Le déploiement des applications en mode SaaS, Office 365, Yammer, Salesforce, WebEX, Box et bien d’autres…devient incontournable. Cette démarche est souvent accompagnée d'une volonté de profiter des nouveaux usages telles que la mobilité, l'utilisation des tablettes et des smartphones, le BYOD, .. Si l'IAM (Identity & Access management) n'est pas adapté à ce nouveau contexte, le taux d'adoption des nouvelles applications ou des nouveaux usages s'en trouvera ralenti. La multiplicité des Login/Mot de passe deviendra rapidement un frein à cette adoption en même temps qu’une menace sur la sécurité globale. C'est pourquoi une stratégie d’adoption du SaaS doit être accompagnée d’une stratégie de gouvernance et de sécurité des Identités et des Accès cohérente. Découvrez dans cette étude : - État de l’art des offres IDaaS du marché : critères fonctionnels, techniques et juridiques - De l’IAM traditionnelle à l’IDentity as a Service : contraintes, bénéfices, les scénarios possibles et les architectures - Les offres du marché, actuelles et futures - Les freins et les leviers : retour d’expériences clients Étude réalisée au cours du premier semestre 2013 à partir d'un panel de clients représentatifs des différents secteurs d'activités des sociétés du CAC40. Synthèse de l'étude présentée aux assises de la sécurité à Monaco le 3 Octobre 2013.

1. IDaaS
« Identity As A
Service »
Etat de l'art
Evaluation des solutions
Retour d'expérience
Démonstration
Marc Rousselet – Directeur
Le 7 Novembre 2013

2. 07/11/2013
2
1. Introduction
2. Contexte
3. De l’IAM vers l’IDaaS
4. Les offres IDaaS
5. Les freins et les leviers
6. Démonstration
AGENDA

3. INTRODUCTION
1
3

4. 1 | PROFIL 2 | EXPERTISE 3 | METIERS 4 | AGENCES
4
Qui sommes nous ?
 Cabinet de
conseil et
d’ingénierie
 Création en
1996
 52 employés
début 2013
 25 % de
croissance en
2012 et 2013
 Gouvernance &
Gestion des
risques
 Identités &
Accès
numériques
 Infrastructures
sécurisées
 Cloud
Computing &
Mobilité
 Conseil : 10%
 Intégration : 60%
 TMA : 25 %
 Formation : 5 %
 Paris
 Marseille
 Lille
 Genève
Introduction07/11/2013

5. Chronologie de la démarche
Q1-2013
Constitution d’un
groupe de travail,
lancement de
l’étude IDaaS
Définition des
critères
d’évaluation d’une
offre IDaaS
Q2-2013
Evaluation des
offres IDaaS du
marché,
Certification
« Architecture et
Cloud Computing »
Ecole Centrale Paris
Etude stratégie
IDaaS auprès de
notre écosystème
Q3-2013
Présentation des
scénarios
d’adoption auprès
d’un panel de
clients / prospects
Restitution de
l’étude en
séminaire interne
KERNEL Networks
Q4-2013
Restitution
synthétique aux
Assises de la
sécurité
Présentation des
conclusions de
l’étude auprès de
nos clients,
partenaires et
prospects
Prochaines
étapes
Inclusion des
scénarios sur
nouveaux usages
dans une étude
2014
BYOD – BYOA –
BYOI
5
Introduction07/11/2013

6. CONTEXTE
2
6

7. Contexte de l’étude
•44% des organisations françaises ont déjà adopté une solution de Cloud Computing (IDC),
•Le Cloud Computing tire la croissance du marché de l’IT dans le monde avec une croissance
annuelle moyenne de 34% de 2011 à 2016, les secteurs traditionnels sont en diminution,
Constat
• Gartner prévoit qu’à fin 2015, l’IDaaS comptera pour 25% des achats de solutions IAM (5% en
2012),
•D’ici 2014 , 50% des applications seront en mode SaaS dans les organisations françaises, 30%
dans les PME (MARKESS),
•Les grandes entreprises intègrent le modèle SaaS dans leur stratégie IT entrainant ainsi :
•Une diminution des ventes de licences des solutions traditionnelles,
•Une baisse progressive des activités de services liées au modèle sur site (on-premise).
Prévisions
•La sécurité constitue un frein à cette transformation: contrôle des accès au monde SaaS,
protection des données sensibles , des données personnelles, évolution des contraintes
réglementaires, maintient de la conformité
•Une stratégie IAM cohérente permettra de répondre à ces enjeux et d’accompagner
l’adoption du Cloud Computing dans l’entreprise
Positionnement de l’IAM
7
Contexte07/11/2013

