Les politiques d’acc\u00e8s conditionnel de Microsoft Entra ID \u00e9valuent les signaux d’identit\u00e9, l’\u00e9tat de l’appareil et le contexte de risque \u00e0 chaque connexion, puis accordent, bloquent ou restreignent l’acc\u00e8s en fonction des r\u00e8gles que vous d\u00e9finissez. Elles constituent la couche d’identit\u00e9 d’une architecture de confiance z\u00e9ro. Mais les contr\u00f4les de la couche d’identit\u00e9 ne couvrent que la moiti\u00e9 de la surface d’acc\u00e8s. L’autre moiti\u00e9, l’acc\u00e8s au niveau du r\u00e9seau aux applications internes, aux ressources sur site et aux services non Microsoft, rel\u00e8ve de la plateforme ZTNA de SASE. Pour les \u00e9quipes informatiques du march\u00e9 interm\u00e9diaire qui g\u00e8rent entre 50 et 400 utilisateurs, la question strat\u00e9gique en 2026 est de savoir comment coordonner les deux couches afin qu’un contexte d’identit\u00e9 unique d\u00e9termine chaque d\u00e9cision d’acc\u00e8s, de Microsoft 365 \u00e0 votre ERP sur site, sans maintenir deux ensembles de politiques d\u00e9connect\u00e9s. <\/p>\n
Les politiques d’acc\u00e8s conditionnel sont des r\u00e8gles if-then dans Microsoft Entra ID qui \u00e9valuent les signaux (identit\u00e9 de l’utilisateur, appartenance \u00e0 un groupe, conformit\u00e9 de l’appareil, emplacement, risque de connexion) et appliquent des contr\u00f4les (exiger MFA, exiger un appareil conforme, bloquer l’acc\u00e8s, limiter la dur\u00e9e de la session) avant d’accorder l’acc\u00e8s aux applications et aux ressources du cloud. En 2026, l’acc\u00e8s conditionnel a d\u00e9pass\u00e9 le stade de l’\u00e9valuation statique des r\u00e8gles pour passer \u00e0 l’optimisation des politiques assist\u00e9e par l’IA, aux capacit\u00e9s de d\u00e9ploiement progressif et \u00e0 l’application des politiques par rapport aux identit\u00e9s des agents de l’IA. Le champ d’application s’est \u00e9largi, mais la logique de base demeure : collecte des signaux, \u00e9valuation par rapport \u00e0 la politique, application d’une d\u00e9cision. Ce que l’acc\u00e8s conditionnel ne couvre pas, c’est l’acc\u00e8s au niveau du r\u00e9seau. Les applications qui se trouvent derri\u00e8re votre pare-feu, les syst\u00e8mes de contr\u00f4le industriel, les applications web personnalis\u00e9es sur une infrastructure priv\u00e9e et les services ant\u00e9rieurs \u00e0 l’identit\u00e9 dans le nuage n\u00e9cessitent tous une couche d’application compl\u00e9mentaire qui op\u00e8re au niveau du r\u00e9seau. <\/p>\n
Le moteur d’acc\u00e8s conditionnel fonctionne en trois phases. Premi\u00e8rement, la collecte des signaux : Entra ID recueille les signaux d’identit\u00e9 (utilisateur, groupe, r\u00f4le), les signaux d’appareil (\u00e9tat de conformit\u00e9 d’Intune, version du syst\u00e8me d’exploitation, \u00e9tat du chiffrement), les signaux d’emplacement (IP, emplacements nomm\u00e9s), le contexte de l’application (quelle ressource est acc\u00e9d\u00e9e) et les signaux de risque (risque d’ouverture de session et risque d’utilisateur d’Entra ID Protection). Deuxi\u00e8mement, l’\u00e9valuation des politiques : toutes les politiques applicables sont \u00e9valu\u00e9es simultan\u00e9ment. Si un utilisateur rel\u00e8ve de plusieurs politiques, chaque condition doit \u00eatre remplie. Une politique exigeant l’AMF et une autre politique exigeant un appareil conforme signifient que l’utilisateur doit satisfaire aux deux conditions avant que l’acc\u00e8s ne lui soit accord\u00e9. Troisi\u00e8mement, l’application : le moteur bloque l’acc\u00e8s, accorde l’acc\u00e8s avec des contr\u00f4les (MFA, conformit\u00e9 de l’appareil, force d’authentification) ou applique des contr\u00f4les de session (dur\u00e9e limit\u00e9e de la session, restrictions impos\u00e9es par l’application, \u00e9valuation continue de l’acc\u00e8s). <\/p>\n
