La convention Pulse d’IBM, qui s’ouvre ce jour à Orlando, ne marque pas par son lot de nouveautés en sécurité. La seule annonce significative concerne une nouvelle version de Tivoli Federated Identity Manager (FIM). Elle se distingue de la précédente par un support de framework d’identités tels qu’OpenID, Microsoft Windows CardSpace, et Higgins. FIM devient aussi compatible avec  les méthodes d’authentification utilisées par .Net, WebSphere, SAP NetWeaver, Oracle et CA. Notons qu’avec FIM, IBM est le premier éditeur à notre connaissance à proposer une solution de fédération des identités supportant OpenID. Si l’idée est louable, l’histoire a montré que les projets de fédération d’identités sont bien rares, les entreprises étant déjà bien concentrées sur leur projet d’IAM (Identity and Access Management). Une nouvelle version de FIM (disponible en juin 2008), c’est bien, mais peut-être pas le plus utile au marché.

D’une société de l’envergure d’IBM, on attend mieux. Cet acteur arrive en 2008 avec cette nouvelle convention au bout d’une vague d’une vingtaine d’acquisitions réalisées depuis 1996, dont plusieurs en sécurité. Trois d’entre elles, majeures, caractérisent plus que les autres l’identité d’IBM dans le monde de la sécurité des Systèmes d’Information: Tivoli, Micromuse et  ISS.

La première date de 1996. Sous le giron d’IBM, Tivoli est devenue sa division à la croissance la plus rapide, passant de 50 millions de dollars de chiffre d’affaires en 1996, lors de l’achat, à plus d’1 milliard de dollars. Cette division a permis à Big Blue de faire ses gammes dans la gestion de systèmes. Une brique de ce domaine concerne l’administration de la sécurité. IBM Tivoli détient désormais près de 20% de part de marché dans le system management, et figure parmi les leaders dans les logiciels de gestion du réseau, parmi lesquels on retrouve l’offre sécurité.

Du system management au service management, il n’y a qu’un pas, franchi en 2006 avec l’acquisition de MRO Software. Cet écosystème de gestion des différentes ressources de l’entreprise a donné les clés à Tivoli pour développer une offre qu’on pourrait qualifier d’user management. Ainsi IBM Tivoli a su s’imposer dans la gestion des identités et des accès (Identity and Access Management, IAM, en anglais). Désormais pas moins de 9 produits composent sa gamme d’IAM. Une offre sécurité renforcée en 2005 par le rachat de Micromuse, un spécialiste de la corrélation des événements de sécurité (via des outils nommés SIM pour Security Information Manager). IBM repasse une couche sur l’administration de la sécurité, en corrélation avec celle des réseaux.

Dernière étape fondatrice, en 2005, en mettant la main sur ISS, l’éditeur fait coup double. D’une part il se renforçe dans son offre de services infogérés de sécurité (Managed Security Services ou MSS). D’autre part, il se dote d’une offre de produits de sécurité autour de la prévention d’intrusion. S’il a semblé qu’IBM était plus intéressé par l’expérience d’offre de services d’ISS, Steve Mills, Senior Vice President d’IBM Software Group, rappelle l’importance de l’offre logicielle: « nous voulons gagner des parts de marché dans le logiciel, notre stratégie de développement reste focalisée sur les produits concernant ISS. Nous ne développons pas de produits pour notre offre de services. Notre marketing est orienté sur les produits ».

IAM, MSS, administration de la sécurité, prévention d’intrusion et gestion des menaces, sont les piliers de l’offre de sécurité d’IBM. De nombreux segments de sécurité sont couverts. IBM est ainsi capable de couvrir des sujets aussi divers que la classification de données pour un contrôle d’accès au niveau de la donnée, la prévention d’intrusions sur le poste de travail, la gestion des vulnérabilités, comme la gestion des clés de chiffrements dans le stockage. Cette diversité va de pair avec un manque d’intégration. Ce qui a – par exemple – été réalisé dans le system management – avec des liens entre la Change and Configuration Management Database et les divers produits de Tivoli – tarde à venir en matière de sécurité. Cette intégration serait en route: « C’est au nombre des initiatives d’intégration que nous menons. L’ensemble des produits Tivoli et la CCMDB (Change and Configuration Management Database) vont partager le même modèle de sécurité, en bénéficiant tous de fonctions de sécurité communes » annonce Al Zollar, IBM Tivoli General Manager.

En termes de vision, IBM déçoit aussi quelque peu. Force est de constater que l’offre sécurité ne s’est construite au fil des ans qu’à coups d’acquisitions. Certes elles furent souvent pertinentes, et les ressources obtenues bien exploitées. En l’espace d’un an, IBM a su se servir d’ISS comme levier pour devenir leader du marché mondial des MSSP. Cependant IBM apparaît plus comme un suiveur qu’un innovateur. Interrogé sur son intérêt pour le DLP (Data Loss Prevention) – qui est avant tout une approche rationnelle et innovante à la fois de la sécurité de l’information – Al Zollar se montre peu enthousiaste et convaincant. Il cite la sortie récente de Tivoli Key Lifecycle Manager (solution de gestion des clés de chiffrement des périphériques de stockage), comme socle de l’approche DLP de Tivoli. Une vision par le petit bout de la lorgnette en comparaison d’acteurs comme EMC, Trend Micro ou Websense, sérieusement engagés dans cette voie. Tout juste conclut-il, en guise de rattrapage, qu’il faut s’attendre à plus d’annonces en matière de DLP de la part d’IBM. Une nouvelle acquisition ne serait pas une surprise. Plus de deux ans après les tentatives de BMC de poser une passerelle entre sa CMDB et son offre IAM, IBM ne semble toujours pas prêt à en proposer autant. Al Zollar voit l’intérêt quand la question lui est soulevée, mais rien n’est prévu dans une roadmap de produits.

Tout le discours en matière de sécurité des dirigeants d’IBM manque de conviction, de vision d’ensemble. Avec Tivoli, l’éditeur dispose d’un hérault de l’administration de systèmes, de ressources. Le dénominateur commun de sa gamme est la gestion de la donnée. A l’heure où il s’avère que la gestion de la sécurité est avant tout une question de gestion de données, IBM a donc toutes les armes pour proposer des solutions combinant services et produits. Lesquelles feraient la part belle à ses diverses compétences, à commencer par celles sur les bases de données, les data warehouse, la business intelligence, la réconciliation d’identités (issue de la société SRD acquise en 2005). Ce serait l’occasion de montrer que Big Blue sait aussi être innovant en sécurité.