8. Un marché IT en pleine mutation
8
Contexte
Marché Cloud Français
2010-2015
Marché IT Français
2011-2016
07/11/2013

9. De nouveaux acteurs, une transformation du secteur
9
Contexte07/11/2013

10. DE L’IAM VERS L’IDAAS
3
08/03/2013 10

11. Pourquoi une solution IAM en SaaS ?
• Accompagner l’adoption des applications métiers en mode SaaS
• Réduire le Total Cost of Ownership (TCO) de l’IAM :
•Paiement à l'usage en fonction de la population active
•Réduction des coûts d’investissements (CAPEX)
• Accompagner vers les nouveaux usages (BYOD, BYOA, nomadisme, mobilité)
• Renforcer la sécurité et la gouvernance des accès
• Eviter la création de bases de comptes en silos
• Améliorer l’expérience utilisateur
Retour de notre panel client
• Réévaluer les besoins réels en IAM de l'entreprise
• Rationaliser les processus IAM pour les applications en SaaS et sur site
• Définir les critères fonctionnels, techniques et juridiques de la solution
Démarche pour aller vers l’IDaaS
11
De l’IAM vers l’IDaaS07/11/2013

12. Enjeux IAM pour le Cloud
12
 Gestion des comptes/Provisionning
 Sources autoritaires
 Cycle de vie
 Standards (SPML, XACML, OAUTH)
 Deprovisionning
 Authentification
 Exigences
 Compatibilité entre méthodes
 Authentification forte/renforcée
 Autorisations /Contrôle d’accès
 Qui défini le modèle ?
 Compatibilité entre modèles, délégation
 Format d’échanges (SAML) et temps de réponse
 Conformité
 Audit des activités
 Re-certification des accès
 Ségrégation des accès
De l’IAM vers l’IDaaS07/11/2013

13. Critères d’évaluation d’une solution IDaaS
• La capacité à interagir avec l’IAM sur site
• Les types de user-store supportés, les protocoles Cloud IAM supportés (Oauth, SAML,
OpenID, SPML, XACML)
• Les caractéristiques de l’hébergement (AWS, multi-localisation, Cloud public)
• La couverture fonctionnelle selon le périmètre à couvrir
Fonctionnels et Techniques
• Le niveau d’engagement sur :
• Le cloisonnement des données entre clients
• Le niveau de service (disponibilité, SLA, PRA, réversibilité, temps de réponse)
• Les modalités de réalisation d’un audit externe
• Le choix de la localisation des données
• Les règlementations applicables
• Le modèle de contractualisation : par souscription, à l’usage, licence ou mixte
• La viabilité du fournisseur : taille, implantations, histoire, positionnement sur le
marché, références
Juridiques et économique
13
De l’IAM vers l’IDaaS07/11/2013

14. IAM non intégré au monde SaaS
14
De l’IAM vers l’IDaaS07/11/2013

15. IAM intégré au monde SaaS en « Fédération des Identités »
15
De l’IAM vers l’IDaaS07/11/2013

16. IAM intégré au monde SaaS en mode « IAM Hybride »
16
De l’IAM vers l’IDaaS07/11/2013

17. IAM intégré au monde SaaS en mode « Full IDaaS »
17
De l’IAM vers l’IDaaS07/11/2013

18. LES OFFRES IDAAS
4
18

19. Le rapport Forrester Wave « Cloud IAM » Q3/2012
 Description d’une offre IDaaS
 Gère les droits d’accès pour les employés, les prestataires, les partenaires et les clients
 Gère le provisioning vers les applications en mode SaaS, les application sur site et les
applications hébergées
 Est optionnellement couplée avec une solution IAM traditionnelle
 15 critères d’évaluation classés en 3 catégories
 Richesse de la solution (fonctionnalités) – 7 critères
 Stratégie de l’éditeur – 5 critères
 Présence sur le marché – 3 critères
 6 acteurs évalués dans la catégorie Cloud IAM
 Covisint, Lighthouse Security Group, Okta, Simeio Solutions, Simplified et Verizon
Les offres IDaaS07/11/2013

