Alors que traditionnellement, le responsable de la sécurité informatique est réticent quant à l’utilisation des solutions en mode Software as a Service, force est de constater que de plus en plus de services de cybersécurité sont proposés en SaaS. Un des derniers bastions à céder est le domaine de l’Identity Governance & Administration (IGA).

L’IGA est un segment de marché en pleine expansion qui correspond aux solutions proposant simultanément les fonctionnalités de gestion des identités et des accès au système d’information (Identity and Access Management), de gouvernance des identités (Identity and Access Governance) et de gestion des accès aux données partagées (Data Access Governance).

Les réticences relatives à la sécurité qui ont longtemps bloqué le marché en France sont balayées par l’adoption massive d’Office 365 ou Google Apps et des solutions de partage de données dans le Cloud.

En adoptant une solution IGA en mode SaaS, les clients veulent aussi remettre en cause le modus operandi qui a conduit à l’échec massif des projets de gestion des identités ces dix dernières années.

Il s’agit du fameux syndrome « 3 ans, 3 connecteurs pour 3 millions d’euros » caractérisé par un consultant « fonctionnel » qui introduit de la complexité, un éditeur qui promet la lune et disparait une fois les licences achetées et un intégrateur qui construit une usine à gaz et facture ses prestations ad vitam aeternam.

Avec une solution IGA en SaaS, les clients veulent avant tout une solution déjà packagée qu’il suffira de configurer a minima.

Ils cherchent également une mise en œuvre assurée par l’opérateur, une exploitation sécurisée avec un hébergement si possible en France, des temps de réponse garantis, un niveau de disponibilité très important associé à des pénalités, un délai de résolution immédiat en cas de découverte d’une faille de sécurité, la réversibilité afin de pouvoir reprendre l’exploitation si l’opérateur fait défaut, une garantie de pérennité de la solution sur de nombreuses années et enfin un modèle économique de facturation à l’usage.

Cette transition bouscule l’écosystème des fournisseurs IAM traditionnels avec d’une part des éditeurs « on premise » avec des technologies vieillissantes dont l’architecture ne permet pas une exploitation en SaaS et d’autre part des éditeurs fournissant une solution IAM en SaaS couvrant uniquement les applications SaaS (Office 365, Salesforce.com, etc.). Ces derniers ne répondent que partiellement au besoin, car la grande majorité des clients possèdent encore et pour longtemps un parc applicatif «legacy» qu’il convient d’intégrer dans une solution globale IGA.

En conséquence, seul un très petit nombre d’éditeurs ayant conçu dès l’origine leur solution pour une utilisation duale en mode SaaS et en mode « on premise » avec une possibilité d’évolution d’un mode vers l’autre se trouvent en position de répondre aux évolutions du marché.

Cet avantage concurrentiel n’a pas échappé à des intégrateurs opportunistes qui se positionnent comme « éditeurs » en assemblant et hébergeant différentes technologies. Ce sont des « intégrateurs-hébergeurs ».

Nonobstant un discours marketing alléchant, il ne faut pas se méprendre, car ne s’improvise pas éditeur SaaS qui veut et ces offres ne subsisteront que le temps pour le marché de se réorganiser.

En effet, l’assemblage et l’hébergement de technologies hétérogènes génèrent un certain nombre de contraintes antinomiques avec les exigences du SaaS :

-Le SLA en termes de disponibilité ne peut pas être garanti, car l’opérateur n’a pas accès à la technologie et est donc complètement dépendant des éditeurs pour produire les correctifs logiciels ;

-Pour la même raison, aucune garantie ne peut être prise quant aux délais de résolution d’une faille de sécurité ;

-L’approche « DevOps » du SaaS ne peut pas être mise en œuvre et donc la montée de version des logiciels entraine un risque sur la compatibilité ascendante ;

-La solution est intimement liée aux accords commerciaux avec les éditeurs. Ces contrats sont bornés dans le temps. Rien ne garantit que l’accord de licence soit reconduit d’autant plus que les éditeurs IAM contraints de lancer leur propre offre SaaS deviendront concurrents de « l’intégrateur-hébergeur ».

L’élément le plus important porte sur le business model « integrateur-hebergeur » qui n’est pas viable dans le temps.

En effet, le business model des applications en mode SaaS repose sur l’intégration verticale de valeur et la suppression des intermédiaires afin de redistribuer une partie du gain au client et en conséquence diminuer son coût total de possession.

Les éditeurs y parviennent en fournissant une seule version du logiciel pour tous les clients, en intégrant dans la solution une partie des coûts de consulting et la majeure partie des coûts d’intégration, en industrialisant la chaine « conception – développement – QA – production » pour passer en mode intégration continue et enfin en mutualisant les services d’exploitation et de support.

A contrario, les offres constituées par des « intégrateurs-hébergeurs » ne modifient en rien la chaine de valeur et sont toujours bâties sur le modèle « cost plus ». Le gain économique redistribué au client ne repose que sur quelques facteurs :

-une forte agressivité commerciale traduite par des remises importantes qui induisent un impact fort sur la marge difficilement tenable dans la durée ;

-l’étalement des coûts facturés au client dans le temps – ce qui constitue en fait un crédit gratuit de la part du fournisseur, mais aussi ce qui génère un risque considérable si le client abandonne le service avant la fin de la période d’amortissement des coûts et de rentabilité du projet ;

-un tarif d’achat agressif auprès de l’éditeur de logiciel généralement conditionné par un achat de licences « en avance de phase » et des limitations sur le territoire : en effet, aucun éditeur ne veut se retrouver en concurrence avec un intégrateur de ses propres produits. Il est fort probable que ce tarif ne sera pas reconduit à la renégociation du contrat surtout quand il a été négocié au niveau de la filiale française.

Ce business model fragile n’est pas pérenne dans le temps et les clients prennent un risque d’autant plus important qu’ils ne bénéficient pas de clause de réversibilité de la solution chez eux.

En conclusion, le marché de l’Identity Governance Administration est en pleine mutation avec d’une part des « dinosaures technologiques » incapables d’évoluer et condamnés au déclin et d’autre part des solutions « point product » adressant uniquement la problématique des applications Cloud et donc répondant partiellement aux besoins du client.

La bascule de l’IGA vers le SaaS est engagée et va s’accélérer avec l’adoption massive des solutions de type Office 365. Les éditeurs bénéficiant d’offres duales on premise et en SaaS sont en train de s’imposer même si quelques intégrateurs opportunistes – en particulier en France – tentent de capter une partie du marché avec des offres assemblées à partir de produits tiers. Cependant, le business model de cette dernière catégorie d’acteur n’est pas suffisamment solide pour en garantir la pérennité.

___________
Christophe Grangeon est Directeur général de Usercube