IAM : dépenser moins pour gagner plus

«Un projet d'IAM, c'est cher, long et peu profitable».  Il va s'en dire que pour bien des acteurs de l'IAM (Identity & Access Management, soit Gestion des Identités et des Accès, en français), cette petite phrase n'est pas passée inaperçue ! Et pourtant, il est vrai que dans le petit monde des consultants et des éditeurs spécialisés, tout le monde connaît au moins un projet de gestion des identités patinant depuis des mois dans la semoule d'un déploiement chaotique ou d'un cahier des charges hasardeux. Pour autant, une fois ce constat effectué, faut-il jeter le bébé de l'IAM avec l'eau du bain des problèmes de la DSI ? Clairement non. L'IAM ne porte pas intrinsèquement le poids du coût, de la lenteur et du peu de retour sur investissement. Tout comme l'EAI, la SOA ou la gouvernance de la donnée ne les portent pas non plus, et pourtant ce même petit monde des consultants et des éditeurs spécialisés pourrait également citer une ribambelle de projets sclérosés sur ces thématiques. Il convient donc de regarder le sujet de plus près, d'une part en identifiant ce qui ne marche pas chez les uns, et d'autre part en proposant des méthodes ou des alternatives qui marchent chez les autres.

Première question : un projet d'IAM est-il nécessairement cher ? Il est vrai qu'un décideur débutant son analyse sous l'angle du coût logiciel aura de quoi être surpris par les tarifs pratiqués par quelques-uns des grands éditeurs du marché. Après tout, comme son nom l'indique, l'IAM ne fait que gérer et utiliser des données d'identités somme toute assez sommaires (ex : logins, rôles, place dans l'organisation etc.). Pas de CRM, pas de système RH, pas d'ERP, et pourtant les zéros ont tendance à rapidement s'accumuler sur les propositions commerciales. S'il ne s'agit évidemment pas de rentrer dans une bataille de chapelles ou dans une grande croisade contre les logiciels propriétaires que ces éditeurs représentent, il convient de rappeler (ou d'apprendre) que l'offre de gestion des identités et des accès ne se limite pas à un simple quart de carré du Gartner. De l'Open Source "communautaire" (ex : Apache Directory Project, CAS, Spring-Security, OpenID) à l'Open Source "éditeur" (ex : Sun Java System Identity Management), en passant par des acteurs de niche (ex : Atlassian Crowd, ManageEngine PasswordManager) - certes centrés sur des problématiques ciblées, mais proposant des solutions largement moins coûteuses et tout aussi interopérables -  l'offre globale se révèle être un peu plus large que certaines "photos" du marché voudraient bien le faire croire.

Deuxième question : un projet d'IAM est-il nécessairement long ? Et on serait tenté de dire, pour compléter le point précédent, « c'est surtout cher parce que c'est long ! ». Car si le coût logiciel est une composante du coût global, il s'accompagne systématiquement d'un fort coût humain (en jours hommes donc), tant en termes de prestations externes (consultants, intégrateurs spécialisés etc.) que d'utilisation des ressources internes (MOA, MOE, RSSI etc.) de l'entreprise. Mais pourquoi donc certains projets d'IAM s'enlisent-ils ? Le plus souvent, et comme dans d'autres secteurs, par manque de méthode et de concertation. Dans certaines organisations, le sujet est en effet encore cloisonné à une sphère de personnes isolées et/ou ne le traitant que sous l'angle technique de la sécurité. Dans d'autres, l'IAM est bien compris dans sa globalité et procède également bien d'une démarche d'entreprise collaborative, mais ne dispose pas d'une feuille de route pragmatique pour assurer son déploiement. Du coup les projets se chevauchent, et l'IAM patine.