La généralisation des applications en mode cloud pose aux fournisseurs de services et applicatifs un problème de fond : comment assurer à leurs locataires un accès à la fois sécurisé et fluide à leurs services ? Déclinée dans le monde du cloud, la gestion des accès et des identités change de dimension. Pour les acteurs du cloud, l'enjeu est crucial et conditionne le succès des bouquets applicatifs métier. Et les DSI ont tout à y gagner.
Rendre efficace et sûre la gestion des accès de leurs utilisateurs à leur système d'information a toujours constitué un défi pour les entreprises. Les plus petites d'entre elles, qui comptent peu d'utilisateurs et un nombre limité d'applications, se contentent d'une gestion simple des habilitations par login et mot de passe. Les plus grandes, qui ont mis en place une quantité d'applicatifs appelés par une vaste population d'utilisateurs, éprouvent le besoin de simplifier la gestion administrative des accès avec l'instauration d'une identification unique et centralisée par utilisateur : c'est tout l'enjeu de la gestion des identités.
Des millions d'utilisateurs potentiels
Avec l'arrivée des applications en mode cloud, on entre dans une nouvelle dimension. Ce n'est pas seulement une question de volume, mais d'interrelations complexes. Avec le cloud, on n'est plus dans un modèle où une seule entreprise fournit à ses employés un accès à « n » applications, mais où « n » fournisseurs (dont certains sont associés entre eux, d'autres concurrents) délivrent « n » services à « n » entreprises, à partir de « n » plateformes. Sur une même plateforme mutualisée et ouverte, ce ne sont plus quelques centaines ou milliers d'utilisateurs dont il faut désormais être capable de gérer les droits d'accès, mais potentiellement des millions. Un même applicatif ou un même service peut être appelé au même moment par les collaborateurs de plusieurs entreprises. Un même utilisateur peut avoir à utiliser les services délivrés par différents fournisseurs et passer d'une application à une autre.
La bonne nouvelle pour l'entreprise utilisatrice, c'est que le cloud va simplifier, avec son mode de contractualisation, sa gestion des droits d'accès. Ainsi, quand il s'agira pour elle de donner les droits d'accès à une nouvelle équipe, le nombre d'utilisateurs habilités sera augmenté sans lourde contrainte administrative pour elle.
De l'utilisateur à... l'individu, même en BtoB
Une grande partie du problème se déporte en effet vers les fournisseurs cloud. Pour ces derniers, l'enjeu est considérable. Enjeu d'abord sécuritaire : il leur est impératif d'assurer à leurs "locataires" un environnement sécurisé et l'authentification des ayant-droit à tel ou tel service. Mais cet enjeu se double d'un autre, proche de celui de la relation clientèle, même si on reste ici dans les limites du commerce BtoB. En effet, un fournisseur cloud a tout intérêt à "connaître" l'utilisateur du service délivré, pour éventuellement lui en proposer d'autres en fonction de son profil. Vu du fournisseur cloud, l'utilisateur est en effet bien autre chose qu'un utilisateur au sens traditionnel du terme, c'est un individu à part entière, dont lui, le fournisseur, cherche à identifier les besoins, les centres d'intérêt et les préférences personnelles. Supposez que le fournisseur soit un éditeur, qui, comme Cegid, propose une application de gestion financière. Si cet éditeur identifie tel utilisateur de cette application comme un DAF, il pourra lui proposer non seulement d'autres applications de gestion qu'il édite, mais aussi des services et applicatifs de partenaires avec lesquels il est associé dans le même domaine de gestion (services de cash management ou de gestion de notes de frais par exemple).
Le challenge qui se pose alors pour le fournisseur cloud est de sécuriser, en le simplifiant et le rationalisant au maximum, l'accès à un bouquet applicatif, ensemble d'applications et de services métier destiné à une cible cohérente. La simplification de l'accès est une clé de la réussite, car on comprend que pour l'utilisateur d'un même bouquet souhaitant passer d'une application à une autre, il n'est pas question de s'identifier à chaque fois : le passage d'un service à l'autre doit se faire de la façon la plus transparente et la plus fluide possible.
Du partage à la fédération d'identités
Pour cela, les fournisseurs de services cloud doivent travailler à mettre en place des systèmes de partage d'identités, dont l'efficacité va conditionner le succès des clouds métier. C'est la première étape indispensable : l'utilisateur n'aura besoin de s'identifier qu'une seule fois et les caractéristiques de son profil, valables pour toutes les applications qu'il utilisera, disponibles dans l'annuaire d'entreprise, pourront être propagées d'un service à l'autre dans un espace de confiance. On parle alors de fédération d'identités, une des fonctions majeures de la gestion des identités et des accès (IAM). L'intérêt du partage d'identités, c'est aussi de créer un point central d'accès qui pourra faire l'objet d'une authentification forte, c'est à dire d'un système sécurisé de validation garantissant que la personne qui se connecte est bien celle qu'elle prétend être. Dans un projet de plateforme de fédération de services applicatifs cloud, le DSI d'une entreprise aura de plus une vision globale des souscriptions et disposera des outils pour maîtriser les autorisations d'accès, un point particulièrement intéressant dans les situations de mouvement de personnels ou de postes. Nul doute qu'il y verra la possibilité d'une réappropriation de ses fonctions de garant d'un système d'information sécuritairement et financièrement maîtrisé.
La seconde étape consistera à fluidifier le passage d'un service à l'autre. Enfin, l'étape ultime de ce processus sera de rendre toutes les applications d'un même bouquet interopérables entre elles, avec l'utilisation de webservices par exemple. Tout cela est encore de la prospective, mais les fournisseurs cloud ne peuvent aujourd'hui faire l'impasse sur cette problématique d'infrastructure, dans l'intérêt même de leurs clients.