© Galyna Andrushko

Patrick Marache, Senior Manager chez Wavestone

Ces dernières années le marché de l’IAM a connu plusieurs mutations importantes. Tout d’abord, le marché cherche à tirer parti des évolutions que connaissent les systèmes d’informations : basculer vers le Cloud, offrir plus d’API, intégrer des fonctionnalités d’analyse de données, d’IA, afin de simplifier voire d’automatiser la prise de décision explique Patrick Marache, Senior Manager chez Wavestone.

La structuration du marché évolue également sous deux tendances : premièrement, les acteurs leaders de l’Access Management cherchent à progressivement étendre leur couverture fonctionnelle vers des fonctionnalités de Gestion des Identités ou de PAM. Enfin, nous constatons la forte croissance des acteurs couvrant des besoins fonctionnels spécifiques, comme l’IAI (Identity Analytics & Intelligence), le CIAM ou le souhait de disposer d’une plate-forme directement développée dans Service Now poursuit-il.

David Auburtin Directeur de projet – Responsable de l’agence de Nantes Idento (I-TRACING Group)

Selon David Auburtin Directeur de projet – Responsable de l’agence de Nantes Idento (I-TRACING Group) : « Ces dernières années ont été riches en évolutions dans le domaine de l’IAM, tant sur la gestion des accès (Access Managment) que sur la gestion des identités (Identity Access Governance). C’est d’abord l’arrivée dans le cloud qui a débuté il y a plusieurs années, avec l’IDaaS : l’identité en tant que service. Au début, quelques éditeurs visionnaires proposaient des solutions uniquement Cloud (comme Okta ou OneLogin par exemple), maintenant tous les éditeurs ont ce type de service dans leur portefeuille, certains en SaaS natif, d’autres avec des solutions On Premise installées en IaaS. Le mode de facturation en abonnement s’est généralisé, même pour des solutions On Premise.

On observe également, depuis quelques années, des algorithmes d’intelligence artificielle enrichir les fonctionnalités des solutions à la fois au niveau des accès, comme la détection des connexions anormales par exemple, mais aussi des identités comme le calcul de risques, les recommandations de droits/profils, l’analyse de données.
Une tendance récente concerne le low-code voire le no-code, qui consiste à implémenter des règles complexes sans avoir usage de code, avec des interfaces simples, accessibles à tous. L’exemple le plus parlant est la conception de circuit de validation en glissant déplaçant une boite à outils intégrant des actions, flèches, règles, déclencheurs, etc.
Enfin, de manière significative ces dernières années, la crise sanitaire l’ayant accéléré, nous notons une popularisation de l’authentification multi-facteurs chez nos clients, sur des ressources de moins en moins sensibles, tant physiques que applicatives (poste de travail, applications métiers notamment). Ces projets sont davantage des projets de conduite de changement que des sujets à forte complexité technique : la démocratisation du MFA pour les authentifications des sites de la vie quotidienne ont permis une accélération au sein des entreprises.
Nous pouvons noter également l’émergence d’un nouveau sujet, sur lequel Idento est particulièrement présent qui est le CIAM (Customer IAM), qui se destine à gérer le client final et non plus le collaborateur interne. »

Edouard Veron, Consultant Senior, Harmonie Technologie

Pour sa part, Edouard Veron, Consultant Senior, Harmonie Technologie estime que « le principal changement constaté est l’adoption massive de l’approche « zero trust » qui recentre notamment la sécurisation au niveau de l’identité. Toutes les organisations ont conscience que la sécurité des identités est le maillon central pour accompagner la transformation digitale.
_ Le second changement, c’est la cloudification des outils IAM qui devient un accélérateur dans le déploiement de ces projets. Même si elles sont plus limitées, les solutions d’IAM dans le cloud offrent une plus grande agilité aux entreprises avec une capacité à délivrer plus vite les projets. Cette expansion vers le Cloud est une tendance qui se généralise et qui concerne tous les secteurs et les entreprises de toutes tailles. Les solutions Cloud couvrent un grand nombre de cas d’usage et l’ensemble des besoins fonctionnels tels que la re-certification, le parcours utilisateur, la gestion complète des identités et des habilitations.
Enfin, le 3ème changement constaté est la consolidation des fonctionnalités de revues des accès (certification) pour assurer la conformité au sein du SI et une interconnexion entre la gestion des comptes à privilèges (PAM) et la gestion des identités et des accès (IGA), aussi appelé "Sécurité de l’identité". Certains éditeurs se sont clairement positionnés sur une stratégie de 2 en 1, en passant notamment par des rachats, tandis que d’autres restent concentrés sur leurs offres historiques tout en intégrant des connecteurs standards de plus en plus variés.

