Cette rencontre avec CA vient clore notre série d’entretiens avec les acteurs majeurs du marché de la gestion des identités et des accès. Yves Le Roux, Principal Consultant, Governance, Risk and Compliance, et depuis plusieurs années security evangelist chez CA, nous livre ses réflexions sur le marché et le positionnement de l’éditeur.

Si la consolidation d’un marché est assez imprévisible, peut on toutefois estimer que celle du marché de la gestion des identités et des accès est derrière nous ?

Yves Le Roux,CA : L’industrie du logiciel, en général, est en pleine consolidation car les éditeurs cherchent à proposer des suites complètes caractérisées par une palette de services et de produits plus étendue et des solutions matérielles et logicielles intégrées. Le domaine de la gestion des identités et des accès couvre un vaste éventail de technologies qu’aucun fournisseur ne peut proposer dans sa totalité. Pour CA, le véritable enjeu consiste à aider ses clients à unifier et simplifier la gouvernance, la gestion et la sécurité de l’ensemble de leurs opérations informatiques pour fédérer les personnes, informations, processus, systèmes, réseaux, applications et bases de données, des services Web au mainframe et ce, quels que soient le matériel ou les logiciels qu’ils utilisent. 

En termes technologiques, l’offre est-elle mature ?

Au fil du temps, les entreprises ont adopté des vagues successives de nouvelles technologies de l’information pour tenter de réduire leurs coûts et de rationaliser leurs opérations. Si ces technologies ont rempli leurs missions, elles ont également accru la complexité des environnements informatiques, devenus difficiles à gérer et à sécuriser. Dans le même temps, les entreprises sont devenues tributaires de l’informatique de sorte que la gestion et la sécurité de leur environnement sont aujourd’hui des questions d’ordre stratégique.

Pour unifier et simplifier la gestion des identités, il leur faut adopter une approche d’architecture orientée services (SOA pur Service-oriented architecture, ndlr). Cette SOA prend en charge un ensemble de services communs, dont l’accès repose sur des standards ouverts, qui assure les fonctions de gestion des identités et des accès. Les applications et processus métiers sont découplés des services d’identité et ces services mettent en place un seul modèle de sécurité commune. Les services Web s’imposent comme la technologie centrale pour implémenter les architectures orientées services.

Cette approche contribue à réduire les coûts de gestion en simplifiant les processus d’identification et d’administration des utilisateurs. Elle facilite la gestion systématique de la logique des processus métier dans les logiciels applicatifs. Par ailleurs, elle offre une plus grande flexibilité permettant ainsi à l’entreprise de répondre aux glissements des besoins métier et de mettre en place les règles de sécurité requises pour garantir la conformité aux nouvelles réglementations.

Si une transaction doit s’exécuter sur une multitude d’applications et de serveurs, la sécurité doit s’appliquer efficacement à cette distribution, que ce soit sur les routeurs réseau, serveurs web, serveurs d’application ou appareils de sécurité dédiés. Beaucoup de services ont besoin de partager des informations sur les règles liées aux identités et aux accès. Les architectures orientées services sont une solution à ce problème dans la mesure où elles assurent les fonctions de la gestion des identités et des accès comme des services.

Comment différencier des suites qui – du fait de la consolidation – ont tendance à toutes se ressembler dans leur architecture et leurs fonctionnalités ?

La valeur d’une suite se mesure en fonction de sa capacité à prendre en charge les besoins métier d’une entreprise, autrement dit son aptitude à s’intégrer aux applications et processus métier et à les optimiser :

     Les composantes technologiques (briques) doivent satisfaire les besoins métier et meilleures pratiques sectorielles. Elles doivent fonctionner en synergie avec les plates-formes et applications existantes et s’adapter à l’évolution des besoins de l’entreprise. Par ailleurs, elles doivent sous-tendre les processus métier pour offrir une plus grande agilité à l’entreprise. Les produits de CA s’inscrivent dans notre modèle Enterprise IT Management (EITM) qui se fonde sur les pratiques d’excellence telles que COBIT, ITIL et IS2700x. La solution de CA est indépendante de toute plate-forme et extensible à des centaines de millions d’utilisateurs.

     Les composantes doivent s’intégrer et fonctionner en harmonie avec les autres processus de gestion de l’infrastructure, qu’il s’agisse de la gouvernance et de la gestion des systèmes ou de la technologie et des processus de sécurité choisis. L’intégration au centre d’assistance ou aux systèmes de RH et de GRC en est un bon exemple. IAM est la clé de voûte de la stratégie EITM de CA qui couvre ces différents domaines.

