---
url: 'https://www.corbado.com/fr/blog/propriete-ciam'
title: 'Repenser la propriété de la CIAM dans l''entreprise'
description: 'Pourquoi la propriété de l''identité client oscille entre le CISO, le CTO, le CPO, la fraude et la croissance – et ce que cette fragmentation coûte à l''entreprise moderne.'
lang: 'fr'
author: 'Vincent Delitz'
date: '2026-05-19T14:54:29.131Z'
lastModified: '2026-05-20T06:03:30.891Z'
keywords: 'qui possède la ciam, propriété ciam, gouvernance identité, propriétaire programme ciam'
category: 'Passkeys Strategy'
---

# Repenser la propriété de la CIAM dans l'entreprise

## Key Facts

- La propriété de la CIAM est **décidée de manière implicite, et non planifiée**. Le
    CISO, le CTO, le CPO, les équipes chargées de la fraude et de la croissance optimisent
    chacun un indicateur différent, et c'est celui qui se fait le plus entendre qui
    l'emporte. - Le marché mondial de la CIAM est passé de **8,12 milliards USD en 2023**
    à une prévision de **26,72 milliards USD d'ici 2030** (**TCAC de 17,4 %**), mais la
    plupart des entreprises n'ont toujours pas de propriétaire unique et responsable. - Il
    n'existe **aucune couche d'analyse d'authentification partagée** entre les journaux
    backend, la télémétrie client, les signaux de fraude et les données de sécurité, de
    sorte que chaque fonction protège sa propre partie et bloque les corrections
    transversales. - L'ambiguïté de la propriété se traduit par **des déploiements de clés
    d'accès bloqués à une adoption de 5 à 15 %**, des parcours de récupération décousus et
    une réponse lente aux régressions côté client. - Le secteur d'activité détermine la
    réponse : **le commerce électronique considère la CIAM comme de la conversion**, **le
    secteur bancaire comme de la sécurité et de la conformité**, et le secteur public
    comme de l'auditabilité. - **L'IAM du personnel et l'IAM client appartiennent à des
    équipes distinctes** - ce sont les mêmes primitives d'identité, mais avec des
    utilisateurs, des appareils, des KPI et une tolérance à la friction différents. - Un
    **tableau de bord CIAM partagé de cinq indicateurs** comble les lacunes : succès de
    connexion par cohorte, délai avant la première action authentifiée, portée des clés
    d'accès par rapport à leur utilisation, succès du parcours de récupération, et abandon
    par méthode d'authentification. - Il n'y a **pas de place universellement correcte
    pour la CIAM** - ce qui compte, c'est une propriété explicite, des dépendances claires
    et un tableau de bord partagé.

## 1. Introduction

Demandez à dix entreprises qui est propriétaire de l'identité des clients ou des
consommateurs (CIAM) et vous obtiendrez dix réponses différentes. Parfois, c'est le
[CISO](https://www.corbado.com/glossary/ciso). Parfois, c'est le CTO, car la CIAM doit être intégrée directement
dans l'application, le site web et les API qui constituent le produit. Parfois, c'est le
CPO. Parfois, c'est une équipe chargée de la fraude qui a pris le relais petit à petit
parce que personne d'autre n'avait une [vue](https://www.corbado.com/blog/vuejs-passkeys) d'ensemble. Souvent, ce
n'est personne du tout et le système est maintenu en vie par un ingénieur DevOps qui en a
hérité il y a trois réorganisations.

Le [Gartner CIAM Magic Quadrant](https://www.gartner.com/en/documents/4018879) définit
l'IAM client autour de cinq catégories fonctionnelles - l'enregistrement,
l'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe),
l'autorisation, le libre-service et l'analyse - qui ne correspondent presque jamais à une
seule équipe. Selon
[Grand View Research](https://www.grandviewresearch.com/industry-analysis/customer-identity-access-management-ciam-market-report),
le marché mondial de la CIAM a été évalué à 8,12 milliards USD en 2023 et devrait
atteindre 26,72 milliards USD d'ici 2030, soit un taux de croissance annuel composé de
17,4 %. Les questions de propriété augmentent avec ces dépenses.

La CIAM est l'un des programmes les plus interfonctionnels que la plupart des entreprises
B2C dirigent. Elle se situe au carrefour de la sécurité, de l'ingénierie, du produit, de
la fraude et de la croissance, et chacune de ces fonctions optimise un indicateur
différent. La propriété détermine quel indicateur l'emporte en cas de conflit. Une
propriété ambiguë signifie que personne ne l'emporte et que le programme d'identité
dérive.