En matière d’IAM, le Cloud commence à s’imposer

Sans encore être incontournable, le Cloud commence à s’imposer en matière d’IAM constate tous nos experts. Ainsi, Patrick Marache analyse : « Tout d’abord, le marché cherche à tirer parti des évolutions que connaissent les systèmes d’informations : basculer vers le Cloud, offrir plus d’API, intégrer des fonctionnalités d’analyse de données, d’IA, afin de simplifier voire d’automatiser la prise de décision. La structuration du marché évolue également sous deux tendances : premièrement, les acteurs leaders de l’Access Management cherchent à progressivement étendre leur couverture fonctionnelle vers des fonctionnalités de Gestion des Identités ou de PAM. Enfin, nous constatons la forte croissance des acteurs couvrant des besoins fonctionnels spécifiques, comme l’IAI (Identity Analytics & Intelligence), le CIAM ou le souhait de disposer d’une plate-forme directement développée dans Service Now. Ainsi, David Auburtin explique que certains éditeurs en IAM proposent des solutions natives Saas, c’est-à-dire conçues dès le départ sur cette architecture. D’autres proposent plutôt des versions de leur solution « On Premise » installées sur des machines (IaaS), en attendant généralement d’adapter voire repenser leur solution. En général cette dernière option présente des limitations en fonctionnalités, en capacité de déploiement, mais également en termes de cycle de vie logiciel par exemple. Ces éditeurs s’appuient sur des « cloudeurs » type GAFA, de manière forcée ou peuvent laisser le choix de quelques hébergeurs et quasi systématiquement la localisation du datacenter. Certains éditeurs misent sur le cloud « souverain » français, ce qui peut présenter un certain niveau de confiance pour une entreprise française, vis-à-vis de la confidentialité des données. D’ailleurs, la législation en vigueur pour certains secteurs de nos clients peut imposer certaines localisations pour les données d’identités.
Tout comme n’importe quel éditeur de solution SaaS, il faut être attentif aux certifications affichées, garantissant une démarche qualité garantissant la sécurité des services, la sécurité des données et leur confidentialité. Les données des identités sont des données sensibles que certains de nos clients peinent à mettre dans le Cloud. En général, nous leur faisons remarquer que celles-ci sont déjà dans le cloud via les offres Office 365 ou Google Workplace qu’ils ont souscrits, et que leurs données sont très souvent mieux protégées dans un cloud certifié que dans leur propre datacenter… Pour sa part, Edouard Veron considère que d’une manière générale on peut avoir confiance aux solutions d’IAM dans le Cloud, mais cela n’exclut pas de contrôler le niveau de certification, le cadre règlementaire, la capacité à auditer et le niveau d’engagement pris par l’éditeur car il est nécessaire de connaître les limites.
L’IAM dans le cloud repose sur une délégation de l’hébergement de la solution par l’éditeur. Dès lors, cela implique le respect des normes de sécurité telles que la Data Privacy, le cloisonnement de la donnée, etc. L’entreprise doit obtenir un engagement de la part de l’éditeur pour assurer une haute disponibilité de l’application, mettre à disposition un support adapté à la contractualisation client, proposer et déployer de manière récurrente des montées de versions pour ajouter de nouvelles fonctionnalités en toute transparence. Pour répondre à ces besoins de services de confiance, les éditeurs essaient donc d’héberger les données en Europe ou de garantir une disponibilité quasi permanente de leur solution.
Les solutions cloud ont atteint un bon niveau de maturité en couvrant la plupart des cas d’usage. Elles sont cependant moins riches fonctionnellement que les versions on-premise avec un périmètre fonctionnel plus restreint et des personnalisations limitées (processus, formulaires, connecteurs, etc.). Ces limites sont le principal frein pour les Grands Groupes car leur contexte historique est encore difficile à instancier dans un standard tel que celui proposé en SaaS. Cependant, l’approche « plug and play » du Cloud reste un atout majeur.