Pour les sp\u00e9cificit\u00e9s d’installation, les d\u00e9tails de licence et la configuration \u00e9tape par \u00e9tape, Microsoft Learn reste la source de r\u00e9f\u00e9rence. Ce guide se concentre sur l’architecture de coordination que la documentation de Microsoft n’aborde pas : comment l’acc\u00e8s conditionnel fonctionne avec la plateforme SASE ZTNA pour fournir une application unifi\u00e9e des politiques \u00e0 travers les couches d’identit\u00e9 et de r\u00e9seau. <\/p>\n
Trois \u00e9v\u00e9nements survenus entre janvier et mai 2026 ont modifi\u00e9 les possibilit\u00e9s de l’acc\u00e8s conditionnel.<\/p>\n
L‘agent d’optimisation de l’acc\u00e8s conditionnel<\/strong> est devenu g\u00e9n\u00e9ralement disponible via Microsoft Security Copilot. Il analyse votre locataire en continu, identifie les utilisateurs, les applications et les identit\u00e9s des agents d’intelligence artificielle qui ne sont pas couverts par les politiques existantes, et propose des correctifs cibl\u00e9s. L’agent \u00e9value si le MFA est appliqu\u00e9, si les contr\u00f4les bas\u00e9s sur les appareils sont actifs, si l’authentification h\u00e9rit\u00e9e est bloqu\u00e9e et si des politiques similaires peuvent \u00eatre consolid\u00e9es. Chaque analyse consomme moins d’une unit\u00e9 de calcul de s\u00e9curit\u00e9. La prise en charge du d\u00e9ploiement progressif signifie que vous pouvez d\u00e9ployer des changements de politique progressivement parmi les groupes d’utilisateurs plut\u00f4t que de les appliquer \u00e0 l’ensemble des locataires en une seule \u00e9tape. Une campagne d’adoption des cl\u00e9s de s\u00e9curit\u00e9 \u00e9value l’\u00e9tat de pr\u00e9paration des appareils et des utilisateurs \u00e0 l’authentification r\u00e9sistante \u00e0 l’hame\u00e7onnage et g\u00e9n\u00e8re un plan de d\u00e9ploiement. L’agent d’optimisation n\u00e9cessite au minimum Entra ID P1. Les fonctionnalit\u00e9s compl\u00e8tes de politiques bas\u00e9es sur le risque n\u00e9cessitent P2 ou Microsoft 365 E5. <\/p>\n La modification de l’application de la r\u00e8gle \u00ab\u00a0Toutes les ressources\u00a0\u00bb<\/strong> met fin \u00e0 un contournement qui existait depuis des ann\u00e9es. Lorsqu’une politique d’acc\u00e8s conditionnel ciblait \u00ab\u00a0Toutes les ressources\u00a0\u00bb avec une ou plusieurs exclusions de ressources, les connexions demandant uniquement des champs d’application OIDC de base (openid, profil, courriel) ou des champs d’application de r\u00e9pertoire limit\u00e9s (User.Read) \u00e9taient silencieusement exempt\u00e9es de l’application de la politique. Les outils tels que Azure CLI, Visual Studio Code et les applications personnalis\u00e9es utilisant ces champs d’application minimaux contournaient enti\u00e8rement les v\u00e9rifications de conformit\u00e9 de l’AMF et des appareils. Microsoft a annonc\u00e9 le correctif en janvier 2026, a commenc\u00e9 \u00e0 l’appliquer le 13 mai 2026 et ach\u00e8vera le d\u00e9ploiement progressif au milieu de l’\u00e9t\u00e9 2026. Les \u00e9quipes informatiques disposant d’applications personnalis\u00e9es qui ne demandent que des champs d’application de base doivent v\u00e9rifier que ces applications peuvent relever les d\u00e9fis de l’acc\u00e8s conditionnel avant que la mise en \u0153uvre n’atteigne leur locataire. <\/p>\n