Cet article repense la propriété de la CIAM pour l'entreprise moderne : les profils de
propriétaires courants, comment le secteur d'activité façonne la réponse, pourquoi les
données fragmentées et la culture du "ce n'est pas mon problème" laissent la question en
suspens, et à quoi ressemble un modèle de fonctionnement partagé lorsqu'une réorganisation
n'est pas envisageable.

### 1.1 Questions traitées dans cet article

Dans cet article, nous abordons les questions suivantes :

1. Pourquoi la propriété de la CIAM est-elle ambiguë dans la plupart des entreprises et
   que [co](https://www.corbado.com/fr/blog/conformite-cybersecurite)ûte réellement cette ambiguïté ?
2. Qui sont les propriétaires habituels de la CIAM et comment chacun optimise-t-il le
   programme différemment ?
3. Pourquoi la fragmentation de la propriété est-elle souvent liée à l'absence d'une
   couche d'analyse de
   l'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) ?
4. Comment le contexte sectoriel (commerce électronique vs banque vs B2C réglementé)
   modifie-t-il la réponse ?
5. Où la division de la propriété fait-elle le plus de dégâts ?
6. Quels KPI de la CIAM personne ne possède entièrement, mais dont chaque équipe a besoin
   ?
7. À quoi ressemble un tableau de bord CIAM partagé et comment le déployer sans
   réorganisation ?

## 2. Le problème du tirage au sort

### 2.1 Pourquoi la CIAM est votre programme le plus interfonctionnel

L'identité des clients et des consommateurs touche à tout. Elle détermine si un
utilisateur peut acheter, renouveler, récupérer son accès ou accéder à une fonctionnalité
réglementée. Le bureau du [CISO](https://www.corbado.com/glossary/ciso) s'en préoccupe car chaque événement
d'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) est un
événement de sécurité. Le bureau du CTO s'en préoccupe car la CIAM doit être intégrée dans
l'application, le site web et les API, et chaque modification apportée à la connexion est
déployée avec le code du produit réel. Le bureau du CPO s'en préoccupe car chaque
événement d'authentification est un événement de conversion. L'équipe fraude s'en
préoccupe car chaque step-up (authentification renforcée) est un signal de fraude.
L'équipe croissance s'en préoccupe car la personnalisation dépend de l'identification de
l'utilisateur. Aucun autre système n'a cinq propriétaires légitimes à la fois.

### 2.2 Le coût d'une propriété ambiguë

Le [co](https://www.corbado.com/fr/blog/conformite-cybersecurite)ût est visible dans les déploiements de clés
d'accès. Les déploiements qui stagnent à une adoption de 5 % à 15 % ont presque toujours
un point commun : aucun propriétaire unique n'a piloté le déploiement de bout en bout. La
sécurité a financé le projet pilote, le produit possédait l'interface utilisateur (UI),
l'informatique possédait l'IdP, l'équipe fraude possédait le renforcement (step-up) et
personne ne s'est occupé d'encourager la cohorte, ce qui stimule réellement l'inscription.
Le programme a avancé au rythme du propriétaire le plus lent.

Le
[FIDO Alliance 2024 Online Authentication Barometer](https://fidoalliance.org/online-authentication-barometer/)
a révélé que la familiarité avec les clés d'accès a atteint 57 % à l'échelle mondiale, et
42 % des personnes interrogées familières avec les clés d'accès les avaient activées sur
au moins un compte. L'écart entre la sensibilisation et l'activation est là où l'ambiguïté
de la propriété de la CIAM apparaît le plus concrètement : la technologie fonctionne, mais
le déploiement ne suit pas. Comme l'a dit l'analyste de Gartner David Mahdi dans le
contexte de la
[convergence des disciplines IAM](https://www.gartner.com/en/newsroom/press-releases/2022-11-21-gartner-identifies-top-trends-in-ciam-solution-design),
"les organisations doivent repenser leur architecture IAM pour faire face à la
décentralisation croissante de la gestion des identités et des accès". Sans un
propriétaire, cette refonte n'a pas lieu.

### 2.3 Le problème de l'analyse déconnectée

L'une des raisons pour lesquelles tant d'équipes finissent par avoir une part de la CIAM
est qu'il n'y a pas d'outil d'analyse de l'authentification partagé au départ. Le schéma
ci-dessous illustre cette tendance : quatre systèmes détiennent quatre tranches du
parcours d'authentification et rien ne les chapeaute pour joindre les signaux.

