Oracle prend le relais dans notre série d’entretiens avec les acteurs majeurs du marché de la gestion des identités et des accès. Christophe Bonenfant, Senior Sales Manager Oracle Identity & Access Management, expose le positionnement de l’éditeur.

LesNouvelles.net: Pensez vous que la phase de consolidation est achevée dans la courte histoire de la gestion des identités et des acccès ?

Christophe Bonenfant, Oracle:  La phase de consolidation du marché de l’IAM (Identity & Access Management, ndlr) a permis aux grands éditeurs de se positionner en fournisseur des briques technologiques nécessaires aux entreprises pour mettre en place une infrastructure qui devient critique et nécessite donc le support d’acteurs de dimension significative. On peut considérer qu’une première étape a été franchie et parmi les acteurs majeurs, Oracle dispose désormais d’une offre complète étendant d’ailleurs l’IAM à la GRC – Governance, Risk & Compliance.

La consolidation n’est pas nécessairement achevée, il reste des briques technologiques complémentaires, comme la gestion avancée de la séparation des rôles dans l’IAM et les applications d’entreprise, ou le role mining qui n’en est qu’à ses débuts.

Chez Oracle, l’actualité des derniers mois démontre que la consolidation se poursuit, avec en 2007 l’acquisition de Bridgestream, outil de Role Management et de Role Mining, apportant une dimension plus fonctionnelle à la gestion des rôles, et celle de LogicalApps dans le domaine de la GRC (Governance, Risk & Compliance). Pour aller encore plus loin dans la couverture fonctionnelle, Oracle s’est également doté d’une solution d’authentification forte et de gestion du risque avec l’acquisition de Bharosa, ciblant plus spécifiquement les marchés de la banque en ligne et des sites e-commerce, mais au champ d’application tres large qu’il nous reste a expliquer au marché !

Ln.net: Si des briques complémentaires sont encore à intégrer, est ce à dire que l’IAM n’est pas arrivé à maturité ?

L’offre d’IAM est suffisamment mature sur le plan technologique et il est en effet possible de déployer à grande échelle des solutions de Web SSO, de provisioning, de fédération, comme l’attestent nos références. Les produits existent et sont stables, et les compétences pour la mise en oeuvre sont là. La brique qui semble insuffisamment mature est le Role Management. RBAC (Role-Based Access Control, ou contrôle d’accès à base de rôles, ndlr) a montré ses limites et ne répond pas aux enjeux de flexibilité organisationnelle des entreprises, de gouvernance et de conformité réglementaire. La plupart des projets finissent par se réduire à la gestion de quelques rôles techniques, ou deviennent tellement complexes qu’il sont abandonnés ; cela peut aller jusqu’à avoir un nombre de rôles et de groupes d’autorisation plus important que le nombre d’utilisateurs, cela rend le système trop difficile à gérer.

Si les technologies sont matures, il faudra encore un peu de temps du côté des entreprises pour les mettre en oeuvre, notamment concernant le provisioning et le role management. Ces domaines contribuent à la sécurité  et à la gouvernance du système d’information, mais sont plus complexes à mettre en oeuvre, car leur valeur ajoutée est directement liée à l’intégration aux fonctions métiers de l’entreprise. Cela nécessite une bonne maîtrise des processus de gouvernance en matière de gestion des rôles, d’attribution d’habilitations, de contrôle et d’audit. La maturité se constatera lorsqu’un projet IAM se concevra avec le niveau de réflexion d’un projet CRM ou HRM, lorsque la notion de rôle et responsabilité sera prise en compte entre le SI et l’organisation, lorsque la gestion de crise ne sera pas le seul moyen de déclencher une cartographie. Sur ce point, la maturité des clients doit encore progresser pour gérer et déployer l’IAM au sein de leurs organisations. Il est en effet difficile de trouver un responsable de l’IAM au sein des grands groupes, chargé de coordonner les besoins et les activités des utilisateurs (Sécurité, RH, Finance, Applications métiers) et de l’informatique. De plus, la gouvernance de l’IAM est rarement mise en place dans les entreprises, ce qui se traduit par une faible adoption des solutions déployées ou par une évolutivité limitée, voire inadéquate, aux enjeux de l’entreprise.

Ln.net: Comment différencier les différentes offres entre des suites proposant quasiment les mêmes fonctionnalités, les mêmes briques ?

La différenciation ne se fait pas sur un plan technologique, ni sur les fonctionnalités. Chez Oracle, la gestion des identités et des accès est vue comme l’un des composants d’une stratégie plus large de GRC – Governance, Risk & Compliance -, qui recouvre la protection des données, des documents, des identités et des accès, et le contrôle des droits dans les applications métiers. L’ensemble vise à assurer la bonne gouvernance et le contrôle du risque dans le système d’information, lié ou non à des règlementations de plus en plus nombreuses. La différenciation entre les offres pour nos clients résidera donc dans la vision d’une politique de sécurité globale et son alignement avec la stratégie de l’éditeur. Pour nos clients applicatifs, qui gèrent les ressources humaines avec Peoplesoft et leur ERP finances avec eBusiness Suite ou leur CRM avec Siebel, Oracle apporte des fonctions de gestion des identités parfaitement intégrées avec les besoins de ces applicatifs et une roadmap intégrant nativement ces fonctions à terme dans les architectures Oracle Fusion Applications vers lesquelles ils évolueront à terme.