Quelques acteurs français tirent leur épingle du jeu sur ce marché

Sur le marché de l’IAM, les acteurs sont nombreux à ce bousculer, toutefois quelques pépites françaises commencent à s’imposer non seulement en France mais aussi à l’international. Ainsi, Edouard Veron considère qu’en France, nous avons 3 éditeurs qui proposent des solutions dans ce domaine : Wallix sur le volet PAM (Priviledged Access Management), Usercube sur l’IGA (Identity Governance and Administration) et Ilex Internationale sur l’Access Management.
Mais plus globalement, le marché Français est couvert par de nombreux éditeurs (la liste n’est pas exhaustive) :
• PAM : CyberArk, Wallix, BeyondTrust, Safeguard (OneIdentity)…
• Access : Azure, Okta, Forgerock, Ping, Onelogin, CyberArk(Idaptiv), Ilex...
• IGA On Premise : SailPoint (IdentityIQ), One Identity, IBM (IGI)…
• IGA Cloud : SailPoint (IdentityNow), Saviynt, Usercube...
• CIAM : Akamaï, ReachFive qui sont des Pure Players ainsi que les éditeurs de solutions d’Access Management qui portent aujourd’hui ce cas d’usage

« Chez Idento nous travaillons avec plusieurs partenaires qui font référence sur le marché de l’IAM. Pour la gestion des accès (AM), Okta, ForgeRock, Ping proposent des solutions matures qui sont plébiscitées par nos clients. Microsoft est également bien positionné en termes de part de marché, de part sa force commerciale autour d’Office 365 et des services « packagés » autour de ses offres d’abonnement. Sur le marché Français, nous travaillons notamment avec Ilex International, éditeur français, qui propose une solution complète.
Pour les solutions de gestion d’identités (IAG), la solution de SailPoint est une référence sur le marché. ForgeRock propose également une solution d’IAG complète, tout comme Saviynt. Okta arrive également sur ce secteur et investit beaucoup ces derniers temps pour être aussi pertinent sur l’IAG que sur l’AM. Dans le secteur Banques/Assurance, One Identity est bien positionné en France. Les éditeurs Français Kleverware ou Brainwave, ne proposent pas une suite IAG complète, mais des solutions de revue des droits assez complète. » explique David Auburtin

Des technologies matures mais encore insuffisamment déployées

Si les technologies d’IAM sont relativement matures aujourd’hui, nos experts ont des avis partagés sur leur réel déploiement à grande échelle au sein des organisations. D’un côté, David Auburtin soutient que les solutions d’accès sont globalement bien présentes chez ses clients, principalement en tant que fournisseur d’identité (Identity provider). La fédération d’identités associée à l’authentification multi-facteur est très largement déployée aujourd’hui, en réponse à la menace cyber qui augmente. Concernant les solutions d’IAG, nous avons observé un nombre de projets en forte croissance ces 2 dernières années, la gestion des identités étant devenu un thème central en cyber sur cette période. Ces projets étaient, il y a quelque temps, tirés par la règlementation où les économies substantielles amenées par l’automatisation. Aujourd’hui, il y a un intérêt évident en cybersécurité avec la sécurisation les comptes des utilisateurs, en maitrisant mieux leur cycle de vie et leurs droits associés.

De même Edouard Veron considère qu’elles sont déployées à grande échelle. L’IAM est cependant un sujet en perpétuelle évolution qui doit s’adapter à une organisation en mouvement. Le déploiement doit se faire de manière progressive avec une extension de périmètre itérative. La richesse fonctionnelle de la solution, son évolutivité, ainsi que l’approche cloud, sont d’ailleurs parfaitement adaptés à cette approche d’amélioration continue.