Les directives du [NIST Special Publication 800-63-4](https://pages.nist.gov/800-63-4/)
concernant l'[identité numérique](https://www.corbado.com/fr/glossary/openid-4-vp) exigent explicitement une
"évaluation continue" de l'assurance de l'authentificateur, ce qui est impossible sans une
[vue](https://www.corbado.com/blog/vuejs-passkeys) des événements de bout en bout. En pratique, seule une
minorité de programmes B2C dispose de cette [vue](https://www.corbado.com/blog/vuejs-passkeys) : l'enquête
[2024 Ping Identity Consumer Survey](https://www.pingidentity.com/en/resources/blog/post/global-consumer-survey-what-customers-really-think-about-their-online-identity.html)
a révélé que 63 % des consommateurs abandonneraient un compte après deux tentatives de
connexion infructueuses. C'est un indicateur que peu d'équipes CIAM suivent, car les
données nécessaires se trouvent dans trois systèmes différents.

Chaque propriétaire protège alors sa tranche. Cela s'explique en partie par le budget -
l'équipe qui a payé pour les données estime avoir gagné le contrôle. Et en partie par le
pouvoir - les données sont le moyen le plus simple de démontrer la valeur lors d'une
évaluation interfonctionnelle. L'effet pratique est que même lorsqu'un problème de CIAM
concerne les quatre systèmes, aucune personne ne peut le voir de bout en bout. Une couche
d'observabilité de l'authentification dédiée supprime cette excuse et déclenche
généralement la discussion sur la propriété qui aurait dû avoir lieu depuis longtemps.

## 3. Les propriétaires courants

Cinq fonctions revendiquent régulièrement la CIAM, et chacune optimise un indicateur
différent. La comparaison ci-dessous résume ce sur quoi chaque archétype est évalué et où
se situe son point aveugle.

### 3.1 Bureau du CISO

Optimise : taux de fraude, couverture
[MFA](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe), taux de comptes compromis et
conclusions d'audit. Traite la CIAM comme un contrôle de sécurité. Points forts : des KPI
clairs et une autorité budgétaire sous pression réglementaire
([DORA](https://www.digital-operational-resilience-act.com/),
[NIS2](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive) ou
[NIST](https://www.corbado.com/fr/glossary/niveau-de-garantie-d-authentification-aal) 800-63). Points aveugles :
l'impact de la friction sur la conversion, le [co](https://www.corbado.com/fr/blog/conformite-cybersecurite)ût de
support des parcours interrompus et l'expérience de la longue traîne d'utilisateurs dont
les appareils tombent en panne silencieusement.

### 3.2 Bureau du CTO

Optimise : effort d'intégration, fiabilité de la plateforme, qualité du SDK, vitesse de
publication et coût d'ingénierie. Traite la CIAM comme un problème d'intégration de
produit car la connexion est un code qui est déployé avec l'application, le site web et
les API. Points forts : proximité avec le produit, propriété du SDK côté client, capacité
à corriger rapidement les parcours défaillants. Points aveugles : nuances réglementaires,
compromis en matière de fraude et hygiène des informations d'identification à long terme
une fois l'intégration en direct. Le DSI joue ce rôle dans le secteur public et les
entreprises à l'informatique fortement centralisée, mais dans la plupart des entreprises
axées sur les consommateurs, le bureau du CTO est le plus approprié.

### 3.3 Bureau du CPO ou Produit

Optimise : conversion de la connexion, taux d'activation, succès de la récupération et
délai avant la première valeur. Traite la CIAM comme un produit. Points forts : rigueur de
l'UX, tests A/B et empathie envers le client. Points aveugles : exposition à la fraude,
contraintes réglementaires et hygiène des informations d'identification à long terme.

### 3.4 Bureau Fraude ou Risque

Optimise : taux de déclenchement du renforcement (step-up), taux de faux positifs, taux de
rétrofacturation et taux de piratage de compte. Possède un segment de l'identité, rarement
la totalité. Points forts : modélisation des risques, signaux en temps réel et réponse aux
incidents. Points aveugles : flux d'inscription, flux de récupération et les parties de
l'identité qui ne sont pas transactionnelles.

