Eric Domage a dressé, en guise d’introduction, un panorama des principaux incidents de l’année parmi lesquels l’Affaire de la société Générale, celle de Mark & Spenser… qui ont récemment défrayé la chronique. Les études d’IDC montrent que dans l’ensemble des couches de sécurité, il y a des faiblesses absolument imprévisibles et aléatoires selon la fameuse loi de murphy. Le SI est donc un véritable gruyère où les trous sont les multiples vulnérabilités des facteurs techniques à aux défaillances humaines volontaires ou accidentelles. Dans tous les cas, l’utilisateur est soit un facteur initiateur ou aggravant. Selon IDC, il est important que l’on conçoive des logiciels moins vulnérables, mais aussi de réduire les failles humaines. La certification, l’ISO, voire les processus basés sur la roue de Deming … peuvent être des pistes pour manager la sécurité de façon à ce que les risques liés au facteur humain diminuent. La sécurité ne doit plus être considérée comme une fin mais plutôt un service pour aider le modèle économique à mieux fonctionner.

Eric Domage constate que les dépenses de sécurité en France sont inférieures à celles des autres pays européens. Si aux Etats-Unis, les dirigeants ont généralement peur des législations, mais souvent elles interviennent suite à des problèmes. Par contre, en France, on régule avant que les problèmes n’arrivent, avec par exemple la création de la CNIL, la mise en place de la LCEN… Selon Eric Domage, si en Europe, il y a un plan d’éducation pour la sécurité informatique, ce n’est pas encore le cas en France.

En termes de technologie, la DLP est considéré par IDC comme une stratégie marketing plutôt qu’une nouvelle avancée technique dans la mesure où il s’appuie sur l’assemblage de technologies déjà connues et utilisées.

Concernant les dépenses d’IAM, Eric Domage constate un transfert des dépenses des éditeurs vers les intégrateurs. Pour Alexandre Garret, cette nouvelle situation est normale, puisque les projets sont en cours de déploiement avec l’aide d’intégrateurs.
En France, mis à part dans le secteur de la Banque Assurance qui déploie de l’IAM sous la pression règlementaire, les autres filières sont plutôt à la recherche de réduction de coûts. Pour Alexandre Garret, déployer de l’IAM dans des entreprises de moins de 1.000 personnes n’est pas utile mis à part pour certaines entreprises dans des secteurs particulièrement sensibles. Pour lui, un intégrateur doit permettre de créer une architecture sur mesure pour couvrir les cinq grandes questions que se posent les entreprises qui veulent déployer de l’IAM : qui est où ? Il se connecte avec quoi ? De quel endroit il se connecte ? A quelles applications il se connecte ? A quelle heure il se connecte ?

Eric Domage reprend en affirmant que la technologie crée le besoin. Ainsi, concernant la gestion des identités, on est partie de l’interopérabilité des annuaires, puis aujourd’hui on arrive au NAC. Toutefois, selon Alexandre Garret, il y a en France peu de projet NAC dans la mesure, où pour le moment ces technologies n’apportent pas d’avancées directement évaluable pour les utilisateurs. Par contre, comme le constate Eric Domage, la PKI revient très fort sur le devant de la scène. Effectivement, rebondit Alexandre Garret, les entreprises veulent faire des typologies d’utilisateurs et de leurs identités numériques. Dans l’industrie, on constate une volonté de coupler la PKI et l’IAM, pour faire à la fois de la sécurité physique avec le contrôle d’accès et logique sur les accès au SI.

Mais attention, explique Eric Domage, bien souvent les utilisateurs font souvent un arbitrage entre confort d’utilisation et sécurité au détriment de cette dernière.

Un point sur les acteurs du marché

Eric Domage a dressé une typologie des différents acteurs du marché de l’IAM. Ainsi, Novell et Oracle se repositionnent sur ce marché, même si, selon Alexandre Garret, on ne les trouve pas beaucoup sur les projets. IBM, suite au rachat de plusieurs entreprises comme ISS et Consul permet d’allier la sécurité et l’audit. CA est toujours présent avec son concept EITM. SUN Microsystems est très présent sur le marché et intègre la gestion des rôles depuis son rachat de la société Vaau. Microsoft a une solution basée sur Active Directory, ILM et Smart Card qui est un atout. Toutefois, son concept « End to End Trust » est encore confus. Bull-Evidian propose un nouvel axe. Effectivement, reprend Alexandre Garret, Bull-Evidan a une offre complète sur le SSO et les accès. EMC avec le récent rachat d’Iomega devrait aller très vite sur ce marché. Enfin, d’autres acteurs comme Gemalto, Vasco… ont des offres très grand public qui devraient permettre d’éduquer le marché aux problématiques d’authentification.