     Les composantes de la suite doivent être bien intégrées pour présenter une interface utilisateur uniforme et une architecture technique cohérente. Alors que l’industrie en général poursuit la consolidation et intègre en conséquence différents produits au sein d’une même suite, CA travaille sur une suite intégrée depuis l’an 2000. Nous sommes donc en mesure de proposer des produits fédérés au sein d’une même plate-forme dont les niveaux d’extensibilité sont éprouvés du mainframe aux services Web.

Comment traitez vous l’aspect organisationnel, phase majeur d’un projet d’IAM ? Sur quels partenariats reposez vous ?

La gestion des identités et des accès est étroitement liée aux processus métier. Pour réussir, un projet doit donc s’inspirer des besoins métier et être soutenu par les leaders. CA a établi un partenariat avec Deloitte & Touche LLP qui peut proposer ce type de services dans le monde entier.

La méthode adoptée par les Services de sécurité et de confidentialité novateurs de la division Enterprise Business & Security Optimization (EBSO) chez Deloitte & Touche pour les solutions et services de gestion des identités et des accès propose un alignement stratégique sur les besoins métier et l’intégration de la technologie pour mener à bien cette stratégie.

EBSO a recours à une approche de la gouvernance axée sur les risques pour identifier les besoins des entreprises et aligner les mises en oeuvre de la technologie sur ces impératifs. Cette approche peut aider les clients à satisfaire plus efficacement leurs objectifs opérationnels, même s’ils sont confrontés à des ressources informatiques hétérogènes, des contraintes budgétaires, des impératifs de conformité et de réglementation, dans un marché en rapide évolution.

Deloitte & Touche a conçu et développé une solution de déploiement rapide qui éprouve l’utilisation de différentes solutions CA telles que Clarity Project & Project Portfolio Management (PPM), CA Wily Introscope et Customer Experience Manager (CEM) et les logiciels de gestion de la sécurité de CA. Cette approche aide Deloitte & Touche à répondre aux besoins des entreprises dans des implémentations technologiques planifiées tout en validant les cas d’utilisation pour les caractéristiques techniques, fonctionnelles et opérationnelles.

La méthode fondée sur les cas d’utilisation de Deloitte & Touche identifie également les « processus hybrides » qui ouvrent de nouvelles voies d’optimisation opérationnelle et d’innovation technique. Ces processus hybrides permettent un contrôle logique des activités jusqu’alors mal intégrées. L’intégration des processus hybrides au sein d’une approche reposant sur les cas d’utilisation assure un modèle de gouvernance contrôlée et unifiée et un environnement d’exploitation optimisé.

Si nous travaillons beaucoup avec Deloitte, nous faisons également appel à un vaste réseau de partenaires de service dans différents pays, par exemple récemment Cap Gemini (Royaume-Uni), Enline (Royaume-Uni), Bearing Point (Irlande), Cornastone (Afrique du Sud), Fujitsu (Australie).

En France, nous avons développé un partenariat plus spécifique avec des entreprises telles qu’Altasys, Arismore, et Idesys (Groupe Solucom). Ces entreprises ont d’excellentes compétences sur nos produits et sont capables d’accompagner nos clients tout au long de leur projet d’IAM (Identity and Access Management, ndlr).

S’il est un sujet sur lequel les éditeurs sont discrets, c’est bien celui du coût de l’IAM. Quel est le modèle tarifaire de la suite IAM de CA ?

La solution de gestion des identités et des accès englobe un certain nombre de produits dont l’intégration est synergique mais qui peuvent également être déployés de manière autonome si les besoins métier ne nécessitent pas l’ensemble de la solution. Ces solutions individuelles peuvent être adoptées progressivement, complétées par des modules supplémentaires par étape si nécessaire, pour offrir les fonctionnalités complètes dictées par les priorités de l’entreprise. La tarification des modules individuels est basée sur le nombre d’utilisateurs ou de serveurs, selon le cas.

Selon les offres de produits individuels, plusieurs options sont proposées. Par exemple, pour Identity Manager, un nombre de connecteurs de provisioning est fourni en standard pour Windows, UNIX, Linux etc., et un nombre de connecteurs Premium est disponible pour Open VMS, OS/400, Peoplesoft RSA ACE, à un coût supplémentaire.

De même, pour SiteMinder des options telles que les services de fédération, l’authentification mobile et Radius Server, sont proposées à un coût supplémentaire.

Le Role Life Cycle Management émerge comme thème majeur des projets d’IAM. Comment l’abordez vous au sein de CA ?