### 3.5 Bureau Croissance ou Marketing

Propriétaire émergent, en particulier dans les abonnements grand public et la vente au
détail. Optimise : taux de réengagement, connexions verrouillées par la vente croisée et
préparation à la personnalisation. Traite l'identité comme le substrat des boucles de
croissance. Points forts : réflexion sur le cycle de vie et culture de l'expérimentation.
Points aveugles : tout ce qui n'est pas de la croissance.

## 4. Là où la propriété divisée fait réellement mal

### 4.1 Approvisionnement contre désapprovisionnement

L'approvisionnement est un problème d'efficacité : à quelle vitesse pouvez-vous faire
entrer un utilisateur dans le système ? Le désapprovisionnement est un problème de
sécurité : à quelle vitesse pouvez-vous retirer un utilisateur compromis ou parti. Ils
sont presque toujours achetés comme un seul outil et sous-optimisés, car le propriétaire
axé sur l'efficacité ne ressent jamais la douleur du désapprovisionnement et le
propriétaire axé sur la sécurité ne ressent jamais la douleur de l'approvisionnement.

### 4.2 L'UX gérée par la fraude contre l'UX gérée par le produit

La fraude ajoute de la friction car la friction bloque les acteurs malveillants. Le
produit supprime la friction car la friction bloque les revenus. Lorsque les deux équipes
façonnent la même page de connexion sans propriétaire commun, le résultat est un compromis
qui ne satisfait ni l'un ni l'autre : suffisamment de friction pour contrarier les
utilisateurs, mais pas assez pour stopper la fraude. Le renforcement évalué en fonction
des risques est la réponse technique. Un propriétaire unique du parcours est la réponse
organisationnelle.

### 4.3 Aucune vue partagée des performances de connexion

La division de la propriété nuit également à cause de l'absence de couche d'analyse
partagée. Les vrais chiffres sur les performances de connexion - taux de réussite de bout
en bout, réussite de la récupération, taux de déclenchement du step-up, part de secours
par cohorte et réussite au niveau de la méthode (mots de passe, OTP, réseaux sociaux, clés
d'accès) - se trouvent dispersés dans l'IdP, la suite d'analyse de produits, le moteur de
fraude, le SIEM et quelques feuilles de calcul. Chaque équipe voit sa propre tranche,
personne ne voit le parcours complet et les symptômes se retrouvent enfouis dans des
indicateurs qui semblent corrects individuellement mais qui cachent le véritable problème.

Une connexion lente pour les utilisateurs d'anciennes versions
d'[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) apparaît comme une petite anomalie de
latence dans l'IdP, une petite baisse de conversion et une petite hausse des tickets
d'assistance. Aucun d'entre eux n'est alarmant en soi. Mis bout à bout, ils constituent
une régression qui vaut la peine d'être corrigée. Sans un seul propriétaire et une seule
vue d'ensemble, cette régression peut rester ignorée pendant des trimestres.

## 5. Le secteur d'activité détermine la réponse

La personne qui détient en fin de compte la responsabilité de l'identité des clients et
des consommateurs dépend également du secteur d'activité. Le même organigramme qui
fonctionne pour un secteur est perçu comme sur-gouverné ou sous-gouverné dans un autre.

- Le commerce électronique traite la CIAM comme un problème de conversion. Le produit est
  responsable de la connexion, l'équipe croissance du réengagement et la fraude se situe à
  côté des deux. L'appétit pour la sécurité est modéré. La cadence est faite d'expériences
  hebdomadaires. La
  [recherche sur l'abandon de panier du Baymard Institute](https://baymard.com/lists/cart-abandonment-rate)
  rapporte un taux d'abandon moyen de 70,2 %, et une part importante est attribuable à la
  friction du compte, ce qui maintient le produit fermement dans le siège du propriétaire.
- Le secteur bancaire et les services financiers considèrent la CIAM comme un problème de
  sécurité et de conformité. Le [CISO](https://www.corbado.com/glossary/ciso) possède le programme, le risque
  gère le renforcement (step-up) et l'informatique gère la plateforme. L'appétit pour la
  sécurité est élevé et la cadence est trimestrielle avec un audit lourd.
- Les télécommunications, l'assurance et la santé se situent entre les deux. La pression
  réglementaire les pousse vers le secteur bancaire. La pression de l'expérience client
  les pousse vers le commerce électronique. Le modèle de gouvernance est généralement
  divisé entre le CISO et le CPO avec un tableau de bord partagé.
- Le secteur public et le B2B réglementé donnent la priorité à l'auditabilité sur
  l'expérimentation. La CIAM est sous la responsabilité du DSI (là où l'informatique
  centralisée existe encore) ou sous une fonction dédiée de gouvernance des identités avec
  une cadence axée sur la conformité. Les exigences
  [NIST 800-63-4 Identity Assurance Level](https://pages.nist.gov/800-63-4/sp800-63a.html)
  fixent le niveau de base.

