Maîtriser l’Identity and Access Management : protocoles fédération (SAML, OAuth 2.0, OIDC, LDAP, RADIUS, Kerberos), MFA (TOTP, FIDO2, biometrics), modèles d’accès (DAC, MAC, RBAC, ABAC, RuBAC), Zero Trust principes et déploiement, Privileged Access Management (PAM).
📍 À lire d’abord : Pilier Security+ SY0-701 · Home lab Security+.
Introduction
IAM est central au domaine 4 Security Operations (28 % de l’examen). C’est aussi le sujet le plus pratique en milieu pro : mauvais IAM = principal vecteur de breach (90 % des compromissions selon Verizon DBIR 2024 commencent par un compte volé). Maîtriser SSO, MFA, RBAC, Zero Trust te rend bankable immédiatement comme SOC analyst ou IAM administrator.
Prérequis
- Lab Security+ avec Active Directory.
- Compréhension HTTP/HTTPS, sessions, cookies.
- Niveau intermédiaire.
- Temps : 3 heures.
Étape 1 — Triade AAA
Authentication : qui es-tu ? (preuve d'identité)
Authorization : que peux-tu faire ? (permissions)
Accounting : qu'as-tu fait ? (logs auditables)
Tout système IAM implémente les trois. Manque l’un = audit incomplet, brèche garantie.
Étape 2 — Facteurs d’authentification
Something you know : mot de passe, PIN, réponse de sécurité
Something you have : token hardware, smartphone, smart card
Something you are : empreinte, iris, voix, comportement
Somewhere you are : géolocalisation IP, GPS
Something you do : pattern frappe, gesture
MFA (Multi-Factor Authentication) = au moins 2 facteurs de catégories différentes. Mot de passe + question secrète = NON (2 facteurs know). Mot de passe + SMS = oui (know + have).
Étape 3 — Méthodes MFA modernes
TOTP (Time-Based OTP) : Google Authenticator, Authy, Microsoft Authenticator
Code 6 chiffres regénéré toutes les 30 secondes
Standard RFC 6238, gratuit
HOTP (HMAC-Based OTP) : variante TOTP, basée compteur incrémenté
SMS OTP : code envoyé par SMS — DÉPRÉCIÉ (SIM swapping)
Push notifications : Duo, Microsoft Authenticator, Okta Verify
Plus user-friendly que TOTP
FIDO2 / WebAuthn : clé hardware (YubiKey, Titan) ou Windows Hello
Standard 2018, RECOMMANDÉ 2026
Résistant phishing par design
Passkeys : FIDO2 stocké dans iCloud/Google Password Manager
UX simplifiée, déploiement croissant 2024-2026
Biométrie : empreinte (TouchID), face (FaceID, Windows Hello)
Doit être combinée avec autre facteur en zone sensible
À l’examen : connaître résistance aux attaques. SMS OTP = faible (SIM swap, SS7). TOTP = bon mais phishable. FIDO2 = excellent (résistant phishing).
Étape 4 — Protocoles fédération : SAML, OAuth, OIDC
SAML 2.0 (Security Assertion Markup Language)
- Protocole XML-based, depuis 2005
- Utilisé en SSO entreprise (Microsoft Entra ID, Okta, Ping)
- Concepts : Identity Provider (IdP), Service Provider (SP), Assertion
- Flow : SP redirect vers IdP → user auth → IdP renvoie SAMLResponse signé → SP valide
OAuth 2.0 (Open Authorization)
- Protocole d'autorisation (≠ authentication !), depuis 2012
- Utilisé pour donner accès à une API au nom d'un user (ex: "Login with Google")
- Concepts : Resource Owner, Client, Authorization Server, Resource Server
- Flows : Authorization Code (web), Implicit, Client Credentials, PKCE (mobile/SPA)
OIDC (OpenID Connect)
- Couche d'identité au-dessus d'OAuth 2.0, depuis 2014
- Ajoute ID Token (JWT) qui contient identité de l'utilisateur
- Le bon choix moderne pour SSO web/mobile (Login with Google/Microsoft/Apple)
À l’examen : SAML pour SSO entreprise legacy ; OIDC pour applications modernes ; OAuth seul pour API access (sans identité).