Les identit\u00e9s des agents d’intelligence artificielle<\/strong> sont d\u00e9sormais des acteurs de premier ordre dans l’\u00e9cosyst\u00e8me Entra ID. Microsoft Entra Agent ID assure l’enregistrement, la gestion du cycle de vie et la gouvernance des agents d’IA qui agissent au nom des utilisateurs. Les politiques d’acc\u00e8s conditionnel peuvent cibler ces identit\u00e9s par le biais de flux \u00a0\u00bb on-behalf-of \u00ab\u00a0, en appliquant les m\u00eames contr\u00f4les (MFA, conformit\u00e9 des appareils, \u00e9valuation des risques) que ceux qui s’appliquent aux utilisateurs humains. L’agent d’optimisation surveille les identit\u00e9s des agents pour d\u00e9tecter les autorisations excessives et recommande des ajustements de moindre privil\u00e8ge. Pour les organisations d\u00e9ployant Microsoft 365 Copilot, des assistants IA personnalis\u00e9s ou des frameworks d’agents tiers, r\u00e9gir ces identit\u00e9s par le biais d’un acc\u00e8s conditionnel n’est plus optionnel. <\/p>\n Pour les organisations comptant entre 50 et 400 utilisateurs, un petit nombre de r\u00e8gles bien configur\u00e9es permet de r\u00e9duire la majorit\u00e9 des risques. La complexit\u00e9 est l’ennemie de la s\u00e9curit\u00e9 sur le march\u00e9 interm\u00e9diaire, et la prolif\u00e9ration des r\u00e8gles cr\u00e9e plus de lacunes qu’elle n’en r\u00e9sout. <\/p>\n MFA r\u00e9sistant \u00e0 l’hame\u00e7onnage pour tous les utilisateurs.<\/strong> La base 2026 est constitu\u00e9e de passkeys ou de cl\u00e9s de s\u00e9curit\u00e9 FIDO2, et non de SMS ou de notifications push d’applications d’authentification. Les attaques de type \u00ab\u00a0Adversary-in-the-middle\u00a0\u00bb (AiTM) interceptent les jetons MFA traditionnels en temps r\u00e9el. Les m\u00e9thodes r\u00e9sistantes au phishing \u00e9liminent totalement ce vecteur. L’agent d’optimisation peut \u00e9valuer l’\u00e9tat de pr\u00e9paration de votre locataire et g\u00e9n\u00e9rer un plan de d\u00e9ploiement progressif. <\/p>\n Bloquer les protocoles d’authentification traditionnels.<\/strong> Les authentifications de base IMAP, POP3 et SMTP ne prennent pas en charge l’AMF et restent les principales cibles des attaques par pulv\u00e9risation de mot de passe. Une politique unique bloquant ces protocoles pour tous les utilisateurs ferme l’une des voies d’attaque les plus simples. <\/p>\n Exiger des appareils conformes pour les donn\u00e9es de l’entreprise.<\/strong> Liez l’acc\u00e8s aux ressources Microsoft 365 (SharePoint, Teams, Outlook, OneDrive) \u00e0 l’\u00e9tat de conformit\u00e9 d’Intune. Seuls les appareils dot\u00e9s d’une version actuelle du syst\u00e8me d’exploitation, d’un chiffrement de disque actif et d’une protection des points finaux en cours d’ex\u00e9cution peuvent y acc\u00e9der. Cela permet d’\u00e9viter les fuites de donn\u00e9es vers des appareils personnels non g\u00e9r\u00e9s sans bloquer compl\u00e8tement le BYOD, car l’acc\u00e8s par navigateur avec des restrictions de session reste disponible comme solution de repli. <\/p>\n Contr\u00f4les bas\u00e9s sur les risques pour les comptes privil\u00e9gi\u00e9s.<\/strong> Les administrateurs globaux, les administrateurs de s\u00e9curit\u00e9 et d’autres r\u00f4les privil\u00e9gi\u00e9s n\u00e9cessitent un MFA \u00e0 chaque connexion et un blocage automatique lorsque Entra ID Protection d\u00e9tecte un risque \u00e9lev\u00e9 pour l’utilisateur. S\u00e9parez-les dans une politique d\u00e9di\u00e9e plut\u00f4t que de vous appuyer sur la politique MFA de base. <\/p>\n Bloquez l’acc\u00e8s \u00e0 partir de zones g\u00e9ographiques non fiables.