Le graphique en quadrants ci-dessous positionne chaque secteur sur les deux dimensions qui
déterminent la réponse de propriété - l'appétit pour la sécurité et la cadence d'examen -
et cartographie le propriétaire dominant qui ressort de chaque position.

Un tableau de bord qui fonctionne pour un détaillant semble sous-gouverné dans une banque.
Un modèle de gouvernance qui fonctionne pour une banque semble trop complexe pour un
détaillant. Les études Total Economic Impact (TEI) de Forrester commandées par les
fournisseurs sur la CIAM montrent un écart important : le
[ForgeRock CIAM TEI](https://www.businesswire.com/news/home/20210615005166/en/) a rapporté
un ROI de 186 % sur trois ans, tandis que le
[WSO2 CIAM TEI](https://wso2.com/resources/analyst-reports/the-total-economic-impact-of-wso2-customer-identity-and-access-management/)
a rapporté un ROI de 332 %. La combinaison de facteurs – augmentation de la conversion,
réduction de la fraude ou coût d'audit – diffère considérablement selon les secteurs, ce
qui explique pourquoi la plage de ROI elle-même varie. Choisir le bon propriétaire
commence par identifier le modèle de l'industrie dans lequel vous opérez réellement.

## 6. Identité du personnel contre identité du client

L'IAM pour le personnel (Workforce IAM) et l'IAM client (CIAM) se trouvent généralement
dans des équipes différentes, et c'est souvent la bonne configuration. Les deux traitent
de l'identité, mais optimisent des choses différentes. L'IAM du personnel gère des
employés connus sur des appareils gérés avec une longue session et une population
d'utilisateurs restreinte, généralement de 1 000 à 100 000 utilisateurs. La CIAM gère des
prospects et des clients anonymes sur des appareils non gérés avec des sessions courtes,
sensibles à la conversion, et une population d'utilisateurs bien plus importante, souvent
de l'ordre de dizaines ou centaines de millions. Les modèles de menaces, les KPI et les
choix d'outils divergent.

## 7. Il n'y a pas de réponse unique

Il n'y a pas de place universellement bonne ou mauvaise pour la CIAM. Ce qui compte, c'est
que les dépendances internes fonctionnent : l'équipe propriétaire a l'autorité de prendre
des décisions, les équipes contributrices ont une place formelle à la table, et le tableau
de bord est suffisamment partagé pour que personne ne puisse sortir un indicateur de son
contexte.

Une banque réglementée peut confier la CIAM au CISO et réussir. Un détaillant peut la
confier au CPO et réussir. Une entreprise de télécommunications peut exécuter un modèle
divisé entre le CISO et le CPO et réussir. Ce qui échoue partout, c'est une propriété
implicite sans force d'action, sans couche d'analyse partagée et sans cadence de révision
interfonctionnelle. Le modèle organisationnel a moins d'importance que le modèle
d'exploitation qui l'accompagne.

## 8. Tableau de bord CIAM partagé

Choisir un tableau de bord est généralement plus facile que de choisir un propriétaire, et
cela fonctionne sans réorganisation. L'idée est simple : le tableau de bord local de
chaque cadre pour sa fonction est correct mais globalement incomplet. La solution est une
seule page, cinq indicateurs, passés en revue tous les mois par l'ensemble des fonctions
propriétaires.

### 8.1 Les indicateurs que personne ne possède entièrement

Voici les cinq KPI interfonctionnels qui se situent entre les visions du CISO, du CTO, du
CPO, de la fraude et de la croissance. Chacun est crucial et chacun est sous-instrumenté
dans la plupart des entreprises. Le schéma ci-dessous montre comment chaque indicateur se
situe à l'intersection de plusieurs fonctions propriétaires, ce qui explique pourquoi
aucun d'entre eux ne revient clairement à une seule équipe.