En revanche Patrick Marache a un avis plus mitigé. Pour lui, déployer une technologie d’IAM n’est pas simplement déployer une « boîte » en production. Pour en tirer bénéfice, il est nécessaire de repenser et simplifier son organisation et ses processus IAM : comment gérer l’arrivée d’un nouveau collaborateur ? Gérer l’internalisation d’un prestaire ? Comment modéliser ses profils métiers ? Comment les faire évoluer dans le temps ? Comment impliquer les managers, les responsables des données dans les processus IAM ? Comment traiter la perte de moyen d’authentification forte ? Quels standards imposer pour simplifier le raccordement des applications à l’IAM ? Comment s’assurer du respect des règles internes ou de règlementations (moindre privilège, accès aux données personnelles ou sensibles…) ?... De manière générale, nos clients ont déjà conduit un ou plusieurs projets qui ont permis de déployer des services IAM. Toutefois, ces déploiements sont souvent partiels et, chez les grands comptes, ils peuvent fortement varier d’une entité à l’autre. En effet, historiquement, les projets IAM se sont confrontés à une forte hétérogénéité des existants (en matière d’organisations, de processus et de SI) sans disposer de la légitimité nécessaire pour faire converger les pratiques. De plus, l’IAM était vu comme un projet « one shot » avec des moyens souvent insuffisants pour suivre et s’adapter aux évolutions de l’Entreprise (réorganisation, M&A, évolutions d’application…). Cela peut conduire à un « décrochage » entre les sujets IAM, trop statiques, et les besoins réels en évolution permanente. Depuis maintenant quelques années, nous constatons une réelle prise de conscience et une volonté de nos clients à s’emparer de l’IAM pour le rendre plus efficace, plus rationalisé et plus agile : cela implique pour pouvoir arbitrer et conduire une transformation en profondeur. Sur les 3 dernières années, 2/3 de nos clients ont lancé de tels programmes de transformations IAM. 

Un niveau de maturité des entreprises très hétérogène…

Pour tous nos experts le niveau de maturité en matière d’IAM est très hétérogène. Ains Edouard Veron explique cet état de fait car l’aspect politique de l’entreprise est parfois un frein, ainsi que les coûts CAPEX et OPEX importants liés au projet. Nous accompagnons régulièrement les Direction de Grands Groupes pour apporter un éclairage sur les enjeux stratégiques de l’IAM et démontrer les bénéfices métiers qu’apporte une solution centralisée. Patrick Marache distingue 4 niveaux de maturité : Fragmenté (l’organisation n’a pas d’approche consolidée), Rationnalisé (l’IAM est simplifié et géré de manière centralisée sur les services de base), Etendu (capacités organisationnelles d’IAM adaptées à un système d’information en évolution), Maîtrisé (IAM efficient, agile, réduction de la charge de travail grâce à une automatisation intelligente). En tendance, nous pouvons considérer que la très grande majorité des entreprises se situent sur les niveaux intermédiaires « Rationnalisé » et « Etendue ». David Auburtin est plus optimiste, il considère que le niveau de maturité s’est globalement amélioré, même si on peut constater encore des disparités avec des groupes mondiaux pas encore équipés, ou des petites structures utilisant toute la puissance de ces produits. Les moyennes et grandes entreprises sont généralement équipées de solution en AM et IAG, qu’elles sont en train de déployer plus largement :
– En terme géographique auprès de leurs filiales (l’annuaire en premier lieu, puis les accès et enfin les identités).
– En termes de périmètre fonctionnel comme l’activation du SSPR dans le domaine de l’AM, de la recertification récurrente ou de la ségrégation des droits dans le domaine de l’IAG.
– En termes de périmètre applicatif en déployant massivement la fédération d’identités et l’authentification forte, le provisionning de comptes et de droits.
Les PME misent tout d’abord à sécuriser les accès, avec des solutions soit intégrées avec leurs offres actuelles (Microsoft Office 365 en tête avec Azure Active Directory), soit avec des solutions proposant un bon rapport qualité prix, voire open-source.