<\/strong> Les politiques de localisation nomm\u00e9es qui limitent les ouvertures de session aux pays o\u00f9 votre organisation op\u00e8re filtrent un volume important de trafic d’attaques automatis\u00e9es. La localisation bas\u00e9e sur l’IP n’est pas infaillible, mais elle augmente consid\u00e9rablement le co\u00fbt de l’abus d’informations d’identification. <\/p>\n Prot\u00e9gez les portails administratifs.<\/strong> L’acc\u00e8s au portail Azure, au centre d’administration Entra et au centre d’administration Microsoft 365 m\u00e9rite sa propre politique n\u00e9cessitant \u00e0 la fois un appareil conforme et un MFA r\u00e9sistant au phishing. Les interfaces administratives sont des cibles de grande valeur qui justifient des contr\u00f4les plus stricts que l’acc\u00e8s g\u00e9n\u00e9ral des utilisateurs. <\/p>\n Le niveau de licence est important. Microsoft 365 E3 inclut Entra ID P1, qui fournit un acc\u00e8s conditionnel avec la conformit\u00e9 des appareils, l’application du MFA et des emplacements nomm\u00e9s. Microsoft 365 E5 ajoute Entra ID P2, qui permet des politiques bas\u00e9es sur le risque (risque d’ouverture de session et risque d’utilisateur), les pleines capacit\u00e9s de l’agent d’optimisation et Entra ID Protection. Pour les organisations qui ont besoin de contr\u00f4les bas\u00e9s sur les risques, d’une protection des jetons et d’une optimisation compl\u00e8te assist\u00e9e par l’IA, E5 offre une valeur de s\u00e9curit\u00e9 significative sup\u00e9rieure \u00e0 E3. <\/p>\n Verrouillage par un blocage trop large.<\/strong> Une politique d\u00e9finie sur \u00ab\u00a0Tous les utilisateurs, Toutes les ressources, Bloquer\u00a0\u00bb sans exclusions bloque tout le monde si les services MFA subissent une panne ou si une erreur de configuration affecte tous les administrateurs. Maintenez au moins deux comptes d’acc\u00e8s d’urgence (comptes \u00ab\u00a0break-glass\u00a0\u00bb) exclus de toutes les politiques d’acc\u00e8s conditionnel. Ces comptes utilisent des mots de passe extr\u00eamement longs et uniques stock\u00e9s physiquement hors ligne et sont surveill\u00e9s par les journaux d’audit d’Entra ID pour toute activit\u00e9 d’ouverture de session. <\/p>\n Le mitage de l’espace.<\/strong> Les politiques accumulent les exclusions au fil du temps : un entrepreneur qui avait besoin d’un acc\u00e8s temporaire, une application ancienne qui ne pouvait pas g\u00e9rer l’AMF, un compte de service que personne n’a document\u00e9. Chaque exclusion est un chemin d’acc\u00e8s non surveill\u00e9. L’agent d’optimisation identifie automatiquement ces lacunes, mais vous avez toujours besoin d’un processus de r\u00e9vision trimestriel qui examine chaque exclusion et la supprime ou en documente la justification. <\/p>\n Nommer le chaos.<\/strong> Lorsque 30 politiques portent des noms tels que \u00ab\u00a0Test MFA policy\u00a0\u00bb et \u00ab\u00a0New policy – copy\u00a0\u00bb, le d\u00e9pannage devient une affaire de devinettes. Adoptez une convention de d\u00e9nomination structur\u00e9e : CA[number]- [port\u00e9e]-[action]-[condition]. Par exemple : CA001-AllUsers-RequireMFA-PhishingResistant. Utilisez le mode Rapport uniquement pendant au moins une semaine avant d’appliquer une nouvelle politique, et consultez le classeur Conditional Access Insights pour comprendre l’impact avant de passer \u00e0 l’application. <\/p>\n Absence d’\u00e9valuation de l’acc\u00e8s continu.