- **Taux de réussite de connexion par cohorte.** Le succès de connexion global cache tout.
  Un taux global de 92 % peut masquer un taux de 70 % sur une combinaison spécifique de
  système d'exploitation, de navigateur et de gestionnaire d'informations
  d'identification. Rapporter le taux de réussite uniquement de manière globale est
  l'erreur de mesure de la CIAM la plus courante.
- **Délai avant la première action authentifiée.** Le délai réel qu'un utilisateur subit
  entre l'arrivée sur la page de connexion et le moment où il peut effectuer une
  transaction. Cela inclut le temps de déclenchement du
  [Conditional UI](https://www.corbado.com/glossary/conditional-ui), la sélection des informations
  d'identification, l'invite biométrique et la redirection. Cela est corrélé avec la
  conversion et personne ne le possède.
- **Utilisation et succès du parcours de récupération.** Combien d'utilisateurs atteignent
  la récupération, quels parcours ils utilisent et combien réussissent. La récupération
  est le point où la fraude rencontre la friction et les coûts de support. Cela appartient
  au CISO, au CPO et au CTO à la fois, ce qui signifie généralement personne.
- **Création de clés d'accès vs utilisation des clés d'accès.** La création est la part
  des utilisateurs éligibles qui se sont inscrits. L'utilisation est la part des
  connexions qui utilisent réellement une
  [clé d'accès](https://www.corbado.com/fr/blog/comment-activer-passkeys-android). Un déploiement peut avoir 60 %
  de portée et 20 % d'utilisation si les utilisateurs inscrits continuent à taper des mots
  de passe par habitude. Le même écart s'applique à toute nouvelle méthode
  d'authentification.
- **Abandon par méthode d'authentification.** Avec quelle méthode la session a commencé et
  à quelle fréquence ne s'est-elle pas terminée. Les abandons de mots de passe, d'OTP,
  d'identifiants sociaux et de clés d'accès ont des causes profondes différentes : hygiène
  des informations d'identification, échec de la distribution, panne d'un tiers, problème
  d'interface utilisateur ou conflit de gestionnaire de mots de passe. En faire la moyenne
  les cache tous.

### 8.2 Une page, cinq indicateurs, un examen mensuel

Le tableau de bord est un document d'une page passé en revue chaque mois par les fonctions
propriétaires ensemble. Chaque indicateur a un propriétaire principal pour la qualité des
données, un propriétaire interfonctionnel pour le plan d'action et une cible définie
conjointement au début de chaque trimestre. Une page Notion ou un Google Sheet suffit -
l'examen a lieu sur la page unique, pas sur les tableaux de bord sous-jacents.

Chaque propriétaire apporte la tranche que lui seul peut voir :

- **La sécurité** fournit le taux de fraude, le taux de comptes compromis et les résultats
  des renforcements par cohorte.
- **Le CTO / Ingénierie** fournit la disponibilité, le taux d'erreur d'intégration, les
  performances du SDK et le coût par authentification selon la méthode.
- **Le produit** apporte les entonnoirs de conversion, les abandons par étape et le délai
  avant la première valeur.
- **La fraude** indique le taux de déclenchement du step-up et le taux de faux positifs
  par cohorte.
- **La croissance** fournit les ratios de sessions anonymes vs identifiées et le taux de
  réengagement.

La matrice ci-dessous résume le schéma de contribution et rend explicites les lacunes de
couverture : aucun propriétaire ne produit à lui seul les cinq indicateurs.

### 8.3 Le déployer sans réorganisation

La plupart des programmes de tableaux de bord échouent au niveau de l'instrumentation, et
non de la gouvernance. Si la couche d'observabilité sous-jacente ne peut pas décomposer le
taux de réussite par système d'exploitation, navigateur et gestionnaire de mots de passe,
aucune fréquence d'examen ne produira un tableau de bord utile. La séquence qui fonctionne
en pratique :

1. **Instrumentez d'abord.** La télémétrie des événements côté client qui peut décomposer
   le taux de réussite par cohorte est la condition préalable pour tous les autres
   indicateurs du tableau de bord.
2. **Choisissez un premier indicateur à coposséder.** Le taux de réussite de connexion par
   cohorte est généralement le bon premier choix car il force l'instrumentation
   inter-cohortes dont dépendent tous les autres indicateurs.
3. **Révision mensuelle de 60 minutes.** Première réunion : convenir des cinq indicateurs
   et de la base de référence actuelle. Deuxième réunion : s'accorder sur les objectifs
   trimestriels. Troisième réunion : premier plan d'action. Ajoutez des indicateurs sur
   deux trimestres plutôt que tous à la fois.

