Quel bilan faites vous de l’état du marché français de la gestion des identités, près de deux ans après la fin de la phase de consolidation ?

Olivier Prompt, Sun: Depuis deux ans, le marché français de la gestion des identités est passé du stade d’observation à celui de mise en oeuvre active de solutions. Dans un premier temps, les entreprises ont investi dans des  » proof-of-concepts  » sur des périmètres restreints afin de comprendre quelles pouvaient être les implications de la gestion des identités sur le fonctionnement du système d’information. Aujourd’hui, les projets d’entreprise sont lancés et certaines grandes organisations en sont même à des déploiements massifs, impliquant plusieurs dizaines de milliers d’utilisateurs. Tous les secteurs d’activité sont concernés : la distribution, les services, l’industrie…. A noter que le secteur financier est soumis à des contraintes réglementaires qui rendent la gestion des identités quasiment incontournable aujourd’hui et, d’ailleurs, l’actualité récente a mis en lumière la nécessité de gérer de manière rigoureuse les habilitations dont bénéficient les collaborateurs.

Les fournisseurs ont-ils su s’adapter ?

Oui, leur mode d’engagement des fournisseurs a lui aussi évolué et s’est davantage structuré. On assiste désormais régulièrement à des consultations qui visent d’abord à choisir une solution technologique (IDM, webSSO, eSSO), puis à des appels d’offres destinés aux intégrateurs pour la phase d’implémentation. Si la gestion des identités était plutôt une affaire de spécialistes jusqu’à présent, les grands intégrateurs généralistes se mettent aujourd’hui sur les rangs, preuve que le management de ces projets structurants a pris le pas sur la partie purement technique.

Cependant, les éditeurs, à la demande des clients, restent très présents dans le processus de mise en oeuvre et apportent leur expertise sur la technologie – parfois sur l’organisation – pour garantir la bonne fin des projets. Dans certains cas, ils peuvent même être appelés à prendre la responsabilité globale des projets. Pour sa part, Sun a joué à plusieurs reprises le rôle de maître d’oeuvre et a développé de ce fait un savoir-faire apprécié tant par les clients que par les intégrateurs.

Est-ce que ce contexte a modifié la nature des projets ?

Oui, et c’est d’ailleurs un autre signe de maturité du marché. Jusqu’à présent, il s’agissait essentiellement d’initiatives techniques qui consistaient à consolider les nombreux référentiels utilisateurs présents dans les entreprises. Même si cette démarche fondamentale reste toujours d’actualité, les besoins ont évolué vers les domaines organisationnels et fonctionnels de la gestion des identités. On parle désormais de gestion du cycle de vie de l’utilisateur. Pour les clients, une solution efficace de gestion des identités doit être capable de piloter des processus complets qui vont du traitement des demandes de droits au provisioning des comptes dans les applications ainsi qu’à la fourniture de dispositifs d’authentification forte permettant de sécuriser les accès au SI, aussi bien à l’intérieur des murs de l’entreprise qu’à l’extérieur. En effet, les populations prises en compte sont de plus en plus larges. Ainsi, pour les opérateurs télécoms par exemple, la gestion des identités touche non seulement les collaborateurs, mais aussi, de plus en plus souvent, les clients. Sun a su d’ailleurs déployer des projets de grande envergure dans ce domaine.

La conformité est aussi devenu un levier important…

Celle-ci figure désormais parmi les enjeux stratégiques des entreprises. Il ne s’agit plus seulement de résoudre des problèmes d’habilitation, mais de gagner en transparence pour pouvoir soumettre le système d’information à un audit à tout moment. La gestion des identités doit devenir un outil d’analyse et de prévention du risque dans l’entreprise. A ce titre, Sun propose des outils permettant de modéliser les métiers avec les profils et habilitations associés et de mettre en place les moyens de contrôle afin de prévenir les violations de règles et de tracer les événements en temps réel. La ségrégation des droits, la non-répudiation des actes sont ainsi des thèmes forts de la gestion des identités aujourd’hui.

Quels sont les axes majeurs de développement de la gestion des identités et des accès chez Sun ?

