Skip to content

Qu'est-ce que SCIM, et comment soutient-il le provisionnement joiner-mover-leaver ?

Réponse courte

SCIM (System for Cross-domain Identity Management) est une API REST/JSON et un schéma standard pour créer, mettre à jour et supprimer des comptes utilisateurs entre applications. Relié à un système RH ou à un IdP, il automatise le cycle de vie joiner-mover-leaver : les comptes et droits sont provisionnés à l'embauche, ajustés au changement de poste, et — surtout — déprovisionnés au départ, éliminant les comptes orphelins que les attaquants adorent.

L'identité ne se résume pas à l'authentification — c'est tout le cycle de vie d'un compte, de l'embauche au départ. SCIM est le standard qui vous permet d'automatiser ce cycle de vie au lieu de vous reposer sur des tickets manuels.

Ce qu'est SCIM

Le System for Cross-domain Identity Management définit une API REST/JSON commune et un schéma utilisateur/groupe pour qu'une source d'identité (un IdP comme Entra ou Okta, souvent alimenté par un système RH) puisse pousser automatiquement les changements de compte vers les applications en aval. Au lieu que chaque application SaaS ait une API d'administration sur mesure, elles parlent le même dialecte SCIM : POST pour créer un utilisateur, PATCH pour mettre à jour, DELETE/désactivation pour supprimer.

Joiner-mover-leaver

  • Joiner. Un nouvel embauché apparaît dans le système RH ; l'IdP provisionne automatiquement les comptes et les droits de base dans les applications connectées — un accès dès le premier jour, sans file d'attente de tickets.
  • Mover. Lors d'un changement de poste ou de service, les attributs se mettent à jour et les droits sont ajoutés ou — surtout — retirés, empêchant l'accumulation de privilèges (« dérive des accès ») à mesure que les gens changent de fonction.
  • Leaver. Au départ, les comptes sont déprovisionnés en quelques minutes, pas en quelques semaines.

Pourquoi l'étape leaver est le gain de sécurité

L'échec IAM le plus dangereux est le compte orphelin — un ex-employé ou prestataire dont l'accès n'a jamais été révoqué. Ces comptes restent inutilisés (donc personne ne les remarque), conservent souvent des privilèges permanents, et sont des cibles de choix pour le credential stuffing et l'usage abusif interne. L'offboarding manuel est lent et sujet aux erreurs ; le déprovisionnement piloté par SCIM comble la faille de façon déterministe.

Comment cela s'articule avec le SSO

SCIM et le SSO sont complémentaires, pas concurrents : le SSO (SAML/OIDC) gère l'authentification au moment de la connexion, tandis que SCIM gère l'existence des comptes et les droits dans l'application en amont. Le SSO sans provisionnement laisse quand même des comptes obsolètes derrière lui ; vous voulez les deux.

Ce que recherchent les recruteurs : vous définissez SCIM comme un provisionnement standardisé, vous parcourez le flux joiner-mover-leaver, et vous identifiez le déprovisionnement en temps voulu / les comptes orphelins comme le risque central qu'il adresse.

Questions de suivi probables

  • Pourquoi le déprovisionnement en temps voulu est-il la partie la plus précieuse du cycle de vie ?
  • Comment SCIM et le SSO (SAML/OIDC) se complètent-ils ?
  • Quel est le risque de s'appuyer plutôt sur des tickets d'offboarding manuels ?

Sources

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.