CA Identity Manager avec Eurekify Enterprise Role Manager aide les clients à mieux gérer le cycle de vie des identités.

Le 14 mai 2008, CA a annoncé un accord avec Eurekify qui offre aux clients une approche plus efficace pour mettre en oeuvre une solution de gestion des identités leur permettant de gérer et de contrôler le cycle de vie des identités de bout en bout, tout en assurant la conformité.

La combinaison de CA Identity Manager avec Eurekify Enterprise Role Manager garantit aux clients un système de « provisioning intelligent » qui leur permet de nettoyer les données d’identité dans un premier temps puis de modéliser les rôles en fonction des meilleures informations disponibles. Ce système fiabilise l’automatisation du processus de provisioning et optimise la gestion du cycle de vie des identités.

Dans le cadre de cet accord, CA revendra Eurekify Enterprise Role Manager, pour aider les clients à accélérer la découverte, la modélisation et la gestion des rôles d’entreprise à l’aide de la technologie avancée de reconnaissance de modèle d’Eurekify. Les données de rôle d’Eurekify seront insérées dans CA Identity Manager, que les clients utilisent pour simplifier les différentes étapes (création, modification, suppression) de la gestion du cycle de vie des identités. Les fonctionnalités analytiques d’Eurekify s’intègreront facilement aux processus de CA Identity Manager pour recommander des rôles et vérifier leur cohérence en temps réel.

De plus, cet accord simplifie le processus d’achat pour les clients qui souhaitent ne traiter qu’avec un seul fournisseur pour l’approvisionnement, le déploiement, le service et le support de leurs besoins de gestion des identités.

Quelle est la position de CA sur les divers normes et standards – WS-Security, Liberty Alliance et consorts ? Sont-ils véritablement un sujet de préoccupation pour une entreprise en cours de déploiement d’une solution IAM ?

Le véritable facteur pour dynamiser l’innovation qui réduit la complexité de l’informatique est l’établissement de standards ouverts car cette ouverture permet à chaque éditeur d’innover à sa façon tout en étant sûr que ces innovations seront compatibles avec celles des autres. Si nous parvenons à atteindre cet objectif de standards ouverts, nos clients pourront alléger la complexité et tirer pleinement parti des avantages rendus par leurs infrastructures informatiques à un coût nettement moindre. Par ailleurs, l’innovation pourrait prendre un essor sans précédent.

Les standards cités dans votre question sont complémentaires. De fait, leur choix dépend du problème que l’entreprise cherche à résoudre. Par exemple, le standard SAML a révolutionné la fédération des identités.

Comment voyez vous l’évolution du marché et technologies d’IAM ?

Schématiquement,  nous proposons des produits IAM/SIM (Security Information Management, ndlr) qui répondent aux trois facteurs clés de la gestion de la sécurité :

     Les exigences de conformité inspirent les changements apportés aux solutions IAM qui doivent impérativement associer les contrôles de la sécurité informatique aux règles métier et obligations réglementaires. Les solutions IAM/SIM de CA permettent aux entreprises d’automatiser le processus de conformité de la sécurité informatique.

     Pour opérer sur le Web en toute sécurité, les entreprises doivent valoriser les technologies Internet de prochaine génération. Nos solutions IAM et WAM s’adaptent parfaitement à cette nouvelle génération de technologies et au concept des changements d’identité. Les technologies de fédération, SOA, Identity 2.0, Web 2.0 et de Sécurité comme service façonnent la stratégie IAM/SIM de CA pour répondre aux nouveaux besoins des clients en la matière.

     L’informatique doit rendre une valeur optimale à l’entreprise. La vision EITM de CA pour gouverner, gérer et sécuriser l’informatique répond au rôle de la sécurité déterminant pour dynamiser les activités « interfonctions ». Notre stratégie IAM/SIM est alignée sur cette vision EITM pour optimiser l’automatisation, l’efficacité et la prestation des services informatiques.

     En application de sa stratégie IAM/SIM, CA continue de développer une solution IAM dont la gestion centralisée couvre les environnement distribués et mainframe, et les différents types d’infrastructures applicatives (web, J2EE, .NET, ressources système OS, etc.), voies d’accès (web, client-serveur, SOA, IVR, mobile, etc.), et niveaux d’accès (périphérique client, réseau, web, serveur d’application, mainframe, base de données, etc.). Nos clients sont ainsi à même de contrôler les risques de conformité tout en abaissant le coût total de possession de leurs applications Web et distribuées et en améliorant la gestion de leurs environnements existants.