What is an IGA solution?

Identity Governance and Administration (IGA) is a software category that manages the full lifecycle of user access to applications, systems, and data. It automates provisioning and deprovisioning, enforces access policies, runs access certification campaigns, and maintains the audit records required for compliance with regulations such as SOX, GDPR, and HIPAA.

What is the difference between IAM and IGA?

IAM (Identity and Access Management) covers authentication and access control confirming who a user is and granting or denying access. IGA adds a governance layer: visibility into all access rights across the environment, policy enforcement, access review workflows, and compliance reporting. IGA systems work alongside IAM tools and address access accumulation and auditability problems that IAM alone cannot solve.

What does IGA stand for in government?

IGA stands for Identity Governance and Administration. In a government context, it refers to the same category of tools described above, applied to managing access to government systems, applications, and sensitive data in compliance with public sector regulations and frameworks.

cybersécurité Identité et accès

Comparatif des solutions IGA : 12 fournisseurs et leurs fonctionnalités

Sena Sezer

mis à jour le Mar 17, 2026

Consultez notre normes éthiques

La gouvernance et l'administration des identités (IGA) permettent aux administrateurs de sécurité de gérer les identités et les accès des utilisateurs à l'échelle de l'entreprise.

Nous avons étudié 12 plateformes IGA, en vérifiant les affirmations des fournisseurs à l'aide de la documentation produit officielle, en testant les processus de certification d'accès et en comparant les déploiements clients de One Identity, Omada, Oracle, IBM, Lumos, et d'autres. Consultez notre analyse comparative des performances et du rapport qualité-prix.

Comparaison des 12 meilleures solutions IGA

* D'après les données des plateformes d'avis B2B

** D'après les données de LinkedIn

IGA vs IAM vs PAM

Ces trois catégories sont souvent confondues car leurs champs d'application se chevauchent, mais chacune résout un problème différent.

La gestion des identités et des accès (IAM) assure l'authentification et le contrôle d'accès : elle vérifie l'identité d'un utilisateur et détermine s'il peut accéder à un système. L'authentification unique (SSO), l'authentification multifacteurs et les politiques d'accès conditionnel relèvent de cette catégorie. L'IAM répond à la question : « Pouvez-vous vous connecter ? »

L'IGA ajoute une couche de gouvernance à l'IAM. Alors que l'IAM contrôle l'accès, l'IGA assure le suivi des personnes détenant les clés, de leurs auteurs, de la légitimité de ces accès et de leur conformité aux exigences des auditeurs. Les revues d'accès, la modélisation des rôles, l'application du principe de séparation des tâches et le reporting de conformité font partie des fonctions de l'IGA. L'IGA répond à la question : « Avez-vous besoin de cet accès et pouvons-nous le justifier ? »

La gestion des accès privilégiés (PAM) se concentre sur les identités disposant de privilèges élevés, comme les administrateurs système, les propriétaires de bases de données et les comptes racine. Elle détermine quand ils peuvent utiliser ces accès, enregistre leurs actions et assure une attribution des privilèges à la demande. La PAM répond à la question : « Qui peut agir en tant qu’administrateur, quand et dans quelles conditions ? »

Comment fonctionne l'IGA ?

Ressource : AiMultiple

Les données d'identité sont intégrées à la plateforme IGA à partir de sources faisant autorité : le système RH, Active Directory, les fournisseurs d'identité et le SIRH. La plateforme gère un référentiel d'identités centralisé, source unique de référence pour l'ensemble des personnes au sein de l'organisation, leurs rôles et leurs droits d'accès.

Le moteur de règles traduit les règles métier en décisions d'accès. Lorsqu'un employé rejoint l'entreprise, change de poste ou la quitte, la plateforme accorde, modifie ou révoque automatiquement les accès aux applications connectées, sans intervention du service informatique. La plupart des plateformes prennent en charge des flux d'approbation configurables pour les systèmes sensibles.

Des campagnes de certification des accès sont menées périodiquement ou à la demande, invitant les responsables et les détenteurs de ressources à confirmer la pertinence des accès de chaque utilisateur. Des plateformes basées sur l'IA complètent la vérification humaine par une analyse comparative, signalant les utilisateurs dont les accès semblent inhabituels par rapport à leurs collègues occupant des fonctions similaires.