<\/strong> Un jeton \u00e9mis \u00e0 9 heures avec une dur\u00e9e de vie d’une heure donne \u00e0 un attaquant qui vole ce jeton une heure compl\u00e8te d’acc\u00e8s. L’\u00e9valuation continue de l’acc\u00e8s (CAE) permet une r\u00e9vocation en temps quasi r\u00e9el lorsque des \u00e9v\u00e9nements critiques se produisent : r\u00e9initialisation du mot de passe, d\u00e9sactivation du compte, changement de l’emplacement du r\u00e9seau ou changement de l’\u00e9tat de conformit\u00e9. V\u00e9rifiez que l’\u00e9valuation continue des acc\u00e8s est activ\u00e9e pour vos politiques critiques plut\u00f4t que de vous fier uniquement aux contr\u00f4les de la dur\u00e9e de vie des jetons. <\/p>\n C’est l\u00e0 que s’arr\u00eatent la plupart des conseils et que commence le manque de coordination. L’acc\u00e8s conditionnel contr\u00f4le la couche d’identit\u00e9 : il d\u00e9cide si un utilisateur disposant d’un appareil sp\u00e9cifique dans un contexte sp\u00e9cifique peut acc\u00e9der \u00e0 une application Microsoft 365 ou \u00e0 un service SaaS enregistr\u00e9. Le ZTNA de la plateforme SASE contr\u00f4le la couche r\u00e9seau : il d\u00e9cide si ce m\u00eame utilisateur peut acc\u00e9der \u00e0 une application interne, \u00e0 un service web priv\u00e9, \u00e0 un serveur de base de donn\u00e9es ou \u00e0 une interface de gestion OT. <\/p>\n Les deux couches utilisent le m\u00eame contexte d’identit\u00e9. La plateforme SASE de Jimber s’authentifie aupr\u00e8s d’Entra ID en tant que fournisseur d’identit\u00e9. L’identit\u00e9 de l’utilisateur, l’appartenance \u00e0 un groupe et l’\u00e9tat de conformit\u00e9 de l’appareil que l’acc\u00e8s conditionnel \u00e9value \u00e0 la fronti\u00e8re de Microsoft 365 d\u00e9terminent \u00e9galement les d\u00e9cisions d’acc\u00e8s \u00e0 ZTNA \u00e0 la fronti\u00e8re du r\u00e9seau. Il n’y a pas de magasin d’identit\u00e9 s\u00e9par\u00e9 \u00e0 maintenir, pas de synchronisation de justificatifs \u00e0 g\u00e9rer et pas de duplication de politique \u00e0 aligner. <\/p>\n La coordination pratique fonctionne comme suit. L’acc\u00e8s conditionnel r\u00e9git Microsoft 365 et les applications SaaS enregistr\u00e9es. Lorsqu’un responsable informatique se connecte \u00e0 Teams, Entra ID \u00e9value les politiques d’acc\u00e8s conditionnel. Le ZTNA de Jimber r\u00e9git les applications internes, les services web priv\u00e9s et les ressources sur site. Lorsque le m\u00eame responsable informatique se connecte au syst\u00e8me ERP sur site, la plateforme SASE \u00e9value le contexte d’identit\u00e9 Entra ID et applique ses propres politiques d’acc\u00e8s. Les deux d\u00e9cisions font r\u00e9f\u00e9rence au m\u00eame \u00e9tat de conformit\u00e9 de l’appareil provenant d’Intune. Si un ordinateur portable \u00e9choue au contr\u00f4le de conformit\u00e9, l’acc\u00e8s conditionnel bloque l’acc\u00e8s aux \u00e9quipes et la plateforme SASE bloque l’acc\u00e8s \u00e0 l’ERP simultan\u00e9ment. Pas d’\u00e9cart, pas d’incoh\u00e9rence. <\/p>\n Cette coordination s’\u00e9tend \u00e0 la journalisation et aux pistes d’audit. Entra ID enregistre les \u00e9v\u00e9nements au niveau de l’identit\u00e9 : qui s’est authentifi\u00e9, quelle m\u00e9thode MFA a \u00e9t\u00e9 utilis\u00e9e, quels signaux de risque \u00e9taient pr\u00e9sents, quelle politique a autoris\u00e9 ou bloqu\u00e9 l’acc\u00e8s. La plateforme Jimber enregistre les \u00e9v\u00e9nements au niveau du r\u00e9seau : quelle application interne a \u00e9t\u00e9 acc\u00e9d\u00e9e, \u00e0 partir de quelle IP source, par quelle connexion ZTNA, avec quels param\u00e8tres de cryptage. Combin\u00e9s, ces journaux fournissent une image compl\u00e8te de l’acc\u00e8s qu’aucun syst\u00e8me