Pour 2008, nous voyons deux axes majeurs de développement de notre activité IAM (Identity & Access Management, ndlr). Tout d’abord, nous allons mettre l’accent sur la gestion des organisations et la gestion avancée des rôles dans l’entreprise. Le rachat de la société Vaau et de son produit RBACx, finalisé le 19 février dernier, va nous permettre d’aider nos clients à modéliser leurs organisations au travers de l’outil Sun Java System Role Manager afin de rendre le système d’information plus agile et plus facilement adaptable aux évolutions du business et de la mission des utilisateurs.

Le deuxième axe est celui de la fédération des identités. Des initiatives de très grande ampleur, à la fois dans le secteur privé et dans le secteur public, vont arriver en phase de déploiement et vont donner un véritable « coup de fouet » à la fédération des identités. La fédération représente en effet à nos yeux l’étape ultime de la gestion des identités et des accès.

Vous accordez donc de l’importance à la fédération d’identités, alors que les projets sont rares ?

La fédération des identités est indispensable pour garantir un accès aux ressources à la fois ouvert et sécurisé, à travers les frontières de l’entreprise. En outre, cette démarche simplifie et rationalise les processus d’accès à un ensemble de ressources de plus en plus complexe.

La fédération des identités s’appuie sur un ensemble commun de règles de partage des informations d’identité – règles validées par les donneurs d’ordre et par les sous-traitants. Les standards (WS-Security, SAML, Liberty Alliance) permettent à plusieurs partenaires d’accéder simultanément à l’identité d’un utilisateur sur plusieurs sites, et d’authentifier cette identité afin d’être certain que l’accès de cet utilisateur est autorisé et sûr. En outre, les partenaires peuvent faire appel aux mêmes procédures pour partager l’accès à leurs ressources au lieu de devoir créer un nouveau jeu de procédures pour chaque relation d’externalisation, comme l’imposent les solutions propriétaires non basées sur des standards.

Quels sont les cas d’usage de la fédération ?

Les entreprises utilisent la fédération des identités normalisée pour faire face efficacement aux principaux enjeux de l’externalisation : évolutivité, qualité de service et sécurité.

Evolutivité : grâce à son modèle normalisé, la fédération des identités étend les procédures d’externalisation à un nombre quasi-illimité de partenaires. Les entreprises mettent en place rapidement et facilement des relations d’externalisation aussi nombreuses et évolutives que nécessaire.

Qualité de Service : la fédération des identités permet à une organisation de déployer rapidement de nombreux services diversifiés, et à ses clients, ou membres, d’y accéder rapidement et facilement. De plus, les fonctionnalités SSO des environnements d’externalisation fédérée offrent un plus grand confort d’utilisation en n’imposant qu’un seul mot de passe pour accéder à différents services.

Sécurité : la fédération des identités favorise la sécurité en appliquant de manière cohérente les standards de fédération pour authentifier les identités des utilisateurs sur différents domaines. Enfin, le mécanisme SSO pour les applications multiples optimise la sécurité en fournissant aux utilisateurs un seul login à retenir, au lieu de la compromettre en les obligeant à noter d’innombrables mots de passe pour être sûrs de ne pas les oublier.

Dans un second temps, la fédération des identités offre des fonctionnalités spécifiques grâce auxquelles les entreprises peuvent recourir à l’externalisation pour bénéficier de certains avantages concurrentiels. Il est ainsi possible d’établir un cadre de travail normalisé composé de procédures cohérentes et récurrentes, afin de fournir un accès ouvert mais sûr à un nombre virtuellement infini de partenaires.

Avantage concurrentiel : la fédération des identités applique un jeu de protocoles standard aux domaines partenaires afin de répondre sans retard aux clients qui souhaitent bénéficier de services variés à partir d’une source unique. La fédération automatise également les processus de prestation de service aux clients, ce qui constitue un nouvel avantage pour les entreprises qui peuvent ainsi commercialiser leurs produits plus rapidement.

économies : la fédération des identités facilite et rationalise le partage sécurisé des ressources entre des partenaires qui peuvent alors réduire leurs coûts en sous-traitant des opérations non essentielles telles que la gestion des ressources humaines ou les services de support informatique. Cela représente une économie potentielle de plusieurs milliers d’heures qui seraient sinon consacrées au développement de nouvelles applications destinées à gérer ces opérations.

