Avec l’essor du Cloud et du modèle Zero Trust, la gestion des identités change de dimension. Dans le cadre de l’ouverture de leur SI, les entreprises modernisent leurs outils de gestion des identités et des accès au détriment des solutions “maison” ou obsolètes.
Jamais la protection des identités n’a été aussi critique pour la sécurité des entreprises. Les attaques de phishing sont désormais généralisées et viennent alimenter une industrie de la revente d’identités sur le Dark Net. En outre, la migration des systèmes d’information vers le Cloud a fait de l’identité le dernier rempart dans la protection des données. Ces dernières doivent resserrer les boulons dans leur gestion du cycle de vie des identités, muscler la gestion des accès mais aussi faire face à l’extension du nombre de comptes Cloud, des objets connectés ou encore des comptes clients avec ce que l’on appelle le CIAM (Customer IAM). En fonction de ces impératifs, les entreprises s’équipent ou renouvellent des plateformes IBM, Computer Associates, Oracle ou Sun déployées dans les années 2 000 ou encore les développements “maison” parfois appuyés sur l’ITSM qui ont fait florès dans les grandes entreprises à la même époque. Les éditeurs venus du monde de la gestion des accès : Okta, Ping Identity, ForgeRock, One Identity/OneLogin sont en “coopétition” avec ceux venus de la gouvernance des identités, comme Sailpoint, Saviynt, IBM, Oracle, One Identity et enfin ceux issus de la protection des accès privilégiés (PAM), avec des acteurs comme Wallix qui cherchent aujourd’hui à démocratiser leur approche dans une logique de “PAM pour tous”. Avec Ilex International et UserCube, la France dispose d’un écosystème souverain particulièrement dynamique dans ce secteur.
Couvir tous les aspects de la gouvernance des identités
One Identity, éditeur présent sur le marché de la gestion des identités depuis de nombreuses années, propose aujourd’hui des solutions qui en couvrent tous les aspects, depuis le cycle de vie des identités, le provisioning/deprovisioning sur les systèmes cibles, une interface self-service pour les utilisateurs, des outils de gouvernance des identités.
Hicham Bouali, directeur Avant-Ventes EMEA chez One Identity, souligne : « Notre plateforme Unified Identity Security intègre 3 familles de logiciels. D’abord ceux qui couvrent les aspects “classiques” de la gestion d’identité, l’IGA (Identity Governance and Administration). Nous proposons aussi des produits qui couvrent les besoins en matière de PAM (Privileged Accounts Management) et enfin des produits dédiés à l’Access Management avec des mécanismes de fédération d’identité, de Single Sign-On. » L’acquisition de One Login a permis à l’éditeur de renforcer son offre de gestion des accès et celui-ci propose aussi des outils dédiés à la sécurité de Microsoft Active Directory. L’offre One Identity est disponible tant en on-premise que dans le cloud. En France, One Identity compte Outscale et Natixis assurances parmi ses clients.
Une solution IAM développée pour le SaaS
Partenaire de One Identity sur certains projets, SailPoint est un acteur venu du monde de l’IGA. Il est présent sur le marché IAM avec sa solution on-premise historique et une nouvelle solution Cloud. Patrick Sena, Sales Engineer Manager chez SailPoint, explique ce choix a priori surprenant : « Contrairement à beaucoup d’éditeurs qui se sont contentés de porter leur solution IAM dans le Cloud, nous avons fait le choix de redévelopper une solution spécifique pour le SaaS. Nos grands clients traditionnels continuent d’utiliser la version on-premise et celle-ci continue à évoluer. En parallèle, nous avons fait le choix de pratiquement repartir de Zero pour proposer une solution qui soit réellement Cloud native. Techniquement, c’est une architecture multitenant qui diffère radicalement des solutions on-premise. Cela va à l’encontre de beaucoup d’acteurs du marché qui ont fait du Cloud Washing en hébergeant leurs solutions traditionnelles sur le Cloud. Cette approche donne l’impression de répondre aux attentes des clients, mais ces solutions posent les mêmes problématiques de maintien en conditions opérationnelles et de mise à jour que le on-premise. » En outre, les implémentations de plateformes IAM on-premise étant souvent très customisées par les intégrateurs pour répondre aux attentes des entreprises, les upgrades sont souvent complexes à mener. Une solution Cloud native permet de faire face à ce type de problématiques.
Des outils ciblés, premiers pas vers l’IAM
Outre ces plateformes, des solutions plus ciblées peuvent constituer un premier pas vers l’IAM. C’est le cas des outils de gestion de mots de passe comme LastPass ou encore Dashlane. Guillaume Maron, cofondateur et VP Engineering de Dashlane, souligne : « La présence d’un SSO dans une entreprise dépend de sa maturité vis-à-vis de sa gestion des accès. Aujourd’hui, ce n’est clairement pas le cas pour la majorité de nos clients. Beaucoup de petites et moyennes entreprises n’ont clairement pas les moyens de se lancer dans un projet IAM et d’un SSO. Le déploiement d’un gestionnaire de mot de passe auprès de tous les collaborateurs est un premier pas. » Dashlane se positionne en tant que complément du système SSO de l’entreprise lorsque celle-ci en dispose. Il s’agit de gérer les mots de passe des sites, notamment les réseaux sociaux, qui ne sont pas pris en compte par le système en place. « Les collaborateurs utilisent de nombreux services SaaS dans leur quotidien. La DSI ne souhaite pas nécessairement intégrer toutes ces solutions à son SSO parce qu’il s’agit de besoins ponctuels ou de services en cours d’évaluation. Un gestionnaire de mots de passe permet ainsi d’étendre le SSO à tous ces usages tiers. »
Des innovations pour plus d’automatisation
Le renouvellement des plateformes IAM permet théoriquement d’alléger les tâches d’administration pour les managers impliqués dans les workflows de validation des accès. C’est aussi un bon outil pour automatiser les campagnes de recertification des accès des collaborateurs sur les applicatifs, des tâches traditionnellement très consommatrices de temps. Pour Laurent Szpirglas, Country Manager chez Ping Identity, l’IA peut avoir d’autres applications : « Nous travaillons aujourd’hui sur l’analyse de risques, la lutte contre la fraude. Ces deux modules d’analyse prédictive ont été intégrés à la solution Ping Identity. Le Machine Learning permet d’identifier les utilisateurs qui ont un comportement à risque. De même, pour la détection de fraude, la solution étudie les transactions, le comportement de l’internaute devant son écran. Ces techniques, mises en œuvre dans le secteur bancaire, peuvent aujourd’hui être très facilement déployées en SaaS pour toutes les entreprises. »
La gestion des identités ne se limite plus à celles des utilisateurs. Qu’il s’agisse des applications, des API, des comptes dédiés au RPA, mais aussi des robots industriels, des machines et des véhicules, tout objet connecté a désormais la sienne. Les entreprises doivent maintenant se doter des moyens de les protéger et c’est la raison pour laquelle l’identité se place désormais au centre de la cybersécurité.
