8 tendances qui façonnent l’avenir de la gestion des identités et des accès

La gestion des identités et des accès (GIA) a toujours été une technologie essentielle pour l’entreprise. 

Pourtant, COVID-19 l’a en quelque sorte rendu encore plus essentielle alors que les entreprises cherchent à soutenir le travail distribué et l’adoption du cloud face à un paysage de menaces de plus en plus sophistiqué. 

Alors que le monde continue d’adopter la transformation numérique, le marché de la GIA continuera de croître, pour atteindre un montant mondial estimé à 34,52 milliards USD d’ici 2028.

Alors, qu’est-ce qui explique la croissance de la GIA ? Les tendances qui définissent cette hausse sont nombreuses et variées, allant des attentes des utilisateurs et des technologies émergentes aux facteurs sociopolitiques. Dans cet article, nous allons aborder quelques-unes des plus grandes tendances qui, selon nous, font progresser la GIA.

Une identification numérique pour une vie numérique

Pendant la pandémie, les paiements sans contact et la monnaie virtuelle sont devenus la norme pour le commerce de détail. Les gens vivent de plus en plus leur vie en ligne, se connectant les uns aux autres via des plateformes comme Zoom. Même lorsque la pandémie sera terminée, cette numérisation subsistera. 

Et comme de plus en plus de personnes l’adoptent, nous devrons changer notre façon d’aborder et de comprendre l’identité. 

Nous l’observons déjà dans une certaine mesure dans le secteur bancaire. La Banque du Canada, par exemple, étudie le développement d’un nouveau type de monnaie. Connue sous le nom de Monnaie numérique de la banque centrale, elle serait émise soit en réponse à l’adoption généralisée de la monnaie numérique privée ou soit à l’incapacité des Canadiens à accéder à l’argent liquide et à l’utiliser. 

Cette monnaie pourrait même être programmable. Les fonds se trouvant dans le portefeuille d’un titulaire de compte pourraient être liés directement à lui, ce qui rendrait le vol ou la fraude considérablement plus difficile. L’argent donné par certains programmes pourrait être codé pour n’être dépensé que dans des catégories approuvées comme la nourriture ou le logement. 

L’identité demeure le problème sous-jacent ici. Pour réaliser un projet de cette envergure, il faudrait une sorte de carte d’identité numérique nationale, approuvée par le gouvernement. Les ramifications de ce projet vont bien au-delà du secteur bancaire. 

D’une part, l’identification numérique est immensément bénéfique pour les entreprises, qui ont facilement accès aux données de crédit, aux transactions virtuelles et aux informations démographiques. L’identité numérique facilitera également l’intégration de nouveaux fournisseurs, employés et partenaires, tout en permettant une meilleure personnalisation pour les clients. Le défi réside dans la gestion de toutes ces informations. 

Les entreprises auront besoin d’un moyen de gérer et d’organiser ces identités numériques en toute sécurité, ce qui nécessitera une fédération, une autorisation et un provisionnement plus efficaces et plus robustes.

Preuve de connaissance zéro

Au fil des ans, de nombreux réseaux sociaux et services en ligne ont tenté d’exiger des informations du monde réel, avec plus ou moins de succès. La principale préoccupation soulevée à chaque fois est la portée des données demandées. Nous sommes encouragés – et peut-être même tenus – à trop partager, en montrant potentiellement des détails de notre vie personnelle au monde entier. 

Cette situation facilite non seulement la collusion entre les joueurs malveillants et la vente en ligne de données permettant d’identifier les personnes, mais ouvre également la voie à une véritable boîte de Pandore. L’internet déborde d’exemples de ce qui se passe lorsque des éléments peu recommandables obtiennent des détails comme l’adresse d’une personne. Nous avons vu des cas de harcèlement, de blagues mettant la vie en danger, de campagnes de harcèlement dévastatrices et carrément de meurtres. 

Le concept de preuve de connaissance zéro (ZKP – Zero Proof Knowledge) représente une solution à ce problème. L’idée de base est que lorsqu’on vous demande une vérification, vous fournissez le strict minimum de données requises. Disons, par exemple, que vous allez dans un bar pour prendre un verre. 