Étape 5 — Protocoles legacy : LDAP, Kerberos, RADIUS
LDAP (Lightweight Directory Access Protocol)
- Annuaire centralisé (Active Directory, OpenLDAP)
- Port 389 (clear) / 636 (LDAPS chiffré)
- Stockage utilisateurs/groupes/permissions
Kerberos
- Protocole d'auth Active Directory, depuis 1980s (MIT)
- Ticket-based : pas de password sur le réseau après login initial
- Concepts : KDC (Key Distribution Center), TGT (Ticket Granting Ticket), Service Ticket
- Vulnérabilités : Kerberoasting, AS-REP Roasting, Pass-the-Ticket, Golden Ticket
RADIUS (Remote Authentication Dial-In User Service)
- Standard pour auth réseau (Wi-Fi 802.1X, VPN, switchs)
- UDP port 1812 (auth) / 1813 (accounting)
- FreeRADIUS open-source, ou Cisco ISE / Aruba ClearPass
À l’examen : LDAP pour annuaire, Kerberos pour AD, RADIUS pour réseau.
Étape 6 — Modèles de contrôle d’accès
DAC (Discretionary Access Control)
- Le propriétaire de la ressource décide qui y accède (Linux chmod, Windows ACL)
- Flexible mais propice aux erreurs
MAC (Mandatory Access Control)
- Politique imposée par le système (SELinux, AppArmor, militaire/gov)
- Niveaux de classification (Top Secret, Secret, Confidential, Public)
- Utilisateur ne peut pas modifier les permissions
RBAC (Role-Based Access Control)
- Permissions attribuées via rôles, et users assignés à rôles
- Le plus déployé en entreprise (AD groups, AWS IAM roles)
- Exemple : rôle "Comptable" → accès SAP module finance
ABAC (Attribute-Based Access Control)
- Décision dynamique basée sur attributs : user, ressource, environnement, action
- Exemple : "Ce user peut accéder ce document SI son département = Finance ET il est dans le bureau ET heure = 8h-18h"
- Plus puissant que RBAC mais plus complexe
RuBAC (Rule-Based Access Control)
- Règles définies (ex: pare-feu, pas IAM utilisateur typique)
À l’examen : choisir le bon modèle selon le scénario. Banque = MAC ou ABAC. PME = RBAC. Linux file system = DAC par défaut.
Étape 7 — SSO en pratique avec Active Directory + Microsoft Entra ID
Sur ton lab AD :
# Sur DC01, installer le rôle Federation Services (ADFS) ou utiliser Entra Connect
# Pour Entra Connect (sync vers cloud Microsoft Entra ID) :
1. Télécharger Entra Connect depuis Microsoft
2. Installer sur un serveur dédié (ou DC en lab)
3. Configurer Express Settings : sync tous les comptes vers tenant Entra ID
4. Activer Password Hash Sync (PHS) ou Pass-Through Auth (PTA)
5. Configurer SSO sur les apps SaaS (Office 365, Salesforce, etc.) avec SAML/OIDC
Côté apps web personnelles : intégrer « Login with Microsoft » via OIDC :
1. Enregistrer app dans Entra ID admin center
2. Récupérer client_id + client_secret + tenant_id
3. Implémenter OAuth 2.0 Authorization Code flow + OIDC ID token validation
Étape 8 — Zero Trust principles
Zero Trust (NIST SP 800-207) repose sur 7 principes :
1. Toutes les sources de données et services sont des ressources
2. Toutes les communications sont sécurisées (TLS partout, même intra-LAN)
3. Accès accordé par session uniquement (pas de "trusted network")
4. Accès basé sur policy dynamique (attributs user, device, app, environnement)
5. Surveillance continue de l'intégrité des assets et appareils
6. Authentification et authorization strictes avant tout accès
7. Collecte d'informations pour améliorer la posture sécurité (analytics)
Implémentation pratique : remplacer VPN par ZTNA (Zero Trust Network Access — Cloudflare Access, Cisco Duo, Zscaler), micro-segmentation réseau (Illumio, Akamai Guardicore), MFA obligatoire pour tout accès, conditional access policies (Microsoft Entra Conditional Access).
