' L'approche technique ne suffira plus '

• La gestion des identités a grandi trop vite
• Le casse-tête de la définition des profils métier
• Allouer les ressources : moins de technique, plus de workflow
• L'apport limité des standards
• Des suites intégrées nées de la consolidation du marché
• ' L'approche technique ne suffira plus '

Confrontées à l'uniformité croissante des offres de gestion des identités et des accès, comment les entreprises pourront-elles, à l'avenir, les différencier ?Bruno Vincent : les offres des éditeurs se ressemblent très fortement. Cet état de fait peut en bonne partie être attribué à la tendance aux rachats et aux regroupements. Cette situation favorise d'ailleurs certaines postures de confort, il paraît aujourd'hui difficile de reprocher à un responsable de la sécurité du système d'information d'avoir opté pour Sun, IBM ou Oracle, il nous dirait le plus simplement du monde : ' Ces trois-là sont les leaders du carré magique du Gartner, alors on est à peu près sûrs de ne pas se tromper, n'est-ce pas ? ' Pour autant ?" et heureusement?" il reste encore quelques éléments différenciateurs : facilité d'installation, d'administration et de prise en main par les utilisateurs et les opérationnels.Les cabinets de conseil n'ont-ils pas une aide précieuse à apporter en amont de ces projets ?BV : plus qu'une question organisationnelle ou fonctionnelle ou technique, l'IAM est avant tout une question d'architecture. Et c'est dans ce cadre et sur toute la chaîne des projets que le consulting doit trouver sa place et prouver sa valeur. La dérive la plus fréquemment constatée est celle de maîtres d'?"uvre se faisant accompagner par des cabinets de consultants pour la rédaction d'un cahier des charges totalement générique et fourre-tout, lequel sera ensuite envoyé aux armées d'éditeurs et intégrateurs...La communauté open source aura-t-elle un rôle croissant à jouer ?BV : s'il y a quelques années encore, cette offre était encore limitée au socle d'annuaire OpenLDAP et à quelques initiatives intéressantes dans le monde du SSO (telles que lemonLDAP), elle a aujourd'hui largement étendu son portefeuille fonctionnel et technique. On peut ainsi citer Acegi, un framework Java de contrôle d'accès intégré à Spring, et qui s'affirme aujourd'hui comme une réussite majeure de la communauté open source dans le monde J2EE. Un autre succès est CAS (Central Authentication Service), un service de web SSO déployé à large échelle dans de très nombreuses organisations et industries. A l'heure actuelle, l'initiative la plus intéressante est celle de la communauté Safehaus, qui vise à regrouper sous son enseigne plusieurs logiciels open source de gestion des accès et identités : Velo (provisionning), Penrose (annuaire virtuel), TripleSec (authentification forte de type One Time Password) ou encore Apache Directory Studio (environnement de développement ' LDAP compliant ' et intégré au célèbre IDE Eclipse). Tous s'affirment un peu plus chaque jour comme de possibles concurrents ou de très bons compléments aux solutions mastodontes des éditeurs. Il y a donc fort à parier qu'une bonne partie de la gestion des accès et des identités passera désormais par la case open source. Sun Microsystems ne s'y est d'ailleurs pas trompé en décidant douvrir progressivement sa gamme de gestion des identités et des accès, Sun Java System Identity Management, au mode de licence open source (openDS, openSSO etc.).