⚷Identité & accès

Qui peut quoi. Validé. Loggé. Sans friction.

Architecture SSO (OIDC, SAML), OAuth 2.1, MFA, gestion fine des rôles et permissions (RBAC, ABAC), audit logs immuables. De la PME à l'enterprise multi-tenant.

Demander un audit IAM ⚷ Voir notre méthode

SSO OIDC · SAML 2.0 · OAuth 2.1
MFA · TOTP · WebAuthn · Passkeys
RBAC · ABAC · ReBAC (OpenFGA)
Audit logs · session management

Le contexte

61 % des breaches commencent par une identité compromise.

En 2026, l'identité est la nouvelle frontière. Plus de périmètre réseau bien défini, plus de « VPN = sécurisé ». Tout est exposé : SaaS, APIs, mobile. La question n'est plus « où est l'attaquant » mais « avec quelle identité agit-il ». Selon le Verizon DBIR 2025, 61 % des breaches utilisent des credentials volés ou faibles.

Et pourtant, beaucoup de produits ont encore : pas de MFA obligatoire, des sessions qui durent des mois, des permissions « admin par défaut », des audit logs pauvres ou absents. Quand un compte est compromis, on ne sait même pas ce qui a été fait. Et pour les SaaS B2B, l'absence de SSO enterprise (OIDC, SAML) bloque les ventes au-dessus de 50k€/an.

Notre approche : architecture identité moderne dès le départ. SSO multi-protocoles, MFA WebAuthn/Passkeys (pas SMS), session courte avec refresh tokens, permissions fines (RBAC ou ReBAC selon complexité), audit immuable. Conforme SOC 2 et ISO 27001 — sans usine à gaz.

Mot de passe stocké

Passkeys + OAuth + magic links — fini les hashes bcrypt à gérer

< 200ms

Latence auth

p99 sur vérification de token JWT, mesurée en production

100%

Audit traceable

Chaque action authentifiée loggée avec actor, target, timestamp

SOC 2

Compliance ready

Architecture mappée aux contrôles CC6.1, CC6.2, CC6.3, CC6.6

Ce qu'on construit

Six axes identité & accès.

De l'authentification utilisateur final aux APIs machine-to-machine, on couvre toute la pile identité.

⚷ Auth

Auth utilisateur final

Email, OAuth, Passkeys.

Login email + magic link, Sign in with Apple/Google/GitHub, Passkeys (WebAuthn). Pas de password à hasher manuellement. Onboarding fluide, mot de passe oublié solid, vérification email RFC 5321.

⚷ SSO

SSO entreprise (OIDC/SAML)

Débloque tes ventes B2B.

OIDC, SAML 2.0, SCIM provisioning. Compatible Okta, Microsoft Entra ID, Google Workspace, OneLogin, Ping. Just-in-time provisioning, attribut-based group mapping. Indispensable au-dessus de 50k€/an de contrat.

⚷ MFA

MFA & second facteur

WebAuthn d'abord, TOTP en backup.

WebAuthn (Touch ID, Face ID, YubiKey) par défaut. TOTP (Google Authenticator, 1Password) en fallback. SMS uniquement si impossible autrement. Backup codes générés. Rate limiting anti brute-force.

⚷ Permissions

RBAC / ABAC / ReBAC

Qui peut faire quoi sur quoi.

RBAC simple pour la plupart des cas. ABAC quand les permissions dépendent de l'attribut (rôle + département). ReBAC (OpenFGA, SpiceDB) quand il faut Google-Docs-style (sharing par ressource). Migration progressive possible.

⚷ Sessions

Sessions & tokens

JWT, refresh, revocation.

Access token court (15 min), refresh token long (7-30 j) avec rotation. Storage HttpOnly cookie + Secure + SameSite. Revocation en temps réel via blocklist Redis. Device fingerprinting pour détecter les vols de session.

⚷ Audit

Audit & forensics

Pour répondre « qui a fait ça ? ».

Audit log immuable (append-only) sur chaque action sensible. Conservé 1-7 ans selon compliance. Indexable par actor, target, action, timestamp. Intégration SIEM (Splunk, Datadog). Indispensable pour SOC 2 CC6.6.

Notre approche

Quatre étapes, du diagnostic au monitoring.