…Mais des projets plus nombreux

Si le niveau de maturité des organisation est assez hétérogène, les projets sont nombreux et en croissance du fait sans doute du développement du télétravail du à l’effet COVID. Ainsi, David Auburtin a observé ces 12 derniers mois des projets de migration vers le SaaS, tant en solution d’authentification que de gestion des identités. « Les montées de version des solutions « On Premise » peuvent déclencher ce genre de projet. Il est rare que la solution en place soit conservée, en général nous réalisons les migrations vers une solution concurrente qui a quelques années d’expérience sur ce type d’hébergement. La reprise de données est d’ailleurs une phase du projet où nos clients sont assez soucieux en général, mais qui s’avère assez simple quand elle est bien préparée.
La mise en place de solution multi-facteur est également plébiscitée, associée à une authentification qui s’adapte au contexte de l’utilisateur et à la ressource à laquelle il souhaite accéder. Enfin, nous avons également énormément de projets récurrents, comme les fédérations sur la solution d’authentification en place (AM), ou de provisionning de comptes et droits (IAG). Après avoir investi à mettre en place une solution d’IAM, nos clients déploiement massivement ces fonctionnalités pour éteindre au maximum la sécurité de leur SI. »
Patrick Marache et Edouard Veron font une différence entre les grandes comptes et les PME. Pour les grands comptes il a constaté, depuis les 24 derniers mois, une augmentation et une nouvelle dimension des projets de refonte complète des services IAM et AD. Ces projets, pluriannuels, ont gagné en ambition, en structure, en investissement, en visibilité et réussissent désormais à figurer en bonne place dans le « Top 5 » des grands projets de transformation de la DSI. Concernant les grands comptes Edouard Veron ajoute : « les grandes tendances qui se renforcent sont la migration vers le cloud, la convergence des solutions avec notamment une approche centre de service groupe, les projets de CIAM (Customer Identity and Access Management), et la mise en conformité des SI essentiels avec notamment des projets d’IGA et de PAM. »

Concernant les PME, reprend Patrick Marache, elles disposent généralement d’un SI plus simple, plus homogène, en matière de services d’infrastructure et collaboratifs ; avec également le recours à un nombre limité de logiciels métiers plus spécifiques. Les initiatives IAM sont souvent lancées dans le cadre d’une évolution plus large du SI vers le Cloud ; comme la bascule des services collaboratifs ou d’une partie du SI RH vers le Cloud. Ainsi, les projets IAM s’orientent naturellement vers la recherche de solutions Cloud, simples et pragmatiques, quitte à accepter certaines limitations. En somme, une approche plus opérationnelle, à même d’arbitrer certains besoins pour rester au plus près d’une offre Cloud « clé-en-main ». Au niveau des PMEs, ajoute Edouard Veron la tendance est de se focaliser sur les premiers besoins de sécurisation à savoir le renforcement de l’authentification (Accès MFA et le SSO) et la sécurisation des accès cloud avec notamment Microsoft qui est le grand leader sur ce marché.

L’IAM n’est plus une option et est le pilier majeur pour une approche zero-trust

Face à l’évolution des menaces et des usages il est impossible de se passer d’un système de gestion des accés et des identités analysent à l’unisson nos trois experts. Pour Patrick Marache : « Non seulement l’IAM n’est plus une option ; mais il est désormais acquis que disposer d’une gestion efficace et agile des identités et des accès est un différentiateur. Par essence, l’IAM est à la croisée de toutes les transformations structurantes. C’est un pilier majeur pour s’orienter dans une approche zero-trust. C’est un indispensable pour accompagner la vague vers le Cloud. C’est un accélérateur des transformations pour les infrastructures AD hybride ou complexe. C’est un prérequis pour la traçabilité, l’imputabilité des actes et donc la conformité réglementaire dans la quasi-totalité des secteurs d’activité. C’est un essentiel « de base » pour servir efficacement ses utilisateurs et leur apporter un confort constant pendant toutes les phases de transformation. C’est, enfin, un différenciateur dans la création de la relation avec ses clients. L’IAM ne peut plus simplement se permet de « suivre à distance » les transformations de l’Entreprise, en offrant un niveau de service a minima et souvent difficile à faire évoluer. Il doit être efficace, agile, en capacité à anticiper des situations parfois complexes comme des M&A, la multiplication des APIs et la bascule sur un modèle d’économie « plate-forme ». Et pour cela il est souvent nécessaire de repenser en profondeur son IAM : son périmètre et son ambition, sa politique et sa gouvernance, son mode de delivery (on-prem vs SaaS), son offre de service et son modèle économique… Effectivement reprend David Auburtin : « Sans Identity Provider aujourd’hui, il est assez complexe et risqué de sécuriser ses accès sans cette brique. Elle a le gros avantage de centraliser la politique d’accès d’une entreprise, et de s’assurer que toute application fédérée, hérite cette politique. Elle permet de décharger l’application métier de cette phase d’authentification (qui peut être mal conçue et présenter des failles) pour la contrôler exclusivement, garantissant un niveau de sécurité optimal. La mobilité et le télétravail, accélérés ces dernières années, ont nécessité d’élever la sécurité des postes de travail et des infrastructures exposées sur internet, de nos clients (VPN, messagerie, extranet métiers, etc.) : nous avons déployé un nombre important d’IDP et mis en place énormément de fédérations à partir de cette architecture. » Et Edouard Veron de conclure sur ce sujet : « même avant l’évolution des menaces et des usages, la mise en place d’un système centralisé de gestion des habilitations au système d’information était cruciale, pour
• Une traçabilité des accédants au SI et un meilleur contrôle des accès pour répondre à la problématique du moindre privilège ;
• L’automatisation de la gestion du cycle de vie des utilisateurs ;
• La gestion de campagnes de re-certification… »