À six mois, un déploiement mature rapporte le taux de réussite de connexion par cohorte
avec des propriétaires nommés pour les trois pires, la portée et l'utilisation des clés
d'accès comme deux nombres distincts, le succès de la récupération avec un propriétaire
partagé CISO/CPO, le taux de déclenchement du step-up à côté du taux de faux positifs, et
le coût par authentification décomposé par méthode. La révision mensuelle passe des débats
sur les données aux débats sur les décisions, ce qui est le véritable livrable.

## 9. Comment Corbado ajoute la couche de données manquante pour l'authentification

[Corbado](https://www.corbado.com/) ne décide pas qui est propriétaire de la CIAM et
n'essaie pas de le faire. La propriété est une décision organisationnelle. Ce que Corbado
apporte, c'est la couche de données qui manquait en premier lieu - la couche que les
silos, les budgets divisés et les attitudes de type "ce n'est pas mon problème" n'ont
jamais produite par eux-mêmes. L'authentification a enfin l'équivalent de ce que l'analyse
produit, l'observabilité et les outils anti-fraude possèdent déjà dans leurs propres
domaines.

La couche d'observabilité de l'authentification se situe au-dessus de l'IdP, du moteur de
fraude et du SIEM et joint leurs signaux dans une seule vue du parcours de connexion. Les
tentatives backend, les cérémonies côté client, le comportement du gestionnaire de mots de
passe, le succès au niveau de la cohorte et les résultats de la récupération vivent dans
un seul système et sont mesurés les uns par rapport aux autres.

- **Une couche de données pour l'authentification.** Les signaux backend, frontend, fraude
  et sécurité sont corrélés par session, par cohorte et par parcours, de sorte que les
  véritables performances de connexion cessent d'être enfouies dans quatre systèmes.
- **Taux de réussite au niveau de la cohorte.** Le succès de connexion décomposé par
  système d'exploitation, navigateur, gestionnaire d'informations d'identification et
  matériel - le premier indicateur du tableau de bord que la plupart des équipes ne
  peuvent pas produire avec leurs outils existants.
- **Création et utilisation sous forme de nombres distincts.** La création de clés d'accès
  et leur utilisation sont rapportées comme deux KPI distincts, ce qui est le principal
  correctif de mesure dont la plupart des tableaux de bord ont besoin.
- **Analyse du parcours de récupération.** L'utilisation, le succès et l'abandon du flux
  de récupération apparaissent dans la même taxonomie d'événements que les flux de
  connexion, afin que le CISO et le CPO voient les mêmes chiffres.
- **Abandon par méthode.** L'abandon par méthode permet au tableau de bord de séparer
  l'abandon du mot de passe (hygiène des informations d'identification) de l'abandon de la
  [clé d'accès](https://www.corbado.com/fr/blog/comment-activer-passkeys-android) (problème d'interface
  utilisateur ou conflit avec le gestionnaire de mots de passe).
- **Garde-fous de déploiement.** La suppression dynamique, les incitations spécifiques aux
  cohortes et les boutons d'arrêt d'urgence permettent à la personne qui convoque le
  programme d'exécuter des modifications sans toucher directement à l'IdP.
- **Benchmarks de référence.** Les bases de référence inter-déploiements de la base de
  clients de Corbado permettent de comparer les chiffres internes avec des données
  externes, ce qui transforme souvent une révision mensuelle en une prise de décision.

Les conflits de propriété ne disparaissent pas avec une couche de données. Mais ils
deviennent plus faciles à résoudre, car les arguments basés sur "mes données disent que"
cessent et les arguments sur ce qu'il faut faire commencent.

## 10. Conclusion

La CIAM a de multiples propriétaires légitimes et cela ne changera pas. Ce qui change,
c'est de savoir si l'entreprise choisit un propriétaire ou un tableau de bord. Choisir un
propriétaire est plus rapide mais nécessite un capital politique. Choisir un tableau de
bord est plus lent mais fonctionne sans réorganisation. L'une ou l'autre voie est
préférable au tirage au sort implicite que la plupart des entreprises pratiquent
aujourd'hui. Le coût d'une propriété ambiguë se mesure en déploiements bloqués, en
parcours décousus et en l'érosion silencieuse des chiffres de sécurité et de conversion.

## FAQ

### Qui est généralement propriétaire de la CIAM dans une grande entreprise ?

Dans notre expérience, la propriété est divisée entre les fonctions du CISO, du CTO, du
CPO, de la fraude et de la croissance. Dans les secteurs réglementés, le bureau du CISO
détient l'autorité principale. Dans les entreprises numériques axées sur les
consommateurs, c'est généralement le bureau du CPO ou du CTO, car la CIAM doit être
intégrée au produit. Un chef de produit d'identité dédié avec un tableau de bord partagé
est le modèle le plus mature dans les deux cas.

