De nombreuses entreprises européennes utilisent des services cloud et SaaS américains (ex. Microsoft 365, AWS, Google Cloud), mais cela crée un conflit structurel entre les pouvoirs d’accès des autorités américaines et les exigences européennes en matière de protection des données. Le point central est la juridiction : le CLOUD Act (2018) permet aux autorités américaines d’exiger la communication de données contrôlées par un fournisseur soumis au droit américain, même si ces données sont hébergées dans l’UE, ce qui rend la “résidence des données en Europe” insuffisante à elle seule pour garantir le strict respect du RGPD.

Impacts concrets pour les risques de l’entreprise

• Risque juridique/réglementaire : les transferts vers des prestataires soumis au droit américain peuvent être fragilisés si l’accès gouvernemental potentiel contredit les exigences RGPD (y compris la logique de l’article 48 sur les injonctions étrangères).

• Risque opérationnel : les autorités de contrôle peuvent ordonner la suspension de transferts/traitements, menaçant la continuité des services critiques.

• Risque financier et d’image : les sanctions RGPD peuvent être élevées (jusqu’à 20 M€ ou 4% du CA mondial) et les contrôles/enquêtes se multiplient selon les cas d’usage.

Les mesures contractuelles sont nécessaires mais ne suffisent pas toujours, car elles ne peuvent pas neutraliser des obligations légales de divulgation ; une conformité durable passe souvent par des choix d’architecture et/ou la sortie des services à risque vers des prestataires non soumis au droit américain.

L'IAM, le Talon d'Achille de votre Conformité RGPD

Suite du voyage vers la souveraineté numérique...

Un domaine critique mérite un focus approfondi : la Gestion des Identités et Accès (IAM). L'IAM n'est pas qu'une couche technique – c'est la porte d'entrée vers toutes vos données sensibles, en faisant le champ de bataille ultime de la souveraineté.

Beaucoup d'entreprises européennes pensent être en règle car leurs données sont stockées en Europe. Pourtant, la Gestion des Identités et des Accès (IAM) reste une "bombe à retardement" juridique. Les solutions dominantes comme Okta, Microsoft Entra ID (ex-Azure AD) ou AWS Cognito sont exploitées par des sociétés américaines soumises au CLOUD Act et à la FISA .

Ces lois permettent aux autorités US d'exiger l'accès aux données, même si elles sont physiquement situées sur le sol européen. En vertu de l'arrêt Schrems II, cela constitue un transfert de données risqué que les Évaluations d'Impact (TIA) ne peuvent souvent pas justifier. Une seule injonction de justice américaine pourrait exposer vos identifiants et déclencher des amendes allant jusqu'à 20 M€ ou 4% de votre chiffre d'affaires mondial. La CNIL française enquête déjà sur Microsoft 365, y compris sur la fédération d'identité.

Pourquoi l'IAM brise la souveraineté

Votre système IAM détient les clés de votre infrastructure : identifiants utilisateurs, jetons d'accès, journaux d'audit et données de session – toutes des données personnelles sous RGPD. Pourtant, la plupart des entreprises européennes dépendent d'IAM contrôlés par les États-Unis :

• Okta, Auth0 (désormais Okta), Ping Identity : Entreprises US soumises aux mandats CLOUD Act pour vos identités employés et clients.

• Azure AD/Entra ID : IAM de Microsoft, même en régions EU, sous juridiction US – risques PRISM/UPSTREAM applicables.

• AWS IAM/Cognito : Outils Amazon traitant des données d'identité que les services US peuvent exiger.

Pire, le verrou des fournisseurs propriétaires vous piège : migrer les identités est complexe , retardant les "échappées souveraines".

Pourquoi Keycloak est la Solution Souveraine

Keycloak s'impose comme la référence pour briser cette dépendance. Voici pourquoi son modèle garantit une souveraineté totale :

• Indépendance Juridique Absolue : Contrairement aux solutions SaaS américaines, Keycloak est un logiciel Open Source (licence Apache 2.0). Il peut être déployé sur des infrastructures 100% européennes comme OVHcloud, Scaleway ou Hetzner, éliminant de fait toute portée extra-territoriale du droit américain. Il existe aussi une offre PAAS/SAAS KeyCloak disponible chez l’hébergeur français Clever Cloud si vous ne souhaitez pas gérer vous même déploiements, administration et MCO de KeyCloak.

• Maîtrise de la Donnée (Data Mastery) : Vous possédez votre base de données (PostgreSQL, MariaDB). Aucune donnée d'identité (tokens, logs, mots de passe) ne remonte ou n’est partagée vers un serveur extérieur à la Communauté Européenne.