Traditionnellement, vous devez présenter votre carte d’identité, qui comprend tout, de votre adresse à votre date de naissance. Dans le cadre de ZPK, un tiers partie fiable  indiquerait simplement au bar que vous avez plus de dix-huit ans. Le personnel du bar n’aurait même pas besoin de connaître votre nom. 

Les ZPK pourraient également s’étendre à l’authentification pour tout, de la banque en ligne à l’accès au réseau, rationalisant ainsi grandement la GIA.

Identité décentralisée

La blockchain représente sans doute le meilleur moyen de garantir le ZPK grâce à un concept connu sous le nom d’identité décentralisée. L’idée de base est que chacun dispose de son propre « portefeuille d’identité », qui peut être utilisé pour l’authentification sans révéler ce que l’utilisateur ne veut pas savoir sur lui-même. À un niveau macro, l’identité décentralisée élimine également le besoin d’identités distinctes entre les applications et les services. 

Un utilisateur pourrait utiliser de manière continue son portefeuille d’identité pour chaque entreprise avec laquelle il interagit. Du côté de l’entreprise, le fait de permettre aux utilisateurs de gérer leurs propres données et personas facilite la conformité et l’authentification. Cela dit, l’analyste Gartner note à juste titre que les capacités de GIA devront évoluer pour s’aligner sur une architecture maillée de cybersécurité.

 

L’identité convient parfaitement à la technologie blockchain, quelle que soit la façon dont on la considère. Cependant, pour la rendre possible, nous devons d’abord renverser les notions et les concepts existants. Cela signifie s’éloigner de la façon dont nous percevons actuellement l’identité – un changement qui prendra probablement beaucoup de temps.

L’intersection de l’identité et la confiance zéro

La GIA et la confiance zéro vont de pair. L’authentification basée sur l’identité n’est pas seulement plus efficace que l’authentification purement basée sur l’appareil, elle est également plus efficace pour vérifier qu’un utilisateur est bien celui qu’il prétend être. L’association d’un utilisateur aux appareils qu’il utilise habituellement, aux lieux à partir desquels il se connecte habituellement et aux comportements qu’il manifeste habituellement, l’authentification continue est beaucoup plus facile à réaliser. 

De nombreuses plateformes de GIA ont déjà évoluées pour inclure des capacités de gestion des appareils et des informations – la capacité de relier chaque utilisateur à un réseau sémantique de données concernant son identité et son mode de travail. Cette évolution se poursuivra à mesure que de plus en plus d’entreprises adopteront la confiance zéro. 

L’authentification sans mot de passe continue à progresser

Le fait que l’authentification par mot de passe est dépassée et peu sécure est largement connu. Les experts en sécurité réclament la fin des mots de passe depuis des années. Des solutions telles que l’authentification multifactorielle existent actuellement en grande partie pour pallier les faiblesses inhérentes aux noms d’utilisateur et aux mots de passe. 

L’authentification sans mot de passe, nous dit-on, est l’avenir de la cybersécurité, un avenir largement guidé par la GIA. Malheureusement, les alternatives accessibles se font rares. Des méthodes telles que l’authentification biométrique ou géolocalisée, bien qu’utiles, se sont révélées insuffisantes à elles seules.

C’est en explorant des tendances telles que l’identité décentralisée que nous trouvons une solution possible. Un utilisateur qui s’authentifie par le biais d’un actif immuable et incontestable, comme un portefeuille d’identité numérique, n’a guère besoin d’un nom d’utilisateur et d’un mot de passe. L’authentification multifactorielle fournit une couche supplémentaire de vérification, et l’ensemble du système est considérablement plus sécure qu’il ne le serait avec des mots de passe.

Une expérience utilisateur médiocre n’est plus acceptable 

L’expérience utilisateur est la pierre angulaire d’une cybersécurité efficace, et ce depuis un certain temps déjà. Cela s’applique également aux solutions de GIA. Les interactions numériques et la gestion des identités occupant une place de plus en plus importante dans notre vie professionnelle, les entreprises qui offrent une expérience utilisateur médiocre se retrouveront progressivement à se distancer.

