« Les gens veulent avoir des identités unifiées », Péter Gyöngyös (One Identity)

Péter Gyöngyösi est arrivé chez One Identity début 2018, à l’occasion du rachat par celui-ci de Balabit. Depuis, il occupe les fonctions de chef de produit sénior en charge de la gamme centrée sur la gestion des accès à privilèges.

LeMagIT : le marché de la gestion et de la gouvernance des identités et des accès a été plus calme en 2019 qu’au cours de l’année précédente. À quoi peut-on attribuer cela ?

Péter Gyöngyösi : Je partage votre avis. Nous avons fait la même observation. Je pense que la principale raison en est que les acteurs de l’industrie reprennent leur souffle, après plusieurs grandes acquisitions en 2018, y compris celle de Balabit par One Identity, ou encore la fusion BeyondTrust/Bomgar, entre autres. Cela fut donc une année bien agitée, et après de telles opérations, il faut un certain temps pour retrouver des activités normales, aligner ses portefeuilles produits et procéder aux intégrations voulues. Il est donc préférable d’être plus discret après d’importantes acquisitions. Ces grandes opérations prennent du temps et créent une forte valeur additionnelle pour les clients. Mais cela ne se fait pas de manière tonitruante.

Maintenant que beaucoup sont passés par là, je m’attends à ce que 2020 soit bien plus excitant que ne l’a été 2019.

LeMagIT : Le marché me semble s’être restructuré avec, d’un côté, des éditeurs combinant gouvernance des identités et des accès (IGA), avec gestion des accès à privilèges (PAM), et de l’autre, des éditeurs se spécialisant sur le contrôle d’accès, avec en particulier l’IDaaS.

Péter Gyöngyösi : Je pense qu’il y a beaucoup de parallèles et de synergies dans ces marchés, avec une forte compétition autour de la façon d’utiliser ces synergies. Et cela vaut pour nous. Nous avons beaucoup travaillé aux intégrations entre nos produits de PAM et les outils de gouvernance, et bien sûr à l’échelle de l’ensemble de notre offre de gestion de l’identité.

Mais je ne pense pas que les projets, côté ventes, se recouvrent fréquemment. Et c’est parce qu’un projet de gestion des identités est un vaste projet holistique, qui représente un investissement considérable en argent comme en temps pour chaque client. À l’inverse, les projets de PAM sont très souvent bien plus petits, visant seulement à résoudre un problème spécifique de protection d’une partie précise d’une organisation ou de son environnement.

Ce que je vois, ce sont des clients qui ont investi dans une solution de gestion d’identités et qui regardent ce que leur fournisseur peut leur proposer en matière de gestion des accès à privilèges. Cela fonctionne rarement en sens inverse. Nous faisons clairement pas mal de ventes croisées de la sorte.

LeMagIT : Il y a eu, par le passé, beaucoup de discussion autour de l’intégration entre solutions d’administration de l’informatique de l’utilisateur final (UEM/EMM) et IDaaS, mais également du côté de la sécurité des accès et des actifs Web. Akamai ne manque d’ailleurs pas de s’intéresser au domaine de la gestion des identités clients (CIAM)…

Péter Gyöngyösi : Je pense que c’est effectivement le sens des choses. Les gens veulent avoir des identités unifiées sur toutes les plateformes qu’ils utilisent. Et cela change la manière de gérer les identités. Je pense que l’identité est le point d’unification qui doit être connecté à toutes les solutions.

LeMagIT : À l’été 2017, vous avez lancé Starling Identity Analytics and Risk Intelligence Service. En quoi complète-t-il une approche basée sur l’analyse du comportement des utilisateurs ?

Péter Gyöngyösi : Il y a deux façons d’analyser l’accès privilégié et l’une consiste à analyser ce que les gens font réellement avec leurs comptes, ce qu’ils devraient faire ou ce qu’ils font habituellement. C’est ce que j’appellerais l’analyse dynamique. Mais il est également possible d’analyser la façon dont les choses sont mises en place, à la recherche de risques liés à la configuration du système. C’est ce que fait Starling IARI : le service examine donc la façon dont le système est configuré et identifie les problèmes potentiels, les autorisations qui se chevauchent, celles que les utilisateurs ne devraient pas avoir, etc.

Le service IARI trouve ses origines chez One Identity. Après l’acquisition, nous avons réalisé tout le potentiel de la combinaison de ce service avec les capacités d’analyse comportementale apportées par Balabit.

LeMagIT : Mais je ne vois toujours pas ce que vient faire syslog-ng dans votre portefeuille…

Péter Gyöngyösi : Dans une certaine mesure, il n’est effectivement pas cohérent avec le reste de notre portefeuille produit. Ce n’est pas un produit d’identité ni un produit de gestion des comptes à privilèges. Par le passé, nous avons cherché à établir un lien, notamment parce que pour une petite startup, il est plus facile de ne commercialiser qu’une seule chose et d’en assurer la promotion, parce que l’on ne dispose pas des fonds et des ressources nécessaires pour travailler sur deux marchés complètement différents. C’était notre cas, chez Balabit, et je pense que ça n’a pas si bien fonctionné.

Mais depuis notre rachat par One Identity, nous avons les ressources nécessaires pour être compétitifs et investir sur deux marchés complètement différents, et nous le faisons. Syslog-ng dispose de son propre plan d’évolution, de sa stratégie commerciale. Bien sûr, il y a des synergies. Nous utilisons la technologie de syslog-ng dans le portefeuille Safeguard, nous avons des équipes commerciales partagées, mais nous n’essayons pas de les combiner dans une unique offre de produits. Et je dirais que nous avons trouvé un modèle qui fonctionne bien.