L’évolution du marché de la gestion des identités et des accès

Le marché de la gestion des identités et des accès (IAM – Identity and Access Management) est un marché mature. Les solutions IAM existent depuis plus de 12 ans, et la plupart des grandes PME et des grands comptes en sont désormais équipés.

Malgré sa longue histoire, la technologie IAM évolue rapidement, notamment avec l’expansion du Cloud et de la mobilité, qui modifie l’environnement IT de l’entreprise. Avec les obligations de conformité imposées par l’Etat et les règlementations industriel.
Prendre en charge le Cloud et la mobilité rend la tâche d’une solution IAM, déjà difficile, encore plus compliquée. Gérer les principales fonctionnalités de l’IAM est difficile pour la plupart des entreprises à cause de l’importance et de la complexité de l’environnement : le nombre moyen d’utilisateurs (de 10.000 à 100.000) et d’applications (entre 100 et 1000), et des problématiques d’intégration et de configuration de la solution (ou de plusieurs) pour un environnement unique.
Peu importe où les applications se trouvent – dans le cloud, sur un périphérique mobile, ou dans un Datacenter - les utilisateurs doivent avoir accès à leur environnement pour travailler. Et, les entreprises doivent gérer les changements des droits d’accès lorsque le rapport à l’entreprise d’un utilisateur change ou lorsque celui-ci quitte l’entreprise. Surtout, l’accès de l’utilisateur doit être géré de manière à sécuriser les données de l’entreprise, protéger sa vie privée et répondre aux exigences de conformité réglementaire.
Nombreuses sont les fois où les administrateurs système (ou le helpdesk) manipulent l’IAM avec peu ou pas de visibilité sur l’activité de l’entreprise, sans savoir “qui à accès à quoi”. Désormais, il incombe aux entreprises de gérer les fonctionnalités de l’IAM de manière centralisée pour démontrer aux entités en charge d’évaluer et de surveiller la conformité, que les bonnes politiques et les contrôles sont en place pour la gestion des accès. Lorsque les entreprises utilisent une combinaison d’outils disparates et des processus manuels pour gérer l’IAM, il n’y a pas de “version unique de la vérité” pour savoir “qui à accès à quoi”. La plupart des entreprises ne peuvent pas fournir une image complète de l’ensemble des accès des utilisateurs dans l’entreprise – et il faudrait des jours pour le faire manuellement. Malheureusement, encore moins d’entreprises ne peuvent centraliser les accès utilisateurs avec le Cloud et les applications mobiles.
La croissance rapide des nouvelles technologies Cloud et mobiles met à rude épreuve les capacités des premières générations de solutions IAM. Ces nouvelles technologies rendent plus difficile la gestion et le contrôle des accès par les équipes IT, augmentant à terme le risque de fraude, le vol de données et les failles de sécurité. Le contrôle centralisé appartient au passé. Les utilisateurs peuvent désormais apporter leur propre appareil mobile sur leur lieu de travail (BYOD) et les utiliser pour accéder aux applications et aux données de l’entreprise, et les départements métier disposent de plus d’autonomie pour acheter et déployer des applications cloud, sans consulter ou impliquer le département informatique.
Les départements informatiques doivent donc étendre leur stratégie IAM pour couvrir les utilisateurs, les périphériques et les applications en dehors du datacenter traditionnel, en incluant les clouds publics et privés, les applications SaaS, et les outils comme les tablettes et les Smatphones, qui n’appartiennent pas à l’entreprise. Dans le monde IT d’aujourd’hui, les solutions IAM doivent ainsi faire le lien de façon transparente entre les utilisateurs et les applications dans le réseau de l’entreprise et entre les utilisateurs et les applications à l’extérieur du réseau – pour fournir une visibilité et un contrôle de bout en bout. 
Face aux différents défis d’aujourd’hui, la bonne approche doit être pensée avec une vision à long terme.
La gestion des identités et des accès doit répondre immédiatement aux besoins stratégiques de l’entreprise, mais en même temps, doit faire partie d’une stratégie à long terme pour faire face à l’évolution de l’activité.

Cette nouvelle approche comporte quatre éléments essentiels :

  • L’extension des processus et des outils IAM pour gérer de manière centralisée le datacenter et les environnements cloud : Les entreprises ont besoin d’une gouvernance, de l’allocation automatique de ressources et d’une gestion des accès « multi-domaines » pour gérer en toute sécurité toutes les ressources, où qu’elles soient hébergées – sur site ou dans le cloud. Il est inefficace d’avoir des processus et des outils distincts pour la gestion des applications cloud, et les entreprises ont besoin d’une politique cohérente et d’une visibilité sur toutes les ressources – peu importe où elles se trouvent.
  • L’intégration des solutions IAM et Mobile Device Management (MDM) : Les employés utilisent de plus en plus d’applications mobiles pour accéder au cloud et aux applications web. L’intégration de l’IAM avec le MDM permet aux entreprises de gagner en visibilité et en contrôle de bout en bout sur les ressources sur site, mobiles ou dans le cloud et de réaliser des économies opérationnelles importantes dans la manière dont elles gèrent les accès, l’application de la politique de sécurité et enfin, d’adapter, de modifier et supprimer l’accès mobile.
  • Une plus grande visibilité et transparence : Les entreprises doivent adopter une approche qui leur donne une “business intelligence” centralisée des données – à travers le datacenter et les environnements cloud. Le déploiement de solutions IAM distinctes et non intégrées limiteront la visibilité et le contrôle, et augmenteront le coût et la complexité du projet. Au contraire, fusionner toutes les sources d’information critiques dans une “version unique de la vérité” offre une responsabilité accrue et une meilleure surveillance.
  • Une meilleure harmonisation entre les métiers et l’IT : l’IAM doit être considéré comme une solution métier autant qu’une solution technique. L’IT et les utilisateurs ont besoin de travailler ensemble pour définir la politique de sécurité et les contrôles, surveiller l’efficacité des contrôles et mieux gérer le risqué organisationnel. Ainsi, les processus métier d’identité clés, y compris la compliance, l’allocation automatique de ressources et le SSO, doivent être intégrés de manière transparente. Pour accroître votre business et accélérer la mise en place d’outils, vous avez besoin de fonctionnalités libre-service simples, intuitives pour chaque composant de l’IAM.

Evolution