Étape 9 — Privileged Access Management (PAM)
Les comptes privilégiés (admins, root, service accounts) sont les cibles n°1. PAM les protège.
Just-in-Time (JIT) access : pas de droits permanents — élévation à la demande
Password vaulting : passwords admin stockés dans coffre (CyberArk, BeyondTrust, HashiCorp Vault)
Session recording : enregistrement vidéo des sessions admin pour audit
Ephemeral credentials : passwords temporaires détruits après usage
Break-glass accounts : comptes d'urgence avec password long, ouverture documentée
Service account management : rotation automatique, monitoring
À l’examen : connaître JIT et password vaulting comme tendances 2026.
Erreurs fréquentes
| Erreur | Solution |
|---|---|
| Confondre OAuth (autorisation) et SAML (authentification) | OAuth = donner accès API. SAML/OIDC = SSO identité |
| SMS OTP en MFA principal | Migrer vers TOTP ou FIDO2 |
| RBAC avec 200 rôles | Audit régulier, fusion des rôles, principe least privilege |
| Compte admin avec password permanent | PAM avec JIT et rotation |
| Pas de logs auth dans SIEM | Forwarder Windows Event Logs (4624, 4625, 4740) au SIEM |
Adaptation au contexte ouest-africain
Banques : Active Directory + Microsoft Entra ID + Privileged Access Management (CyberArk ou HashiCorp Vault gratuit) = stack standard. Plusieurs banques régionales (UBA, NSIA, Ecobank) déploient Zero Trust depuis 2024.
Opérateurs télécom : RADIUS + LDAP pour les techniciens en mobilité, FIDO2 hardware tokens pour les accès NOC critiques.
PME : Microsoft 365 Business Premium inclut MFA + Conditional Access. Pour 10 USD/user/mois, on a une stack IAM solide.
FAQ
TOTP ou Push notification ?
Push plus user-friendly mais sensible aux MFA fatigue attacks (spam push jusqu’à user clique par lassitude). TOTP plus résistant. FIDO2 supérieur aux deux.
SAML est-il dépassé ?
Non, encore très déployé en entreprise. Pour nouveaux projets web/mobile, OIDC est plus moderne. Coexistence pendant 5-10 ans encore.
Faut-il déployer Zero Trust en PME ?
Pas en bloc. Commencer par MFA + Conditional Access + segmentation réseau, étendre progressivement.
Pour aller plus loin
- 🔝 Pilier Security+ SY0-701
- ➡️ Suite : Sécurité réseau : firewalls, IDS/IPS, segmentation (à venir).
- Documentation : NIST SP 800-207 Zero Trust Architecture, SAML / OIDC tutorials sur okta.com/identity-101.
Mots-clés : IAM Security+, SAML OIDC OAuth, MFA TOTP FIDO2, RBAC ABAC DAC MAC, Zero Trust NIST, Active Directory Kerberos, Microsoft Entra ID, PAM CyberArk.
Approfondissement et cas pratiques
Études de cas réelles ouest-africaines
Cas 1 — Banque régionale, Dakar, 2024. Une banque de niche sénégalaise avec 12 agences et 350 employés a subi une intrusion par phishing ciblé d’une assistante de direction. Le compte compromis avait des droits étendus sur le SI bancaire faute de RBAC granulaire. L’attaquant a fait du lateral movement en 6 heures, exfiltré 25 Go de données clients, et activé un ransomware qui a chiffré 60 % des serveurs. Coût de l’incident : 1,2 milliards FCFA en remédiation, perte d’image, amendes ARTP, indisponibilité 11 jours. Leçons appliquées post-incident : MFA obligatoire (Conditional Access), Zero Trust segmentation, EDR sur tous endpoints, exercices phishing trimestriels, séparation des privilèges admin avec PIM.
