L’identifiant unique, solution au casse-tête des mots de passe… en entreprise ?

Le marché de la gestion des identités et des accès, Identity and Access Management (IAM), devrait dépasser les 24 milliards de dollars d’ici 2020 selon Grand View Research.

Nous sommes déjà familiers du concept de BYOI dans notre quotidien, par exemple en s’inscrivant à des nouveaux services via l’utilisation de son identité Facebook ou Google. C’est rapide, efficace et cela permet d’éviter la mémorisation de mots de passe différents. Le monde du B2B a tardé à embrasser ces pratiques, mais cela est en train de changer très rapidement.

Cette croissance soutenue s’explique en partie, selon l'institut de recherche, par la popularité grandissante des pratiques bring-your-own-identity (BYOI) car elles sont garantes de rapidité et de confort pour les utilisateurs. Mais qu’en est-il des risques versus les avantages pour les entreprises ?

Car ce type de gestion fédérée des identités représente l’avenir pour les entreprises ; typiquement dans le cas où des parties externes (clients, partenaires, sous-traitants) accèdent aux mêmes systèmes, réseaux et applications que ses propres salariés. Cela étant dit, il est peu probable qu’une entreprise autoriserait l’accès à ses actifs internes les plus vitaux via l’authentification par les réseaux sociaux. A partir de là, quelle solution d’entreprise robuste et intelligente peut-on mettre en place, qui offre à la fois les mêmes avantages et niveaux de sécurité que ceux offerts par le « BYOI social » ?

L’adoption croissante du BYOI

Concernant la sécurité et la gestion d’accès, il est loin le temps où les salariés étaient les seuls dont il fallait se soucier. En effet, la nature collaborative des nouveaux modèles économiques impose de plus en plus d’attribuer un accès sécurisé à ses clients, ses partenaires, ainsi qu’à ses sous-traitants. Tout cet écosystème a besoin de différents droits et niveaux d’accès, utilisables rapidement et facilement.

Le Ponemon Institute a mené une vaste étude mondiale en 2017, qui a révélé que pour les entreprises, les deux principaux risques pour la sécurité résident aujourd’hui dans l’intégration de tierces parties à leurs réseaux et applications (76 %) et dans l’incapacité à sécuriser les droits d’accès (74 %). D’ailleurs près de 60 % des sondés admettent qu’au sein de leur organisation, employés et tierces parties contournent les règles de sécurité et les technologies jugées trop complexes.

Ainsi, alors qu’il est clair que l’approche BYOI s’imposera de plus en plus dans la gestion des contraintes de sécurité, il est aussi important qu’elle soit soigneusement envisagée et planifiée. D’un autre côté, de nombreuses fonctions de sécurité multifactorielles, comme la biométrie ou l’emplacement géolocalisé, nuisent à la vitesse et à la commodité requises.

Le problème du courtier d’identité tiers de confiance

L’approche BYOI prévoit la création d’une identité indépendante des applications ou réseaux cibles. Vous n’avez pas à vous identifier auprès de chaque application mais vous établissez votre identité et l’appliquez à toutes les ressources auxquelles vous avez besoin d’avoir accès. Ceci va dans le sens d’un courtier d’identité et c’est exactement ce qui se passe dans notre vie personnelle. Les réseaux sociaux sont de plus en plus acceptés comme des « courtiers d’identité sociale ».

Mais l’approche du courtier d’identité sociale est-elle la bonne pour les entreprises et leur écosystème B2B ? Si tel que le suggère l’institut Ponemon, l’IAM est l’élément le plus important d’une stratégie moderne de sécurité d’accès à l’information, délégueriez-vous pour autant cette responsabilité à un réseau social sans sourciller ? Le recours à un courtier en identité sociale constitue en effet une cible quasiment irrésistible pour les hackers.

Vers une approche BYOI robuste pour les entreprises

Ainsi, alors que l’approche BYOI d’identité sociale ne convient pas aux exigences des entreprises en matière de sécurité IT, il existe des plateformes IAM avancées pouvant être utilisées pour délivrer des fonctionnalités BYOI robustes aux entreprises selon le même principe. Celles-ci doivent passer d’un modèle de gestion des identités dirigé vers l’extérieur (‘inside out’) vers un modèle dirigé vers l’intérieur (‘outside in’) pour attribuer un accès sécurisé à tous les partenaires impliqués dans l’écosystème B2B connecté.

Les plateformes autorisant le modèle ‘outside in’ délivrent déjà des solutions de gestion des identités qui couvrent toutes les personnes et tous les systèmes, autrement dit toute « entité » qui doit être identifiée et gérée correctement et se voir attribuer des règles d’accès appropriées. La pratique BYOI est en réalité une extension de cette approche. Prenons l’exemple d’un fabricant de produits A connecté à un distributeur B via un réseau d'intégration B2B, et qui a conclu un autre accord pour travailler avec un autre distributeur C. Si ce distributeur C est déjà connecté au même réseau B2B, alors le fabricant devrait pouvoir effectuer des transactions avec C en utilisant ses paramètres existants de sécurité et d’authentification, en plus et par-delà les transactions EDI standard.

C’est ce qu’il se passe dans le cas de l’utilisation d’une plateforme d’entreprise de gestion des identités. Et bien qu’elle opère comme simplement un courtier d’identité, elle devient une des composantes essentielles de la solution globale de gestion des identités de l’entreprise. Vous pouvez ainsi maintenir les mêmes niveaux de sécurité et de protection que vous aviez précédemment tout en assurant une meilleure rapidité et commodité, que ce soit au niveau individuel ou celui de l’entreprise, et concrétiser la promesse de l’approche BYOI d’être un fort levier de création de valeur B2B.