Déployer une solution d’IAM reste une démarche longue et pavée d’embuches

L’IAM est un vaste sujet, où il est facile de se perdre considère Patrick Marache. De plus, la réalité opérationnelle de l’IAM est très souvent mal connue et la complexité de transformation sous-estimée.

Pour pallier ces risques, 5 clés :
*Bien définir son ambition IAM et s’assurer de la cohérence entre cette ambition et les moyens alloués : sponsor, capacité à faire bouges les lignes, moyens humains et financiers
*Prendre le temps de s’approprier la réalité opérationnelle de l’IAM
*S’organiser dans un programme de transformation à même d’aborder l’ensemble des facettes
*Se préparer à une transformation en profondeur, et accepter d’avancer par étapes et avec des compromis, et donc des renoncements, pour faire face à la somme des contraintes
*S’appuyer sur les données réelles pour expliquer ses arbitrages et pour anticiper les éventuels manques de qualité.

Selon David Auburtin la mise en œuvre d’une solution d’IAM est avant tout un projet informatique :
– Il faut identifier les besoins avant de définir une solution (les bœufs avant la charrue !).
– Il faut définir une stratégie globale IAM avant de déployer telle ou telle solution : rien de plus frustrant pour un RSSI de choisir un produit qui limite les options l’année suivante sur d’autres fonctionnalités attendues.
– Procéder étape par étape (par pans fonctionnels) plutôt que de vouloir tout changer d’un coup. Chaque domaine de l’IAM a des sous-domaines qu’il convient d’étudier : SSPR, SOD, re-certification, etc.
– Ne pas négliger la conduite du changement auprès des utilisateurs : même si ces projets sont assez techniques, c’est finalement l’adhésion de la solution par les utilisateurs qui est primordiale. Des cinématiques d’authentifications simples, des processus de cycle de vie efficaces sont les facteurs clés de réussite. L’expérience utilisateur est au cœur des projets IAM !
– Mettre en place une organisation projet, une gouvernance et surtout s’assurer de la disponibilité des équipes qui vont travailler sur ces sujets : elles sont souvent accaparées par les activités de run et pourraient faire exploser les charges et délais du projet.

Au final, Edouard Veron assure que l’IAM ne doit pas être perçu comme un projet purement technique. C’est un projet qui permet d’optimiser certains processus métier avec un diminution significative de la charge de travail passée sur des actes d’administration ou d’affectation des habilitations au moment de l’intégration d’un nouvel employé. Cela offre de nouveaux leviers de valorisation auprès d’acteurs métiers que nous impliquons dès la phase de cadrage.