Les moteurs de provisionnement transmettent les décisions aux applications cibles via des connecteurs, SCIM 2.0, des API ou des adaptateurs. Chaque action est consignée dans un journal d'audit immuable qui alimente les rapports de conformité exigés par les auditeurs pour les contrôles SOX, RGPD et HIPAA.

Voici à quoi ressemble le marché de l'IGA : quelles plateformes conviennent à quels environnements, où le marketing des fournisseurs diverge de la réalité du déploiement et quels nouveaux acteurs méritent d'être évalués aux côtés des leaders historiques.

Explication des solutions IGA

1. One Identity Responsable

One Identity Manager est une plateforme IGA d'entreprise construite autour d'une intégration profonde avec Active Directory et SAP, et qui se distingue principalement par son niveau de personnalisation et ses coûts de licence.

One Identity Manage a introduit des playbooks ITDR qui automatisent les actions de remédiation, la désactivation des comptes, le signalement des incidents et le lancement d'attestations ciblées directement dans les flux de travail de gouvernance, raccourcissant ainsi le délai entre la détection et l'action lors des attaques basées sur l'identité.

L'intégration certifiée SAP étend nativement la gouvernance SoD aux environnements SAP, couvrant à la fois la gestion des rôles et des autorisations.

La version 10.0 ajoute en outre l'ingestion des scores de risque des utilisateurs externes provenant d'outils UEBA tiers, la gouvernance comportementale Entra ID (BDG) au niveau de l'application pour appliquer le principe du moindre privilège en identifiant les droits inutilisés, l'importation des données d'utilisation des transactions SAP pour prendre en charge l'analyse SoD et l'optimisation des licences, et le formatage CEF Syslog conforme aux normes pour une meilleure interopérabilité SIEM. ¹

La plupart des configurations peuvent être réalisées sans programmation. Cependant, les flux de travail complexes nécessitent généralement un partenaire de mise en œuvre.

Limites:

La qualité du support est un problème récurrent : réponses tardives et communication insuffisante concernant les correctifs urgents.
L'interface Web Designer est basée sur l'ancienne technologie ASP.NET, ce qui engendre des problèmes de performance prévisibles mais non encore résolus.
Aucune interface mobile pour le libre-service de l'utilisateur final
La gouvernance de l'identité des machines au-delà des comptes privilégiés n'est pas une fonctionnalité clairement documentée.

2. ConductorOne

ConductorOne est une plateforme de gouvernance des identités basée sur l'IA, destinée aux organisations qui ont dépassé le stade des processus manuels mais qui trouvent les systèmes IGA traditionnels trop coûteux et trop lents à déployer.

Le graphe d'identité unifié centralise les données d'accès et d'autorisation provenant de plus de 300 connecteurs d'applications cloud, d'infrastructure, sur site et internes dans un schéma unique en temps réel, éliminant ainsi les silos d'identité qui empêchent une visibilité globale des accès au sein de l'organisation. Les flux d'accès à la demande réduisent les privilèges permanents en accordant l'accès uniquement sur demande et en le supprimant automatiquement lorsqu'il n'est plus nécessaire.

Parmi ses clients figurent DoorDash, Instacart, Qualtrics, Ramp et Zscaler.

Limites:

Conçu principalement pour les environnements cloud-native et SaaS, il ne possède pas de compétences avérées en matière de gouvernance des droits d'accès SAP et mainframe.
Réseau de partenaires plus restreint que celui des fournisseurs IGA établis

3. Gouvernance des identités CyberArk

CyberArk a fait son entrée sur le marché de l'IGA en acquérant Zilla Security en février 2025 pour 165 millions de dollars. La plateforme SaaS IGA moderne de Zilla est désormais intégrée à la plateforme de sécurité des identités de CyberArk, aux côtés des capacités PAM éprouvées de CyberArk. ²

Définition moderne de la sécurité de l'identité

Le principal atout de la plateforme réside dans ses profils IA : des modèles d'apprentissage automatique analysent les permissions réelles au sein de l'environnement afin d'identifier le niveau d'accès minimal approprié à chaque rôle, remplaçant ainsi l'analyse manuelle des rôles par une gestion continue pilotée par l'IA. CyberArk revendique une réduction de 80 % des efforts consacrés aux revues d'accès et de 60 % des tickets d'assistance liés au provisionnement par rapport aux déploiements IGA traditionnels, d'après les données clients de Zilla antérieures à son acquisition. ³

La carte d'identité offre une vue unifiée des droits d'accès des personnes et des entités non humaines à travers toutes les applications connectées. Universal Sync utilise l'automatisation robotisée des processus pour intégrer les applications dépourvues d'API standard, réduisant ainsi l'écart entre les accès contrôlés et non contrôlés. ⁴

Avec plus de 1 000 intégrations préconfigurées et la plateforme PAM CyberArk sous-jacente, CyberArk est idéalement positionné pour les organisations qui souhaitent une gestion des accès privilégiés et une solution IGA auprès d'un fournisseur unique.

