Close up of name tag stating ‘Chief Digital Officer’

6 tendances clés qui remodèlent le marché de l’IAM

Lucas Morel

Le défi de la gestion des identités des machines, des agents IA et des secrets bouleverse le marché croissant de la gestion des identités et des accès, ainsi que les stratégies IAM des RSSI.

Le marché de la gestion des identités et des accès (IAM) a réorienté son attention des mécanismes traditionnels de « connexion et MFA » vers le traitement de l’identité comme un plan de contrôle de sécurité.

« L’accès du personnel reste le point d’ancrage, mais de plus en plus de programmes intègrent désormais la gouvernance, l’accès privilégié et les contrôles pour les identités non humaines, car ces lacunes sont là où les attaquants et les auditeurs continuent de trouver un levier », déclare Dave Lewis, RSSI consultatif mondial chez le fournisseur d’outils de gestion de mots de passe 1Password.

Alors que le marché européen global de la cybersécurité a augmenté de 7,5 % en 2025, l’IAM a bondi de 10,8 %, selon les analystes du secteur Context.

Depuis janvier 2026, le marché s’est encore accéléré, affichant une augmentation de 24 % d’une année sur l’autre (YoY) au cours du seul premier mois.

Joe Turner, directeur mondial de la recherche et du développement commercial chez Context, affirme que la croissance du marché reflète la façon dont « la sécurité de l’utilisateur » est devenue une priorité en matière de dépenses dans de nombreux programmes de sécurité d’entreprise.

L’IA agentique bouleverse l’avenir de l’IAM

Le besoin croissant de gérer les identités non humaines (identités des machines, agents d’IA, secrets) est l’un des vecteurs qui façonnent l’évolution de l’IAM, à la fois en tant que technologie et en tant que marché.

« Les identités non humaines (comptes de service, clés API, agents IA et appareils IoT) augmentent considérablement et, dans la plupart des entreprises, elles sont déjà trois fois plus nombreuses que les utilisateurs humains », déclare Paul Hanagan, CTO de Conscia UK, un fournisseur d’infrastructures numériques sécurisées et complexes.

L’industrie informatique dépasse l’introduction des technologies d’IA pour se tourner vers l’IA agentique, dans laquelle des agents autonomes agissent au nom d’utilisateurs avec une autonomie croissante. Cette transformation nécessite de repenser la manière dont les contrôles de sécurité gèrent les identités et l’accès aux ressources.

« Le volume et l’indépendance de ces entités (IA) nécessitent une surveillance attentive, avec l’application du moindre privilège et une rotation régulière des clés secrètes pour garantir la sécurité des identités non humaines », explique Hanagan. « Les pirates informatiques ciblent de plus en plus les identités non humaines pour y accéder. Ces services doivent donc être sécurisés avec la même rigueur que les comptes humains. »

L’IA devrait jouer un rôle important dans l’analyse du comportement, la gestion des droits et la gestion de la configuration en aidant à créer une structure d’identité qui relie sécurité et gouvernance.

« Pour travailler efficacement, les agents IA auront besoin d’un accès continu à toutes sortes de données, ce qui entraînera des changements de comportement rapides », explique Jon Oltsik, analyste en résidence chez SiliconAngle et theCUBE. « Nous aurons besoin de politiques et de garde-fous ici. »

L’authentification sans mot de passe à la hausse

Les mots de passe constituent depuis longtemps le maillon faible de la plupart des architectures de sécurité.

De nombreux téléphones mobiles et ordinateurs portables utilisent déjà la biométrie pour l’authentification, et l’expérience utilisateur est généralement bien meilleure que la saisie d’un mot de passe long et complexe dans une interface.

L’adoption croissante de l’authentification sans mot de passe (FIDO2/clés d’accès, biométrie) redéfinit la portée de nombreux projets IAM.

« De nombreuses entreprises en sont encore aux premiers stades du déploiement des clés d’accès et de FIDO2, et la biométrie est souvent déployée dans le cadre d’une stratégie MFA plus large, où les coûts matériels et les frais de gestion restent des obstacles à une adoption généralisée », explique Hanagan de Conscia.

Les réglementations bousculent les architectures IAM

L’environnement réglementaire a évolué d’un simple exercice de conformité à cocher vers une gouvernance et des tests continus pour démontrer le respect des réglementations par l’entreprise. Ce changement, selon Hanagan de Conscia, remodèle activement la manière dont les organisations conçoivent leurs programmes IAM.

« Un important travail de réglementation est en cours », dit-il. « GDPR, NIS2, DORA, PCI DSS 4.0 et les cadres spécifiques au secteur se concentrent tous sur qui accède à quoi, quand et pourquoi. »

Hanagan ajoute : « L’UE adopte souvent une approche différente de celle du Royaume-Uni – eIDAS 2.0, par exemple, favorise l’adoption des portefeuilles d’identité numérique dans toute l’Europe – ce qui rend la conformité particulièrement difficile pour les entreprises multinationales couvrant plusieurs régions. »

L’IAM souverain et l’eIDAS 2.0 décentralisent l’identité

Avec l’introduction du portefeuille européen d’identité numérique (EUDI), les entreprises se tournent vers des architectures d’identité décentralisées.

