Imed KHADHRAOUI, Responsable de l’offre IAG – Identity & Access Governance chez Harmonie Technologie, accompagne depuis de nombreuses années la mise en œuvre de programme de gouvernance des habilitations de grandes ETI et d’entreprises du CAC40. Imed participe notamment au développement des partenariats technologiques avec les éditeurs leaders en prenant en charge le pilotage du centre de compétences techniques dans ce domaine sur les solutions IBM, OnIdentity, SailPoint, Saviynt, etc. En 2018, Imed a fait évoluer l’expertise « On premise » du centre de compétence vers des solutions Cloud en réalisant les premières références du Leader Américain Saviynt en France. Dans ses précédentes fonctions, Imed était IAM Architect & Project Manager. Il a su à la fois allier compétences techniques, qualités managériales et sens de la relation client pour évoluer vers des responsabilités de développement d’offre. Diplômé d’un mastère en informatique à Ecole Centrale Paris (ECP), Imed a débuté son parcours professionnel au sein de l’ECP en tant qu’Administrateur Système & Réseau.
Chronique de Imed Khadhraoui
L’IAM dans le cloud en France, ça commence maintenant ! Les industries et les grandes ETI sont les premières à l’adopter
Nous en parlons depuis quelques années, l’Identity Access Management (IAM) en mode Software as a Service (SaaS) mais qu’en est-il réellement ? Pour comprendre ce sujet il est important de bien distinguer les solutions IDaas (Identity as a service) qui permettent de gérer des identités numériques et les solution de IAMaaS/IAGaaS (Identity and Access Management/Governance as a service) qui sont des solutions de gouvernance qui permettent notamment de mettre en place des processus d’habilitation au système d’information avec un champs des possibles beaucoup plus étendu.
L’IAM ou l’IAG dans le cloud est une évolution naturelle d’une expertise actuellement on premise. Cette évolution est un nouveau levier pour les directions IT qui, jusqu’à présent n’avaient pas pu saisir l’opportunité de franchir le pas, de mettre en place un projet de gouvernance des identités et des accès au sein de leur entreprise.
Le marché a atteint aujourd’hui un niveau de maturité suffisant avec des premiers adoptants convaincus par cette approche disruptive de l’offre IAM certes limité mais efficiente et moins couteuse.
Nous constatons que les premiers adoptants restent à ce jour très spécifiques à savoir les Entreprises de Taille Intermédiaire (ETI), notamment les entreprises ayant une stratégie cloud first et le secteur de l’Industrie. Pourquoi ces entreprises en particulier ? Quel a été le facteur déclenchant à l’origine de la concrétisation ? Vers quoi tendra le marché demain ?
Jusqu’à aujourd’hui, l’IAM dans le cloud n’avait pas sa place sur le marché français
Cela s’explique pour plusieurs raisons : budgétaire, culturelle et lié à la maturité de l’offre et de la demande.
Les projets IAM sont des projets particulièrement difficiles « à vendre » à une direction d’une ETI, souvent lié à des arbitrages budgétaires. L’intérêt existe mais les solutions on permise est un modèle qui ne répond pas aux besoins de l’ensemble des entreprises de cette taille.
Les entreprises qui sont aujourd’hui outillées d’une solution de gestion ou de gouvernance des habilitations au système d’information ont dû réaliser des projets d’intégration avec une offre on premise. Cela a nécessité pour les plus grands groupes concernés des programmes transverses souvent pluriannuels et la question d’une migration pour des offres cloud sera d’actualité, après l’amortissement des investissements engagés ou lorsque des projets de migrations seront nécessaires. La question du On Premise VS Cloud devra inévitablement être étudiée.
Ensuite, il y a véritablement une question de culture. Aux Etats-Unis par exemple, l’adoption du SaaS y compris dans l’IAM a explosé car le marché a une propension à adopter les solutions telles qu’elles sont. En France, les entreprises ont pris l’habitude d’intégrer des solutions qui devaient être adaptées à un cahier des charges, souvent très (trop) exhaustif. Pour ce faire, des efforts de développements spécifiques sont menés pour créer des fonctionnalités sur mesure conformément à l’expression du besoin exprimé par la Maitrise d’ouvrage du projet (MOA). Associé à ces spécifications une charge additionnelle liée à leur maintenance opérationnelle doit être budgétée. Seules les solutions on premise permettent du développement interne, à l’inverse, les solutions cloud sont ready to use, avec des fonctionnalités limitées. Cette contrainte s’avère être, in fine, l’une des clés du succès qui permet au client de se focaliser sur l’essentiel sont cœur de métier, sa maîtrise des risques et l’efficience des processus et limité des dépenses liées à de l’expertise purement technique, sans valeur ajoutée pour les métiers.
Enfin, le marché n’était pas encore suffisamment mature. Pour les entreprises qui n’étaient pas outillée, les freins légitimes liés à l’externalisation de données critiques vers un tiers étaient perçus comme un risque additionnel au projet trop élevé. Les solutions IAG/IAMaaS émergentes sur le marché Français répondent à des standards de qualité et de sécurité de pointe. Cette obligation de qualité et de sécurité est une seconde clé du succès, qui capitalise sur une infrastructure conforme à des standards.