Limites:

Le module IGA est une nouveauté et continue de se développer au sein de la plateforme CyberArk ; les acheteurs doivent vérifier que ses fonctionnalités correspondent à leurs besoins spécifiques en matière de gouvernance.
La tarification combine les licences PAM et IGA, ce qui peut s'avérer complexe pour les organisations qui n'ont besoin que de la gouvernance.

4. Lumos

Lumos est une plateforme de gouvernance d'identité autonome qui place l'IA au centre de son architecture plutôt que comme une couche supplémentaire.

Albus, l'agent d'identité IA de Lumos, analyse les schémas d'accès, les attributions de rôles, les données SIRH et les journaux d'utilisation afin de générer des recommandations de politiques RBAC et ABAC. Le lancement d'Agentic User Access Reviews, prévu pour décembre 2025, permettra à Albus d'exécuter automatiquement la première phase des campagnes de revue d'accès, en distinguant les accès courants à faible risque des anomalies avant de présenter les résultats filtrés aux examinateurs humains. Lumos annonce une exécution des campagnes jusqu'à six fois plus rapide. ⁵

Lumos a introduit sa fonctionnalité de gestion autonome des politiques en avril 2025, combinant l'apprentissage automatique avec l'IA agentique pour créer, affiner et appliquer en continu les politiques RBAC et ABAC. ⁶

Au-delà de la gouvernance, Lumos propose l'optimisation des licences SaaS, en identifiant automatiquement les licences inutilisées et les applications informatiques parallèles que les équipes informatiques peuvent récupérer ou soumettre à la gouvernance. Cette approche positionne Lumos à la croisée de la gestion des identités et des accès (IGA) et de la gestion SaaS, ce qui le distingue des plateformes de gouvernance dédiées.

Avec plus de 300 intégrations et une orientation vers un déploiement rapide, Lumos cible les entreprises technologiques et les entreprises à croissance rapide plutôt que les environnements sur site complexes où SailPoint et One Identity dominent.

Limites:

La profondeur de la gouvernance des droits d'accès SAP, l'intégration mainframe et la complexité de la séparation des tâches au niveau transactionnel ne sont pas documentées.
Moins adapté aux grandes entreprises disposant d'une infrastructure d'identité lourde, héritée et sur site.
Les décisions autonomes de l'IA nécessitent une hygiène des données rigoureuse dans le SIRH et le fournisseur d'identité sous-jacents ; des données sources de mauvaise qualité dégradent la qualité des recommandations

5. Microsoft Gouvernance Entra ID

Entra ID Governance est un module complémentaire de gouvernance des identités pour la plateforme Entra, disponible sous forme de licence additionnelle en plus d'Entra ID P1 ou P2. Pour les organisations déjà présentes dans l'écosystème 365, il assure la gouvernance sans nécessiter l'ajout d'un produit tiers.

Les fonctionnalités essentielles comprennent la gestion des droits d'accès, qui regroupe les rôles d'application, les appartenances à des groupes et les autorisations SharePoint dans des packages d'accès avec des flux d'approbation définis, des politiques d'expiration et des examens d'accès. ⁷ flux de travail de cycle de vie automatisent les événements d'arrivée, de mutation et de départ à l'aide de déclencheurs RH provenant de Workday et SuccessFactors. La gestion des identités privilégiées (PIM) permet l'activation en temps réel des rôles élevés dans Entra ID et Azure. ⁸

L'agent d'examen d'accès (aperçu) effectue des examens via Microsoft Teams en langage naturel, faisant apparaître des recommandations générées par l'IA et guidant les examinateurs vers une décision sans les obliger à naviguer sur un portail séparé. ⁹

La gestion des droits prend désormais en charge les packages d'accès limités aux autorisations API pour les ID d'agent, couvrant la gouvernance des agents d'IA au sein de l'écosystème de Microsoft. ¹⁰

Limites:

Les fonctionnalités de gouvernance sont strictement limitées à l'écosystème Microsoft ; la couverture des applications SaaS non-Microsoft nécessite une configuration manuelle du connecteur.
L'application de la séparation des tâches (SoD) est basée sur des politiques au sein des packages d'accès et ne correspond pas à la granularité au niveau transactionnel disponible sur les plateformes IGA dédiées.
L'octroi de licences pour les différents niveaux P1, P2, Gouvernance et Entra Suite est complexe et nécessite une planification minutieuse.

