IAM : Memority dévoile une roadmap et vise la certification SecNumCloud

Une version 2.0 développée avec Stellantis

Pour la petite histoire, la startup teste alors le marché avec une solution IAM de Computer Associates hébergée chez OVHcloud. L’acquisition par Accenture en 2023 va permettre au jeune éditeur de développer une plateforme IAM à partir d’une feuille blanche. Avec ses modules My-Identity, My-Access et My-Keys, la plateforme a pour vocation de couvrir l’intégralité des besoins liés à l’identité.

« Toute cette plateforme est multi-tenant et donc partagée entre tous nos clients, accessible via une interface graphique, mais aussi en mode API », argumente le directeur général : « du fait que nous couvrons tout le spectre de l’IAM, nous pouvons délivrer un haut niveau de reporting lié aux identités qui accèdent au système d’information. Un autre de nos différenciants est le niveau de configurabilité de la solution. Elle peut s’adapter et être configurée pour répondre aux processus de nos clients, même en mode SaaS ».

La version 2.0 de la plateforme Memority, mise en production en 2021, a été co-développée avec Stellantis, un grand client de l’éditeur. Le constructeur automobile gère sur la plateforme 500 000 identités de collaborateurs dans le monde, d’un million de partenaires, et surtout celles de 50 millions d’objets connectés, puisque chaque calculateur connecté embarqué dans un véhicule dispose d’une identité propre dans Memority. Outre le constructeur automobile, cette version a permis à l’éditeur de décrocher quelques belles références, dont Valeo, But, Terega et, plus récemment Unibail-Rodamco-Westfield, Eau de Paris ou les Galeries Lafayette.

Memority a aujourd’hui retrouvé son indépendance vis-à-vis d’Accenture. Sa plateforme est hébergée sur AWS, et maintenant sur S3ns pour les entreprises et les organisations du secteur public sensibles à la souveraineté de leurs données.

L’éditeur travaille désormais sur la prochaine évolution majeure de sa plateforme, dont le lancement est prévu sur la période 2026/2027. « Nous voulons aujourd’hui cultiver nos différenciants », affirme Francis Grégoire : « si nous avons été disruptifs en étant les premiers en Europe à nous positionner sur le IDaaS, nous comptons le rester aujourd’hui en restant la première plateforme à couvrir l’intégralité du spectre de l’IAM pour tous les types d’identités ».

La version 3.0 disposera d’une marketplace d’intégrations

Le développement de la version 3.0 s’étalera de 2025 à 2027. Elle verra l’IA très largement implémentée sur la plateforme. Un gros travail va être mené sur l’expérience utilisateur pour les entreprises utilisatrices, mais aussi pour aider les intégrateurs à déployer leurs clients sur la plateforme.

« L’IA va avoir un impact sur le travail des intégrateurs et des administrateurs, car il faudra travailler sur la qualité des données et l’optimisation du modèle en permanence. »

L’éditeur va proposer une Marketplace d’intégration de systèmes tiers, des outils de visualisation des risques liés aux identités avec la capacité d’associer un niveau de risque à une identité. De nouveaux dashboards fonctionnels et techniques vont être créés pour analyser les événements liés aux identités dans le système d’information.

« L’idée est de mettre de l’IA partout sur la plateforme, cas d’usage par cas d’usage », explique Francis Grégoire : « elle pourra détecter des non-conformités de manière dynamique ou statique, aider les utilisateurs dans l’usage de la plateforme avec l’IA générative, et l’utilisation de visualisations avancées, pour rendre compréhensibles les propositions faites par l’IA ».