20. L’évaluation Forrester des acteurs Cloud IAM
Offre Stratégie Marché
Contrôle d’accès aux applications
SaaS
Nombre d’ingénieurs, de
commerciaux, nombre total
d’employés
CA et croissance
Provisionning vers les applications
SaaS et vers les applications
traditionnelles
Développements futurs envisagés
Taille et croissance de la base
installée
Re-certification des accès Niveau de satisfaction client
Les 5 marchés verticaux de
prédilection
Référentiels d’identités supportés Partenaires de l’ecosystème
Multi partage de la solution
Protection des informations
personnelles
Modèle de tarification
Audit et rapport
Support de l’authentification forte
Les offres IDaaS07/11/2013

21. Autres critères de sélection des vendeurs
Critère Description
Une solution Cloud IAM
dédiée
La solution n’est pas un service mineur d’une solution plus globale (exemple
Google Apps)
Une véritable solution
SaaS pour l’IAM
La solution est déployée en mode service (SaaS )avec une tarification adaptée
au modèle
disponibilité au
31/12/11
CA Cloud Minder, Microsoft Azure , Onelogin, Ping Identity PingOne, Intel Cloud
SSO sont exclus
Adresse le périmètre
entreprise
Les populations adressées sont les employés, prestataires et partenaires.
Les acteurs B2C sont exclus
3 références clients A minima, 3 interviews de clients en production avec la solution du vendeur
Perception du vendeur
Le vendeur est associé au Cloud IAM spontanément par les clients interviewés
dans les différents Panel d’études du Forrester.
Sont exclus Courion, OneLogin and Vmware Horizon
Les offres IDaaS07/11/2013

22. Synthèse de l’évaluation Forrester Wave - Q3 2012
22
Les offres IDaaS07/11/2013

23. Actualisation des solutions évaluées
Editeur Nom de la solution
Mode
d’hébergement
Types d’offres
Okta
Okta Cloud Identity and
Access Management (IAM)
Service
Amazon Web
Service
SaaS
Symplified Symplified
Amazon Web
Service
SaaS
OneLogin OneLogin
Hébergement
dédié
SaaS
Ping
Identity
PingOne
Hébergement
dédié
Hybride
CA CloudMinder
Hébergement
dédié
SaaS
SailPoint AccessIQ
Hébergement
dédié
Hybride
23
Les offres IDaaS07/11/2013

24. Evaluation des fonctionnalités IAM
24
* Fonctionnalité disponible avec IdentityIQ
Les offres IDaaS07/11/2013

25. Evaluation des acteurs
25
Les offres IDaaS07/11/2013

26. Synthèse de l’analyse
26
Les offres IDaaS07/11/2013

27. Synthèse de notre évaluation (1/2)
27
Solutions Points forts Points faibles
Okta Capacité d’investissements
Fondateurs ex-SalesForce
Stratégie orientée entreprise (AD)
Partenaire Cloud Alliance Google Apps
Faible couverture fonctionnelle
Pérennité incertaine
Symplified Antériorité sur le marché
Déploiement possible en Cloud privé
Moteur de protocole propriétaire
Pérennité incertaine
OneLogin Granularité du modèle de souscription
Facilité d’utilisation
Nouvel entrant
Manque de lisibilité du positionnement
entreprise
Pérennité incertaine
• Adaptées aux exigences du Cloud,
• Leur viabilité reste à prouver,
• Implantées aux États-Unis mais pas en Europe
Trois solutions « nativement SaaS »
Les offres IDaaS07/11/2013

