Dans un monde où la sécurité et la conformité ne tolèrent plus l’approximation, continuer à gérer les identités et les accès via l’interface graphique constitue une incohérence technique et représente une véritable impasse pour la sécurité. L’Infrastructure as Code (IaC) n’est plus une option : c’est un moyen d’automatiser, d’auditer et de fiabiliser la création des ressources : comptes, groupes, autorisations, des politiques d’accès etc.

Adopter l’IaC, c’est garantir la cohérence, la traçabilité et la sécurité, tout en répondant aux exigences des standards comme ISO 27001 ou 9001. Cet article explique pourquoi l’IaC est désormais indispensable pour une gestion professionnelle et sécurisée des identités, ici sur Microsoft Entra ID et Microsoft Active Directory. De ces faits, les entreprises qui persistent dans la gestion manuelle s’exposent à des erreurs, des failles et des non-conformités.

Les outils

Il existe une multitude d'outils permettant de provisionner des ressources que ce soit dans le cloud ou directement sur site (onpremise). Terraform, OpenTofu, Cloudformation et Pulumi sont reconnus. Les plus anciens, datent d'au moins une dizaine d'années, 2011 pour Cloudformation et 2014 pour Terraform. Ma préférence s'oriente sur la solution de HashiCorp : Terraform et c'est avec celui-ci que j'ai démarré en 2020.

Les providers Terraform pour Microsoft Entra ID et Microsoft Active Directory

Les deux modules que je recommande sont ceux créés et maintenus par les équipes HashiCorp :

• Azure Active Directory Il fait référence au nom historique de la solution d'annuaire dans le cloud de Microsoft (renommé plus tard par l'éditeur, Microsoft Entra ID).

• Active Directory Il fait référence au nom historique du produit d'annuaire de Microsoft Active Directory.

D’après mon expérience, les opérations et options de configuration proposées par ces modules couvrent un large panel des besoins de la plupart des entreprises. Leur première version remonte à 2019 (v0.1.0).

La dette technique accumulée sur Microsoft Entra ID et Microsoft Active Directory

Si depuis 2019, vous continuez à créer manuellement des ressources dans votre annuaire Microsoft, qu’il soit cloud ou on-premise, il est légitime de considérer que vous accumulez une dette technique. L’absence d’automatisation, le manque de traçabilité et de reproductibilité, l’impossibilité de garantir la cohérence des environnements, la difficulté de conformité (ISO, RGPD, sécurité) sans référentiel documentaire à jour rendent l’audit plus complexe et coûteux. De plus, le risque d’erreur ou de perte lors des migrations, restaurations ou changements d’équipe deviennent un véritable frein à l’évolution et à la sécurité de votre organisation. Croyez-moi, savoir qu'en tout instant, vous avez la capacité d'extraire le référentiel de votre infrastructure et des ses accès et savoir qu'ils sont à jour est très pertinent.

Par où commencer ?

Pour arrêter d'avoir une gestion manuelle et passer à une gestion automatisée et conforme aux bonnes pratiques voici un plan de projet que j'ai mis en oeuvre.

Exemple de projet : Inventaire et migration IaC des identités et accès

1. Inventaire des ressources existantes

Entra ID (Azure AD)

• Rechercher et exporter :

  • Utilisateurs

  • Groupes

  • Permissions (rôles attribués)

  • Accès conditionnels (Conditional Access Policies)

Active Directory (AD OnPrem)

• Rechercher et exporter :

  • Utilisateurs

  • Groupes

  • Permissions (membres de groupes, droits délégués)

  • GPO (Group Policy Objects)

2. Structuration du référentiel

• Organiser les exports dans des fichiers structurés (ex : CSV).

• Documenter la correspondance entre ressources Entra ID et AD (en cas d'hybridation par exemple).

3. Préparation à l'authentification Terraform

• Créer une application avec un token dans Microsoft Entra-ID avec les permissions requises.

• Créer un compte utilisateur dédié avec les permissions requises pour l'annuaire Active Directory.

• Idéalement ne pas faire des appels WinRM sur le domaine Active Directory directement (mais via une machine de rebond).

3. Génération du code Terraform

• Créer les fichiers Terraform pour chaque ressource (users, groups, permissions, policies).

• Utiliser les providers officiels : hashicorp/azuread et hashicorp/ad

• Respecter une convention de nommage claire et documentée.

4. Import des ressources existantes

• Utiliser la commande terraform import pour intégrer les ressources réelles dans le state Terraform.

• Vérifier la cohérence entre l’inventaire et le code.

5. Documentation et validation

• Générer un référentiel Markdown à jour pour les équipes.

• Valider la conformité, la traçabilité et la sécurité.

6. Automatisation et maintenance

• Mettre en place des workflows CI/CD pour les modifications futures.

• Mettre en place des tests afin de s'assurer du respect des provisionnements futurs (naming convention, etc.).

• Former les équipes à l’utilisation et à la maintenance du référentiel IaC.

Conclusion

Pour ma part, structurer la gestion des identités et des accès avec l’Infrastructure as Code n’est pas un simple projet technique : c’est un véritable chantier de transformation pour l’entreprise. Oui, la démarche est exigeante, parfois longue et complexe, mais elle est aujourd’hui incontournable pour garantir sécurité, conformité et qualité. Les organisations qui repoussent cette évolution prennent le risque de rester vulnérables, de perdre en agilité et de s’exposer à une dette technique croissante.

L’IaC impose de la rigueur, une documentation claire et une montée en compétences des équipes. Mais le bénéfice est immense : une infrastructure maîtrisée, auditable, évolutive et conforme aux standards. La vraie question n’est plus “faut-il y aller ?”, mais “combien d’entreprises sont prêtes à relever le défi et à sortir du (faux) confort de la gestion manuelle ?”
Ceux qui font le choix de l’automatisation et de la traçabilité posent les bases d’un SI moderne, résilient et sécurisé.

Et vous, où en êtes-vous dans la transformation de votre gestion des identités ?