### Le secteur d'activité modifie-t-il la personne qui devrait posséder la CIAM ?

Oui. Le commerce électronique considère la CIAM comme un problème de conversion et
l'attribue généralement au produit ou à la croissance. Le secteur bancaire le considère
comme un problème de sécurité et de conformité et l'attribue au CISO. Les
télécommunications, l'assurance et la santé fonctionnent avec des modèles divisés. La
bonne réponse dépend de l'appétit pour la sécurité et de la cadence de révision de
l'industrie, et non d'une meilleure pratique abstraite.

### Pourquoi la division de la propriété de la CIAM nuit-elle aux nouveaux déploiements d'authentification ?

Toute nouvelle méthode d'authentification - de la connexion sociale et de
l'[authentification renforcée](https://www.corbado.com/fr/blog/process-mining-authentification)
[MFA](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) aux clés d'accès - nécessite
une UX d'inscription, des flux de récupération, une politique de risque et des outils de
support coordonnés. Lorsque chacun relève d'un propriétaire différent avec des vitesses
différentes, le déploiement avance au rythme du propriétaire le plus lent. Les
déploiements de clés d'accès stagnent régulièrement à 5 % à 15 % d'adoption.

### L'IAM du personnel et l'IAM client devraient-ils se trouver dans la même équipe ?

Généralement non. Ils partagent un vocabulaire et peu d'autres choses. L'IAM du personnel
optimise les appareils gérés, les utilisateurs connus et la rentabilité. L'IAM client
optimise les appareils non gérés, les utilisateurs anonymes et la conversion. La plupart
des entreprises matures les maintiennent sous une gouvernance séparée et partagent un
conseil plutôt qu'un leader.

### Quels sont les KPI les plus importants de la CIAM ?

Cinq indicateurs interfonctionnels se situent entre les tableaux de bord par fonction : le
taux de réussite de connexion par cohorte, le délai avant la première action authentifiée,
la portée et l'utilisation des clés d'accès en tant que deux nombres distincts, le succès
du parcours de récupération et l'abandon par méthode d'authentification. Chacun est
crucial et sous-instrumenté dans la plupart des entreprises.

### Pourquoi la portée et l'utilisation des clés d'accès ne sont-elles pas le même indicateur ?

La portée est le pourcentage d'utilisateurs éligibles qui ont enregistré une
[clé d'accès](https://www.corbado.com/fr/blog/comment-activer-passkeys-android). L'utilisation est le pourcentage
de connexions qui utilisent réellement une clé d'accès. Un déploiement peut avoir une
forte portée et une faible utilisation si les utilisateurs inscrits continuent de taper
des mots de passe par habitude. Ne rapporter qu'un seul indicateur induit l'examen
exécutif en erreur.

### Qu'est-ce qu'un tableau de bord CIAM partagé ?

Un document d'une page avec cinq indicateurs interfonctionnels, examiné mensuellement par
les fonctions propriétaires réunies. Chaque indicateur a un propriétaire principal pour la
qualité des données, un propriétaire interfonctionnel pour le plan d'action et une cible
conjointe. L'examen se fait sur le document d'une page, pas sur les tableaux de bord
sous-jacents.

### À quelle fréquence le tableau de bord doit-il être révisé ?

Une fois par mois, lors d'une réunion interfonctionnelle de 60 minutes avec les fonctions
propriétaires. Plus fréquemment et rien ne change entre les examens. Moins fréquemment et
une dérive systémique passe inaperçue, en particulier pour les régressions au niveau des
cohortes.

### Comment commencer sans réorganisation ?

Choisissez les deux indicateurs qui posent le plus problème, réunissez les propriétaires
pour un examen mensuel de 60 minutes et développez le tableau de bord sur deux trimestres.
Aucun titre ne change. Le tableau de bord devient la couche de gouvernance.

### Un fournisseur peut-il aider à résoudre les litiges de propriété ?

Un fournisseur ne peut pas décider de la propriété pour vous. Il peut supprimer
l'ambiguïté des données. Une couche d'analyse partagée donne à chaque propriétaire la
tranche dont il se soucie tout en préservant la vue globale, ce qui suffit souvent à
transformer un débat politique en un débat opérationnel.