6. SailPoint Identity Security Cloud

SailPoint est le leader du marché de la gestion des accès intégrés (IGA) pour les entreprises, utilisé par environ la moitié des entreprises du classement Fortune 500, et repose sur une plateforme de gouvernance des accès basée sur l'IA , avec un produit sur site distinct pour les organisations qui ne peuvent pas migrer.

La couche de recommandation IA de SailPoint produit un changement de comportement mesurable : les réviseurs révoquent l’accès deux fois plus souvent lorsque des recommandations IA sont présentes, ce qui suggère que les révisions manuelles seules souffrent d’un problème de validation automatique.

La séparation des tâches (SoD) et la gouvernance des identités non humaines sont des options payantes, non incluses dans la licence de base. La SoD est gérée par le module de gestion des risques d'accès (ARM). Les comptes de service de couverture non humaine, les bots, les RPA et les agents d'IA nécessitent la sécurité des identités machine et la sécurité des identités agent, qui sont deux modules distincts.

En 2026, SailPoint a étendu ses connecteurs Agent Identity Security aux versions SaaS de Salesforce, ServiceNow et Snowflake, permettant ainsi la découverte et la gouvernance des agents d'IA opérant au sein de ces plateformes. La gouvernance des identités des agents requiert une licence Agent Identity Security distincte. ¹¹

SailPoint a officialisé sa stratégie d’« identité adaptative », positionnant la plateforme autour de décisions d’accès en temps réel, basées sur le contexte des risques, plutôt que sur des politiques statiques, citant une étude commandée dans laquelle 96 % des dirigeants technologiques ont identifié les agents d’IA non gouvernés comme une menace croissante pour la sécurité des entreprises. ¹²

Limites:

Les modules SoD et non humains sont des options payantes ; le coût de la licence de base sous-estime les dépenses réelles de déploiement.
La console d'administration est moins intuitive que celle de ses concurrents plus récents, d'après plusieurs avis d'utilisateurs.
Conçu pour les grandes entreprises dotées d'équipes IAM dédiées, il sera jugé surdimensionné par les entreprises de taille moyenne.
IdentityIQ et Identity Security Cloud possèdent des ensembles de fonctionnalités différents, ce qui crée un manque de gouvernance pour les organisations utilisant les deux solutions.

7. Gouvernance des identités Okta

Okta Identity Governance (OIG) est un module de gouvernance SaaS intégré nativement à la plateforme de gestion du cycle de vie et des flux de travail d'Okta. Pour les organisations utilisant déjà Okta pour l'authentification et la gestion d'annuaires, OIG étend la gouvernance sans nécessiter de produit supplémentaire.

La plateforme se compose de trois couches : la gestion du cycle de vie pour le provisionnement et l’intégration d’annuaires, Okta Workflows pour l’automatisation sans code des processus d’identité personnalisés et la gouvernance des accès pour les certifications et les demandes d’accès. Les plus de 600 intégrations natives du réseau d’intégration Okta sont prises en charge par la gouvernance sans développement de connecteurs spécifiques. ¹³

Governance Analyzer fournit des recommandations basées sur l'IA lors des campagnes de certification en analysant la fréquence de connexion, les dates de dernier accès et l'appartenance à un groupe de pairs, offrant ainsi aux examinateurs un contexte allant au-delà d'une simple décision d'approbation ou de révocation. ¹⁴

Limites:

Les fonctionnalités de gouvernance sont un module complémentaire de la plateforme Okta, et non un produit autonome ; les organisations qui n’utilisent pas Okta comme fournisseur d’identité (IdP) doivent relever un défi d’adoption plus important.
La profondeur de l'application des règles de séparation des tâches et la visibilité au niveau des droits sont plus limitées que chez les fournisseurs d'accords intergouvernementaux (IGA) dédiés.
Les scénarios de cycle de vie complexes peuvent nécessiter une personnalisation des flux de travail Okta.