ne peut fournir \u00e0 lui seul. <\/p>\n Pour les organisations qui g\u00e8rent des appareils sans agent, des imprimantes, des capteurs IoT, des \u00e9quipements industriels, la coordination a une troisi\u00e8me dimension. Ces appareils ne peuvent pas participer \u00e0 l’authentification Entra ID. Le mat\u00e9riel NIAC de Jimber fournit une isolation en ligne au niveau du r\u00e9seau, en appliquant des contr\u00f4les d’acc\u00e8s pour les appareils qui se situent enti\u00e8rement en dehors de la fronti\u00e8re d’acc\u00e8s conditionnel. La couche d’identit\u00e9 g\u00e8re les utilisateurs et les terminaux g\u00e9r\u00e9s. La plateforme SASE s’occupe de tout le reste. <\/p>\n L’article 21 du NIS2 exige des \u00ab\u00a0mesures techniques, op\u00e9rationnelles et organisationnelles appropri\u00e9es et proportionn\u00e9es\u00a0\u00bb pour la gestion des risques, incluant explicitement les politiques de contr\u00f4le d’acc\u00e8s, l’authentification multifactorielle et la surveillance continue. L’acc\u00e8s conditionnel constitue une preuve directe de plusieurs de ces exigences. <\/p>\n La documentation relative au contr\u00f4le d’acc\u00e8s provient des exportations de politiques d’acc\u00e8s conditionnel montrant l’application du principe du moindre privil\u00e8ge : quels utilisateurs acc\u00e8dent \u00e0 quelles ressources dans quelles conditions. Les preuves de l’application de l’authentification multifactorielle proviennent des journaux de connexion d’Entra ID qui confirment que l’authentification multifactorielle a \u00e9t\u00e9 requise et effectu\u00e9e pour chaque acc\u00e8s aux syst\u00e8mes dans le champ d’application. Les contr\u00f4les d’acc\u00e8s \u00e0 la cha\u00eene d’approvisionnement proviennent des politiques d’acc\u00e8s des invit\u00e9s qui limitent les autorisations des partenaires externes et appliquent la conformit\u00e9 des appareils pour la collaboration B2B. <\/p>\n C’est au niveau du r\u00e9seau que les preuves d’acc\u00e8s conditionnel sont insuffisantes. Le NIS2 exige \u00e9galement une segmentation du r\u00e9seau, des capacit\u00e9s de d\u00e9tection et de r\u00e9ponse aux incidents, ainsi qu’une surveillance des mouvements lat\u00e9raux. Il s’agit de contr\u00f4les au niveau du r\u00e9seau qu’Entra ID ne fournit pas. Une plateforme SASE comble ces lacunes. La journalisation centralis\u00e9e de Jimber capture les \u00e9v\u00e9nements d’acc\u00e8s au niveau du r\u00e9seau en m\u00eame temps que les \u00e9v\u00e9nements au niveau de l’identit\u00e9, fournissant ainsi la piste d’audit combin\u00e9e que les inspecteurs NIS2 attendent. La v\u00e9rification de la posture des appareils, la segmentation du r\u00e9seau gr\u00e2ce \u00e0 des politiques de microsegmentation et le confinement des incidents gr\u00e2ce \u00e0 l’isolation en ligne g\u00e9n\u00e8rent tous des preuves de conformit\u00e9 que l’acc\u00e8s conditionnel seul ne peut pas produire. <\/p>\n Pour les organisations belges qui se pr\u00e9parent \u00e0 la v\u00e9rification des cyberfondamentaux, cette combinaison est particuli\u00e8rement pertinente. Les contr\u00f4les CyFun de la fonction Protect sont directement li\u00e9s aux contr\u00f4les de posture des appareils, \u00e0 l’acc\u00e8s bas\u00e9 sur l’identit\u00e9 et \u00e0 la segmentation du r\u00e9seau. La liste de contr\u00f4le de conformit\u00e9 NIS2 destin\u00e9e aux responsables informatiques<\/a> couvre les attentes du Centre pour la cybers\u00e9curit\u00e9 en Belgique. <\/p>\n L’\u00e9valuation continue de l’acc\u00e8s<\/strong> est en passe de devenir le mod\u00e8le de session