Sogeti considère l’IAM comme un facilitateur d’affaires crucial. La mission a trouvé son support : le cloud.
Dans leur projet de transformation digitale, les entreprises approchent l’IAM (Identity & Access Management) sous un jour nouveau, observe Vincent Laurens, Vice President – Cybersecurity Practice Executive – Member of the Executive Committee, Sogeti. «Désormais, les accès ne sont plus accordés sur base des fonctions, mais sur base des besoins. Ce qui veut dire que l’aspect contextuel entre en ligne de compte, la notion de risques est mieux perçue. Résultat, les frontières changent, les responsabilités aussi.»
C’est dans ce contexte que Sogeti a défini son offre IDaaS, une solution IAM complète en mode ‘as-a-service’ qui couvre les domaines clés de la gouvernance et de l’administration des identités numériques, de l’authentification basée sur les risques et de l’autorisation en fonction du contexte.
Un service à part entière, donc. Et qui sort du cadre de l’IT. «L’IAM ne sera plus sous la responsabilité de l’IT, mais sous celle des métiers, indique Vincent Laurens. Ce qui s’explique aisément : qui mieux que les métiers connaissent les utilisateurs, savent sur quels projets ils travaillent, dans quelles conditions et quels risques ils courent réellement… C’est donc, par exemple, le CMO qui décidera pour son équipe de marketers. Bref, les acteurs sont en train de se réapproprier les accès !»
Autant le dire : les jours de la méthode traditionnelle qui consistait à utiliser le nom de l’utilisateur et le mot de passe spécifiques à l’entreprise pour se connecter sont… comptés !. «La gestion sécurisée de l’identité numérique devient le point clé de contrôle du monde numérique, le cloud nous semble être le meilleur endroit pour centraliser les contrôles, poursuit Vincent Laurens. L’identité est également reconnue comme étant un élément différentiant pour les entreprises, car elle permet aux employés et aux utilisateurs d’accéder facilement et en toute sécurité aux données et informations, à partir de n’importe quel terminal et via n’importe quel réseau ou application.» Au coeur de l’offre, les technologies de RSA, ForgeRock et CyberArk.
«Les solutions proposées jusqu’à maintenant pour répondre aux besoins de gestion des identités numériques et des d’accès nécessitaient l’intégration difficile de multiples produits de sécurité, venant de différents fournisseurs. Cette démarche ne permettait pas d’offrir un service de bout en bout, simple, flexible et intégrant les dernières nouveautés. De là, des projets IAM sans fin, forcément coûteux». Nouveau contexte, sous l’effet du PaaS et du SaaS. Pour Sogeti, la demande est venue du marché, au départ du Royaume-Uni -via Heathrow Airport. La France a suivi. Aujourd’hui, pays nordiques et pays du Benelux s’inscrivent dans la foulée. Plusieurs projets sont en cours de déploiement, dans tous les secteurs -à commencer par l’énergie.
Pas de plug and play, prévient Sogeti. Chaque projet est précédé d’une étude Fast Track (à coût fixe) permettant d’évaluer l’existant. «Dans notre approche, nous lions l’identité numérique, la sécurité et la conformité règlementaire.» Ceci dit, l’IDaaS n’est pas une finalité, le cloud n’est pas davantage un passage obligé. Les services peuvent être fournis comme une solution entièrement hébergée ou gérée (sur site) -ce que préfèrent encore les grands comptes. «Aujourd’hui, on est à 50/50, observe encore Vincent Laurens. La solution dans le cloud étant privilégiée par les plus petites organisations.»
Quand l’authentification devient adaptative
Les organisations demandent à pouvoir se connecter avec de plus en plus de clients, de plus en plus de partenaires commerciaux et des tiers, la portée de l’entreprise n’a jamais été aussi grande, aussi étendue.
Or, selon une étude de Sogeti, seulement une entreprise sur cinq (21%) estime pouvoir gérer ce qu’il est convenu d’appeler l’authentification adaptative.
Beaucoup de solutions IAM, parfois créées en interne ou sur base d’une vieille technologie, sont encore opérationnelles. De là, un plus grand risque de menaces, tant à l’intérieur de l’entreprise qu’à l’extérieur. Selon Sogeti, il faut aussi tenir compte de solutions ‘héritées’ -développées dans un environnement où la sécurité était la plupart du temps physique, alors que les besoins doivent répondre à une dynamique.
Dans de nombreux cas, le budget est disponible. Et le basculement vers un modèle OPEX est évidemment tentant. Ceci dit, un travail préparatoire s’impose -souvent lourd. Il s’agira en effet de nettoyer et démêler la situation actuelle où les identités et les rôles ainsi que leur administration ont été élaborés de différentes façons, sans une vision nette des interactions entre IAM et business.
