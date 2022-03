Hervé Liotaud, SailPoint : l’IAM devient le cœur même de chaque stratégie de sécurité d’entreprise

mars 2022 par Marc Jacob

Global Security Mag : Pouvez-vous nous présenter votre entreprise ?

Hervé Liotaud : SailPointÀ est un pure player du marché de la Gestion des Identités. Au sein de cet écosystème, nous sommes spécialisés dans la Gouvernance. Nous répondons à la question primordiale suivante : « qui a accès à quoi au sein de mon IT ? ». Sur ce champ, nous proposons une très forte granularité, en étant capable d’ajuster les accès selon les personnes, les fonctions, leurs évolutions dans le temps au sein de l’entreprise. Cette granularité est une spécificité que le marché de l’Access (SSO/MFA) n’a pas la capacité de proposer.

Par ailleurs, SailPoint est une société cotée en bourse qui compte quelque 2000 collaborateurs à travers le monde. Nous sommes une soixantaine en Europe du Sud, et plus d’une trentaine en France. En France, nous avons une centaine de clients, depuis les PME jusqu’aux grands comptes, de toutes tailles et de tous secteurs économiques. Notre équipe française comprend toutes les populations pour accompagner nos clients et partenaires : des ingénieurs avant-ventes, des Customer Success Managers, des juristes, des commerciaux terrain, des business developpers, des consultants, des responsables de comptes, des responsables partenaires et marketing… Tous les éléments sont ainsi réunis pour faire d’un projet un succès.

Nos clients sont nos meilleurs ambassadeurs : nos enquêtes de satisfaction montrent que 95% des entreprises avec lesquelles nous travaillons sont satisfaites de la prestation de SailPoint. Quant à notre taux de rétention, il se monte à 95%.

Global Security Mag : Quelles ont été les principales évolutions sur le marché de la gestion des identités et des accès ces dernières années ?

Hervé Liotaud : La principale évolution du marché est indéniablement l’offre Cloud, qui est véritablement chez nous une offre Saas. Celle-ci permet de bénéficier d’un déploiement très rapide en quelques semaines. Le déploiement effectué repose sur les Best Practices du marché.

GS Mag : Quel est votre produit phare pour 2022 ?

Hervé Liotaud : Notre produit phare de gestion des identités en mode SaaS s’appelle IdentityNow. C’est la seule plateforme « full SaaS », construite en format micro-services, en « multi-tenant ». Ces caractéristiques techniques nous permettent un déploiement très rapide dans le temps, mais également des mises à jour faciles, régulières et surtout transparentes pour les clients (mise à jour mondiale sur la totalité du parc, définition même du modèle full SaaS). Nous sommes très différents de certaines offres concurrentes, qui sont en réalité du on-premise hébergé dans le cloud. Le fait que nous soyons « full SaaS » est un point majeur.

GS Mag : Comment cette solution est-elle proposée : On-Premise, dans le Cloud public ou privé, les deux ?

Hervé Liotaud : Nous proposons ces trois options afin de répondre aux besoins des clients là où ils se trouvent. Nous avons une offre sur site avec IdentityIQ, nous proposons IdentityNow en mode SaaS et nous pouvons également proposer une offre hébergée dans un Cloud privé, par le biais de nos partenariats.

GS Mag : Quelles sont les principales caractéristiques de cette solution ?

Hervé Liotaud : C’est une offre qui se caractérise par sa dimension complète, depuis l’étape du « provisionning » jusqu’au cycle complet de la vie d’une identité. Pour détailler un peu, le « provisionning » permet tout à la fois de connecter les nouveaux entrants dans l’organisation, de déconnecter les sortants et d’ajuster ceux qui opèrent des mouvements – en changeant de poste par exemple. Quant au cycle de vie, il nous amène à proposer des campagnes de re-certification qui vont permettre de s’assurer que les employés qui se connectent – mais aussi les partenaires de l’entreprise – ont les bons accès, c’est-à-dire les accès autorisés.

GS Mag : Quel type de clientèle ciblez-vous ?

Hervé Liotaud : Historiquement, SailPoint est positionné sur les grands comptes. Depuis quelques années, nous avons créé une équipe dédiée au marché des grandes PME, celles qui sont au-delà de quelques centaines d’utilisateurs.

GS Mag : Quels sont les types de projets que vous observez le plus souvent aujourd’hui au sein des grands comptes ? Quid des PME ?

Hervé Liotaud : Dans un cas sur deux, il s’agit de remplacer une solution ancienne et peu performante : un gain qualitatif donc. L’autre moitié consiste à mettre en place la gestion complète de toutes les identités au sein de l’organisation.

Du côté des PME, dans la plupart des cas nous sommes dans une situation d’acquisition de notre solution. Ces petites et moyennes entreprises optent presque exclusivement pour l’offre cloud, et pour cause : celle-ci permet d’être opérationnelle en quelques semaines.

Ceci me permet au passage d’insister sur un point précis : longtemps, la gestion des identités est apparue pour les entreprises comme un gros chantier à mettre en route, ce qui les a parfois découragées. C’était vrai il y a encore 5 ou 7 ans. Aujourd’hui, la réalité du terrain est toute autre : SailPoint réalise son étude de faisabilité en 2 ou 3 semaines et déploie son système en quelques mois pour les grands comptes, et en quelques semaines pour les PME. Il est important pour moi de signaler que le temps des grands chantiers dans lesquels l’organisation pouvait s’embourber pendant des années est révolu ! Cela est bien sûr dû à l’offre « full Saas », avec un IAM de nouvelle génération. Les temps changent…

GS Mag : De manière générale, quelle démarche recommandez-vous aux entreprises en matière d’IAM ? Quels sont les points de vigilance à respecter ?

Hervé Liotaud : Bonne question ! Je dirais que la mise en place d’une gestion des identités n’est pas un projet technique : c’est un projet entreprise pour lequel il convient d’avoir l’accord de la direction générale et également celui de la DRH. Le responsable Sécurité demeure bien entendu un point central, mais pas uniquement.

Le point de vigilance que je soulignerai est le suivant : écoutez les conseils de votre éditeur ainsi que ceux des cabinets conseils spécialisés ! Il est essentiel d’appliquer les Best Practices, et de ne surtout pas essayer de réinventer la roue. Je voudrais également signaler que chaque entreprise a le sentiment d’être particulière dans son SI. C’est vrai, mais jusqu’à un certain point. Les éditeurs comme les cabinets conseil savent très bien prendre la mesure de ces situations, qui ne sont pas aussi particulières qu’elles en ont l’air. Bref, faire les choses dans les règles de l’art reste primordial.

GS Mag : Enfin, de quelles manières l’IAM est-elle, selon vous, amenée à évoluer et à quoi ressembleront demain les systèmes d’authentification aux SI ?

Hervé Liotaud : L’IAM devient le cœur même de chaque stratégie de sécurité d’entreprise. En dépit des investissements faits dans la sécurité périmétrique ces dernières années, les attaquants jettent toujours leur dévolu sur le maillon faible. Or, qui est ce dernier ? Tout simplement l’individu, donc l’identité... Sur ce point, je rappellerai simplement que l’ANSSI, dans sa note technique d’avril 2021 relative au Zero Trust, indique qu’il ne faut plus faire confiance du tout, à personne. Conclusion de l’Autorité Nationale en matière de Sécurité et de Défense des systèmes d’Information : aucun Zero Trust ne peut être réalisé sans une gestion des identités digne de ce nom.