8. Identité Ping (Gouvernance PingOne Identity)

Ping Identity propose une solution de gouvernance intégrée à sa plateforme PingOne Advanced Identity Cloud. Le module IGA gère les campagnes de certification, les flux de demandes d'accès et l'application des politiques de séparation des tâches (SoD) grâce à une prise de décision assistée par l'IA et le ML. La couche d'IA de Ping évalue des millions d'autorisations par minute, automatisant l'approbation des certifications d'accès à faible risque et à haute fiabilité, et signalant les anomalies pour une vérification humaine. ¹⁵

Les modèles prédéfinis et les micro-certifications permettent de réaliser des évaluations ciblées sur des applications ou des groupes d'utilisateurs spécifiques sans avoir à lancer une campagne complète.

Les politiques de séparation des tâches (SoD) sont définies et évaluées de manière centralisée lors des demandes d'accès, ce qui permet de détecter les combinaisons toxiques avant d'accorder l'accès. Des analyses de politiques planifiées servent également de contrôles de détection, identifiant les comptes non autorisés ou les accès conflictuels accumulés au fil du temps. ¹⁶

Ping intègre la gouvernance des identités dans une stratégie IAM fédérée plus large, où l'IGA et l'authentification fonctionnent de concert. La plateforme s'intègre à PingOne, Active Directory, AWS et autres.

Limites:

Les capacités IGA de Ping sont encore en développement par rapport aux fournisseurs IGA dédiés ; la profondeur de l’automatisation du cycle de vie et la visibilité des droits sont moindres.
Idéal pour les organisations utilisant déjà Ping pour l'authentification et la fédération et souhaitant étendre leur gouvernance sans ajouter de plateforme supplémentaire.

9. Cloud d'identité Saviynt

Saviynt est une plateforme cloud qui réunit la gestion des identités et des accès privilégiés (IGA), la gestion des accès privilégiés (PAM) et la gouvernance des accès aux applications en un seul produit. Elle s'adresse aux entreprises souhaitant centraliser la gestion de leurs identités et accès privilégiés auprès d'un fournisseur unique. Pour les organisations qui utilisent actuellement des fournisseurs distincts pour la gouvernance des identités et la gestion des accès privilégiés, cette centralisation permet de réduire les coûts liés aux outils et à l'intégration. Aucune version sur site n'est disponible.

La séparation des tâches (SoD) est intégrée à la plateforme de base, contrairement à SailPoint où elle est proposée en option payante. La version 2025 a repensé le tableau de bord SoD et ajouté des ensembles de règles prêts à l'emploi pour SAP, Oracle, Salesforce et NetSuite. ¹⁷

Les identités des humains, des machines et des agents d'IA sont gérées au sein d'une même plateforme. En 2025, Saviynt a étendu sa couverture aux charges de travail et aux identifiants non humains. Les identités des tiers et des sous-traitants sont gérées par un module dédié de gestion des identités externes.

Saviynt a ajouté la prise en charge des serveurs SCIM en 2025, réduisant ainsi le besoin de développement personnalisé pour les intégrations d'applications cloud.

Saviynt revendique une automatisation de 75 % des décisions d'examen des accès et une réduction de 70 % du temps de décision. Ces chiffres sont fournis par le fournisseur ; aucune vérification indépendante n'est disponible. ¹⁸

Témoignage client : VF Corporation a remplacé son ancienne plateforme manuelle par Saviynt afin de créer une plateforme d'identité unique pour ses 12 marques. Le RSSI d'Ingredion a indiqué que la révocation des accès était quasi instantanée et que les nouvelles recrues bénéficiaient d'un accès dès leur premier jour. ¹⁹

Limites:

Aucune option sur site ; les organisations soumises à des exigences strictes en matière de résidence des données doivent vérifier l’hébergement régional avant de s’engager.
L'intégration des systèmes existants exige des efforts considérables malgré le catalogue de connecteurs préconfigurés.

10. IBM Vérifier la gouvernance d'identité

IBM Verify Identity Governance est une plateforme IGA d'entreprise qui se différencie par son modèle SoD basé sur l'activité commerciale, régissant les violations par des actions telles que « approuver la facture » plutôt que par des rôles, et est conçue pour les organisations où l'alignement des audits est le principal moteur de gouvernance.

