Les attentats du 11 septembre et l'affaire Enron ont plus fait pour la sécurité informatique que tous les discours de la méthode développés pendant une décennie entière. Nous étions en 2001, et la gestion des identités était née... Peu à peu, tous les grands groupes du CAC 40 s'y sont convertis, de même que l'Administration. Aujourd'hui, sauf à s'être malencontreusement assoupi durant ces quatre dernières années, la question n'est plus de savoir s'il faut mettre en place un système de gestion des identités. Il s'agit d'en faire un pivot du système d'information.En économie, on sait depuis longtemps que la confiance est la condition préalable à l'investissement. Pour sa part, internet a montré que la confiance était aussi indispensable au décollage du commerce électronique. L'ouverture du système d'information se construira à son tour sur la confiance, et c'est à la gestion des identités qu'il revient de la créer. Ce faisant, les projets d'habilitation ou d'authentification ne seront plus l'apanage des informaticiens. Les autres directions opérationnelles ou fonctionnelles y tiendront un rôle croissant.
Enclencher une nouvelle dynamique avec les métiers
De ce point de vue, l'avenir de la gestion des identités n'a pas besoin d'une nouvelle catastrophe planétaire pour être assuré. Car la logique purement sécuritaire a déjà touché ses limites, et une entreprise ne peut multiplier à l'infini ses couches de défense au détriment de l'agilité et de la performance. Il est sain que les DSI aient su appliquer le principe de précaution et prendre les mesures conservatoires réclamées par leur direction générale en mettant en ?"uvre les premières infrastructures de gestion des identités. Mais il est temps d'enclencher une nouvelle dynamique avec les métiers.Cela n'a pas échappé aux grands éditeurs, qui étoffent à marche forcée leurs offres de gestion des identités, provoquant un mouvement de concentration sans précédent d'éditeurs spécialisés. Or, ces acquisitions ne sont pas toutes digérées par les géants du logiciel. Et même si des progrès ont été récemment accomplis, il faudra attendre avant que la bonne volonté manifeste des grands éditeurs à présenter des gammes homogènes ne se traduise complètement dans les faits. Sans compter qu'un système de gestion des identités ne pourra jamais s'acheter clés en main, car il comporte des adhérences avec tout le patrimoine applicatif de l'entreprise.Surtout ne pas oublier d'impliquer l'utilisateur
L'intégrateur constitue donc un acteur clé sur ce marché : aux DSI et aux directions métier de fixer des orientations en termes de gestion des identités ; à lui de s'engager sur la performance des socles utilisés et de choisir les composants qui vont minimiser les développements spécifiques et favoriser une gestion améliorée des évolutions futures. Des annonces comme celle de Sun quant à la mise à disposition gratuite de ses logiciels de gestion des identités vont d'ailleurs fortement contribuer à déplacer l'attention des clients de l'évaluation du prix des licences vers celle de la cohérence globale de la solution et vers la recherche de la meilleure trajectoire pour le projet.Directions métier, DSI, intégrateurs, éditeurs... Le paysage ne serait pas complet si l'on n'y ajoutait un acteur imprévisible, râleur, multiple, et pourtant si attachant : l'utilisateur. Il est inconcevable d'imaginer qu'il ne soit pas impliqué, puisque c'est de sa propre identité qu'il s'agit. Et pourtant, combien de projets de la première génération l'ont ignoré, lui enjoignant simplement, une fois le déploiement réalisé, de se conformer à la nouvelle procédure d'habilitation ou à la nouvelle politique de mots de passe. Ce n'est pas un hasard si les demandes de Single Sign On (authentification unique) sont devenues de plus en plus prégnantes, et sont maintenant relayées par les managers opérationnels : désormais, tout nouveau palier de gestion des identités devra systématiquement apporter des avancées concrètes pour les utilisateurs. C'est à ce prix que la gestion des identités atteindra l'âge de raison, et deviendra le véritable service de confiance que tout le monde attend depuis longtemps.* codirecteur de l'activité IAM (Identity and Access Management) du groupe de conseil en infrastructures Solucom, poste quil occupe depuis la fin 2004. Diplômé de Télécom Paris, il a rejoint Solucom en 1994 en tant que consultant.