• Transparence et Audit : Contrairement aux "boîtes noires" propriétaires, le code source de Keycloak est ouvert. Il est auditable par vos services de sécurité et est approuvé par les régulateurs européens (CNIL, DPAs).

Zoom Technique : Des fonctionnalités prêtes pour l'avenir

Keycloak ne se contente pas d'être "souverain", il est techniquement supérieur sur plusieurs points critiques :

1. Protocoles standardisés : Support complet de OAuth2, OpenID Connect et SAML 2.0, évitant le verrouillage fournisseur.

2. Sécurité Zero-Trust : Intégration native du MFA (authentification multi-facteurs), des politiques de mots de passe granulaires et de l'authentification "step-up" (demande de re-vérification pour les actions sensibles).

3. Prêt pour l'eIDAS V2 : Keycloak évolue pour supporter les portefeuilles d'identité numérique européens et les attestations vérifiables, garantissant la pérennité de votre stack IAM.

Keycloak permet à toutes les organisations, des PMEs au Hyperscalers de gérer leurs identités, avec un clustering puissant pour assurer la haute disponibilité, on-premises ou hébergées.

Keycloak vs. solutions propriétaires

Une feuille de route indicative de migration pour votre entreprise :

Évaluer : Inventaire des flux IAM ; TIA sur stack actuel.

PoC : Déployer un POC Keycloak miroir de vos realms/clients.

Fédérer : Pont legacy AD/LDAP pendant le « cutover ».

Passer en production : Rediriger les endpoints auth ; monitorer avec Prometheus/Grafana.

Améliorer : Ajouter step-up PIN (comme dans notre article récent).

Le mandat souverain

La souveraineté IAM n'est pas optionnelle – c'est de la survie. Avec les incidents de sécurité en forte hausse et Schrems III à l'horizon, l'IAM US est une bombe à retardement pour votre système d’information.

Keycloak assure conformité, contrôle et économies dès aujourd'hui.

Mentions légales : Les informations sont données à titre indicatif ; consultez des experts légaux pour votre juridiction.

ReCyF / NIS2 : l'IAM au cœur de la conformité cyber

En bref :

Le ReCyF (Référentiel de Cybersécurité France), publié par l'ANSSI en mars 2026, est le document de référence opérationnel pour anticiper la transposition française de NIS2. Parmi ses 20 objectifs de sécurité, l'Objectif 10 — Gestion des Identités et des Accès (IAM) — constitue un pilier central, exigible aussi bien des Entités Importantes (EI) que des Entités Essentielles (EE). Cet article décrypte ces exigences et explique comment une solution IAM souveraine comme Keycloak permet d'y répondre.
IAM & conformité réglementaire

Contexte : NIS2 et le ReCyF en France

La directive européenne NIS2 aurait dû être transposée en droit français avant le 17 octobre 2024. En réalité, la transposition accuse un retard significatif — le projet de loi est encore en attente à l'Assemblée nationale, et l'entrée en vigueur effective des obligations est désormais attendue pour fin 2026 / début 2027.

Face à ce retard, l'ANSSI a publié le 17 mars 2026 au Campus Cyber le ReCyF v2.5, un document de travail structurant qui permet aux organisations d'agir proactivement. Le ReCyF définit 20 objectifs de sécurité organisés en 4 piliers :

• Gouvernance de la sécurité

• Protection des systèmes d'information

• Détection et résilience

• Exigences renforcées pour les Entités Essentielles (EE)

Le référentiel est aligné sur ISO 27001 et distingue deux niveaux d'exigence : les Entités Importantes (EI) et les Entités Essentielles (EE), ces dernières étant soumises à des obligations supplémentaires.

Calendrier clé

17 oct. 2024 : date butoir européenne NIS2 (non respectée en France) 17 mars 2026 : publication ReCyF v2.5 par l'ANSSI Juillet 2026 : transposition française probable Fin 2026 / début 2027 : entrée en vigueur des obligations EI/EE

L'objectif 10 : la gestion des identités et des accès

L'objectif de sécurité 10 du ReCyF impose aux entités couvertes de mettre en œuvre deux grands blocs fonctionnels :

• Des mécanismes d'identification et d'authentification des utilisateurs et des processus automatiques

• Des processus de gestion des droits permettant l'attribution, la révocation et la revue régulière des accès

  
  

Identification

Le ReCyF exige que chaque utilisateur et chaque processus automatique dispose d'un compte individuel. Les comptes partagés sont tolérés uniquement lorsque des raisons techniques le justifient, et doivent alors être accompagnés de mesures compensatoires garantissant la traçabilité. Les comptes obsolètes doivent être désactivés dans les délais définis par la politique interne (exemple cité : sous 7 jours). Une revue des comptes doit être réalisée au minimum une fois par an.

