' L'approche technique ne suffira plus '

• Sécurité : La gestion des identités a grandi trop vite
• Le casse-tête de la définition des profils métier
• Allouer les ressources : moins de technique, plus de workflow
• L'apport limité des standards
• Des suites intégrées nées de la consolidation du marché
• ' L'approche technique ne suffira plus '

Confrontées à l'uniformité croissante des offres de gestion des identités et des accès, comment les entreprises pourront-elles, à l'avenir, les différencier ?
Bruno Vincent : Les offres des éditeurs se ressemblent très fortement. Cet état de fait peut en bonne partie être attribué à la tendance aux rachats et aux regroupements. Cette situation favorise d'ailleurs certaines postures de confort, il paraît aujourd'hui difficile de reprocher à un responsable de la sécurité du système d'information d'avoir opté pour Sun, IBM ou Oracle, il nous dirait le plus simplement du monde : ' Ces trois-là sont les leaders du carré magique du Gartner, alors on est à peu près sûrs de ne pas se tromper, n'est-ce pas ? ' Pour autant ?" et heureusement ?" il reste encore quelques éléments différenciateurs : facilité d'installation, d'administration et de prise en main par les utilisateurs et les opérationnels.La qualité et la localisation de l'assistance technique du produit sont aussi à prendre en compte. Consacrer quatre mois de harcèlement commercial et technique, avec des appels téléphoniques à Bangalore (en Inde ?" NDLR) à 3 heures du matin, pour obtenir au final un correctif qui va faire planter l'application est une mésaventure que nous avons pu constater. En outre, il convient de s'assurer de l'adéquation des caractéristiques du produit à l'environnement réel du client et de la possibilité de développer des règles non prévues à l'origine par la solution.A plus long terme ?" et cela semble assez inéluctable ?" les problématiques de traçabilité et d'audit, d'ailleurs sous-tendues par certaines contraintes réglementaires, devront être mieux satisfaites qu'elles ne le sont aujourd'hui. En dehors des thématiques techniques, le futur de l'IAM (Identity and Access Management, ou gestion des identités et des accès ?" NDLR) passera nécessairement par la prise de conscience des responsables du système d'information qu'il s'agit là de problématiques d'architectures très transverses, tout aussi complexes et stratégiques que peuvent l'être l'architecture d'intégration ou l'architecture logicielle, et qui ne peuvent se résumer à une ' simple ' approche technique des choses.Les cabinets de conseil n'ont-ils pas une aide précieuse à apporter en amont de ces projets ?
BV : Plus qu'une question organisationnelle ou fonctionnelle ou technique, l'IAM est avant tout une question d'architecture. Et c'est dans ce cadre et sur toute la chaîne des projets que le consulting doit trouver sa place et prouver sa valeur. La dérive la plus fréquemment constatée est celle de maîtres d'?"uvre se faisant accompagner par des cabinets de consultants pour la rédaction d'un cahier des charges totalement générique et fourre-tout, lequel sera ensuite envoyé aux armées d'éditeurs et intégrateurs...La communauté open source aura-t-elle un rôle croissant à jouer ?
BV : S'il y a quelques années encore, cette offre était encore limitée au socle d'annuaire OpenLDAP et à quelques initiatives intéressantes dans le monde du SSO (telles que lemonLDAP), elle a aujourd'hui largement étendu son portefeuille fonctionnel et technique. On peut ainsi citer Acegi, un framework Java de contrôle d'accès intégré à Spring, et qui s'affirme aujourd'hui comme une réussite majeure de la communauté open source dans le monde J2EE. Un autre succès est CAS (Central Authentication Service), un service de web SSO déployé à large échelle dans de très nombreuses organisations et industries. A l'heure actuelle, l'initiative la plus intéressante est celle de la communauté Safehaus, qui vise à regrouper sous son enseigne plusieurs logiciels open source de gestion des accès et identités : Velo (provisionning), Penrose (annuaire virtuel), TripleSec (authentification forte de type One Time Password) ou encore Apache Directory Studio (environnement de développement ' LDAP compliant ' et intégré au célèbre IDE Eclipse). Tous s'affirment un peu plus chaque jour comme de possibles concurrents ou de très bons compléments aux solutions mastodontes des éditeurs. Il y a donc fort à parier qu'une bonne partie de la gestion des accès et des identités passera désormais par la case open source. Sun Microsystems ne s'y est d'ailleurs pas trompé en décidant d'ouvrir progressivement sa gamme de gestion des identités et des accès, Sun Java System Identity Management, au mode de licence open source (openDS, openSSO etc.).