En 2003, la priorité dans l‘entreprise était de mettre en place les moyens appropriés afin de disposer d’identités pour accéder aux applications. La sécurité n’était guère au centre des préoccupations du service informatique.
En 2010, les grands éditeurs de logiciels d’entreprise avaient finalement regroupé la plupart des composants essentiels pour proposer des services de gestion d’identité allant du SSO (Single Sign On), à la fédération, ou encore l’authentification multi-facteur (MFA), etc... A l’époque, tout projet d'Identity and Access Management (IAM) un tant soit peu sérieux se chiffrait à plusieurs millions de dollars sur plusieurs années, dont une grosse partie concernait le paiement répété de licences. Où en est-on aujourd’hui ? Retour sur un secteur en constante transformation.
Quelle a été l’évolution du marché ?
Si l’on examine l’évolution des principaux éditeurs de logiciels de gestion d’identité entre 2009 et 2015, on s’aperçoit qu’ils se sont efforcés de rattraper leur retard en termes de capacités techniques et de fonctionnalités sur les acteurs spécialisés du secteur, en superposant des couches de code provenant des diverses acquisitions. Dans bien des cas, cela a consisté à assembler jusqu’à trois composants logiciels offrant de nombreuses fonctions identiques. Citons notamment Computer Associates (CA), IBM, Oracle, RSA et quelques autres qui se sont depuis retirés du marché de l’IAM. Un problème courant chez bon nombre de ces éditeurs a été la refonte de leur architecture sans vision à long terme, obligeant tous leurs clients à passer par de multiples nouvelles versions sur de courtes périodes.
Durant cette même période, j’ai été témoin de l’échec de multiples projets d’IAM. En général ces projets représentaient des coûts de licences à 7 chiffres et leur exécution se déroulait sur plusieurs années. Au moment où la phase deux d’un projet allait pouvoir être enclenchée, beaucoup de responsables informatiques se trouvaient en mauvaise posture compte tenu de budgets dépassés, d’objectifs non remplis ou de composants technologiques ne pouvant répondre aux besoins de l’entreprise sans une personnalisation lourde (et ingérable).
Il n’y a pas si longtemps, faute d’investissements technologiques dans la R&D incrémentale de la part de ces poids lourds, quantité d’éditeurs de logiciels IAM se sont efforcés de suivre le rythme d’évolution des technologies ou bien ont passé leur temps à assembler de multiples éléments de code pour tenter d’obtenir une architecture commune, des interfaces et des solutions – en apparence – intégrées. Soyons clair : ce type de R&D n’a pas pour but d’innover au bénéfice du client final mais au contraire de maintenir celui-ci enfermé dans des projets d’intégration, bien souvent non standard, de produits hétéroclites. Il en résulte un allongement des délais de mise en œuvre, tandis que le coût de l’architecture – tant en termes de matériel que d’administration – explose pour atteindre un niveau imprévu et intenable sur le long terme.
Quelles ont été les stratégies gagnantes ?
Les projets couronnés de succès faisaient appel aux bons intégrateurs systèmes, connaissant à la fois les solutions d’IAM désormais « classiques » et les nouvelles en voie de s’imposer. C’est dans ce contexte que certains éditeurs se sont hissés au rang de leaders au cours des cinq dernières années, en adoptant des approches différentes.
Tout d’abord, leur objectif a été de s’appuyer sur les standards tout en recourant au minimum à l’intégration de couches multiples de code pour fournir un jeu unique de fonctionnalités (par exemple l’administration des identités, de l’interface utilisateur à l’activation). S’ils ont procédé à quelques acquisitions, celles-ci étaient ciblées de façon à aboutir à une intégration souple, à base de standards, de fonctions supplémentaires sur le marché. Cela a eu pour effet de réduire le risque d’échec au stade de la mise en œuvre ainsi que le coût total d’adoption et de pérennisation des solutions. L’autre avantage de cette approche réside pour le client dans le libre choix de ses composants au lieu de la migration vers l’architecture lourde d’une « suite ».
Ensuite, quelques éditeurs ont pris conscience que les licences logicielles étaient totalement inadaptées au marché de l’IAM. La plupart des clients disposent désormais de budgets informatiques restreints qui imposent trois critères principaux pour leurs projets IAM :
1. Un investissement initial limité ;
2. Un modèle d’abonnement et/ou « Pay As You Grow » (paiement en fonction de l’utilisation) ;
3. Une rentabilisation rapide, évitant également l’échec du projet.
Importance de la distinction des identités
Enfin, l’adoption répandue des applications SaaS et mobiles ainsi que de l’Internet des Objets a appelé à de nouvelles approches distinctes entre la gestion d’identité en entreprise et vis-à-vis des consommateurs. L’offre d’une expérience utilisateur simple et fluide importe tout autant que la vérification continue de l’authenticité et de la fiabilité des utilisateurs et des équipements, de même que la possibilité de se connecter rapidement à ces nouvelles applications. Les solutions CIAM (Consumer IAM) présentent plusieurs avantages pour les sites existants de e?commerce B2C et pour la présence numérique des entreprises, qu’il s’agisse d’un rehaussement du niveau d’engagement client, d’une personnalisation avancée ou de la gestion appropriée de la confidentialité des données clients avec des prestataires tiers, intervenant dans la fourniture de services en ligne aux consommateurs.
De ce point de vue, les grands éditeurs de logiciels IAM classiques, qui ont empilé une multitude de couches de code provenant d’innombrables composants technologiques disparates afin de fournir aux utilisateurs des services axés sur l’identité, s’arrachent les cheveux pour gérer une offre qui s’adapte véritablement au B2C. C’est également le cas des projets d’identité open source qui assemblent des bouts de code de diverses origines, ce qui pose des problèmes de cohérence du code et de support sur le long terme.
Les grands éditeurs IAM traditionnels comme les fournisseurs open source peuvent prétendre être les mieux placés pour faire face à ces récentes tendances. La vérité est différente et est à rechercher du côté des éditeurs de logiciels IAM spécialisés qui s’affirment comme les nouveaux leaders, après avoir surmonté les défis dans ce domaine au cours des 13 dernières années. Ces nouveaux leaders sur la scène IAM s’attachent à fournir des solutions solides, standards et évolutives pour l’avenir.