Authentification

Tout accès doit être protégé par un mécanisme d'authentification impliquant au moins un élément secret. Les facteurs d'authentification doivent respecter les recommandations de l'ANSSI en matière de complexité. Le ReCyF impose le changement des éléments secrets configurés par défaut avant toute mise en service, et le renouvellement du secret d'un compte partagé à chaque changement de composition du groupe d'utilisateurs.

Pour les Entités Essentielles uniquement, une mesure de traçabilité des accès est exigée lorsque l'élément secret ne peut pas être modifié (exception technique).

Droits d'accès

Le principe de moindre privilège est au cœur de l'Objectif 10 : les droits ne sont attribués qu'aux utilisateurs authentifiés, uniquement sur les ressources nécessaires à leurs missions. Une revue annuelle des droits d'accès est obligatoire pour vérifier la conformité et corriger les anomalies.

Tableau de synthèse des exigences IAM — Objectif 10 ReCyF v2.5

Pourquoi l'IAM souverain est la réponse structurelle

Le double enjeu réglementaire

Les organisations couvertes par NIS2/ReCyF font face à un double défi : répondre aux exigences techniques de l'Objectif 10, tout en garantissant la souveraineté juridique de leur infrastructure IAM. Les solutions américaines dominantes — Okta, Microsoft Entra ID (ex-Azure AD), AWS Cognito — sont soumises au CLOUD Act (2018) et à la FISA, qui autorisent les autorités américaines à exiger l'accès aux données, même hébergées en Europe. Cela crée un conflit structurel avec le RGPD (arrêt Schrems II) que les évaluations d'impact (TIA) ne peuvent souvent pas résoudre.

Keycloak : la solution qui coche toutes les cases

Keycloak, solution open source sous licence Apache 2.0, répond point par point aux exigences de l'Objectif 10 tout en garantissant une souveraineté juridique totale :

• Comptes individuels et gestion fine des droits : gestion native des realms, rôles, groupes et politiques d'accès

• Authentification forte : MFA, TOTP, WebAuthn/FIDO2, step-up authentication pour les actions sensibles

• Protocoles standardisés : OAuth2, OpenID Connect, SAML 2.0 — aucun verrouillage fournisseur

• Traçabilité et audit : journaux d'audit complets, code source ouvert et auditable par vos équipes

• Revue des comptes : API et console d'administration permettant l'automatisation des revues périodiques

• Hébergement souverain : déployable sur OVHcloud, Scaleway, Hetzner, ou en PaaS chez Clever Cloud

Feuille de route pratique pour les EI et EE

Pour anticiper la conformité avant l'entrée en vigueur des obligations (fin 2026 / début 2027), voici les étapes recommandées :

Évaluer

Cartographier les flux IAM existants. Réaliser une TIA sur la stack actuelle pour identifier les risques CLOUD Act / Schrems II.

PoC

Déployer un Proof of Concept Keycloak en miroir de vos realms et clients existants. Valider la compatibilité avec vos applications.

Fédérer

Maintenir un pont vers l'annuaire legacy (AD/LDAP) pendant la phase de transition (cutover progressif).

Produire

Rediriger les endpoints d'authentification. Mettre en place le monitoring (Prometheus/Grafana). Activer les journaux d'audit.

Améliorer

Renforcer : step-up PIN, authentification FIDO2, intégration eIDAS v2. Automatiser les revues annuelles via l'API Keycloak.

Conclusion

L'Objectif 10 du ReCyF n'est pas une contrainte supplémentaire : c'est la formalisation d'une bonne pratique de sécurité que toute organisation sérieuse devrait déjà appliquer. La gestion rigoureuse des identités, de l'authentification et des droits d'accès est le socle de toute posture cyber défensive.

La question n'est pas de savoir si votre organisation doit se conformer, mais comment le faire sans créer de nouvelles dépendances juridiques risquées. Keycloak, déployé sur une infrastructure européenne souveraine, offre la réponse la plus complète et la plus pérenne : conformité technique, maîtrise de la donnée, et liberté architecturale.

Agir maintenant

La transposition française est attendue en juillet 2026. N'attendez pas l'entrée en vigueur pour auditer votre IAM.

Janua.FR/Open-IAM et son partenaire Please-Open.It, déploient Keycloak on-premises ou as a service pour de nombreuses entreprises, prouvant la faisabilité d’une migration en quelques mois et sans interruption de vos services et ainsi vous aider à regagner votre souveraineté numérique.