La différenciation de l’offre est donc caractérisée par une vision qui intègre en son coeur la dimension des applications, par une approche top-down (applications vers infrastructure), par l’intégration à une approche GRC, et par une implémentation SOA (de type Identity as a Service).

Ln.net: En parallèle de la technologie, quel constat faites vous de l’évolution de l’offre de conseil ?

Le conseil en IAM, et particulièrement en France, est longtemps resté le domaine réservé de quelques acteurs de niche, disposant de fortes compétences dans un domaine spécifique de l’IAM et de la sécurité, souvent issues d’une expertise dans l’infrastructure. Avec les liens de plus en plus forts de l’IAM avec la GRC, les acteurs du conseil investissent de plus en plus sur cette expertise, dans le cadre de projets de conformité réglementaire ou d’architecture orientée services (SOA). C’est le cas de sociétés telles que Deloitte, Protiviti, Ernst & Young. D’autres acteurs présents dans les problématiques d’urbanisation intègrent également de fortes expertises (Arismore, Octo Technology, Unilog Management).  Enfin nous travaillons régulièrement avec les grands intégrateurs tels que Cap Gemini, Steria, Business & Decision ou BT, disposant de la double compétence conseil et intégration dans les domaines applicatifs et Sécurité.

Par ailleurs, conscient des impacts organisationnels de ces projets, Oracle s’est doté au sein de son équipe Consulting, en plus des habituelles expertises techniques, de ressources à même d’accompagner nos clients dans la définition de leur programme IAM, dans l’alignement des services au regard des enjeux de l’entreprise et dans les aspects plus fonctionnels de ces projets.

Ln.net: quels sont les partenaires d’Oracle en matière d’IAM ?

En France,  nous avons formé une cinquantaine de consultants chez une quinzaine de partenaires, spécialistes ou grands intégrateurs. Kernel-Networks, Dictao, Arismore, Harmonie-Technologie, Cyber-Networks, Solucom chez les spécialistes. BT Consulting, Business & Decision, Steria, Capgemini, Unilog Management, Thales chez les grands intégrateurs.

Plus largement en Europe et dans le monde, les principaux partenaires globaux sont Accenture, BT, Capgemini, Deloitte, EDS, KPMG, PWC, Wipro.

Ln.net: qu’apportent les normes et standards, WS-Security, Liberty Alliance et consorts ?

Certains de ces standards ont réussi à s’imposer et sont aujourd’hui incontournables pour des services d’infrastructures de base de l’IAM. C’est le cas de LDAP et DSML pour l’accès aux annuaires LDAP, SAML 1.0 et 1.1 pour l’authentification croisée entre plusieurs sites Web, WS-Security pour la sécurité des Web Services, WS-Federation pour la fédération entre annuaires AD de Microsoft, SPML pour le provisoning (mais qui reste peu répandu à ce jour dans les applications).

De plus, Liberty Alliance s’impose dans les fonctions avancées de fédération et trouve essentiellement ses domaines d’applications dans le secteur public et les télécommunications, comme c’est le cas pour le portail de l’administration française et pour Orange qui utilise le standard Liberty Alliance pour ses services en ligne.

En revanche, ces standards ne sont pas suffisamment mûrs pour constituer un ensemble de services d’identités au sens SOA. Pour cela, ils doivent être complétés par d’autres standards, comme la définition d’attributs d’identités en ligne, ou encore la définition des autorisations d’accès aux attributs d’identités. Oracle est un acteur majeur dans ce domaine, et contribue à l’élaboration de ces nouveaux standards.

Ln.net: Comment voyez vous l’évolution du marché et des technologies, et quelle est la roadmap d’Oracle sur l’IAM ?

Nous pensons que les services d’identités seront consommés à terme directement et nativement par les applications. C’est la raison pour laquelle Oracle s’est doté d’une offre qui lui permet d’anticiper cette tendance, en tant que fournisseur de solutions applicatives et de logiciels middleware.

Notre roadmap est donc structurée autour de cette thématique, et offre dès aujourd’hui l’intégration avec les applications Oracle ou SAP, mais aussi des applications plus spécifiques comme dans le domaine du service desk avec BMC Remedy par exemple.

Notre roadmap prévoit des évolutions fonctionnelles dans le domaine des interfaces de gestion des différents modules, l’autorisation fine (Fine Grain Authorization), l’intégration avec la GRC (Oracle GRC, SAP Virsa…), l’administration et le reporting avec l’utilisation de solutions telles que Oracle BI Publisher, l’intégration des fonctions de Role Management et de Role Mining, et la gestion du risque.

A moyen terme, les efforts sont portés sur le modèle Identity Services Framework, visant à normaliser les interfaces entre applications et services d’identité, et la normalisation des composants middleware tels que les workflows avec BPEL.