Le papillon, le pachyderme et le félin

La Gestion des Identités a encore un bel avenir devant elle ! En pleine « affaire » de la Société Générale, c’est la conclusion à laquelle on pouvait  légitimement aboutir en parcourant les journaux de ces derniers jours. Le Monde indiquait ainsi dans son édition du 27 janvier qu'en « piratant le système informatique de la Société Générale », Jérôme Kerviel, « aurait réussi à totalement neutraliser les systèmes de contrôle des transactions de marché ». « Il avait », toujours selon Le Monde, « aussi conservé, de son passage antérieur dans ce service, les mots de passe des ordinateurs des responsables. »
Si cette dernière affirmation s'avérait effectivement fondée (il convient pour l'heure de rester extrêmement prudent), elle nous rappellerait qu'en matière de sécurité informatique, dans certaines circonstances et sur certains systèmes, un mot de passe ou un compte informatique usurpé peuvent participer, tel un effet papillon, à un vaste enchaînement d'errances et de catastrophes.

Pour autant, si l'exemple est ici spectaculaire, la Gestion des Identités et des droits d'accès (IAM, pour Identity and Acess Management, ndlr) n'est plus, en France, à l'abandon. Certes, les organisations avancent sur ce sujet avec des célérités somme toute différentes, mais il n'existe aujourd'hui plus de DSI ni de RSSI qui n’associe la sécurité de son Système d’Information (SI) qu'aux seules menaces d'intrusion du réseau ou aux attaques virales sur les postes de travail. Plus les années passent, plus la sécurité remonte les couches du SI, allant d'ailleurs même souvent jusqu'à atteindre les fondamentaux mêmes du métier de l'entreprise.

Des réglementations telles que la LSF ou Sarbanes-Oxley Act ont encouragé les DSI qui s'étaient déjà engagées dans cette voie, et accéléré la décision de celles qui avaient pris du retard. Le secteur des assurances, après quelques années d'attentes ou de tâtonnements, est ainsi devenu extrêmement actif sur les sujets d'IAM, d’autant plus parfois qu’il a été encouragé par les succès de tels projets dans de nombreuses entités bancaires. Il est vrai qu'en matière de gestion des identités, les acteurs récents profitent de l'expérience des plus « anciens ». Au fil des années, mentalités et pratiques ont ainsi évolué. S'il y a encore un an ou deux, l'idée d'une solution technique globale, gérant d'un bloc (comprendre « dans les six mois » !) l'ensemble des problématiques d'identités du SI était encore bien tenace, cette vision éléphantesque de l'IAM perd aujourd'hui du terrain au profit d'approches plus légères et plus pragmatiques.

Il faut dire que l'effet tunnel est passé par là et que les désillusions de planning, de charges ou même de ROI ont été nombreuses. Un mal récurrent serait-on tenté de dire, et certainement pas limité au sujet de la Gestion des Identités. De telles dérives ne sont effectivement pas l'apanage des projets d'IAM mais depuis quelques années d'autres pans du SI ont adopté, au moins sur quelques périmètres d'innovation, des approches agiles telles qu'XP, Scrum ou le développement par les tests.

Le contrôle d'accès, les habilitations, le Single Sign-On, les pistes d'audit et de nombreux autres services de gestion des identités relevant également du monde applicatif, ils peuvent bénéficier des avantages apportés par de telles approches. A l'instar de nombreux projets métier, l'avenir des projets de gestion des identités peut désormais passer par des roadmaps itératives, par des « quick wins » devançant des sous-ensembles plus vastes (par exemple de populations), par des tests assurant la non régression d’un système de provisioning lors des changements d'organisations ou encore par des réponses techniques adaptées à chaque périmètre fonctionnel (frameworks open source de SSO, solution de biométrie éditeur etc.). Sera-ce là l’âge de maturité de la gestion des identités ? C’est tout le mal qu’on lui souhaite !

A Propos de l'Auteur

Agé de 31 ans, Bruno Vincent a rejoint OCTO Technology en 2002. Il y assure des missions d'expertise en Gestion des Identités et des Accès et plus largement en sécurité applicative.

Titulaire d'un Master of Science de l'université britannique d'Aston, il est également diplômé de l'Ecole Nationale Supérieure d'Informatique pour l'Industrie et l'Entreprise (ENSIIE), et enseigne l'architecture des SI à l'Ecole Nationale Supérieure des Techniques Avancées (ENSTA).

Bruno Vincent a également co-écrit l'ouvrage  "Gestion des Identités - Une Politique pour le Système d'Information" (Editions Octo Technology).