Croissance du chiffre d’affaires : lorsqu’une entreprise a mis en place un cadre de fédération afin de fournir rapidement de nouveaux services à ses clients, elle est en mesure d’augmenter le nombre de services qu’elle propose. Une institution financière, par exemple, peut commencer par se mettre d’accord avec un partenaire pour fournir des services de carte de crédit. Ensuite, par l’intermédiaire de la fédération, elle peut augmenter le nombre de ses partenaires afin d’offrir d’autres services à valeur ajoutée, tels que banque et investissement en ligne.

Réaffectation des ressources : l’établissement d’une infrastructure fédérée pour sous-traiter les opérations non critiques permet à une entreprise de consacrer ses compétences informatiques à ses vraies priorités au lieu de les affecter à des travaux non prioritaires et qui ne permettent pas à ses talents de s’exprimer pleinement et de manière optimale.

La Fédération des Identités est très certainement le prochain grand moteur de la gestion des identités. Aujourd’hui cette problématique est essentiellement adressée par les gouvernements et les très grandes institutions. Mais l’on peut observer qu’en France, le secteur Finance/Assurance est aujourd’hui dans une démarche d’adoption concrète dans laquelle Sun a déjà une expérience à proposer et des produits adaptés (Access Manager, Fédération Manager, Open Federation Library…).

Comment structurez vous votre offre d’IAM ?

Sun a mis l’accent sur les points suivants :

Provisioning « packagé »: Sun fournit chaque jour davantage de fonctionnalités en standard dans son produit. La maturité du marché a amené Sun à intégrer ses meilleures pratiques dans le produit afin d’accélérer les déploiements et de diminuer les coûts d’administration de la solution.

Audit de l’ERP: Sun fournit un module d’audit, Identity Auditor, afin de permettre à ses clients d’auditer leurs systèmes ERP et de vérifier leur conformité. C’est la raison pour laquelle Sun a noué des partenariats avec les sociétés Virsa et Approva pour réponde à ce besoin.

Role management : Sun Identity Manager offre une couverture complète de la gestion des rôles à travers la mise en place de règles métier. La gestion des rôles est un sujet d’actualité pour de nombreux clients. La plupart veulent déployer un système de provisioning basé sur les rôles et s’intéressent au mapping entre les rôles informatique et les rôles métier. Sun a récemment fait l’acquisition de la société Vaau pour répondre à ce besoin.

Gestion de la sécurité physique et logique: Ces 12 derniers mois, de plus en plus de clients ont commencé à considérer le système de provisioning comme un moyen de centraliser la gestion de tous les droits d’accès et pas uniquement les droits d’accès aux applications. C’est une manière de faire converger la sécurité physique et la sécurité logique en utilisant des dispositifs d’authentification forte. Sun a conclu des partenariats avec ActivIdentity et Avencis (en France) pour fournir une solution complète.

Gestion fine des habilitations:  Les clients qui ont déployé avec succès notre solution de provisioning cherchent désormais à gérer les droits d’accès avec un plus grande finesse. Par exemple, il s’agit d’aller au-delà de la notion de groupe ou de rôle dans les applications et de créer des droits d’accès de niveau système. Nous avons commencé à enrichir les fonctionnalités de nos adaptateurs, en particulier vis-à-vis de l’ERP d’Oracle.

En ce qui concerne les partenaires, quel est l’éco système mis en place ?

Depuis 4 ans nous avons développé de nombreux partenariats très actifs (BT, Accenture, Cap, ATOS, Unilog, Dreamsoft, Octo, Kernel Networks, Athéos, B&D, 8-i…) au travers d’un accompagnement constant sur les phases d’avant-vente et de réalisation des projets et autour d’un très ambitieux programme de formation et de certification (formation classiques, bootcamp d’immersion, séminaires, portail communautaire très actif…).

Les sociétés ont pour certaines très fortement investi dans l’offre produit de Sun et dans l’approche projet que nous proposons (plusieurs dizaine de consultants formés par société). Des cabinets de conseil, de MOA ou d’intégration tel quel BT, Solucom, Accenture, Octo, Harmony Tech, Athéos… sont très au fait des solutions disponibles sur le marché (dont celle de Sun) et proposent aujourd’hui leurs propres méthodologies sur la définition des besoins tout comme la mise en oeuvre efficace et prouvée (références) de ces projets de gestion des identités.