Selon un rapport récent, le marché de la gestion des identités et des accès (IAM) devrait atteindre 23 milliards de dollars d’ici 2025. Une approche BYOI (Apportez votre propre identité) au niveau de l’entreprise devrait stimuler une grande partie de cette croissance.
Le concept de BYOI est devenu un élément incontournable de la vie quotidienne de la plupart des gens. La recherche suggère que l’internaute moyen aura 207 comptes en ligne d’ici 2020, ce qui obligera les utilisateurs à se souvenir de nombreux mots de passe et combinaisons de connexion différents. Des fonctionnalités telles que l’authentification unique permettent aux consommateurs de se connecter à des services et applications en ligne à l’aide d’une seule connexion depuis Facebook ou une autre plate-forme de médias sociaux. De cette façon, ils peuvent accéder aux services plus rapidement et ne sont pas obligés de se souvenir de dizaines, voire de centaines de mots de passe.
Le monde B2B met cependant plus de temps à embrasser BYOI. Malgré sa popularité auprès des consommateurs, de nombreuses entreprises se demandent si les avantages l’emportent sur les risques potentiels. En effet, il est peu probable que les organisations autorisent l’accès à leurs précieuses informations d’entreprise via l’authentification des médias sociaux. Il est donc important d’utiliser une solution qui offre non seulement la rapidité et la commodité, mais également une sécurité de niveau entreprise.
Accès pour tous
Ce n’est pas un hasard si l’acronyme BYOI ressemble à BYOD; après tout, la nécessité du premier est le résultat du succès du second. Depuis plus d’une décennie, les employés souhaitent accéder aux réseaux d’entreprise via leurs propres appareils personnels. Aujourd’hui, le BYOD a presque remplacé le modèle traditionnel d’utilisation d’appareils émis par l’entreprise. En fait, certaines entreprises ont maintenant adopté la tendance à un point tel qu’elles encouragent activement les employés à utiliser leurs propres appareils, tout en veillant à ce que les niveaux appropriés d’IAM et de sécurité des données soient en place.
Pourtant, les droits d’accès des employés ne sont pas la seule préoccupation d’une organisation. Un accès sécurisé doit également être accordé rapidement aux clients et partenaires. L’augmentation du nombre d’entrepreneurs utilisés par les entreprises signifie une grande variété de droits d’accès et d’autorisations différents pour assurer la productivité et la sécurité. Compte tenu de ces considérations, il est juste de dire que l’IAM peut maintenant être considérée comme un facilitateur d’affaires.
Liste de souhaits du RSSI
Les entreprises n’en font peut-être pas encore assez. Une vaste enquête mondiale publiée par l’Institut Ponemon en 2018 a révélé que plus des deux cinquièmes des organisations s’inquiètent du risque posé par leur incapacité à sécuriser les droits d’accès aux données, aux systèmes et aux espaces physiques. La même étude mettant en évidence les préoccupations des répondants concernant les cyber-risques posés par l’utilisation des identités numériques par les organisations (47%) et l’utilisation des appareils personnels par les employés via des systèmes BYOD (35%), il n’est peut-être pas surprenant que l’IAM soit rapidement reconnue comme une priorité importante pour une infrastructure de sécurité plus efficace.
L’introduction d’une stratégie BYOI optimisée par enterprise IAM peut aider à répondre à ces besoins, mais il faut faire attention à la planification, à la conception et à la mise en œuvre pour s’assurer qu’elle est simple et rapide à utiliser pour les employés. Les répondants à l’enquête Ponemon ont admis que le manque de technologies adaptées (53%) et l’augmentation de la complexité (31%) étaient des facteurs clés pouvant entraîner un déclin de la posture de cybersécurité de leur organisation au cours des trois prochaines années.
L’approche identity broker
Fondamentale à BYOI est la création d’une identité entièrement indépendante de l’une des applications ou des réseaux pour lesquels elle sera utilisée. Au lieu d’avoir à configurer une identité sur chaque application, une identité peut être établie une fois, puis appliquée à chaque ressource nécessitant un accès. Il est donc logique qu’au fur et à mesure que BYOI gagne du terrain dans l’espace B2C, les entreprises de médias sociaux deviennent de plus en plus efficacement des courtiers d’identité, utilisant des services basés sur le cloud dans lesquels un seul compte utilisateur est lié à des identités provenant de différentes sources.
Ce compte utilisateur unique peut également être utilisé comme une forme de BYOI liée aux applications et aux réseaux d’une organisation, brouillant ainsi la frontière entre entreprise et personnel, et créant une identité universelle. Une telle approche est actuellement adoptée par l’Alliance FIDO, une organisation à but non lucratif dirigée par des géants de la technologie tels que Google, Microsoft et PayPal, dont l’objectif déclaré est de changer la nature de l’authentification en ligne. Malgré l’approbation de ces poids lourds, cependant, l’approche du courtier d’identité n’est pas nécessairement la bonne approche pour de nombreuses entreprises.
Compte tenu de l’importance énorme accordée à IAM dans le cadre d’une stratégie moderne de sécurité de l’information, il est discutable de savoir si une organisation voudrait l’externaliser à un tiers, en particulier une entreprise de médias sociaux. Après tout, cela créerait non seulement un point d’échec unique, mais un courtier en identité sociale deviendrait inévitablement une cible de choix pour les pirates cherchant un moyen d’entrer dans le réseau d’entreprise – comme on le voit trop clairement à travers le succès des pirates en volant des jetons d’accès Facebook pour ensuite prendre le contrôle des comptes des utilisateurs.
De plus, la création de comptes d’utilisateurs individuels nécessiterait que chaque utilisateur travaille avec le courtier pour s’assurer que ses informations pertinentes sont stockées de manière centralisée et constamment mises à jour. Bien que cela puisse avoir ses avantages à long terme, le fait que chaque utilisateur devra s’inscrire auprès d’un courtier avant de pouvoir accéder aux ressources de son entreprise semble quelque peu contre-intuitif.
Avantages BYOI pour toutes les parties
Comme mentionné ci-dessus, la gestion des identités concerne plus que les employés d’une organisation; il est nécessaire pour tous ceux qui ont besoin d’accéder à l’information avec cette organisation. Heureusement, les plates–formes IAM avancées qui fonctionnent sur un modèle « outside in » sont capables de fournir des solutions de gestion des identités qui s’adressent à tout le monde et à tout ce qui doit être correctement identifié, géré et accordé des règles d’accès appropriées – offrant bien plus qu’une simple authentification unique pour les utilisateurs internes.
BYOI est essentiellement une extension de ceci. Un fabricant connecté à un détaillant via un réseau d’intégration B2B, par exemple, peut sécuriser les affaires avec un autre détaillant. Si ce détaillant est également connecté au réseau B2B, le fabricant peut commencer à trader en utilisant ses paramètres de sécurité et d’authentification existants.
Avec une plate-forme IAM à l’échelle de l’entreprise, plutôt qu’un réseau social, agissant en tant que courtier d’identité, et en maintenant les mêmes niveaux de sécurité et de protection des données sur chaque connexion, il est possible d’offrir des avantages de rapidité et de commodité aux utilisateurs et à leurs organisations respectives. Ce faisant, et à une époque où la sécurité de l’information est de plus en plus importante, BYOI peut devenir un véritable facilitateur commercial.
John Notman, Directeur du Marketing produit, OpenText
Crédit image: Dom J/Pexels