par d\u00e9faut. Plut\u00f4t que de s’appuyer sur la dur\u00e9e de vie des jetons, mesur\u00e9e en heures, l’IAO permet de mettre fin \u00e0 une session presque instantan\u00e9ment lorsque des \u00e9v\u00e9nements importants pour la s\u00e9curit\u00e9 se produisent. La fen\u00eatre d’opportunit\u00e9 pour les attaquants utilisant des jetons vol\u00e9s se r\u00e9duit de 60 minutes \u00e0 quelques secondes. <\/p>\n L’adoption des Passkeys et de FIDO2<\/strong> s’acc\u00e9l\u00e8re sur le march\u00e9 interm\u00e9diaire, soutenue par les campagnes de d\u00e9ploiement de Passkeys de l’agent d’optimisation. Comme l’authentification r\u00e9sistante au phishing devient le plancher plut\u00f4t que le plafond, les m\u00e9thodes MFA traditionnelles (SMS, notification push) seront de plus en plus consid\u00e9r\u00e9es comme insuffisantes pour les environnements r\u00e9glement\u00e9s. <\/p>\n La gouvernance des politiques assist\u00e9e par<\/strong> l’IA<\/strong> via l’agent d’optimisation s’\u00e9tendra au-del\u00e0 de l’identification des lacunes \u00e0 des recommandations de politiques pr\u00e9dictives bas\u00e9es sur l’analyse des mod\u00e8les d’ouverture de session et des renseignements sur les menaces. Les am\u00e9liorations apport\u00e9es en mars 2026 comprennent d\u00e9j\u00e0 des recommandations contextuelles, une analyse approfondie des lacunes et des rapports sur la posture de confiance z\u00e9ro. <\/p>\n La convergence des politiques d’identit\u00e9 et de r\u00e9seau<\/strong> est la trajectoire \u00e0 long terme. La distinction entre \u00ab\u00a0le contr\u00f4le d’identit\u00e9 a-t-il r\u00e9ussi\u00a0\u00bb et \u00ab\u00a0le chemin du r\u00e9seau est-il s\u00e9curis\u00e9\u00a0\u00bb est un artefact de mise en \u0153uvre, et non un principe de s\u00e9curit\u00e9. Les plateformes qui unifient les deux \u00e9valuations par rapport \u00e0 un contexte d’identit\u00e9 unique, en appliquant l’acc\u00e8s conditionnel \u00e0 la fronti\u00e8re du nuage et le ZTNA \u00e0 la fronti\u00e8re du r\u00e9seau, fournissent l’architecture que la prochaine g\u00e9n\u00e9ration de contr\u00f4le d’acc\u00e8s exige. Pour les responsables informatiques qui \u00e9valuent leur architecture de s\u00e9curit\u00e9 pour 2026, la question n’est pas de savoir s’il faut d\u00e9ployer l’acc\u00e8s conditionnel ou le ZTNA. Les deux sont n\u00e9cessaires. Le guide de l’architecture Zero Trust<\/a> explique comment ces couches s’int\u00e8grent dans un mod\u00e8le complet. <\/p>\n Les politiques d’acc\u00e8s conditionnel sont des r\u00e8gles \u00a0\u00bb si-alors \u00a0\u00bb dans Microsoft Entra ID qui \u00e9valuent les signaux d’identit\u00e9, l’\u00e9tat de l’appareil et le contexte de risque lors de la connexion, puis appliquent des contr\u00f4les tels que l’AMF, la conformit\u00e9 de l’appareil ou les restrictions de session avant d’accorder l’acc\u00e8s aux applications et ressources du cloud. En 2026, elles couvrent \u00e9galement les identit\u00e9s des agents d’IA et b\u00e9n\u00e9ficient d’une optimisation assist\u00e9e par l’IA gr\u00e2ce \u00e0 l’agent d’optimisation de l’acc\u00e8s conditionnel. <\/p>\n L’agent d’optimisation est un agent aliment\u00e9 par l’IA dans Microsoft Security Copilot qui scanne continuellement votre locataire Entra ID \u00e0 la recherche de lacunes dans les politiques, d’utilisateurs non couverts, d’applications et d’identit\u00e9s d’agents d’IA. Il recommande de nouvelles politiques, sugg\u00e8re la consolidation des politiques existantes, prend en charge le d\u00e9ploiement progressif des changements et peut