L'identité sous tous ses angles : gestion des accès et des identités à l'heure de l'entreprise étendue

Dans un contexte professionnel marqué par l'intensification des interactions et le développement des services en ligne, les frontières de l'entreprise se brouillent.

Son écosystème englobe différents acteurs, qu'ils soient clients, partenaires, sous-traitants, propriétaires ou investisseurs. Chacun dispose de ses propres processus métiers, de son infrastructure et de ses identités. Mais l'augmentation du nombre d'acteurs externes exige une meilleure gestion de ces identités.
Aujourd'hui, il ne suffit plus de savoir qui accède à vos services en ligne. Il est nécessaire également de disposer d’informations plus conséquentes sur l’utilisateur en question, comme son rôle, sa fonction, voire même les personnes qu'il représente.
Les solutions classiques de gestion des identités sont axées sur le provisionnement des identités depuis le système RH vers l'annuaire Active Directory et sur la mise en œuvre de solutions SSO (Single Sign-On) pour les applications internes. Elles ne sont donc pas adaptées à la situation. Les solutions doivent être repensées dans une optique d’amélioration de la praticité et de la fidélisation des clients, mais aussi pour déployer des services en ligne sécurisés, et limiter les coûts d’acquisition de nouveaux clients et de gestion des identités externes.

Identités internes/externes

Exigences réglementaires, démarche de réduction des coûts, amélioration de la sécurité… Le déploiement d'une solution IAM (gestion des accès) – ou  IRM (gestion des identités et des relations) – répond à des motivations différentes, suivant que l'on parle d'identités internes ou externes. Les critères de sélection des solutions dépendront par conséquent des objectifs de sécurité que les entreprises se sont fixés.

Productivité/Praticité

Si le déploiement d’une solution SSO semble nécessaire dans les deux cas d’utilisation – avec identités internes et externes – la motivation est susceptible de différer et d’altérer l’importance des fonctionnalités requises. En interne, la démarche est centrée sur l'augmentation de la productivité, avec une simplification des procédures de connexion des employés aux applications de l'entreprise, permettant ainsi d’éviter la saisie répétée des mots de passe. Pour les identités externes, le SSO est synonyme de praticité pour le client qui peut se connecter aux services en ligne depuis le réseau de son entreprise avec ses propres identifiants d'entreprise.

Conformité

Dans le cadre des identités internes, priorité est donnée à la conformité avec les politiques de sécurité. Avec les identités externes, la conformité passe en revanche par l'adhésion aux règles locales qui précisent les modalités d’accès aux données sensibles comme, par exemple, l'obligation d’utiliser un identifiant dont le niveau de sécurité est défini par la législation/réglementation locale (ex : National Institute of Standards and Technology (NIST) ou STORK (Secure idenTity acrOss boRders linKed)).

Efficacité et Acquisition de clients

En interne, les outils IAM (Gestion des accès et des identités) permettent de réaliser des gains d’efficacité grâce aux workflows (invitations à utiliser un service ou demandes de droits d'accès, par exemple). Avec les identités externes, la fluidification du processus d'acquisition de clients constitue la principale motivation – avec notamment la possibilité pour les commerciaux d'inviter leurs prospects et clients à utiliser les services directement depuis leur outil de CRM.

Audit et Suivi des prospects/clients

S’il est nécessaire de disposer de bons systèmes de traçabilité avec les identités internes, cette traçabilité revêt, pour les identités externes, une dimension marchande potentielle. C’est notamment le cas avec l’amélioration du ciblage des clients existants qui permet d’opérer une montée en gamme et d’accélérer la conversion des prospects en clients payants.

Standardisation et Ouverture

Si le réseau interne d'une entreprise penche vers la standardisation, les réseaux externes qu'un fournisseur de services B2B souhaite connecter conserveront leur hétérogénéité et leur diversité.

Centralisation et Distribution/Hétérogénéité

Ici encore, la technologie sous-jacente serait celle du fournisseur d'identités et s’inspirerait en grande partie de la volonté de centralisation des politiques d'accès et des points de décision émise par les entreprises de normalisation. En externe, il serait également souhaitable que le fournisseur d'identités prenne en charge les points de prise de décision dans l'organisation cliente qui régissent les accès et permettent aux clients de gérer leurs droits d'accès. En clair, même si l'entreprise choisit en interne de suivre un seul standard ou processus, il lui faut adopter plusieurs options pour les identités et réseaux externes connectés.

Contrôle interne et Gestion externalisée à plusieurs niveaux

Il est important que les collaborateurs, leurs identifiants d'accès et leurs autorisations soient contrôlés en interne. En externe, il est plus logique de confier à l'organisation cliente le soin d’attribuer (dans le sens « d'autoriser ») les droits d'accès qui conviennent à ses employés. Cela faciliterait la tâche de l'entreprise qui propose ce service en ligne à des sociétés externes (comme, par exemple, ses clients).

Propriété et Confiance

Les entreprises revendiquent, dans une certaine mesure, la propriété des identités de leurs collaborateurs. Le concept du Bring Your Own ID (BYOID) pourrait légèrement modifier la donne, mais l'entreprise pourrait vouloir garder le contrôle des droits d'accès (rôles, autorisations). Pour les identités externes, tout l’enjeu réside dans la confiance. En effet, le fournisseur de services en ligne doit pouvoir faire confiance aux identités provenant du domaine du client et à la qualité de la gestion des droits d'accès dans l’organisation cliente.
Les entreprises ont là une formidable occasion de mettre en place de nouveaux business models susceptibles d'impacter considérablement leur résultat – fournisseurs de services, constructeurs, services publics d'électricité et de gaz, entreprises de vente au détail, établissements financiers ou de santé, et administrations étant potentiellement concernés.
La migration en ligne d'un nombre croissant d'interactions et d'actifs exigera des services de gestion du cycle de vie et des identités adaptés pour créer de nouveaux paradigmes métiers et garantir la confiance.