La fédération des identités en cours de démocratisation

La fédération d’identités qui consiste à délester l’application de toute authentification à une entité tiers est une suite logique de l’implémentation d’une solution de gestion des identités et des accès commence à se démocratiser. Ainsi, pour David Auburtin, la fédération d’identité est « le build des activités de run » en IAM. Une fois les projets de déploiement terminés, il y a souvent beaucoup d’applications à raccorder pour augmenter, au fur et à mesure, le niveau de sécurité du SI. Chez la plupart de nos clients, c’est un prérequis à toute nouvelle application au sein du SI : celle-ci doit être raccordée à l’IDP en étant fédérée. De plus en plus de solutions du marché sont compatibles avec la fédération, en implémentant généralement les deux protocoles les plus répandu : OIDC et SAML. Celle-ci s’est accélérée en 2020 avec le télétravail, où les DSI ont dû protéger rapidement les accès externes ouverts en urgence, tout d’abord via du MFA s’il existant directement sur ces solutions, puis en fédérant les applications exposées par de la fédération. Celle-ci est d’ailleurs généralement couplée avec du MFA pour augmenter le niveau de sécurité des accès.
Pour sa part, Patrick Marache, consièdre quel fédération des identités est aujourd’hui un standard mature et très largement déployé au sein des entreprises et des fournisseurs de solutions Cloud. Le raccordement d’une application (SaaS ou on-prem) pour couvrir son authentification reste le cas d’usage dominant et peut, à raison, être qualifié de mature. Au-delà du confort utilisateur associé au SSO, la fédération d’identité est un gage de souplesse pour la DSI : elle permet de déployer des nouvelles applications sans devoir communiquer de nouveaux logins et mots de passe ; et peut simplifier la transition pendant la migration d’applications : en effet, elle simplifie la coexistence de plusieurs applications en améliorant le parcours utilisateur.
A contrario, il existe de nombreux cas d’usage « annexes » qui nécessitent encore de s’y pencher finement. A titre d’illustration : authentification « machine to machine », accès partenaire lorsque le client endosse le rôle de Service Provider, accès en marque blanche, ajout d’APIs dans le mix applicatif ; et propagation dans des appels chaînés d’APIs…

Vers la fin des mots de passe ?

L’IAM semble être destiné à un avenir radieux, c’est sans doute pour cela que bon nombre d’entreprises s’y intéresse. En effet, selon Patrick Marache, l’IAM dervita continuer ses transformations pour aller vers plus d’agilité, plus de Cloud, plus de standard et d’intégration, plus d’aide à la décision et d’automatisation grâce à l’IA.
Concernant le système d’authentification, l’authentification forte est désormais un « basic ». Deux évolutions se profilent :
– Une évolution plutôt technique avec le « passwordless » qui vise à faire disparaitre les mots de passe, y compris techniquement dans les bases de données des applications et les flux inter-applicatifs.
– La seconde se concerne le moyen d’authentification donné aux utilisateurs. Le Smartphone s’est imposé comme un facteur d’authentification mais toutes les populations en Entreprise ne sont pas équipées. Et alors que le support « carte à puce » est en perte de vitesse, les dongles sécurisés semblent s’imposer pour ces populations sans Smartphone.

Enfin, à plus long terme, l’IAM évoluera certainement sous l’impulsion de l’approche « privacy-by-design », de plus en plus intéressante et amenée à être de plus fréquente ; et, pourquoi pas, avec la généralisation de l’identité citoyenne (avec un niveau d’enrôlement ad hoc), y compris pour des usages commerciaux.
Effectivement reprend, David Auburtin, les facteurs utilisés pour s’authentifier devraient évoluer vers des facteurs plus forts, limitant de plus en plus l’usage des mots de passe au profit d’autres facteurs plus performants. Certains facteurs ont atteint aujourd’hui un niveau de maturité assez important, et se sont démocratisés notamment grâce aux constructeurs : biométrie, clés FIDO, notification push, etc. Nos PC, tablettes, et surtout téléphones que nous avons tous dans nos poches embarquent des moyens d’authentification de plus en plus sécurisés qui pourront être utilisés largement en lieu et place du bon vieux mot de passe. Nous avons déployé des clés Yubikey chez plusieurs clients et pour des volumétries importantes. Par ailleurs, le fameux passwordless n’est plus une utopie, même si le chemin est long. Les principaux éditeurs de solutions vont nous inciter de plus en plus à utiliser ces facteurs forts. Des technologies comme SDO (Secret Double Octopus) qui se focalisent sur le passwordless sont déjà une réalité chez nos clients.
La manière dont sont stockées les identités pourraient également vivre une révolution, après plusieurs dizaines d’années de service de la technologie LDAP qui centralise ces identités. Certes, celle-ci ne va pas disparaitre du jour au lendemain, mais la décentralisation de ces identités pourrait être envisagée ave la technologie blockchain. Sécurisé, partagé, distribué et immuable… des qualités portées par la blockchain qui profiterait à l’IAM. De plus en plus de sociétés spécialisées mais également généralistes s’y intéressent et investissent, Microsoft et IBM en tête. A suivre dans les prochaines années !