Du 13 au 17 février s’est tenue à San Jose l’édition américaine de la convention annuelle de l’éditeur RSA Security. Rendez-vous désormais incontournable, cet événement permet de prendre le pouls du marché de la sécurité. Un secteur que les plus grands noms de l’informatique considèrent désormais comme un nouvel El Dorado. Signe des temps les allocutions d’ouverture de la RSA Conference 2006 ont été assuré entre autres par Bill Gates de Microsoft, Scott McNealy de Sun, John Chambers de Cisco et John Thompson de Symantec. Les participations du CEO de Verisign, Stratton Sclavos, et d’Art Coviello, CEO de RSA Security finiraient presque par paraître anecdotiques. Toutefois cette dernière marquait une étape dans l’histoire de RSA Security: le retour aux sources.

Après avoir flirté longtemps avec le marché de l’Identity & Access Management (gestion des identités), émanation de l’ancien 3A (Authentification, Autorisation, Administration), RSA Security revient à ses premiers amours. Finis les discours sur les mérites de la gestion d’identités, l’allocation automatique des ressources à la suite d’un workflow adapté à l’entreprise, finie l’emphase sur la fédération d’identités. Sur ce dernier point Art Coviello ne cache pas son sentiment: « la fédération est une merveilleuse technologie, mais c’est pratiquement impossible à démocratiser car les clients résistent à tout déploiement ! ». L’éditeur dispose toujours avec RSA Federated Identity Manager d’une des premières solutions autonomes de fédération d’identités. Mais lors de la RSA Security l’accent a plus été mis sur le coeur de métier: l’authentification forte. Avec là encore un nouvel aveu de son CEO: « Nous avons essayé d’éliminer les mots de passe, nous avons laissé tomber, même s’ils restent la méthode d’authentification la moins sécurisée ». Reconnaissant que le jeton n’est pas nécessairement la solution la plus adaptée à tous les utilisateurs, RSA Security contourne le problème. C’est le sens de l’acquisition en décembre dernier de Cyota pour 145 millions de dollars. Cette société a apporté au catalogue de l’éditeur des outils d’analyse des transactions pour lutter contre les fraudes, des produits anti phishing et une plate-forme de sécurisation des paiements. Ainsi lorsqu’une banque n’est pas prête à déployer des tokens pour les clients de ses services online, elle pourra toujours tirer partie des outils de l’ex-Cyota pour assurer les transactions. « Nous voulons que chaque banque puisse choisir son niveau de sécurité en rapport à sa propre estimation du risque » complète Art Coviello.

En outre RSA Security a annoncé une série de partenariats dont l’objectif est de populariser l’usage de l’authentification à deux facteurs. Les terminaux BlackBerry, les téléphones Motorola, les PDAs et smartphones sous Windows Mobile 5.0, les clés USB et cartes de mémoires SanDisk embarqueront désormais la technologie One Time Password (OTP) de RSA Security. Ceci afin que tous ces équipements puissent devenir des jetons. En ligne de mire, c’est le juteux marché du consommateur qui est visé.Des solutions interopérables mais propriétaires

L’autre tendance manifeste du salon est le NAC – Network Access Control, ou contrôle d’accès au réseau. Cette technologie dont Cisco est à l’initiative depuis 2003 avec NAC pour Network Admission Control, est adoptée par la majorité des acteurs du marché de la sécurité et des réseaux. RSA Securiity s’est le premier empressé d’annoncer l’intégration de sa solution d’authentification forte à NAP (Network Access Protection), l’offre de Microsoft. Laquelle sera disponible au sein de Vista et Longhorn. Microsoft partage avec Cisco le plus grand nombre de partenariats autour de leurs offres respectives, une cinquantaine chacun. La plupart se veut compatible avec les deux technologies. NAC et NAP sont d’ailleurs aussi annoncées comme interopérables par leurs géniteurs.

John Chambers, CEO de Cisco, défend le Network Admission Control à la RSA Conference 2006, à San Jose. Photo (c) Christophe Dupont Elise.

Toutefois, interopérabilité ne veut pas dire ouverture. En la matière seuls les travaux du Trusted Computing Group font foi. Ce consortium élabore des spécifications ouvertes au sein du groupe de travail Trusted Network Connect. Microsoft en est l’un des promoteurs, mais ses API NAP ne respectent toujours pas les spécifications du groupe de travail. Cisco lui n’est même pas pas membre. McAfee, TippingPoint (3Com), Extreme Networks ou Enterasys, tous offreurs de leur propre solution et/ou partenaires de Cisco ou Microsoft, ne sont pas plus intéressés par cette démarche de standards ouverts. Comme si la plupart des acteurs informatiques n’avaient toujours pas compris les besoins des clients, à l’opposé d’un enfermement dans des solutions propriétaires…