L’IAM dans le cloud en France, ça commence maintenant, et les ETI sont les premières à l’adopter

IAMaaS ou IAGaaS est l’évolution naturelle d’une expertise actuellement On Premise. Cette évolution est un nouveau levier pour les directions IT qui, jusqu’à présent, n’ont pas pu saisir l’opportunité de mettre en place un projet de gouvernance des identités et des accès. Le marché a atteint aujourd’hui un niveau de maturité suffisant.

L’Identity Access Management (IAM) en mode Software as a Service (SaaS), nous en parlons depuis quelques années, mais qu’en est-il réellement ?

IAMaaS ou IAGaaS est l’évolution naturelle d’une expertise actuellement On Premise. Cette évolution est un nouveau levier pour les directions IT qui, jusqu’à présent, n’ont pas pu saisir l’opportunité de mettre en place un projet de gouvernance des identités et des accès au sein de leur entreprise. Le marché a atteint aujourd’hui un niveau de maturité suffisant avec des premiers adoptants convaincus par cette nouvelle approche de l’IAM, certes limitée, mais efficiente et moins coûteuse. Nous constatons que les premiers adoptants restent à ce jour très spécifiques à savoir les Entreprises de Taille Intermédiaire (ETI), notamment les entreprises ayant une stratégie cloud first. Pourquoi ces entreprises en particulier ? Quel a été le facteur déclenchant à l’origine de la concrétisation ? Vers quoi tendra le marché demain ?

Jusqu’à aujourd’hui, l’IAM dans le cloud n’avait pas sa place sur le marché français

Cela s’explique pour plusieurs raisons : budgétaire, culturelle et liée à la maturité tant de l’offre que de la demande.

D’une part, les projets IAM sont des projets particulièrement difficiles « à vendre » à la direction d’une ETI, du fait souvent d’arbitrages budgétaires au profit de projets moins coûteux en jours homme et à l’impact plus important pour les métiers et l’activité. L’intérêt existe, mais les solutions en local représentent un modèle qui ne répond pas aux besoins de l’ensemble des entreprises de cette taille.

D’autre part, les entreprises qui sont déjà outillées d’une solution de gestion ou de gouvernance des habilitations au système d’information ont dû réaliser des projets d’intégration avec une offre On Premise. Cela a nécessité pour les plus grands groupes concernés des programmes transverses souvent pluriannuels, et la question d’une migration vers des offres cloud ne sera envisagée qu’après l’amortissement des investissements engagés ou lorsque des projets de migrations seront nécessaires.

Par ailleurs, la culture joue un rôle indéniable. Aux Etats-Unis par exemple, l’adoption du SaaS, y compris dans l’IAM, explose car le marché a une propension à adopter les solutions telles qu’elles sont. En France, les entreprises ont pris l’habitude d’intégrer des solutions qui doivent être adaptées à un cahier des charges, souvent très (trop) exhaustif. Pour ce faire, des efforts de développement spécifique sont menés pour créer des fonctionnalités sur mesure conformément au besoin exprimé par la Maîtrise d’ouvrage du projet (MOA). La charge additionnelle associée à ces spécifications et à leur maintenance opérationnelle doit être budgétée. Seules les solutions On Premise permettent du développement interne. A l’inverse, les solutions cloud sont prêtes à l’emploi, avec des fonctionnalités limitées. Cette contrainte s’avère être, in fine, l’une des clés du succès qui permettent au client de se focaliser sur l’essentiel à savoir : son cœur de métier, la maîtrise des risques, l’efficience des processus et la limitation des dépenses liées à de l’expertise purement technique, sans valeur ajoutée pour les métiers.

Enfin, le marché n’était pas encore suffisamment mature. Pour les entreprises qui ne sont pas outillées, les freins légitimes liés à l’externalisation de données critiques vers un tiers sont perçus comme un risque additionnel trop élevé. Les solutions IAG/IAMaaS émergentes sur le marché français répondent désormais à des standards de qualité et de sécurité de pointe. Cette obligation de qualité et de sécurité est une seconde clé du succès, qui capitalise sur une infrastructure conforme à des standards.

Alors comment explique-t-on l’émergence de l’adoption des solutions IAM dans le cloud ?

