Gouvernance IAM : les 5 KPI que votre COMEX devrait suivre
La plupart des COMEX ne savent pas combien de comptes orphelins existent dans leur SI. Ils ne savent pas qu’un délai de provisioning de 15 jours coûte en moyenne 3 200€ de productivité perdue par nouvel arrivant. Ils ne savent pas que l’absence de MFA multiplie par 5 le risque de compromission. Et pourtant, ce sont ces indicateurs qui déterminent si l’organisation passera son prochain audit — ou pas.
Pourquoi l’IAM est un sujet COMEX
La gestion des identités n’est pas un sujet technique. C’est un sujet de risque. Chaque compte non maîtrisé est un vecteur d’attaque potentiel. Chaque délai de provisioning excessif est un frein à la productivité. Chaque absence de MFA est une brèche.
Les COMEX suivent le chiffre d’affaires, la marge, le turnover RH. Ils devraient aussi suivre 5 indicateurs de sécurité des identités — parce que c’est là que se joue la résilience de l’organisation.
Les 5 KPI
**KPI 1 : Taux de comptes orphelins.** Nombre de comptes actifs sans propriétaire métier identifié, rapporté au nombre total de comptes. Cible : < 2%. Réalité observée chez nos clients avant intervention : 8 à 15%. Chez une collectivité de 3 500 agents que nous avons accompagnée, 420 comptes orphelins ont été identifiés et traités.
**KPI 2 : Délai de provisioning.** Temps entre la demande d’accès (arrivée, mobilité, nouveau projet) et l’activation effective des droits. Cible : < 4 heures. Réalité observée : 5 à 15 jours ouvrés. L’automatisation SIRH via Okta ou SailPoint réduit ce délai à quelques heures.
**KPI 3 : Couverture MFA.** Pourcentage d’utilisateurs protégés par authentification multifacteur. Cible : 100% sur les accès critiques, 80% sur l’ensemble. Réalité observée : 30 à 60%. Le MFA reste le levier le plus efficace et le moins coûteux contre le vol d’identifiants.
**KPI 4 : Taux de recertification.** Pourcentage des habilitations revues et validées par un responsable métier dans les 12 derniers mois. Cible : 100%. Réalité observée : 20 à 40%. Sans recertification automatique (Okta IGA, SailPoint), les droits s’accumulent au fil des mobilités.
**KPI 5 : Incidents liés aux identités.** Nombre d’incidents de sécurité dont le vecteur initial est un compte compromis, un accès non révoqué, ou une élévation de privilèges non autorisée. Cible : zéro. Réalité : la plupart des organisations ne mesurent même pas cet indicateur.
Comment les mettre en place
Ces 5 KPI ne nécessitent pas un projet de 6 mois. Ils nécessitent un inventaire initial (2 jours), la configuration de rapports dans votre outil IAM existant, et un reporting mensuel au COMEX.
Si vous n’avez pas d’outil IAM, c’est le premier signal. Sans outil, ces KPI sont impossibles à mesurer — et donc impossibles à améliorer.
Mesurer votre exposition identités — diagnostic KPI en 2 jours
Découvrir notre approche IAIS — IAM
