Tendance cyber : à quoi ressemblera l'identité numérique de demain ?

L'Identité Numérique, pierre angulaire de la sécurité des SI, comme toute expertise cyber, évolue et présente aux entreprises et organisations de nouveaux défis à relever.

En 2022, devant la recrudescence de nouvelles solutions et un environnement numérique qui s’étendait, les entreprises ont dû faire face à de nouveaux enjeux et se structurer en conséquence. Mais pour 2023, à quoi doivent-elles se préparer ?

Les grandes innovations à venir

Les technologies qui s’offrent à nous ne laissent pas les RSSI indifférents. Rendre les processus de gestion des identités intelligents, augmenter son dispositif de sécurité des accès… L’Intelligence Artificielle (IA) et l’analyse comportementale permettent aujourd’hui de répondre aisément à une grande partie de cette gestion des risques. Qui devrait faire quoi, quand, comment et depuis où ? L’IA devrait permettre d’alléger le travail des équipes sur tous les chantiers de role mining - qui devenaient de plus en plus complexes (changement d'applications, de direction ou encore scénario de fusion/acquisition).

Encore aujourd’hui, seuls les processus de certification permettent d’assurer un contrôle des habilitations des collaborateurs, et de se mettre en conformité avec l’audit. Cela représente une charge de travail importante pour les responsables applicatifs et les métiers. Les solutions d’IA vont, sans nul doute, également permettre l’automatisation de tout cela.

Quelques solutions Cloud proposent, également, depuis peu des plateformes uniques de gestion des identités couvrant l’ensemble des problématiques (IGA, AM, PAM). Mais l'approche best of bread reste encore la solution à privilégier. Même si l’on dit souvent qu’« il ne faut pas mettre tous ses œufs dans le même panier », cela présente des limites car comment auditer l’ensemble de ses plateformes et assurer un reporting consolidé et régulier lorsque le nombre de solutions se multiplie ?

Un Système d’Information qui s’ouvre vers l’extérieur

L’ouverture des Systèmes d’Information (SI) n’est plus à prouver. C’est un fait bien plus qu’avéré, qui complexifie considérablement le travail des équipes chargées de la sécurité IT. De nombreuses problématiques font, ou refont, surface et seront les tendances d’innovation de demain.

Les situations de fusion/acquisition, ou encore séparation d’activités, sont, elles, pourtant simplifiées par cette ouverture des SI vers l’extérieur. Alors, quelle est l’approche à privilégier en cas d'acquisition ? L’intégration complète ou la fédération ? La fusion des SI avec l'adoption des processus applicatifs du SI accueillant reste aujourd’hui la solution la plus sûre. Mais cela n’est pas sans conséquence, car c’est tout le SI qui est impacté (organisation, gestion des droits, référentiels d'identités multiples, qualité de données inégales, etc.). Certaines solutions SaaS permettent d'offrir une réponse à ce type de problématique en commençant par centraliser les données d’identités - sans avoir à fusionner les SI, mais encore faut-il être prêt à héberger ses données à l’extérieur…

Le mode full SaaS est, également, envisageable aujourd'hui pour des structures à taille humaine. Toutefois, pour les grandes sociétés, la tendance sera plutôt de rester sur un mode hybride pour sécuriser l’information et la disponibilité des services souvent critiques, tout en se permettant un degré de personnalisation toujours important. Le mode hybride va bel et bien persister encore quelques années. Notons cependant que la notion de souveraineté est également importante dans le cadre d’hébergement des données.

La gestion des comptes à privilèges reste, elle aussi, au cœur des débats. Pour répondre à cette problématique, l’approche Zero Trust a déjà pu faire ses preuves par le passé. Malheureusement, cette solution soulève encore aujourd'hui de nombreuses questions. Comment peut-on s’assurer de l’identité d’un partenaire ? Quels dispositifs peuvent être mis en place ? Est-ce qu'un système de confiance pourrait assurer la certification de l’identité de l’utilisateur avant d’autoriser l’accès sur un SI ? Des questions qui trouveront prochainement des réponses. Pendant ce temps-là, la mise en place d’une solution MFA s’impose comme la réponse la plus efficace à ces questions, avec un déploiement en priorité pour les administrateurs et la généralisation à l’ensemble des collaborateurs.

Et demain ?

Lorsque l’on parle de l’Identité Numérique de demain, l’identité citoyenne arrive au cœur du débat. En effet, bon nombre de spécialistes se demandent dans quelle mesure l’identité citoyenne pourra être utilisée plus largement. A ce jour, de nombreux services étatiques utilisent l’identité citoyenne pour permettre l’accès à leurs plateformes. Et si ces mêmes accès permettaient demain d’accéder à votre poste de travail et de garantir votre identité ? Cela soulève beaucoup de questions : séparation vie professionnelle / vie privée, informations partagées ou encore confidentialité, mais le point reste à penser.

En 2023, l’expérience utilisateur sera aussi à penser et privilégier. Un monde passwordless tente de se dessiner devant nous. En effet, le passwordLess intéresse beaucoup pour son expérience utilisateur facilitée, mais ne représente pas - à date - une priorité sécurité pour les entreprises. La migration vers les solutions disponibles sur le marché représente un chantier important pour les grandes organisations, mais reste un sujet bien inscrit dans les chantiers à mener.

Les sujets d’identité numérique sont toujours synonymes d'évolutions et de réflexions constantes ! Voyons ce que 2023 et les prochaines années nous réservent.