Les principaux freins liés à des fonctionnalités limitées et à un manque de confiance sont aujourd’hui levés. Les entreprises Grands Comptes ne sont pas moteur de l’adoption de l’IAM dans le cloud pour les raisons évidentes évoquées plus haut. Ce rôle revient donc aux Entreprises de Taille Intermédiaire (ETI) qui ont, aujourd’hui, atteint un niveau de maturité suffisant pour comprendre les enjeux de l’IAM et adoptent naturellement des solutions cloud plus faciles à intégrer et à moindre coût. De plus, un véritable changement de mentalité s’opère en France avec des ETI de plus en plus cloud first qui capitalisent sur tous les avantages qu’offrent ces services.

Il y a également des causes externes qui poussent les entreprises à adopter des solutions cloud. Les ETI sont nombreuses à subir une pression des Grands Comptes avec lesquels elles travaillent et font face à des exigences importantes de conformité. L’approche « Security as a Service » développée par les spécialistes du cloud est pour elles le moyen d’adopter facilement et rapidement des solutions de sécurité, et notamment d’IAM, qui répondront à ce haut niveau d’exigence.

Par ailleurs, la majorité des éditeurs, qu’ils soient historiquement cloud ou On Premise, démontre également leur volonté d’investir dans des offres SaaS. Cela s’illustre par leur capacité à enrichir régulièrement leur offre en intégrant notamment des demandes spécifiques dans la roadmap des produits.

Une mutation des compétences est à prévoir

Le cloud est en train de faire muter les métiers de l’IAM. L’approche « fonctionnelle » de la solution IAM est désormais privilégiée par rapport à l’approche « technique » qui exigeait une lourde charge à associer à des chantiers de développement. L’offre cloud permet également de prendre plus rapidement de la hauteur sur le sujet et de se focaliser sur les enjeux de gouvernance associés. L’IAM est un sujet d’entreprise structurant avec des gains de qualité dans les processus internes et c’est une expertise qui ne se limite pas à des considérations de cybersécurité.

L’expertise technique reste essentielle même pour les offres cloud, mais celle-ci sera moins utilisée pour le développement et devra apporter de la valeur sur 2 aspects : la modélisation et la conception de fonctionnalités conformes aux besoins de l’entreprise, et la collaboration avec les partenaires technologiques pour les aider à enrichir la roadmap produit.

L’IAM dans le cloud pour tous, c’est pour demain ?

Il est difficile de se prononcer de façon précise car le changement de mentalité en France peut parfois être long. Nous ne sommes qu’aux prémices de l’adoption de l’IAM dans le cloud, mais tous les signaux présagent d’une adoption beaucoup plus rapide que ce qui a été observé jusqu’à aujourd’hui sur les sujets de sécurité applicative. Les ETI sont donc moteur, mais les grands groupes intègrent déjà dans leurs réflexions ces nouvelles possibilités. Les éditeurs des solutions historiques On Premise ne minimisent pas cette tendance avec une R&D dédiée et des stratégies de rachats qui confirment cette évolution.

La généralisation de ce modèle devrait tout de même prendre quelques années et se limiter sur une première période principalement aux ETI. Nous devrions constater à l’horizon 2020 déjà un grand pas de franchi.

Il faudra cependant quelques années avant que l’IAM en mode cloud ne devienne le standard. Nous devons en premier lieu prendre le temps d’observer la complémentarité des offres cloud et On Premise. L’obsolescence des solutions on premise déployées ces dernières années semblent être le premier vecteur de migration dans les environnements Grands Comptes. En effet, il sera nécessaire d’étudier l’ensemble de l’écosystème lorsque la question du projet de migration se posera. L’IAM dans le cloud pour les Grands Comptes est d’ores et déjà une hypothèse prise en considération par les cabinets d’expertise qui se doivent d’apporter un éclairage approfondi à ce sujet.

Sophie Grynszpan est Directrice du Développement au sein du cabinet Harmonie Technologie. Diplômée de l’université de Créteil (UPEC) en Ingénierie et Management Commercial, Sophie Grynszpan a débuté sa carrière chez Bouygues Télécom en tant qu’Ingénieur Commercial, puis manager d’une partie du réseau de distribution entreprise. Sophie Grynszpan a ensuite créé son entreprise de formation. Après la revente de sa société, elle a rejoint Harmonie Technologie en 2009 au poste de Directrice Commerciale avant de devenir Directrice du Développement en 2013.

Voir l’article sur LeMagIT

RENDEZ-VOUS 

Le 22 et 23 janvier 2019

FIC 2019 Security & Privacy by design

De 09h à 19h

Lille Grand Palais
1 boulevard des Cités Unies
59777 Lille – Euralille

L’expertise au centre de notre stratégie de croissance