Gartner prévoit que d’ici 2024, les organisations qui offrent une excellente expérience générale dépasseront leurs concurrents de 25 % en termes de satisfaction des clients et des employés. Cela se traduit par une meilleure productivité, une augmentation des revenus et une réduction du roulement du personnel. Pour la GIA spécifiquement, Gartner recommande ce qui suit : 

  • Alignez vos priorités de GIA sur les objectifs d’affaires et informatiques. 
  • Créez une identité distinctive pour les utilisateurs à distance privilégiés qui s’authentifie chaque fois qu’ils effectuent une tâche administrative ou des opérations privilégiées. 
  • Utilisez un compte partagé contrôlé par un outil de gestion des accès privilégiés (GAP).

Le besoin d’un contrôle d’accès plus intelligent 

Les humains ne sont plus les seuls utilisateurs nécessitant une authentification dans un environnement d’entreprise. À mesure que l’automatisation des processus robotiques et l’intelligence artificielle continuent d’évoluer, les robots logiciels font autant partie du paysage de l’identité que les employés en chair et en os. Si l’on ajoute à cela l’importance continue du travail distribué, les fournisseurs de solutions de GIA ont du pain sur la planche.

Leurs solutions devront devenir plus intelligentes, en ajoutant des fonctionnalités telles que l’apprentissage automatique et la prise en charge de multiples options d’authentification et d’appareils. Elles devront introduire de nouvelles catégorisations dans leurs cadres d’identité – non seulement les utilisateurs, les systèmes et les processus de travail, mais aussi les machines. 

Enfin, pour tenir compte des divers environnements d’exploitation dans lesquels elles sont susceptibles d’être déployées, les plates-formes de GIA doivent également adopter la prise en charge du contrôle d’accès aux API, des environnements de cloud hybride et des environnements multi-cloud.

Les actifs numériques et les identités numériques 

Un autre défi majeur de la gestion des identités numériques est le suivi et le maintien de leurs connexions à différents actifs. C’est assez simple à réaliser si vous vous contentez de considérer un utilisateur sur un réseau d’entreprise avec trois appareils différents. Mais si vous introduisez la portée et l’échelle qui seront nécessaires à l’avenir, les choses se compliquent. 

Il s’agit essentiellement d’un problème d’autorisation. 

Comment vérifier que le détenteur d’un portefeuille d’identité numérique est bien celui qu’il prétend être ? Comment vérifier en permanence la propriété d’un utilisateur sur différentes entités numériques ? Comment centraliser toutes cette fonctionnalité de manière à demeurer à la fois sécurisé et conforme ? 

Malheureusement, il n’y a pas vraiment de réponse facile à ces questions. Du moins pas encore – et ce n’est pas grave. La plupart des choses dont nous avons discuté aujourd’hui ne seront pas disponibles avant plusieurs années. 

Mais ne vous y trompez pas, elles sont à venir. Actuellement, des solutions telles que la plate-forme d’autorisation de plainID représentent une facette de la manière dont nous gérons les identités, les actifs et les autorisations. Associées aux solutions de GIA et à la sécurité des terminaux, elles constituent la majeure partie de notre approche. 

Elles évolueront dans les années à venir. Et maintenant que vous connaissez les tendances actuelles, vous avez également une idée de ce qu’il faut rechercher dans cette évolution.

Suivez l’évolution des tendances en matière de GIA

Ce n’est pas un secret que le monde de l’identité numérique et de la sécurité évolue rapidement. Obtenir plus de contrôle et de visibilité sur la façon dont les utilisateurs sont autorisés, authentifiés et autorisés à accéder est plus qu’une bonne chose à avoir aujoud’hui, c’est devenu une nécessité.

Et pourtant, le défi pour de nombreuses organisations est de savoir par où commencer. 

Cherchez-vous à adopter la GIA dans votre organisation ? Indigo Consulting peut vous aider. Découvrez votre chemin vers une GIA spécialement conçue qui est capable de suivre l’évolution des tendances de sécurité. Réservez un appel de découverte dès aujourd’hui pour démarrer.

Interested in learning more about Agile Development for IAM Solutions? Download our eBook today!