Après BMC, Novell est le second invité de notre série d’entretiens avec les acteurs majeurs du marché de la gestion des identités et des accès. Christophe Therrey, Directeur Général de Novell en France, nous fait partager sa vision et nous présente les enjeux à venir en 2008.

LesNouvelles.net: quel bilan faites vous du marché de la gestion des identités et des accès en cette fin 2007 ?

Christophe Therrey, Novell : Le marché de la gestion des identités reste un marché à surveiller de près. En France je suis convaincu que celui-ci n’a pas atteint sa pleine maturité, bien qu’il soit en forte progression. La notion d’identité a en effet un intérêt très large car elle ne concerne pas seulement la sécurité des systèmes d’information : l’authentification, le contrôle d’accès, le SSO (single sign-on) ont tous d’énormes avantages, mais ils ne représentent qu’un bout de la problématique. Les suites de gestion d’identités permettent de faire bien d’autres choses telle que la gestion des services web des applications distribuées, traçant la voie pour une intégration des fameuses architectures orientées services (SOA).

Néanmoins, le marché en France est caractérisé par un certain retard notamment en ce qui concerne les aspects liés à la conformité. Les entreprises françaises ont commencé par développer leur capacité à gérer les identités pour automatiser la gestion des comptes des utilisateurs et pour centraliser l’authentification des loggings. Et ces deux points jouent un rôle majeur dans l’effort de mise en conformité auquel les DSI doivent s’astreindre.

L’année 2008 devrait être marquée par une accélération des nécessités de mise en conformité et un cadre réglementaire durci pour l’ensemble des industries et non plus uniquement pour celles qui sont soumises aux réglementations propres à leur marché (Bâle II, SOX etc…).

Ln.net : Considérez-vous néanmoins que c’est un marché arrivé à maturité ?

Je pense personnellement que l’offre est mature mais je trouve qu’il

existe encore un contraste important entre les fonctionnalités offertes

par l’IAM et les problématiques parfois plus basiques de nos clients.

Par exemple nous offrons aujourd’hui la capacité de mettre en place une

politique de fédération des identités qui inclue des notions de « trusted partner » ou de gestion d’un référentiel d’identités

distribué alors que beaucoup d’entreprises que nous rencontrons n’ont

même pas encore installé un provisioning d’applications au sein de leur

propre organisation ! Vous me direz, qui peut le plus peut a priori le

moins…

Ln.net : il reste donc encore beaucoup à faire, jusqu’à présent quels ont été les leviers d’adoption ?

IDC indique que le marché IAM (Identiy and Access Management, ndlr) a augmenté pour atteindre 6 milliards de dollars en 2006 car les entreprises continuent de chercher des moyens plus rentables de gérer leurs infrastructures de sécurité pour répondre à l’intensification des obligations réglementaires, dans le respect de leurs contraintes budgétaires.

S’il est vrai que la conformité a été le principal catalyseur de la croissance du marché IAM, d’autres facteurs tels que les besoins de l’authentification unique d’entreprise (SSO), d’une technologie de gestion des mots de passe plus sophistiquée et de l’intégration du workflow aux systèmes de provisioning ont également favorisé son adoption. Il ne faut pas non plus oublier les problématiques de SIEM (Security Information and Event Management), très complémentaires de la partie IAM plus traditionnelle et que nous offrons par exemple chez Novell grâce à notre produit Sentinel.

Ln.net : La forte consolidation du marché des années passées n’a-t-elle pas uniformisé des offres d’éditeurs qui se valent désormais toutes ?

Je crois sincèrement que toutes les offres ne se valent pas et ce pour au moins deux raisons.