Cas 2 — Opérateur télécom, Abidjan, 2025. Un opérateur ivoirien a découvert lors d’un audit annuel ISO 27001 que 40 % de ses serveurs Linux n’avaient pas été patchés depuis 18 mois. Un scan Nessus a révélé 1 200 CVE haute criticité dont 18 actuellement exploitées (tracées dans CISA Known Exploited Vulnerabilities). Plan de remédiation 90 jours : déploiement Ansible pour patching automatisé, fenêtre maintenance hebdomadaire, KPI patch cadence reportée mensuellement à la direction.
Cas 3 — Fintech, Lomé, 2024. Une fintech togolaise opérant sur 5 pays UEMOA a déployé une architecture Zero Trust dès sa création : MFA pour 100 % des employés, ZTNA en remplacement de VPN, micro-segmentation Kubernetes, vérification continue de la posture des devices via Microsoft Intune. Résultat : 0 incident sécurité en 24 mois, conformité PCI DSS validée du premier coup, baisse de 70 % du temps d’onboarding employé.
Cinq scénarios PBQ type examen détaillés
PBQ 1 : Configurer un firewall ACL. Tu as 10 règles à classer dans le bon ordre dans une UI drag-and-drop. La règle d’or : les règles les plus spécifiques d’abord, deny global en dernier. Block trafic Tor exit nodes en haut, allow flux internes connus, deny implicit any en fin.
PBQ 2 : Classifier un incident. On te présente 5 alertes SIEM. Tu dois les ranger par criticité (Critical / High / Medium / Low) en suivant le framework NIST. Critical = exfiltration confirmée + données sensibles. High = malware détecté avec persistence. Medium = scan réseau récurrent. Low = brute force basique sans succès.
PBQ 3 : Implémenter Zero Trust. Tu as une architecture legacy avec VPN + Active Directory + apps on-prem. On te demande quelles 5 décisions architecturales prendre pour migrer Zero Trust. Réponse : ZTNA replace VPN, MFA partout, identity-based segmentation, continuous verification, least-privilege RBAC.
PBQ 4 : Configurer un risk register. Tableau Excel à compléter avec 6 risques pré-listés. Tu dois calculer ALE pour chacun (AV × EF × ARO), choisir stratégie traitement (Mitigate/Transfer/Accept/Avoid), et assigner risk owner. Le calcul ALE est testé directement.
PBQ 5 : Forensic chain of custody. Scénario incident, tu dois ordonner 8 actions chronologiquement. La séquence canonique : isolate machine (pas éteindre), capture RAM avec FTK Imager, capture disque avec write-blocker, hash SHA-256 pour chaque image, signer formulaire chain of custody, transporter au labo, faire copie travail, analyser uniquement la copie.
Architecture défensive de référence pour PME africaine
[Internet] → [pfSense FW + Suricata IDS] → [DMZ : web public, mail]
→ [LAN segmenté]
├── VLAN-Data (postes utilisateurs)
├── VLAN-Voice (téléphonie IP)
├── VLAN-Mgmt (admin réseau)
├── VLAN-IoT (caméras, imprimantes)
└── VLAN-Invité (Wi-Fi visiteur)
Identités : Microsoft Entra ID + MFA + Conditional Access + PIM pour admins
Endpoints : Microsoft Defender for Endpoint sur tous postes + serveurs
Backup : Azure Backup GRS + immutability storage (rétention 30j daily, 12 mois mensuel)
Monitoring: Wazuh SIEM agrégant logs FW + endpoints + AD + apps métier
Dashboard live + alertes critiques routées vers SOC
Coût standard PME 50 employés : 8-15 millions FCFA/an tout compris
Cette architecture couvre les contrôles ISO 27001:2022 majeurs et permet de passer un audit PCI DSS niveau 2 sans investissement matériel additionnel au-delà du firewall et serveur de logs.
