Entretien avec Oracle: la gestion des identités en 2008

LesNouvelles.net: Pensez vous que la phase de consolidation est achevée dans la courte histoire de la gestion des identités et des acccès ?

Christophe Bonenfant, Oracle:  La phase de consolidation du marché de l'IAM (Identity & Access Management, ndlr) a permis aux grands éditeurs de se positionner en fournisseur des briques technologiques nécessaires aux entreprises pour mettre en place une infrastructure qui devient critique et nécessite donc le support d'acteurs de dimension significative. On peut considérer qu'une première étape a été franchie et parmi les acteurs majeurs, Oracle dispose désormais d'une offre complète étendant d’ailleurs l’IAM à la GRC - Governance, Risk & Compliance.

La consolidation n’est pas nécessairement achevée, il reste des briques technologiques complémentaires, comme la gestion avancée de la séparation des rôles dans l’IAM et les applications d’entreprise, ou le role mining qui n’en est qu’à ses débuts.

Chez Oracle, l'actualité des derniers mois démontre que la consolidation se poursuit, avec en 2007 l'acquisition de Bridgestream, outil de Role Management et de Role Mining, apportant une dimension plus fonctionnelle à la gestion des rôles, et celle de LogicalApps dans le domaine de la GRC (Governance, Risk & Compliance). Pour aller encore plus loin dans la couverture fonctionnelle, Oracle s'est également doté d'une solution d'authentification forte et de gestion du risque avec l'acquisition de Bharosa, ciblant plus spécifiquement les marchés de la banque en ligne et des sites e-commerce, mais au champ d’application tres large qu’il nous reste a expliquer au marché !

Ln.net: Si des briques complémentaires sont encore à intégrer, est ce à dire que l'IAM n'est pas arrivé à maturité ? 

L’offre d’IAM est suffisamment mature sur le plan technologique et il est en effet possible de déployer à grande échelle des solutions de Web SSO, de provisioning, de fédération, comme l’attestent nos références. Les produits existent et sont stables, et les compétences pour la mise en œuvre sont là. La brique qui semble insuffisamment mature est le Role Management. RBAC (Role-Based Access Control, ou contrôle d'accès à base de rôles, ndlr) a montré ses limites et ne répond pas aux enjeux de flexibilité organisationnelle des entreprises, de gouvernance et de conformité réglementaire. La plupart des projets finissent par se réduire à la gestion de quelques rôles techniques, ou deviennent tellement complexes qu’il sont abandonnés ; cela peut aller jusqu’à avoir un nombre de rôles et de groupes d’autorisation plus important que le nombre d’utilisateurs, cela rend le système trop difficile à gérer.

Si les technologies sont matures, il faudra encore un peu de temps du côté des entreprises pour les mettre en oeuvre, notamment concernant le provisioning et le role management. Ces domaines contribuent à la sécurité  et à la gouvernance du système d'information, mais sont plus complexes à mettre en oeuvre, car leur valeur ajoutée est directement liée à l'intégration aux fonctions métiers de l'entreprise. Cela nécessite une bonne maîtrise des processus de gouvernance en matière de gestion des rôles, d'attribution d'habilitations, de contrôle et d'audit. La maturité se constatera lorsqu’un projet IAM se concevra avec le niveau de réflexion d’un projet CRM ou HRM, lorsque la notion de rôle et responsabilité sera prise en compte entre le SI et l’organisation, lorsque la gestion de crise ne sera pas le seul moyen de déclencher une cartographie. Sur ce point, la maturité des clients doit encore progresser pour gérer et déployer l’IAM au sein de leurs organisations. Il est en effet difficile de trouver un responsable de l’IAM au sein des grands groupes, chargé de coordonner les besoins et les activités des utilisateurs (Sécurité, RH, Finance, Applications métiers) et de l’informatique. De plus, la gouvernance de l’IAM est rarement mise en place dans les entreprises, ce qui se traduit par une faible adoption des solutions déployées ou par une évolutivité limitée, voire inadéquate, aux enjeux de l’entreprise.