Eric Domage, Research Manager Security Products & Services chez IDC, fait le point pour lesnouvelles.net sur l’état du marché de la Gestion des Identités et des Accès, désormais dominé par quelques ténors, et revient sur le retrait d’HP.

Entre 2004 et 2006, le marché de la Gestion des Identités et des Accès (IAM pour Identity and Access Management, en anglais) a connu une forte consolidation. Deux ans après, quel est l’état du marché ?

Eric Domage, IDC: La consolidation est effective autour de Novell (qui a repris les logiciels IAM d’HP), d’IBM (avec Tivoli), de Sun (iPlanet), de CA, d’Oracle (rachat de Thor), et Microsoft qui enregistre de bons résultats avec Active Directory. Les purs players n’ont pas pu résister aux contraintes de ce marché. Elles sont de deux ordres.

D’une part, les projets d’IAM sont nouvellement propulsés par les contraintes réglementaires (EuroSox, Sox, etc). Il a fallu attendre longtemps pour que l’IAM passe d’un périmètre confidentiel – cadres dirigeants et fonctions critiques- à une gestion totale des utilisateurs. Sans pression réglementaire, ce marché n’aurait jamais décollé.

D’autre part les délais de décision et d’implémentation en entreprise sont très longs. Plusieurs mois pour choisir, plusieurs mois pour construire et valider un pilote, plusieurs mois (voire années) pour déployer. En tant que fournisseur, il faut avoir une trésorerie solide pour supporter ces délais.

Par ailleurs, les fournisseurs de l’IAM ont tous un pied ailleurs : soit dans le logiciel (CA, MS, Novell, Oracle), soit dans l’infrastucture (Sun), soit dans tout (IBM). Cela permet de rassurrer les entreprises sur les capacités d’interconnection des systèmes.

Ces purs players ont-ils néanmoins une place ?

Les petits fournisseurs agiles et Open source représentent environ 10 % du marché.

IDC prévoyait dès 2005 un rythme de croissance de 100% annuel pour atteindre 4,6 milliards de dollars en 2007. Le rythme a t-il été tenu ?

La croissance a explosé en 2005, 2006, 2007, c’est certain. La pression réglementaire a poussé tous les acteurs IAM à ajouter des fonctions Compliance dans leurs suites. Mais nous constatons un très léger phénomène de pause en 2008. Nous étions sur un marché de premier équipement. Les déploiements sont longs et les entreprises veulent marquer une pause et trouver des moyens de concentrer et d’optimiser leurs investissements. Elles cherchent, par exemple, des passerelles entre les différentes obligations réglementaires (ISO, ITIL, CMMI, EuroSOX, etc). D’autres cherchent à limiter le temps de déploiement ou les coûts de gestion.

Nous restons enthousiastes sur la croissance mais il faut affronter la réalité de IAM : un tel projet est cher, long et peu profitable. Donc, une fois passée la menace de non-conformité, les entreprises vont tenter de rationnaliser et de trouver un (très éventuel) retour sur investissement.

Comment faire la différence entre les vendeurs d’IAM, et des offres somme toute très similaires dans leur architecture ?

Parmi les critères fondamentaux de différenciaton entre les offreurs, il y a avant tout l’historicité de la culture IAM. Novell, par exemple, peut avancer sa culture LDAP, tout comme Microsoft son expérience AD et Sun, iPlanet . C’est plus difficile pour Oracle qui est un « jeune » acteur , arrivé sur le marché depuis son acquisition de Thor.

Le deuxième critère est la capacité d’interopérer dans un univers informatique disparate. C’est le principal reproche fait à Active Directory. C’est un outil Microsoft qui obligerait à « Microsofter » toute la chaîne, disent certains. Novell explique donc volontiers que son implication dans une distribution linux majeure (SuSE) lui autorise une grande flexibilité.

Le troisième critère est le retour sur l’existant. Il y a une prime au leader évidente, surtout quand les leaders se différencient par très peu d’écarts en termes de volume d’affaires. Le nombre et la configuration des déploiements réussis influencent fortement les décideurs.

Côté déploiement, le nombre de SSII ultra-specialisée, telle qu’Atheos, est limité alors que les grands intégrateurs « qui-savent-tout-faire » pullulent. Là aussi il ya une effet de taille critique et d’expertise qui rassure ou inquiète les décideurs.

Dans ce contexte, comment expliquez vous le surprenant retrait d’HP du marché de l’IAM ?

Le retrait d’HP a été aussi soudain que mal compris. Il semblerait que les résultats de rentabilité de la ligne de produits IdM (Identity Management) n’aient pas été en ligne avec les attentes. Cette décision est regrettable car elle été prise en deux temps: désactivation de la ligne de produit avec transfert des clients actifs vers HP Service, puis cession globale à Novell. Alors que tout le monde avait compris dès le départ la position de HP.

La communication de HP a été désastreuse à ce sujet, comme elle l’est très souvent au sujet de la Sécurité. Malgré une bonne expertise au niveau de HP Services, ce leader de marché est fort gauche quand il s’agit d’évoquer sa capacité à sécuriser les entreprises. C’est d’autant plus étonnant que toutes les études d’opinion auprès des grands décideurs informatiques positionnent en premiere préoccupation la Sécurité. A ce rang-las, IBM est bien plus habile à positionner la sécurité, IAM comprise, dans une proposition de valeur plus générale. Même si il y a un sérieux travail de coordination a finir chez IBM.

Des mouvements de consolidation des ténors du marché sont-ils encore envisageables ?

Les mouvements de consolidation ont pour principe de surprendre. Cependant, ce marché IAM est déjà très concentré autour d’une toute petite dizaine d’acteurs. Nous pouvons plutôt nous attendre à une consolidation autour de propositions purement technologiques (Biométrie, SmartCards, Tokens, Crypto managée).

Ce qui arrive à plus ou moins court terme, c’est « l’IAM as a Service ». Paypal a déjà lancé son Token de sécurité, Tesco va le faire en Angleterre. Tout ceci est opéré par des telcos et des experts qui vont un jour ou l’autre commencer à se racheter les uns les autres. RSA est déjà parti dans le giron EMC. Restent Entrust, ActiveIdentity, Vasco, PGP et beaucoup d’autres ultras-experts qui ont parfois du mal à se différencier, voire à subsister sur des marchés très étroits. La généralisation des outils d’IAM pour la banque en ligne stimulera cette consolidation.