La principale différence architecturale réside dans le modèle de séparation des tâches (SoD). Alors que d'autres fournisseurs gèrent la SoD par le biais de rôles, IBM modélise les violations à l'aide d'activités métier, telles que la création d'un bon de commande et l'approbation d'une facture. Les activités métier étant plus statiques que les rôles, elles correspondent plus directement à la manière dont les auditeurs évaluent le risque d'accès. ²⁰

La plateforme étendue de Verify inclut la détection et la réponse aux menaces d'identité (ITDR) et la gestion de la posture de sécurité des identités (ISPM), basées sur l'IA et couvrant les identités humaines et non humaines. Il est recommandé de vérifier auprès de Verify Governance, en particulier, la profondeur de sa gouvernance dédiée aux identités machine avant tout achat.

Référence client : Commercial International Bank, la plus grande banque privée d’Égypte, a mis en œuvre la solution IBM Verify Identity Governance au sein d’un environnement de sécurité numérique complexe. Exostar l’a utilisée pour sécuriser les écosystèmes de ses partenaires tout au long des chaînes d’approvisionnement mondiales du secteur aérospatial et de la défense. ²¹

Limites:

Le développement de connecteurs personnalisés nécessite des compétences d'ingénierie spécifiques (IBM) qui se font de plus en plus rares.
Les multiples changements de marque créent de la confusion dans la documentation relative aux achats et au support.

11. Identité Omada

Omada est une plateforme IGA native du cloud qui propose une garantie de déploiement à coût fixe de 12 semaines, ciblant les moyennes et grandes entreprises souhaitant migrer de leurs anciens systèmes d'identité sur site sans projet pluriannuel.

Omada a lancé Cloud Application Gateway : une image Docker auto-hébergée qui étend la gouvernance aux systèmes sur site et existants sans nécessiter de modifications du pare-feu, et qui peut être déployée en moins de 30 minutes. Elle prend en charge les clés de chiffrement gérées par le client via HashiCorp ou Key Vault (Azure).

Les processus de certification utilisent un outil de création par glisser-déposer sans code, ce qui réduit l'expertise technique requise pour maintenir et modifier les campagnes au fil du temps.

Le verrouillage d'urgence et la révocation immédiate de l'accès à tous les systèmes connectés pour une identité unique constituent une fonctionnalité documentée, utile en cas de suspicion de violation de données. ²²

Limites:

La garantie de déploiement en 12 semaines est contestée par plusieurs experts indépendants ; les délais réels varient.
Les rapports sont systématiquement signalés comme étant faibles.
Le provisionnement en temps réel accuse un retard par rapport à la concurrence ; certains scénarios nécessitent un traitement quasi par lots.
La disponibilité des partenaires d'implémentation est limitée par rapport à SailPoint ou One Identity

12. Oracle Gouvernance de l'identité

Oracle propose deux produits IGA distincts : une plateforme sur site mature (OIG) et un produit SaaS natif du cloud plus récent (OAG), ce qui en fait le choix naturel pour les grandes entreprises utilisant déjà Oracle Fusion ou E-Business Suite.

Le mode hybride est une option pratique pour les organisations en pleine migration : les revues d’accès sont exécutées dans OAG tandis que le provisionnement se poursuit via OIG 12c. Pour les organisations pleinement engagées dans le cloud de Oracle, OAG revendique une réduction de 70 % des tickets informatiques liés à la gouvernance des accès, un chiffre communiqué par le fournisseur. ²³

Oracle Rôle d'identité Intelligence utilise l'IA et le ML pour automatiser l'extraction et la publication des rôles dans l'OIG en fonction de la structure organisationnelle, des attributs des utilisateurs et des modèles d'activité commerciale, réduisant ainsi l'effort manuel requis pour maintenir le RBAC à grande échelle.

Source : Oracle Gouvernance de l'identité (OIG)

Pour les environnements SAP, le module Application Access Governance d'OAG gère la séparation des tâches au niveau de la transaction, ce qui est plus précis que les contrôles au niveau des rôles.

Le système de connecteurs couvrant les systèmes centraux, LDAP, les bases de données, Office 365, ServiceNow, Dropbox, Workspace et WebEx est régulièrement cité comme l'un des atouts majeurs d'OIG. L'IGA Integrations Exchange propose un catalogue prédéfini pour ces deux produits. ²⁴

Référence client : Cummins a évalué OAG pour sa gouvernance native du cloud, citant l’absence de migration depuis OIG 12c et l’analyse basée sur les données comme facteurs clés. ²⁵

Limites:

Le développement fonctionnel d'OIG a été minimal en cinq ans ; les bogues connus et les problèmes de stabilité sont documentés, y compris les interruptions de production.
Les licences de bases de données et de connecteurs sont des postes budgétaires distincts, ce qui rend difficile l'estimation initiale du coût total de possession ; le retour sur investissement prend généralement deux à trois ans.
La gouvernance des identités non humaines n'est pas une capacité définie dans la messagerie IGA actuelle de Oracle
En dehors de l'écosystème Oracle (Fusion, E-Business Suite), les frais d'intégration augmentent considérablement.

