A ma gauche, la sécurité traditionnelle faite d’anti-virus et autres anti-spywares. Pour elle, un virus est un virus.

A ma droite, la gestion des identités et des accès, un domaine largement plus pétri d’organisation et de processus que de technologie, pour lequel rien ne ressemble moins à un utilisateur qu’un autre utilisateur.

Ces deux domaines ont-ils intérêt à collaborer ? C’est en tout cas ce que pense Microsoft, qui fusionnait il y a neuf mois sa Business Unit sécurité à celle dédiée aux solutions de gestion des identités et des accès (essentiellement Microsoft Lifecycle Identity Manager, devenu Forefront Identity Manager). Mais ce n’est que plus récemment, à l’occasion de la RSA Conference 2009, que l’éditeur formalisait sa nouvelle vision : rendre la sécurité plus contextuelle.

Sur le papier l’idée a du sens : « Un accès doit bien entendu être accordé en fonction de l’utilisateur, via une politique. Mais l’anti-malware peut aussi bénéficier de telles politiques : il est utile de savoir qui est l’utilisateur afin d’appliquer un niveau de protection adapté aux informations qu’il traite ou au travail qu’il effectue », explique Douglas Leland.

Microsoft souhaite ainsi réconcilier l’anti-malware, la sécurité réseau et les identités au sein de politiques de sécurité sinon communes, en tout cas complémentaires et surtout adaptées au contexte utilisateur. « C’est une approche centrée avant tout sur l’identité », précise Douglas Leland.

Une telle stratégie doit bien entendu, pour s’incarner, être parfaitement globale. « En matière d’identité les silos applicatifs conduisent au chaos. Ca a d’ailleurs donné naissance à un marché : le SSO. Nous avons préféré imaginer une autre approche », lance Douglas Leland.

Et on l’aura deviné, cette approche est celle d’une couche commune destinée à offrir un service de gestion des identités à toutes les applications qui en feront la demande.

Le cimetière des standards est toutefois jonché de bonnes intentions dans le domaine de l’identité. Mais cette fois, c’est promis-juré, Microsoft affirme avoir appris du fiasco Passport (Windows Live ID aujourd’hui) : cette nouvelle approche de partage des identités au sein des applications est basée sur des standards (support de SAML2, de WS-Federation et d’OpenID), elle est ouverte et potentiellement cross-platform. Il s’agit du projet Geneva , qui en est aujourd’hui à sa seconde bêta.

L’idée est d’offrir un bus unique afin de permettre aux applications de déporter leurs opérations liées au contrôle d’accès vers une couche commune. Microsoft positionne d’ailleurs d’emblée son projet Geneva sur le créneau de la gestion en simultané des accès aux serveurs locaux, virtuels et dans le Cloud. Ce dernier bénéficie alors ainsi de l’authentification locale via Active Directory.

Dans sa bêta actuelle, Geneva est inter-opérable avec les solutions de CA (Federation Manager et SiteMinder), Novell (Access Manager), SAP (NetWeaver) et Sun (OpenSSO Enterprise).

Interrogé sur la solidité de sa vision et sur la valeur que peut y apporter Microsoft, Douglas Leland voit l’éditeur comme le seul trait d’union possible entre ces deux mondes très spécifiques que sont l’anti-malware et la gestion des identités : « Prenez Oracle, ils ont le provisionning et la gestion des identités, mais rien en terme de sécurité. Prenez Symantec, c’est l’inverse : ils n’ont rien pour gérer les identités. Nous sommes quant à nous en mesure de faire les deux », justifie-t-il.

Mais, au delà des bonnes intentions (et des bonnes idées), cela demeure pour l’heure seulement une vision. Tandis que les spécialistes de l’Identity & Access Management tels Oracle ou IBM se sont bâtis depuis plusieurs années une expérience à coup d’acquisitions et de déploiements significatifs, Microsoft n’aligne qu’un Forefront Identity Manager certes intéressant mais qui doit encore faire ses preuves (dont la version 2 vient d’être repoussée d’un an). Et sur le front de l’anti-malware il présente une offre qui n’occupe quant à elle pas franchement le devant de la scène et qui n’est pas elle non plus dénuée de retards à l’allumage. Autant dire peu d’expérience dans l’un ou l’autre de ces domaines. La synergie attendue entre l’identité et la sécurité traditionnelle suffira-t-elle ? Tout reste à prouver, même si Gartner plaçait dès 2008 Microsoft dans les challengers pour ce qui est du user provisionning, qui reste la troisième pièce du puzzle.

« Nous ne sommes pas encore là, et nos clients non plus de toute manière », tempère Douglas Leland. La machine, toutefois, est en marche : 2009 devrait voir la sortie de neuf nouveaux produits sécurité Microsoft, ou de leurs nouvelles versions. Tous alignés vers cette nouvelle vision sécuritaire.