L’éditeur travaille aussi sur les modèles de droits ORBAC (Organisation-Based Access Control), ABAC (Attribute-Based Access Control) et RBAC (Role-Based Access Control) pour donner – et vérifier – les droits aux utilisateurs : « nous pensons qu’un nouveau modèle va émerger : l’AIBAC, ou Artificial Intelligence-Based Access Control. Cela permettra de s’abstraire de ces définitions. Les administrateurs continueront à définir des rôles, car cela correspond à des scénarios évidents dans les entreprises. Par contre, a-t-on besoin de définir un rôle pour un collaborateur qui travaille dans le service comptabilité, par exemple, alors que l’IA va pouvoir définir automatiquement les droits dont il a vraiment besoin en analysant les droits affectés à ses collègues ? »

L’atout de cette approche est que l’IA va vérifier au fil de l’eau les droits que chaque utilisateur met réellement en œuvre et ceux dont il ne se sert pas. Dans une approche sans confiance, l’IA pourra lui retirer les droits jugés inutiles. Selon Francis Grégoire : « le système va vivre de manière automatique, mais cela veut dire qu’il faudra comprendre les choix de l’IA et tolérer que l’IA puisse commettre des erreurs. Il faudra lui indiquer pourquoi une décision n’est pas bonne, et qu’elle devra agir autrement. Cela va avoir un impact sur le travail des intégrateurs et des administrateurs, car il faudra travailler sur la qualité des données et l’optimisation du modèle en permanence ».

L’IA interviendra aussi dans la gestion des risques liés aux connexions. Memority vise notamment le risque dynamique qui survient au moment même de la connexion. Des informations liées à l’identité et au contexte sont collectées pour évaluer le niveau de risque de la connexion. Ce contrôle est aujourd’hui réalisé avec des règles statiques, mais une IA pourra évaluer ce risque de manière dynamique, à partir d’un historique des connexions de chaque utilisateur. Le modèle d’apprentissage n’est pas global pour tous les utilisateurs de l’entreprise, mais porte bien sur chaque utilisateur, de manière à tenir compte des habitudes de travail de chacun.

Memority va devoir développer une Acces Gateway et des agents

Memority va devoir déroger à sa stratégie 100 % cloud sans aucune installation chez le client. Comme ses rivaux américains, l’éditeur va proposer aux entreprises une Access Gateway qui devra être déployée dans leur système d’information, afin de proposer du SSO sur les applications tierces non intégrées sur la plateforme. 

« Toutes ces informations vont converger vers nos modèles d’apprentissage statistique et enrichir toutes les données existantes du modèle de données Memority, afin d’avoir une vision globale de tout ce qui se passe dans le SI au niveau des identités. »

La dernière étape de la roadmap sera de proposer des briques ITDR (Identity Threat Detection and Response) et CIEM (Cloud Infrastructure Entitlement Management), afin de collecter des informations dans le système d’information pour des applications qui ne sont pas encore intégrées dans l’IAM.

L’éditeur va devoir développer un agent pour capturer tous les événements liés au cycle de vie des comptes, aux autorisations d’accès et aux authentifications, afin d’alimenter l’ITDR et le CIEM. « Toutes ces informations vont converger vers nos modèles d’apprentissage statistique et vont enrichir toutes les données existantes du modèle de données Memority afin d’avoir une vision globale de tout ce qui se passe dans le système d’information au niveau des identités », détaille le deputy CEO.

Les lancements de ces nouvelles fonctionnalités seront échelonnés entre 2025 et 2026. Sur My-Account, un nouveau portail de onboarding des applications et des utilisateurs devrait faire son apparition en 2025, puis ce sera au tour de la Marketplace et l’Access Gateway en 2025/2026. My-Identity bénéficiera de la détection des comptes orphelins et de l’historique des droits de chaque compte en 2025, le modèle de risque statique en 2025/2026, et enfin les briques CIEM et ITDR en 2026-2027.

En parallèle, l’éditeur mène une démarche de certification active. Après les ISO 27001 et 27701 en décembre 2024, l’éditeur sera soumis à NIS 2, mais aussi à Dora du fait de l’activité de certains de ses clients. Il vise enfin une certification SecNumCloud SaaS à l’horizon 2027.