28. 28
Solutions Points forts Points faibles
PingOne Support des protocoles « Fédérations »
Plusieurs scénarios d’intégration
Antériorité de l’éditeur sur le marché
de la fédération
Pas de user store
CloudMinder Facilité de migration d’une solution sur
site CA SiteMinder
Modèle de licence non adapté au SaaS
Maturité de la solution
AccessIQ Gouvernance des accès
Couverture fonctionnelle
Gestion des applications personnelles
Intégration de produits tiers
Dépendance forte avec IdentityIQ
• Portage de la solution en SaaS (CA CloudMinder)
• Enrichissement d’une solution existante (AccessIQ, PingOne)
• Meilleure présence sur le marché européen
Trois solutions héritées de l’IAM traditionnelle
Les offres IDaaS07/11/2013
Synthèse de notre évaluation (2/2)

29. Les offres du marché en Fédération des Identités
29
Les offres IDaaS07/11/2013

30. Les offres du marché en IAM hybride
30
Les offres IDaaS07/11/2013

31. Les offres du marché en IAM full IDaaS
31
Les offres IDaaS07/11/2013

32. LES FREINS ET LES LEVIERS
5
08/03/2013 32

33. Scénario 1 : IAM avec Fédération des Identités
33
Les freins et les leviers
F
R
E
I
N
S
• Supporter un
coût
d’intégration
pour chaque
App SaaS
• Délai de
réalisation
(time to
market)
• Maintenir une
nouvelle
infrastructure
• Ne supporte
pas toujours le
provisoning
automatique
L
E
V
I
E
R
S
• Adapter
l’infrastructure
aux nouveaux
usages
• Améliorer
l’expérience
utilisateur
• Garder le
contrôle de son
infrastructure
• Ne pas
exposer de
données IAM
dans le Cloud
07/11/2013

34. Scénario 2 : IAM hybride
34
Les freins et les leviers
F
R
E
I
N
S
• Exposer ses
données IAM
dans le Cloud
• Pas encore de
solution
hébergée en
France
• Viabilité des
nouveaux
acteurs IDaaS
• Maturité des
nouvelles
solutions
L
E
V
I
E
R
S
• Accompagner
l'adoption du
monde SaaS
dans l’entreprise
• Réduire les
coûts
d’intégration de
l’IAM
• Adapter
l’infrastructure
aux nouveaux
usages
• Améliorer
l’expérience
utilisateur
07/11/2013

35. Scénario 3 : IAM full IDaaS
35
Les freins et les leviers
F
R
E
I
N
S
L
E
V
I
E
R
S
• Exposer ses
données IAM
dans le Cloud
• Pas encore de
solution
hébergée en
France
• Viabilité des
nouveaux
acteurs IDaaS
• Maturité des
nouvelles
solutions
• Réduire les
coûts de TCO de
l’IAM
• Accompagner
l'adoption du
monde SaaS
dans l’entreprise
• Adapter
l’infrastructure
aux nouveaux
usages
• Améliorer
l’expérience
utilisateur
07/11/2013

36. DEMO D’UNE SOLUTION IDAAS :
6
36
- OKTA avec Office 365, Box
et SalesForce

37. Architecture logique de la plateforme de démonstration
37Démonstration07/11/2013

38. 38
Principe de synchronisation AD <=> Okta 1/2
Démonstration07/11/2013

39. 39
Principes de synchronisation AD <=> Okta
Gestion du provisioning de comptes utilisateurs basée sur les OUs suivants :
Gestion des accès aux applications SaaS basée sur l’appartenance (directe ou
via un parent) aux groupes AD suivants :
Démonstration07/11/2013

40. 40
Principe de provisioning IDaaS <=> Applications SaaS
Démonstration07/11/2013

41. Use case : Arrivée d’un employé sédentaire
41Démonstration07/11/2013

42. Use case : Arrivée d’un employé nomade
42Démonstration07/11/2013

43. Use case : Départ d’un employé nomade
43Démonstration07/11/2013

44. 44
Interface d’administration : Page d’accueil 1/2
Démonstration07/11/2013

45. 45
Interface d’administration : Page d’accueil 1/2
Démonstration07/11/2013

46. 46
Interface d’administration : Tableaux de bords
Démonstration07/11/2013

47. 47
Interface d’administration : Rapports détaillés
Démonstration07/11/2013

48. DES QUESTIONS ?
08/03/2013 48

49. Annexe 1 : les protocoles IAM du monde SaaS
49Annexes07/11/2013