On démarre par cartographier les identités existantes et les flux d'authentification réels — souvent un mélange historique de hacks.

01 ⚷

Discovery & audit (3-5 j)

Inventaire des systèmes d'auth en place (DB locale, OAuth, etc.), des permissions, des sessions actives. Analyse des flux réels : qui se connecte à quoi, depuis où. Identification des dettes (sessions infinies, MFA optionnel, permissions excessives).

✓ Cartographie identité + liste des dettes priorisées

02 ⚷

Architecture cible (1 sem)

Définition du provider (Auth0, Clerk, Keycloak, Cognito, ou maison). Schéma users/roles/permissions. Stratégie session (durée, rotation, storage). Politique MFA (forcé ? optionnel ? selon rôle ?). Plan de migration sans downtime des comptes existants.

✓ ADR architecture + diagramme + plan de migration

03 ⚷

Implémentation (2-4 sem)

Mise en œuvre du nouveau système. SSO OIDC/SAML pour les clients B2B. MFA WebAuthn obligatoire (ou progressive). RBAC ou ReBAC selon le scope. Migration des utilisateurs existants en lots. Tests d'intégration sur chaque flow critique.

✓ Système déployé + migration finalisée + tests

04 ⚷

Audit & monitoring (1 sem)

Audit logs branchés (Datadog, Splunk). Dashboards de sécurité (logins suspects, géoloc anormale, brute-force). Alerting Slack/PagerDuty. Documentation opérationnelle pour le support N1. Runbook incident IAM.

✓ Dashboards + alerting + runbook + doc support

Stack technique

Les providers et libs qu'on utilise.

Pas de NIH syndrome — sauf cas explicite, on s'appuie sur des providers matures.

Auth providers managés

Auth0 · Clerk · Stytch · WorkOS · Cognito

Clerk pour les startups (DX excellent, prix juste). Auth0 si compliance enterprise déjà en place. WorkOS pour le SSO B2B uniquement. Stytch pour les passwordless flows premium.

Auth open-source self-hosted

Keycloak · Authentik · Ory Kratos · SuperTokens

Keycloak pour les grosses orgs avec compliance forte. Authentik plus moderne et léger. Ory Kratos modulaire. SuperTokens pour des besoins simples self-hosted.

OAuth & token libs

Auth.js (NextAuth) · oauth4webapi · jose · oslo

Auth.js dans Next/Astro pour la simplicité. oauth4webapi pour les implémentations custom strictes (RFC). jose pour JWT manipulation. oslo pour les primitives crypto.

Permissions (RBAC/ReBAC)

OpenFGA · SpiceDB · Cerbos · Oso

OpenFGA (Auth0) pour ReBAC standard. SpiceDB (Authzed) Google Zanzibar. Cerbos pour les policies as code. Oso si embedded dans l'app.

MFA & WebAuthn

SimpleWebAuthn · @simplewebauthn/server · Authy · Twilio Verify

SimpleWebAuthn pour WebAuthn côté serveur (TS). Authy/Twilio Verify pour TOTP managé. Yubico développeur lib si HSM.

Audit & SIEM

Datadog · Splunk · Loki · Elastic · Sumo Logic

Datadog si déjà en place pour APM. Splunk en grosse entreprise. Loki + Grafana pour le low-cost self-hosted. Elastic si on a déjà l'expertise.

Garanties chiffrées

Quatre engagements contractuels.

Migration downtime

Migration des comptes existants progressive, sans coupure de service. Les anciens flows continuent pendant que les nouveaux sont activés.

SOC 2 / ISO 27001

Architecture mappée

Architecture documentée et alignée aux contrôles CC6 (logical access). Prête pour audit externe.

100%

Audit traceable

Chaque action sensible (login, permission change, data access) loggée avec actor, action, target, IP, timestamp.

WCAG AA

Auth accessible

Tous les flows d'auth (login, MFA, recovery) testés en accessibilité — clavier, lecteur d'écran, contraste.

Tarification

Chaque projet est unique. Le devis aussi.

Plutôt que des forfaits abstraits, on cadre selon ton contexte : périmètre, complexité, délais, contraintes. Tu nous écris en 3 phrases ce que tu veux faire — on te revient avec un devis ferme sous 48h ouvrées.

Réponse sous 48 h ouvrées Demander un devis →