Protection de l’identité : un champ d’opportunités, de risques et de recherches

La combinaison de la vulnérabilité des mots de passe et de l’intensification des transactions en ligne, du développement de l’économie du partage et de l’émergence de l’Internet des objets renforce la nécessité d’adopter rapidement des mécanismes d’authentification fiables et intuitifs.

La mobilité a envahi nos vies. Bien intégrée, elle peut conférer un avantage compétitif considérable aux économies connectées. L’accès aux applications stratégiques en toutes circonstances augmente les possibilités pour les salariés, les partenaires et les clients – qui ne veulent plus jamais attendre. Pourquoi le feraient-ils ? L’accessibilité des services, personnels ou professionnels, au moment où l’on en a besoin, est emblématique de la culture du « à la demande » dans laquelle nous vivons désormais.

Mais cet accès à la demande, qui implique la mobilisation de données personnelles ou professionnelles, doit être assorti de garanties de sécurité. Or l’édition 2016 du rapport Data Breach Investigations Report (DBIR) révèle que 63% des compromissions de données avérées sont imputables à l’utilisation de mots de passe volés, trop simples à deviner ou des mots de passe par défaut qui n’ont pas été modifiés. Le mot de passe statique (que l’on conserve tel quel naïvement), composé à partir d’une date de naissance ou d’un patronyme, n’est plus adapté : les cybercriminels savent les contourner, mais aussi s’en servir pour commettre plus de dégâts encore.

Un vaste écosystème s’est mis en place autour de la notion d’identité, composé de fournisseurs de solutions d’identification, de fournisseurs de données et de prestataires de services. Tous partagent la même intention de protéger les informations des entreprises et des utilisateurs contre ceux qui cherchent à se les accaparer de façon illégale. L’enjeu est donc de choisir le bon partenaire selon son profil : consommateur, entreprise, administration publique.

La question de la protection de son identité personnelle se pose de plus en plus en Europe depuis l’adoption par la Commission européenne du règlement eIDAS, qui définit l’identité numérique comme le résultat d’une double action électronique, d’identification (qui je suis ?) et d’authentification (comment je prouve qui je suis ?). Dans ce contexte, chaque citoyen choisit parmi la liste proposée par le gouvernement son fournisseur de services d’identité, qui vérifiera et confirmera son identité puis la certifiera lors des connexions aux services gouvernementaux en ligne.

Les grandes entreprises, qui disposent souvent de réseaux internationaux, d’équipes distantes et de connexions numériques à leurs partenaires virtuels, cherchent elles à protéger les accès à leurs informations et systèmes sans pour autant ralentir leur productivité. Pour ce type d’audience, les aspects de crédibilité, de couverture mondiale et d’intégrité sont prédominants.

Enfin, les administrations qui opèrent leur transformation numérique cherchent à rationaliser les processus de leurs services et à proposer l’accès en ligne aux services publics à leurs administrés, pour les déclarations de revenus par exemple ; souvent, des procédures de gestion des achats les guident vers les meilleurs fournisseurs et partenaires à même de les accompagner dans leur transformation. 

La volonté de pouvoir concentrer une activité en ligne en une seule procédure ou un seul ‘flux’, sans que les consommateurs aient besoin de se rendre ailleurs pour confirmer leur identité, va dans le sens de solutions en ligne de contrôle et vérification d’identité. Ces solutions peuvent aider les entreprises et les administrations à prendre des décisions sur la base d’un profil de risque établi d’après les données en leur possession. L’objectif est de pouvoir contrôler ou confirmer la validité des données d’identité sans porter préjudice à la confidentialité des informations sur l’individu.  

L’expérience montre que certaines entreprises hésitent à adopter les méthodes d'identification par l'authentification multifactorielle par crainte de la complexité de mise en œuvre et de maintenance. Mais réfléchissons… Reprenons les 63% de cas de compromission de données avérées imputables à l’utilisation de mots de passe volés, faciles à deviner ou de mots de passe par défaut qui n’ont pas été modifiés ; ces compromissions auraient pu être évitées par un mécanisme d’authentification plus approfondi. Dans ce contexte, aucun argument de complication excessive ne devrait tenir face à la nécessité de mieux protéger ce point d’accès aux systèmes stratégiques.

Pour éviter que l’authentification multifactorielle ne devienne un casse-tête, le plus simple est de recourir à un partenaire de confiance spécialiste de l’identité. Proposant des services professionnels de gestion des accès et des identités, il aidera l’entreprise à gérer plus efficacement les identités des utilisateurs et des appareils à l’échelle de plusieurs systèmes et applications.

Partager les connaissances pour poursuivre l’innovation

L’univers du numérique est en mutation permanente, les nouvelles technologies conquérant de nouveaux territoires et s’adaptant aux demandes changeantes des utilisateurs. L’industrie de la sécurité met un point d’honneur à continuer de développer les technologies qui garantiront la protection systématique future des données produites.

Des projets de recherche sont menés par différents acteurs du marché, comme par exemple l’Open Identity Exchange (OIX), pour amorcer la prochaine phase d’innovation. Plus récemment, instituts universitaires et représentants de l’industrie ont collaboré à un projet du nom de ReCRED (Real-world Identities to Privacy-preserving and Attribute-based CREDentials) dans le cadre du programme Horizon 2020 de l'UE. L’objectif ici est de comprendre le changement de paradigme de la relation de confiance dans le monde du numérique, et de re-réfléchir au rôle des procédures unifiées d’authentification et d’autorisation dans le contexte mobile.

De tels projets sont des sources précieuses d’information sur ce marché. Ils permettent de mieux sensibiliser et promouvoir la confiance dans le commerce numérique, afin d’aboutir à des systèmes d’identité transparents, sécurisés, interopérables et capables de délivrer la meilleure expérience utilisateur à l’ensemble des acteurs.