Caractéristiques communes

Les cinq plateformes incluent toutes les fonctionnalités standard suivantes :

Cycle de vie des identités (JML) : Automatisation des entrées, sorties et mouvements des employés pilotée par les données RH ou les attributions de rôles, avec provisionnement et déprovisionnement automatisés sur les systèmes connectés.
Certification des accès : Campagnes de révision périodique des accès avec des flux d’approbation pour les responsables opérationnels ou les équipes informatiques.
Contrôles de séparation des tâches : application de la séparation des tâches grâce à la détection des conflits basée sur des politiques. SailPoint propose cette fonctionnalité via un module complémentaire payant (Gestion des risques d’accès) ; tous les autres fournisseurs l’intègrent à leur plateforme de base.
Contrôle d'accès basé sur les rôles : l'exploration des rôles, la modélisation des rôles et la gestion des politiques RBAC sont prises en charge, avec différents niveaux d'automatisation assistée par l'IA.
Demandes d'accès en libre-service : Portails utilisateurs finaux pour les demandes d'accès avec des flux d'approbation configurables.
Conformité réglementaire : les normes SOX et RGPD sont explicitement prises en charge par tous les produits. La conformité HIPAA est confirmée pour SailPoint, Saviynt et IBM ; elle ne l’est pas pour Oracle, One Identity et Omada dans la documentation produit actuelle.
Pistes d'audit : La journalisation et la génération de rapports conformes aux exigences d'audit sont incluses dans toutes les plateformes.
Tarification : Aucun des cinq fournisseurs ne publie ses tarifs. Tous utilisent des modèles d’abonnement ou de licence par identité, avec des modules complémentaires.

IGA pilotée par l'IA

L'IGA traditionnelle reposait sur des règles statiques, des certifications manuelles et des modèles de rôles gérés par des équipes informatiques centralisées. L'IA modifie trois aspects : la prise de décision en matière d'accès, la conduite des audits et la détection des menaces.

Décisions d'accès assistées par l'IA : L'analyse comparative permet d'identifier les accès habituels pour une fonction, un lieu et un service donnés. Lorsqu'un utilisateur demande un accès qui sort du cadre habituel de son groupe de pairs, l'IA le signale pour une vérification humaine au lieu de l'approuver automatiquement. Les recommandations de certification de SailPoint et le moteur d'IA de Saviynt utilisent tous deux cette approche ; les fournisseurs affirment que les évaluateurs révoquent les accès beaucoup plus souvent lorsque le contexte du groupe de pairs est présenté.

Contrôles d'accès automatisés : La dernière évolution consiste à déployer des agents d'IA pour mener de manière autonome la première phase d'un contrôle. Les agents Albus de Lumos et Harbor Pilot de SailPoint peuvent analyser des dizaines de points de données par identité, distinguer les accès courants à faible risque des anomalies et présenter aux contrôleurs une liste préfiltrée plutôt qu'un catalogue exhaustif. Lumos a annoncé, lors de son lancement en décembre 2025, une exécution des campagnes jusqu'à six fois plus rapide.

Anomaly Détection et ITDR : Les modèles d’IA entraînés sur les schémas comportementaux d’identité peuvent détecter les anomalies dans l’activité d’accès d’un utilisateur, les heures de connexion inhabituelles, les déplacements latéraux ou l’accès à des systèmes jamais utilisés. One Identity Manager 10.0 intègre des playbooks ITDR qui importent les scores de risque UEBA provenant d’outils tiers et déclenchent des actions correctives automatisées, la désactivation des comptes, le signalement des incidents et une attestation ciblée, sans attendre le prochain cycle d’audit.

Gouvernance en langage naturel : Harbor Pilot (SailPoint), le système de reporting LLM de One Identity et le serveur MCP de Saviynt permettent tous aux administrateurs et aux auditeurs d'interroger les données d'identité en langage naturel : « qui a accès à nos systèmes financiers et ne s'est pas connecté depuis 90 jours ? » Cela remplace les requêtes de base de données et le développement de rapports personnalisés.

