OHADA,
nettoyage automatique des accès orphelins.Étape 12 — Auditer en continu
Activez les logs et exportez-les vers votre SIEM (cf. tutoriel détection intrusions) :
Entra Admin Center > Surveillance > Paramètres de diagnostic
Catégories à exporter :
- AuditLogs : créations/suppressions/modifications de comptes
- SignInLogs : toutes les connexions
- ProvisioningLogs : actions SCIM
- RiskyUsers : comptes à risque détectés par IA Microsoft
Destination :
- Log Analytics Workspace (5 000 FCFA/Go/mois)
- Storage Account pour archivage long terme
- Event Hub pour streaming vers Wazuh/Splunk
Rétention OHADA : minimum 5 ans pour les comptes financiersÉtape 13 — Gérer les comptes externes (B2B)
Vos partenaires (cabinet comptable, prestataires) ont besoin d’accéder à certaines ressources. N’utilisez jamais de comptes « partages » : créez des invités B2B.
Entra Admin Center > Identité > Utilisateurs > Nouvel utilisateur invité
- Email : comptable@cabinetexterne.sn
- Affecter au groupe "Cabinet Comptable Q1-2026"
- Politique Conditional Access spécifique :
- MFA obligatoire (toujours, pas de localisation de confiance)
- Accès limité à SharePoint Comptabilité uniquement
- Session expire après 8h
- Revue d'accès mensuelle
À la fin du mandat : supprimer l'invité, accès révoqué partout instantanément.Étape 14 — Mesurer la maturité IAM
| Indicateur | Cible |
|---|---|
| % utilisateurs avec MFA actif | 100 % |
| Nombre de Global Admins | ≤ 4 |
| % applications fédérées en SSO | > 90 % |
| % offboarding sous 1h | 100 % |
| Comptes inactifs > 90 jours | 0 |
| Revues d’accès complétées dans les délais | > 95 % |
| Tentatives connexion bloquées MFA / mois | Tracé et reporté |
| Comptes partages identifiés | 0 (à éradiquer) |
Erreurs classiques à éviter
- Pas de compte break-glass : en cas de panne MFA, vous perdez l’accès admin de tout votre tenant.
- Trop de Global Admins : chaque admin supplémentaire = un risque de compromission, limitez à 4 max.
- SMS comme méthode MFA principale : le SIM swap est trivial avec corruption d’opérateur, préférez TOTP ou FIDO2.
- Comptes « partagés » entre collaborateurs : impossible d’auditer qui a fait quoi, interdiction stricte.
- Pas d’offboarding automatisé : 30 % des PME ont des comptes actifs d’anciens employés > 6 mois après leur départ.
- Mot de passe Global Admin réutilisé ailleurs : compromission d’un site externe = compromission de votre IT.
- Conditional Access trop restrictif au démarrage : testez en mode « Report-only » avant d’activer en mode « On ».
Checklist IAM PME
✓ Fournisseur d'identité central choisi (Entra ID, Okta, Auth0)
✓ Domaine personnalisé vérifié et configuré
✓ 2 comptes break-glass créés et stockés hors ligne
✓ MFA activé pour 100 % des utilisateurs (Conditional Access)
✓ Méthodes MFA fortes privilégiées (FIDO2, Authenticator)
✓ SMS désactivé comme méthode MFA principale
✓ SSO configuré pour les apps SaaS critiques (M365, Slack, Salesforce, etc.)
✓ Provisioning SCIM activé pour les apps majeures
✓ Matrice RBAC documentée et revue trimestriellement
✓ Maximum 4 Global Admins, PIM activé pour les rôles privilégiés
✓ Authentification sans mot de passe (Passkey/Hello) déployée
✓ Revues d'accès trimestrielles automatisées
✓ Logs d'audit exportés vers SIEM, rétention 5 ans
✓ Procédure invités B2B avec MFA obligatoire et expiration
✓ Tableau de bord KPI IAM présenté mensuellement au CODIR