ISO/IEC 24760-1:2025 : les évolutions majeures du cadre de gestion de l’identité

Introduction

La norme ISO/IEC 24760-1:2025 propose une nouvelle structure pour définir les concepts fondamentaux de la gestion de l’identité. Dès les premières lignes, il apparaît que cette révision modernise le vocabulaire et clarifie plusieurs notions essentielles. Elle remplace la version précédente, qui reposait encore sur un cadre moins adapté aux enjeux actuels de cybersécurité. Grâce à cette mise à jour, les organisations disposent d’un référentiel plus clair pour structurer leurs systèmes de gestion de l’identité numérique.

Comprendre ISO/IEC 24760-1:2025

La norme ISO/IEC 24760-1 définit les termes et les principes de base utilisés dans les systèmes de gestion de l’identité. Elle présente les concepts d’identités, d’attributs, de crédentiels, de dépendances et de rôles. La version antérieure fournissait déjà une base solide, mais elle ne couvrait pas totalement les nouveaux usages liés au cloud, à l’authentification avancée ou à la gouvernance moderne des données personnelles. La révision 2025 répond donc à la nécessité d’harmoniser le langage dans un environnement numérique en forte évolution.

Modifications principales de la norme ISO/IEC 24760-1:2025

1. Terminologie modernisée

La version 2025 actualise de nombreux termes pour refléter les pratiques actuelles. Elle introduit aussi de nouveaux concepts liés à la gestion des identités dans les environnements distribués. Par comparaison, la version précédente utilisait un vocabulaire plus général, parfois éloigné des architectures modernes d’identité.

2. Clarification des relations entre identité, attributs et crédentiels

La norme précise désormais la manière dont une identité se compose, se prouve et s’exploite dans un système d’information. Elle distingue plus nettement les attributs déclaratifs, opérationnels et sensibles. Grâce à cette structuration, les organisations peuvent mieux définir les règles d’usage de leurs identités. Avant 2025, la norme abordait ces éléments, mais sans niveau de détail suffisant.

3. Prise en compte des architectures modernes (cloud, fédération, IAM avancé)

La révision intègre les environnements multi-cloud, les mécanismes de fédération d’identité et l’usage croissant des systèmes IAM avancés. La version antérieure ne tenait pas toujours compte de ces pratiques. La nouvelle structure facilite donc l’intégration de l’identité dans les chaînes d’authentification modernes.

4. Harmonisation avec les normes de cybersécurité

ISO/IEC 24760-1:2025 améliore sa cohérence avec les normes de la famille 27000. Cette harmonisation simplifie l’intégration de la gestion de l’identité dans un SMSI ou dans un cadre de gouvernance des données personnelles. La version précédente permettait déjà cette compatibilité, mais avec plus d’interprétation. La révision offre désormais un cadre aligné avec les pratiques actuelles d’audit et de sécurité.

5. Meilleure définition du cycle de vie de l’identité

La norme décrit plus clairement les étapes de création, de gestion, de modification et de suppression d’une identité. Elle renforce aussi la prise en compte de la vérification, de l’authentification et des relations entre acteurs. Dans la version antérieure, ces notions existaient, mais elles étaient moins développées. Grâce à cette nouvelle approche, les organisations adoptent des processus plus structurés.

Mise en œuvre dans les organisations

Pour appliquer ISO/IEC 24760-1:2025, l’organisation commence par analyser son modèle d’identité existant. Ensuite, elle compare ses pratiques avec les nouvelles définitions et met à jour ses processus IAM. Elle adapte également la documentation interne et révise ses règles d’attribution ou de retrait des identités. Enfin, elle forme les équipes afin de garantir une application cohérente et durable de la norme.

Compétences nécessaires

L’adoption de la version 2025 renforce plusieurs compétences professionnelles :

• compréhension fine des concepts d’identité numérique ;

• capacité à structurer un référentiel IAM conforme aux pratiques modernes ;

• maîtrise des relations entre attributs, crédentiels et rôles ;

• aptitude à intégrer la gestion de l’identité dans un SMSI ou un cadre RGPD.

Public concerné

Cette révision s’adresse à un public varié :

• responsables IAM, RSSI et architectes SI ;

• équipes en charge du cloud, du SSO et de la fédération d’identité ;

• responsables conformité, DPO et équipes de gouvernance des données ;

• auditeurs internes ou externes évaluant les dispositifs d’identité.

Passerelles avec d’autres normes

ISO/IEC 24760-1:2025 se connecte à plusieurs référentiels :

• ISO/IEC 27001 et 27002 pour la sécurité opérationnelle ;

• ISO/IEC 29100 pour la protection de la vie privée ;

• ISO/IEC 24760-2 et 24760-3 pour la gestion opérationnelle de l’identité ;

• les normes relatives à la fédération d’identité et à l’authentification.

Grâce à cette cohérence, l’organisation peut déployer une gouvernance d’identité complète et structurée.

Bénéfices pour les organisations

L’adoption de la norme améliore la gouvernance des identités et renforce la cohérence interne. Elle clarifie les responsabilités et réduit les erreurs lors des processus d’identification. Elle offre aussi une base solide pour intégrer des solutions IAM modernes. Enfin, elle augmente la confiance dans les processus d’authentification et de gestion des accès.

Conclusion

ISO/IEC 24760-1:2025 représente une évolution importante pour les systèmes de gestion de l’identité. Elle modernise le vocabulaire, clarifie les relations entre éléments clés et intègre les pratiques actuelles liées au cloud et aux environnements distribués. Grâce à cette révision, les organisations disposent d’un cadre plus précis pour améliorer leurs dispositifs d’identité numérique. En conclusion, cette version 2025 constitue un socle essentiel pour construire un système IAM fiable et durable.