La frontière entre gouvernance assistée par l'IA et gouvernance autonome s'estompe. ConductorOne et Lumos se positionnent explicitement comme des plateformes « natives de l'IA » ou « autonomes », où l'IA prend des décisions concrètes plutôt que de se contenter de formuler des recommandations. Les plateformes traditionnelles telles que SailPoint et Saviynt ajoutent des couches d'agents à leur infrastructure de gouvernance existante. Pour les acheteurs, la principale différence réside dans la traçabilité des décisions de l'IA et dans le maintien de la responsabilité humaine quant aux choix d'accès finaux.

8 cas d'utilisation principaux de l'IGA

Intégration des employés : Lorsqu'une nouvelle recrue apparaît dans le système RH, IGA lui fournit automatiquement l' accès privilégié par e-mail, les outils de collaboration et les applications du département au plus tard le premier jour, sans intervention du service informatique.

Changement de rôle : Lorsqu’un employé passe du service Finance au service Ingénierie, l’IGA supprime les accès devenus inutiles pour son nouveau rôle et lui attribue les autorisations nécessaires. Sans automatisation, les anciens accès restent généralement actifs indéfiniment, ce qui entraîne une accumulation de privilèges.

Gestion des départs : Lorsqu’un employé quitte l’entreprise, IGA révoque immédiatement ou selon une planification définie son accès à tous les systèmes connectés. Le client de Saviynt, Ingredion, a indiqué que la rapidité des départs était la principale raison de ce déploiement.

Gouvernance des intervenants externes : les sous-traitants, partenaires et fournisseurs ont besoin d’un accès limité dans le temps avec des procédures de renouvellement. L’IGA applique des dates d’expiration et exige une nouvelle approbation avant toute prolongation d’accès, plutôt que de laisser les comptes actifs après la fin d’un projet.

Contrôle des accès : Les responsables opérationnels vérifient régulièrement qui, au sein de leur équipe, a accès à quelles applications et s’assurent de leur pertinence. Les plateformes d’IA limitent les approbations automatiques en fournissant des éléments de preuve tels que la date de dernière connexion, des comparaisons avec des groupes similaires et des scores de risque.

Application du principe de séparation des tâches : l’IGA détecte les combinaisons d’accès problématiques, comme le fait qu’un même utilisateur puisse à la fois créer et approuver un bon de commande, et bloque l’autorisation ou la signale pour examen.

Gouvernance des identités non humaines : les comptes de service, les robots RPA, les clés API et les agents d’IA nécessitent les mêmes contrôles de cycle de vie que les identités humaines. Toutes les principales plateformes proposent désormais une forme de gouvernance des identités non humaines ; le niveau de détail et d’automatisation varie considérablement.

Rapports de conformité : Les auditeurs exigent la preuve que seuls les utilisateurs autorisés ont eu accès aux systèmes réglementés pendant une période définie. L’IGA génère des rapports d’historique d’accès, des certificats et des journaux de violations de la séparation des tâches, prêts pour les audits SOX, RGPD et HIPAA.

FAQ

La gouvernance et l'administration des identités (IGA) est une catégorie de logiciels qui gère l'intégralité du cycle de vie des accès utilisateurs aux applications, aux systèmes et aux données. Elle automatise la création et la suppression des comptes, applique les politiques d'accès, gère les campagnes de certification d'accès et tient à jour les registres d'audit nécessaires à la conformité aux réglementations telles que SOX, RGPD et HIPAA.

La gestion des identités et des accès (IAM) couvre l'authentification et le contrôle d'accès, confirmant l'identité d'un utilisateur et accordant ou refusant l'accès. La gouvernance des identités et des accès (IGA) ajoute une couche de gouvernance : visibilité sur tous les droits d'accès au sein de l'environnement, application des politiques, flux de travail de revue des accès et rapports de conformité. Les systèmes IGA fonctionnent en complément des outils IAM et résolvent les problèmes d'accumulation d'accès et d'auditabilité que l'IAM seule ne peut traiter.

L'IGA (Gouvernance et Administration des Identités) désigne, dans le contexte gouvernemental, la même catégorie d'outils que celle décrite précédemment, appliquée à la gestion des accès aux systèmes, applications et données sensibles de l'État, conformément à la réglementation et aux cadres réglementaires du secteur public.