Compliance et conformité régionale 2026
Sénégal : loi 2008-12 sur la cybercriminalité (sanctionne accès non autorisé à un système informatique jusqu’à 7 ans de prison), loi 2008-08 sur les transactions électroniques, code des communications électroniques. CDP (Commission de Protection des Données) supervise traitements de données personnelles, déclaration obligatoire sous 72h en cas de breach affectant données nominatives.
Côte d’Ivoire : loi 2013-451 sur la cybercriminalité, ARTCI (Autorité de Régulation des Télécommunications) audite obligatoirement les opérateurs et plateformes financières. Sanctions jusqu’à 100 millions FCFA + 5 ans prison.
UEMOA / CEDEAO : règlement 08/2013/CM/UEMOA sur la protection des données personnelles, Acte additionnel A/SA.1/01/10 sur la lutte contre la cybercriminalité. Reconnaissance mutuelle des décisions judiciaires entre 8 pays UEMOA et 15 pays CEDEAO.
International applicable : RGPD pour toutes les données de citoyens UE (extraterritorialité), PCI DSS v4.0 obligatoire pour tout processeur de paiement carte (Wave, Orange Money, banques), HIPAA pour santé numérique avec patients américains.
Pour un poste d’analyste GRC ou compliance officer en banque africaine, maîtriser au minimum : ISO 27001, PCI DSS, RGPD, et la réglementation nationale (CDP/ARTCI) est requis.
Plan de carrière post-Security+ détaillé
0-6 mois post-cert : décrocher un poste analyste SOC L1 dans une banque régionale, opérateur télécom, ou ESN cybersec (Wari, NSIA Tech, Atlantique IT, Avizo, Smart Africa). Salaire de départ 500 000-700 000 FCFA. Activités : monitoring SIEM 24/7 en équipes tournantes, triage d’alertes, rédaction de tickets, escalade L2.
6-18 mois : monter en compétence sur l’investigation, suivre formation CySA+ (CompTIA Cybersecurity Analyst) ou GCIH (SANS GIAC). Salaire 700 000-1 000 000 FCFA. Activités : threat hunting, analyse forensic basique, contribution aux runbooks, formation des nouveaux L1.
18-36 mois : pivoter selon affinité — pentest (CEH puis OSCP), analyste senior (CySA+ puis GCIH), architecture (CISSP). Salaire 1 200 000-1 800 000 FCFA. Possibilité de remote pour clients européens via plateformes comme Toptal ou Malt.
36+ mois : positions de management (CISO adjoint, responsable SOC), consultant senior indépendant, ou freelance international. Salaire 2 000 000-4 000 000 FCFA si en local, 4-8 millions FCFA en remote international.
Évolution alternative — entrepreneur : créer son cabinet d’audit cybersec ou MSSP (Managed Security Service Provider) régional. Investissement initial 5-15 millions FCFA, rentabilité dès la 2e année avec 4-6 clients PME récurrents. Modèle qui se développe rapidement à Dakar et Abidjan en 2026.
Outils complémentaires recommandés
Pour le SOC analyst : Wazuh (SIEM open-source gratuit, alternative à Splunk pour PME), TheHive (case management open-source), MISP (threat intelligence sharing), VirusTotal Enterprise, Shodan Membership.
Pour le pentester : Burp Suite Pro (450 USD/an), Cobalt Strike (alternative open-source : Sliver, Havoc), Bloodhound (mapping AD), Responder (LLMNR/NBT-NS poisoning).
Pour le compliance : Vanta ou Drata (automation SOC 2 / ISO 27001), Rapid7 InsightVM (vulnerability management), Tenable.io (alternative).
Pour la formation continue : SANS Cyber Aces (gratuit), Cybrary (gratuit + premium 60 USD/mois), TryHackMe (14 USD/mois), Blue Team Labs Online.