Le role management suscite l'intérêt des RSSI

Toutefois, les débats de ces RIAM 2008 on permit de modérer l'enthousiasme des éditeurs. Car l'existence de solution de role management abouties sur le marché ne masque pas pour autant les limites naturelles de l'exercice, et notamment la difficulté d'automatiser leur création. "Si le produit miracle de génération des rôles existait, cela se saurait" insiste Alexandre Garret, Directeur technique d'Athéos. Un projet de gestion des rôles nécessite ainsi une solide part de conseil et n'intervient généralement qu'après la mise en oeuvre des pré-requis que sont une bonne gestion des identités, et donc - entre autres - un projet d'annuaire(s) réussi.

C'est probablement pour cela que Sun est en parallèle revenu sur la fédération des identités, présenté comme l'autre grand défi à relever. Une position compréhensible sachant que Sun défend depuis longtemps le projet Liberty Alliance, mais plus difficile à justifier face au peu de projets réellement déployés dans le domaine. "Les déploiements existent pourtant. La fédération répond à des besoins différents en fonction des domaines d'activité concernés", justifie Dominique Perrin. Force est de constater que les exemples ne se bousculent pas. D'autres éditeurs ont d'ailleurs calmé leurs ardeurs sur le sujet. Art Coviello, Vice Président de RSA, la division sécurité d'EMC, interrogé par LesNouvelles.net en 2006, reconnaissait que la fédération des identités passait en queue de liste des préoccupations de la majorité des entreprises.

Néanmoins, Sun identifie trois grands secteurs qui gagnent à fédérer leurs identités :

    * Les grands industriels, pour qui la fédération permet de mieux communiquer avec leur multitude de petits partenaires.
    * Les très grandes entreprises, qui y trouvent le moyen de faire communiquer entre eux les différents silos métiers qui les composent.
    * Le gouvernement, dont les projets de e-administration concernent autant la communication inter-administrations qu'avec le citoyen.

Bien qu'il ait présenté une vision très orientée vers ses propres acquisitions et initiatives, Sun était le seul éditeur présent aux RIAM à être concret. Invité à faire de même, IBM n'a tout simplement pas abordé l'IAM mais a remarquablement provoqué l'ire de plusieurs RSSI en affirmant que ceux ci avaient peu de chances dans leur carrière d'évoluer vers une autre fonction, telle que celle de DSI. Microsoft n'a quant à lui guère apporté de nouveautés à sa présentation d'Identity LifeCycle Manager depuis les dernières Assises de la Sécurité, alors que de nombreuses fonctionnalités n'existent encore que sur la roadmap (la date de disponibilité du produit ayant déjà été repoussée). Et la question du Role Management n'a pas été traitée.

Deux des éditeurs présents, enfin, n'ont aucune prétention à gérer les rôles mais s'appuient pour cela sur des partenariats. RSA préférait ainsi mettre l'accent sur le contrôle d'accès (le "AM" de IAM) et s'intégrer aux solutions du marché. De même pour OpenTrust, qui présentait la suite OpenTrust 3.0 en partenariat avec Atheos. Celle-ci s'intègre en standard aux solutions de Sun, IBM/Tivoli et Oracle pour la gestion des identités, et apporte quant à elle la gestion d'un badge unique et l'authentification forte afin de gérer les moyens d'accès physiques et logiques. OpenTrust s'appuie sur l'expertise d'Atheos pour le volet du Role Management lié à cette offre.