« Au lieu de stocker les données des utilisateurs, les entreprises européennes deviennent des « parties utilisatrices », vérifiant les identités grâce à des preuves cryptographiques via des portefeuilles numériques soutenus par le gouvernement afin de réduire la responsabilité des informations personnelles identifiables et de se conformer à la loi européenne sur les données, en particulier en ce qui concerne la minimisation des données », déclare Turner de Context.

Les services IAM gérés font leur pitch

Des problèmes tels que le déficit de main-d’œuvre en matière de cybersécurité et la complexité technique de l’IAM dans l’entreprise moderne ont un impact à la fois sur les stratégies d’identité et d’accès des RSSI et sur l’orientation du marché de l’IAM.

« La plupart des organisations gèrent des domaines hybrides parallèlement à l’expansion du SaaS, et la surface de l’identité est fragmentée entre plusieurs répertoires, applications héritées et modèles de droits incohérents », explique Lewis de 1Password.

Pour surmonter les défis posés par cette complexité face à la pénurie de talents, de nombreuses organisations se tournent vers les services IAM gérés, selon Hanagan de Conscia.

« Les solutions IAM modernes sont complexes à mettre en place et nécessitent des connaissances et une expertise approfondies », explique-t-il. « Lorsque cela s’ajoute à la crainte que l’IA puisse déplacer des rôles – ce qui décourage les nouveaux entrants dans la profession – et au renforcement de la réglementation, cela a des conséquences néfastes sur les raisons pour lesquelles les projets IAM modernes ont du mal à progresser à un rythme soutenu. »

L’industrie de l’IAM se consolide

Le marché de l’IAM traverse une période de consolidation alors que les fournisseurs rivalisent pour créer les plateformes les plus complètes tout en s’attaquant au problème de la gestion des identités des machines et des agents d’IA.

Les activités notables de fusions et acquisitions d’IAM au cours des derniers mois comprennent :

  • En juillet dernier, Palo Alto Networks a acquis la société de gestion d’accès privilégiés CyberArk pour 25 milliards de dollars.
  • Delinea a annoncé son intention d’acquérir la société de gestion d’accès universel StrongDM en mars. StrongDM fournit un accès « juste à temps » pour les agents DevOps et IA, faisant passer Delinea d’une offre de gestion statique des mots de passe à une plateforme d’autorisation d’exécution dynamique. Les termes financiers de l’accord n’ont pas été divulgués.
  • CrowdStrike a annoncé des accords pour acquérir la startup de sécurité des identités SGNL pour 740 millions de dollars et la startup de sécurité des navigateurs Seraphic Security pour 420 millions de dollars en janvier 2026. SGNL offre la possibilité d’accorder l’accès en fonction du contexte en temps réel (par exemple, « Autoriser ce développeur à voir la base de données uniquement s’il dispose d’un ticket Jira actif. »)
  • Zscaler a acquis SquareX en février 2026, lui permettant d’acquérir une technologie de sécurité de navigateur capable de détecter les attaques basées sur l’identité sur les appareils non gérés.
  • Sophos rachète Arco Cyber ​​dans le cadre d’un accord visant à apporter une gouvernance basée sur l’IA au marché intermédiaire. « Il (l’accord) cible les entreprises de 50 à 500 sièges qui n’ont pas de RSSI à temps plein mais qui doivent répondre aux nouvelles exigences du projet de loi britannique sur la cybersécurité », explique Turner de Context.

Voir aussi :

  • Comment les responsables de la cybersécurité peuvent-ils se défendre contre l’impulsion du NHI piloté par l’IA ?
  • L’IA agentique fait déjà allusion à la crise d’identité imminente de la cybersécurité
  • Votre avenir sans mot de passe n’arrivera peut-être jamais pleinement
  • Que sont les identités non humaines et pourquoi sont-elles importantes ?
  • L’accès privilégié permanent est omniprésent et comporte de nombreux risques
  • Redéfinir l’authentification multifacteur : pourquoi nous avons besoin de clés d’accès
Gestion des identités et des accèsSécuritéSolutions de gestion des identités

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Angriffe aus Russland, russische Hacker
Hacker Unknown désormais connu, nommé sur la liste des personnes les plus recherchées d’Europol
Artificial Intelligence Internet of Things Network Protection Global Business Robots Touch Key Protection Icons Digital technology concepts online marketing, data analysis, e-commerce connectivity
Claude découvre un bug ActiveMQ RCE vieux de 13 ans en quelques minutes
A photograph of a person holding a smartphone with the Cloudflare logo displayed. Behind the phone is a blurred monitor displaying the Cloudflare website.,
Cloudflare « ajuste activement » les priorités quantiques à la suite de l’avertissement de Google