Alors comment explique-t-on l’émergence de l’adoption des solutions IAM dans le cloud ?
Nous l’avons compris, les principaux freins d’hier liés à des fonctionnalités limitées et à un manque de confiance sont aujourd’hui levés. Les entreprises Grands Comptes ne sont pas moteur de l’adoption de l’IAM dans le cloud pour les raisons évidentes présentées précédemment. Ce rôle revient aux grandes Entreprises de Taille Intermédiaire (ETI) qui aujourd’hui ont atteint un niveau de maturité suffisant pour comprendre les enjeux de l’IAM et vont naturellement aller vers des solutions cloud plus faciles à intégrer et à moindre coût.
Toutes les entreprises ont aujourd’hui pleinement conscience de la valeur ajoutée d’une solution d’IAM, notamment :
- Réponse aux exigences de conformité et d’audibilité
- Limiter les risques liés aux accès au SI
- Améliorer les processus transverses de gouvernance des habilitations
De plus, il y a un vrai changement de mentalité en France avec des ETI de plus en plus cloud first qui capitalisent sur tous les avantages du cloud.
Il y a également des causes externes qui vont pousser les entreprises à adopter des solutions cloud. Les ETI sont nombreuses à subir une pression des Grands Comptes avec lesquels elles travaillent qui ont des exigences importantes de conformité. L’approche « Security as a Service » développée par les spécialistes du cloud est pour elles le moyen d’adopter facilement et rapidement des solutions de sécurité et notamment d’IAM qui répondront à ce haut niveau d’exigence.
Par ailleurs, la majorité des éditeurs, qu’ils soient historiquement Cloud ou On Premise démontrent également leur volonté d’investir dans des offres SaaS. Cela s’illustre par leur capacité à enrichir régulièrement leur offre en intégrant notamment des demandes spécifiques dans la roadmap des produits.
Une mutation des compétences est à prévoir
Le cloud est en train de faire muter les métiers de l’IAM. En effet, l’approche « fonctionnelle » de la solution IAM est désormais privilégiée par rapport à l’approche « technique » qui exigeait une lourde charge à associer à des chantiers de développement. L’offre Cloud, permet également de prendre plus rapidement de la hauteur sur le sujet et se focaliser sur les enjeux de gouvernance associés. L’IAM est un sujet d’entreprise structurant avec des gains de qualité dans les processus internes et c’est une expertise qui ne se limite pas à des considérations de cybersécurité.
L’expertise technique reste essentielle même pour les offres cloud, mais celle-ci sera moins utilisée pour le développement et devra apporter de la valeur sur 2 aspects : la modélisation et la conception de fonctionnalité conforme aux enjeux de l’entreprise, et la collaboration avec les partenaires technologiques pour les aider à enrichir la roadmap produit.
Les compétences vont donc évoluer vers plus de conception/modélisation de la part des experts de l’IAM. Les formations en ingénierie informatique ou grandes écoles de commerce et de gestion avec un spécialisation Système d’Information restent les parcours de formation les plus appropriés.
L’IAM est central dans une stratégie de confiance numérique. Il est nécessaire de savoir interagir avec les métiers, les équipes IT et les éditeurs pour concevoir une approche efficiente sur le long terme avec une ambition d’amélioration continue.
Par conséquent, l’IAM dans le cloud pour tous, c’est pour demain ?
Il est difficile de se prononcer de façon précise car le changement de mentalité en France peut parfois être long. Nous ne sommes qu’aux prémices de l’adoption de l’IAM dans le cloud, mais tous les signaux nous laissent présumer une adoption beaucoup plus rapide que ce qui a été connu aujourd’hui sur les sujets de sécurité applicative. Certes avec les ETI en première ligne, mais les grands groupes intègrent déjà dans leurs réflexions ces nouvelles possibilités. Les éditeurs des solutions historiques on premise ne minimisent pas cette tendance avec une R&D dédiée et des stratégies de rachats qui confirment cette évolution.
La généralisation de ce modèle devrait tout de même prendre quelques années et se limiter sur une première période principalement aux ETI. Nous devrions constater à l’horizon 2020 déjà un grand pas de franchi.
Avant que l’IAM dans le cloud ne devienne le standard, il faudra tout de même attendre quelques années pour se prononcer. Nous devons en premier lieu prendre le temps d’observer la complémentarité des offres Cloud et on premise. L’obsolescence des solutions on premise déployées ces dernières années semblent être le premier vecteur de disruption dans les environnements Grands Comptes. En effet, il sera nécessaire d’étudier l’ensemble de l’écosystème lorsque la question du projet de migration se posera. L’IAM dans le Cloud pour les grands comptes est d’ores et déjà une hypothèse prise en considération par les cabinets d’expertise qui se doivent d’apporter un éclairage appondit à ce sujet.
Le cloud souverain reste un enjeu central pour les grands comptes et les OIV et nous espérons que le FrenchTech pourra s’imposer dans ce marché !
