Le ‘Bring Your Own Identity’ définit un nouveau périmètre pour les entreprises

Les identités numériques ouvrent de nouveaux territoires et deviennent des vecteurs de nouveaux services offerts aux utilisateurs tout en conservant l’objectif de la sécurité.

C’est une vague, une déferlante, un tsunami ! Que ce soit pour partager des informations dans sa sphère professionnelle sur LinkedIn, ou pour écouter la musique avec ses amis sur Spotify, les services proposant de s’identifier via Facebook deviennent pléthoriques. Même le gouvernement britannique envisage de permettre à ses citoyens d'utiliser leurs identités numériques issues des réseaux sociaux pour accéder aux services publics en ligne. C'est le phénomène Bring Your Own Identity (BYOID), et ce nouveau concept s'apprête à devenir la norme.
D’autant plus qu’une récente étude conduite par le cabinet d’analystes Quocirca révèle que 27 % des entreprises utilisent déjà les réseaux sociaux comme moyen d’authentification de leurs utilisateurs. Pour le cabinet Gartner, d'ici à 2015, 50 % des identités des nouveaux clients des cybermarchands proviendront des réseaux sociaux, contre moins de 5% aujourd'hui. Les effets conjugués de la fédération d’identités, de la mobilité, et l'adoption d’un « identifiant social » auront un impact majeur et rapide sur la gestion des identités et des accès (IAM), estime le Gartner.
La raison de cette évolution est évidente. Tout d'abord, le fait de permettre de s'identifier via Facebook, LinkedIn ou encore Twitter facilite la vie du consommateur. Face à l'accumulation des identifiants, mots de passe et autres questions de sécurité, cette solution renforce la fluidité et la fidélité de l’utilisateur lors de son inscription sur un site. Deuxièmement, il y a plus d’identités et de données relatives aux identifiants qui sont créées à l’extérieur de l’entreprise qu’en son sein. Enfin la gestion des identités se fonde désormais sur des typologies de comportements et la responsabilité des utilisateurs en fonction de leurs cadres d’usage, et moins sur de simples identifiants et mots de passe.
Ce serait trop rapide, trop tôt pour certains. Les identités sociales ne seraient pas dignes de confiance. Pourtant, il existe de plus en plus de services permettant d'évaluer le niveau de fiabilité de ces identités, et de définir des seuils de validation. Ces outils calculent qu'un utilisateur ayant la même identité Facebook depuis cinq ans et communiquant avec ses contacts régulièrement est vraisemblablement authentique. En fait quand on regarde les moyens de contrôle mis en place par les plateformes de réseaux sociaux pour encadrer la création de comptes, on constate qu’il est plus difficile de créer une fausse identité à utiliser sur un autre service, que de le faire directement sur le site nécessitant pour l’enregistrement la création d'un nouveau compte.

L'étude de Quorcica souligne également que le BYOID pourrait bien, au fil du temps, s'étendre jusqu'aux employés, au-delà des consommateurs de e-commerce. Les salariés pourraient par exemple conserver leur identifiants d'une entreprise à une autre, de la même manière qu’ils conservent leur iPhone ou leurs PC portable d’un employeur à l’autre.
Il y a tout de même un « mais ». Si les réseaux sociaux ont vocation à être utilisés comme sources d'identités, alors les entreprises doivent aborder ce point intelligemment. Elles ne doivent pas s'attendre à convertir les utilisateurs de réseaux sociaux en utilisateurs de leurs propres services. De la même façon ils ne peuvent pas demander aux utilisateurs d’accepter de s'identifier plusieurs fois, ou de saisir la même information dans différents formulaires.

Contrôler les identités et les accès dans l'entreprise étendue

Les utilisateurs en entreprises ont de plus en plus besoin d'accéder aux applications de leurs partenaires (portail, Dropbox, Google Docs, etc). Mais les utilisateurs sont lassés de devoir gérer toutes sortes d'identifiants pour des applications différentes. L'expérience parfaite pour l’utilisateur, c’est un service d'authentification unique (Single Sign On) fluide et indépendant du gestionnaire de l'application.

Ce processus d'authentification unique SSO peut utiliser n'importe quelle source d'identité, y compris les identités sociales. Cela permet aux entreprises d'offrir à leurs clients un accès simplifié à leurs sites à l'aide d'une authentification unique. Une fois ces utilisateurs intégrés à leur système, il devient plus facile de convertir les utilisateurs en clients fidèles.
Aujourd’hui les entreprises doivent se rendre compte qu'investir dans l'IAM n’est pas juste une question de sécurité renforcée, mais représente une opportunité économique.

Grâce au standard OpenID, cette technologie permet aux clients d’accéder simplement et en sécurité à des sites et à des applications d'entreprise. C’est l’occasion pour l’entreprise de faire transiter l’utilisateur vers son site ou ses services en toute transparence pour lui, tout en le fidélisant.

Imaginez le cas du transport aérien. Certaines compagnies utilisent déjà les réseaux sociaux pour l’assistance à la clientèle. Si vous tweetez que vous avez raté votre avion pour Paris, un agent de la compagnie vous répondra quasi instantanément afin de vous aider. Malheureusement, cela s'arrête généralement là. Votre profil Twitter ne représente rien pour le système de réservation de cette compagnie, donc à moins que l'agent qui vous contacte ne vous pose un certain nombre de questions, il ne pourra pas établir votre profil complet (n° de vol, porte d’embarquement, n° de siège) via Twitter.
Et maintenant, imaginez que la compagnie utilise plutôt un système IAM intégré et hybride, reliant votre identité sociale à leurs systèmes internes. Si vous tweetez que votre avion a décollé pour Paris sans vous, ce message ainsi que votre identité online s'afficheront sur le système de l'agent. Mieux encore : imaginez qu'une recherche soit effectuée afin d'établir l'identité liée à ce profil numérique. L'agent peut alors savoir que vous êtes à Marseille et ainsi vous proposer des alternatives de vol pour Paris. Voici le type de services qui fidélise durablement un passager d'une compagnie aérienne.

D’ailleurs l'étude de Quorcica révèle que 72 % des entreprises européennes utilisent ou prévoient d'utiliser les réseaux sociaux afin d'identifier et de communiquer avec leurs clients potentiels.

Une proportion croissante des sociétés commencent à utiliser Facebook, Google et d’autres identités sociales grand public dans le cloud, en tant qu'éléments majeurs de leurs environnements de gestion des identités. Ainsi, elles peuvent étendre leurs capacités de gestion des identités de leurs systèmes internes à leurs clients, partenaires et prospects.
Nous sommes à la croisée des chemins entre la sécurité préventive et la sécurité attentive. La mise en place de solution IAM permet d'établir des relations solides avec les clients et aide les entreprises à accroître leur efficacité, tout en respectant les exigences en matière de respect de la vie privée.