D’une part parce que certains éditeurs ont bâti leur offre de bric et de broc sans être encore parvenus à être pertinents sur l’intégration des briques en elle-même, ce qui fait porter le poids de cette intégration sur leurs clients ou sur l’intégrateur

D’autre part parce que la problématique IAM recouvre encore des approches assez différentes du point de vue fonctionnel, le SIEM en étant un exemple. En ce qui concerne Novell nous cumulons plusieurs avantages. Nous sommes d’abord présents sur ce marché depuis le départ et nous avons toujours été précurseurs sur cette offre du fait de notre histoire dans le monde des annuaires (avec Novell Directory Services). En outre nous sommes le seul acteur de ce marché à être leader dans le Magic Quadrant de Gartner à la fois sur la partie provisioning, la partie gestion des accès et le SIEM. Et notre taille fait de nous un acteur global mais à taille humaine – donc flexible. J’ajouterais que notre vision Open Source rend nos solutions totalement ouvertes sur les standards.

En termes de différentiateurs, je pense enfin qu’il est critique au moment de faire un choix, de vraiment vérifier les références des éditeurs que ce soit les très grandes mais aussi les plus modestes. C’est souvent riche d’enseignement sur la maturité de l’offre et sur la qualité du couple éditeur/intégrateur.

Ln.net : La gestion d’identités est d’abord un projet organisationnel,

néanmoins, l’offre de suites intégrées masque la pauvreté de l’offre en

conseil, en cabinet de consulting. On a d’un côté les éditeurs et leurs

professionnal services (qui ne sont pas des experts en

consulting/conseil), de l’autre une multitude d’intégrateurs divers,

souvent de taille modeste, dont le conseil n’est pas le métier. Où sont

les grandes sociétés qui apporteraient l’indispensable brique conseil,

à l’image de ce qui existe dans le monde des ERP par exemple ?

Je pense que votre constat est peut-être un peu sévère même si dans les grandes lignes je vous rejoins assez. Il ne faut cependant pas occulter le fait que l’offre IAM requiert de très bonnes compétences de la part des intégrateurs tant du point de vue technologique que du point de vue de la compréhesion des process d’entreprise associés. Il existe en France une dichotomie forte entre les acteurs traditionnels du conseil et de l’intégration tels que ceux que vous citez et qui sont par essence pertinents sur les aspecst de conseil mais je constate aussi qu’il existe un marché de spécialistes auquel d’ailleurs les acteurs traditionnels sous-traitent souvent des problématiques IAM pointues. Je pense à des acteurs comme Business & Décision, Dictao, Devoteam ou Telindus qui bénéficient d’une expertise pointue dans des domaines tels que la fédération d’identités, l’authentification forte ou la corrélation d’événements. Enfin il existe aussi des spécialistes du conseil à taille tout à fait respectable. Je pense à Solucom par exemple qui est très présent dans les grandes entreprises ou Vitalix qui compense sa taille par son expertise fonctionnelle. Le tout est de combiner les deux : l’approche conseil ainsi que l’expertise technique adaptée.

Ln.net : L’Open Source a t-il un rôle important à jouer en matière d’IAM ? Une suite OpenSource capable de rivaliser avec l’offre actuelle est elle envisageable ?

Absolument. L’Open Source est un phénomène inéluctable et l’IAM n’y fait pas exception. A ce jour il n’existe cependant pas de solution Open Source IAM fonctionnellement aussi riche qu’une offre de type plus classique. Cependant il existe déjà des briques et une volonté notamment chez Novell de créer une solution via le projet Bandit réalisé en collaboration avec d’autres acteurs Open Source. Bandit est un projet Open Source qui vise à offrir un accès simple aux applications à de multiples systèmes de stockage d’identités, supporter de multiples méthodes d’authentification enfichables, proposer une interface applicative simple pour unifier les politiques d’accès basées sur les rôles et enfin permettre aux applications de participer à un système de contrôle de conformité commun. Novell joue un rôle leader dans ce projet.

Ln.net : quelles seront les tendances de 2008 ?

Deux tendances de fond me semblent importantes : l’Open Source dont nous avons parlé mais aussi tout ce qui tourne autour de la gestion de référentiels d’identités composites, la fédération d’identités en étant un exemple.