La conférence utilisateurs et partenaires de CA, CA World, a confirmé l’orientation tout IAM (Identity and Access Management, Gestion des Identités et des Accès) de l’éditeur dès lors qu’il est question de sécurité des systèmes d’information. En l’espace de quelques semaines, CA a fait l’acquisition de deux sociétés, toutes deux dans le domaine de l’IAM: IDFocus début octobre et plus récemment, le 13 novembre, Eurekify. La première lui apporte une technologie de séparation des fonctions (SoD pour Segregation of Duties en anglais), la seconde des fonctions de découverte des rôles (Role Discovery, en anglais).

La combinaison des deux technologies renforce les capacités de Role Management (gestion des rôles) de l’offre IAM Identity Manager de CA. C’est pour l’éditeur comme pour le marché une étape majeure de l’évolution des suites IAM. Il était temps. L’user provisioning – ou allocation des ressources – qui constitue le coeur d’une offre IAM, ne saurait être performant sans de fortes capacités de gestions des rôles, premier pas d’un projet. Oracle l’a réalisé le premier en faisant l’acquisition en septembre 2007 de Bridgestream, spécialiste du sujet. En février dernier, interrogé par LesNouvelles.net, Christophe Bonenfant, Senior Sales Manager Oracle Identity & Access Management, confirmait le retard du marché: « La brique qui semble insuffisamment mature est le Role Management ». Sun a suivi en novembre 2007 en mettant la main sur Vaau, avec lequel l’éditeur était partenaire depuis plusieurs mois. Cette acquisition apparaissait alors comme une réponse au mouvement opéré par Oracle.

CA aura mis plus de temps pour réagir, procédant à deux achats en cette fin 2008. Dave Hansen, Corporate Senior Vice President et General Manager Security Business Unit de CA, et ex CIO (Chief Information Officer) de l’éditeur le reconnaît : « Lorsque j’occupais le poste de CIO, et que j’ai étudié l’ensemble de notre portfolio, ce que nos concurents avaient, j’ai réalisé exactement ce que vous relevez: nous avons été lents dans l’adoption de ces technologies. Mais précisons que nous avions alors un partenariat solide avec Vaau, qui s’est arrêté avec l’acquisition de cette société par Sun ». CA a alors rebondi en nouant un nouveau partenariat avec Eurekify, en mai 2008, avant de décider de l’acquérir. Cette décision met en revanche IBM dans la même position que l’était CA suite au rachat de Vaau par Sun. Big Blue est l’un des partenaires d’Eurekify, et n’a pas de solution maison de Role Management. « La solution d’Eurekify est utilisée par divers éditeurs, intégrateurs, et nous n’allons pas détruire cette opportunité de marché, cette source de revenus. La technologie sera intégrée dans notre suite IAM, mais continuera d’être offerte en tant que produit, et utilisable donc conjointement avec les solutions IAM d’IBM, de Sun ou autres » précise Dave Hansen.

Le focus de l’éditeur sur l’IAM, aussi légitime soit-il, ne masque pas son peu d’engagement dans un autre pan de son offre, le threat management (gestion des menaces). Depuis un an, l’éditeur a confié la recherche et le développement produit de l’ensemble de son offre threat management à la société de services indienne HCL Technologies. Dans le cadre de ce partenariat, CA ne conserve que le marketing et la vente. La gestion des menaces est l’un des trois pans de l’offre sécurité de l’éditeur, avec l’IAM et l’administration de la sécurité (Security Information Management). Cet outsourcing du développement produit n’est pas vraiment l’illustration d’un fort intérêt pour le sujet. Interrogé sur la possibilité que ce partenariat démontre que la gestion des menaces n’est pas, n’est plus, aussi stratégique pour CA, Dave Hansen opine du chef, confirmant silencieusement ce que nous pensions. Des signes annonciateurs de cette prise de position étaient d’ailleurs visibles cette année. En octobre, CA Gateway Security est sortie dans sa version 8.1. Or cette solution de filtrage de contenu (antispam, antivirus,filtrage web, filtrage email) était connue auparavant sous le nom d’eTrust Secure Content Manager. Ce produit n’a pas connu d’évolution majeure 18 mois durant. Un attentisme de l’éditeur qui s’explique mal. Peut-être une erreur de jugement: « CA a pensé que le marché allait être occupé à 100% par des appliances » avance Paula Musich, Senior Analyst, Enterprise Security. Le temps que l’éditeur réalise son erreur et tente de rattraper son retard avec la sortie de cette version 8.1 de sa solution rebaptisée, pourrait lui coûter cher. Quand bien même le sujet de la gestion des menaces n’est pas considéré comme stratégique par CA, laisser le terrain si libre à la concurrence sur un produit  pourrait pénaliser l’ensemble de la gamme. Et le manque de contrôle sur le développement produit (confié à HCL) est une raison de ne pas être optimiste.

Le positionnement stratégique de CA sur la gestion des menaces soulève aussi la question de l’intérêt de la société pour un autre sujet montant en puissance, celui du DLP (Data Leakage Prevention, ou prévention de la fuite de données), évolution probable des systèmes classiques de gestion des menaces.  « Il n’est pas dit que le DLP doit être vu par l’angle de la gestion des menaces » oppose toutefois Dave Hansen, « Si nous nous équipons d’une offre DLP, il n’est pas certain qu’elle soit dans la division Threat management. Ce qui manque à beaucoup des solutions DLP du marché, est le lien avec les identités des utilisateurs ». Pour l’heure, CA réfléchit à l’opportunité d’entrer sur le marché du DLP, et par quel moyen: développer une solution, en acquérir une, ou nouer un partenariat. Ce développement quoiqu’il en soit pourrait ne pas être assuré par HCL Technologies. « Si nous décidons que le DLP est stratégique pour CA, le développement d’une solution sera pris en charge en interne » affirme Dave Hansen.