g\u00e9n\u00e9rer des campagnes d’adoption de cl\u00e9s. Il n\u00e9cessite Entra ID P1 au minimum et consomme des unit\u00e9s de calcul de s\u00e9curit\u00e9. <\/p>\n L’acc\u00e8s conditionnel r\u00e9git l’acc\u00e8s \u00e0 Microsoft 365 et aux applications SaaS enregistr\u00e9es au niveau de l’identit\u00e9. La plateforme SASE de Jimber r\u00e9git l’acc\u00e8s aux applications internes, aux ressources priv\u00e9es et aux appareils sans agent au niveau du r\u00e9seau. Les deux utilisent le m\u00eame contexte d’identit\u00e9 Entra ID, de sorte que la conformit\u00e9 des appareils et l’identit\u00e9 de l’utilisateur d\u00e9terminent les d\u00e9cisions d’acc\u00e8s de mani\u00e8re coh\u00e9rente \u00e0 travers les ressources dans le nuage et sur site, sans avoir \u00e0 maintenir des ensembles de politiques distincts. <\/p>\n Microsoft a commenc\u00e9 \u00e0 appliquer des politiques d’acc\u00e8s conditionnel contre les connexions utilisant uniquement des port\u00e9es OIDC de base (openid, profil, email) et des port\u00e9es d’annuaire limit\u00e9es (User.Read) \u00e0 partir du 13 mai 2026. Auparavant, ces connexions contournaient les politiques ciblant \u00ab\u00a0Toutes les ressources\u00a0\u00bb lorsque des exclusions de ressources \u00e9taient pr\u00e9sentes. Cette modification comble une lacune de longue date qui permettait \u00e0 des outils comme Azure CLI de contourner les exigences de l’AMF. <\/p>\n L’acc\u00e8s conditionnel fournit des preuves pour le contr\u00f4le d’acc\u00e8s bas\u00e9 sur l’identit\u00e9 et l’application de l’AMF, qui sont des exigences explicites de NIS2. Il ne r\u00e9pond pas aux exigences au niveau du r\u00e9seau telles que la segmentation du r\u00e9seau, la surveillance des mouvements lat\u00e9raux et l’endiguement des incidents. Pour r\u00e9pondre \u00e0 l’int\u00e9gralit\u00e9 de l’article 21, il faut combiner les contr\u00f4les de la couche d’identit\u00e9 avec les contr\u00f4les de la couche r\u00e9seau \u00e0 partir d’une plateforme SASE. <\/p>\n Ils sont compl\u00e9mentaires, mais pas identiques. L’acc\u00e8s conditionnel \u00e9value l’identit\u00e9 et le contexte de l’appareil \u00e0 la limite de l’application en nuage. ZTNA \u00e9value le contexte de l’identit\u00e9 \u00e0 la fronti\u00e8re du r\u00e9seau, accordant un acc\u00e8s par application aux ressources internes sans exposer le r\u00e9seau au sens large. L’acc\u00e8s conditionnel d\u00e9cide si vous pouvez ouvrir Teams. ZTNA d\u00e9cide si vous pouvez acc\u00e9der au serveur ERP sur site. Tous deux appliquent les principes de la confiance z\u00e9ro \u00e0 diff\u00e9rentes couches de la pile d’acc\u00e8s. <\/p>\nLes politiques \u00e0 fort impact pour les entreprises de taille moyenne<\/h2>\n
Les erreurs de d\u00e9ploiement les plus courantes et comment les \u00e9viter<\/h2>\n
Acc\u00e8s conditionnel et ZTNA : des politiques compl\u00e9mentaires<\/h2>\n
\u00c9l\u00e9ments probants de l’audit NIS2 provenant de l’acc\u00e8s conditionnel et du SASE<\/h2>\n
L’avenir de l’acc\u00e8s conditionnel en 2026<\/h2>\n
Questions fr\u00e9quemment pos\u00e9es<\/h2>\n
Quelles sont les politiques d’acc\u00e8s conditionnel en 2026 ?<\/h3>\n
Qu’est-ce que l’agent d’optimisation de l’acc\u00e8s conditionnel ?<\/h3>\n
Comment fonctionne l’acc\u00e8s conditionnel avec les plateformes SASE comme Jimber ?<\/h3>\n
Qu’est-ce qui a chang\u00e9 pour l’application du contr\u00f4le d’acc\u00e8s en 2026 ?<\/h3>\n
L’acc\u00e8s conditionnel satisfait-il aux exigences de l’article 21 du NIS2 ?<\/h3>\n
Acc\u00e8s conditionnel et ZTNA : est-ce la m\u00eame chose ?<\/h3>\n