« Vous avez oublié votre mot de passe ? Cliquez ici pour le réinitialiser. » Pour les employés comme pour les clients, ces 2 phrases sont devenues extrêmement frustrantes. Pour les entreprises, cela représente également un coût important, et une perte de productivité, voire potentiellement une perte d'activité. Le coût moyen de la réinitialisation d'un mot de passe est d'environ 50 $ (selon différentes sources). Imaginez le coût que cela représenterait au sein d'une entreprise qui a des milliers d'employés, des millions de clients, et donc potentiellement des milliers d'échecs de connexion par semaine, et vous comprendrez que le monde numérique a vraiment besoin d'une solution.
L'expérience utilisateur (UX) est fondamentale dans le domaine de l'IDT (Identity and Digital Trust), car les processus d'authentification et d'accès posent régulièrement des problèmes aux utilisateurs finaux. Selon IDC, l'approche idéale des identités et des accès ne doit compromettre ni la sécurité ni l'expérience client, mais au contraire permettre de "gagner sur tous les tableaux". En d'autres termes, les entreprises doivent pouvoir fournir une sécurité de bout en bout efficace qui permette à la fois aux collaborateurs de se consacrer à leurs principales responsabilités et aux clients/consommateurs de se concentrer sur l'achat des produits et services dont ils ont besoin.
Relever le défi de l'identité
Le marché de l'IDT a évolué au fur et à mesure de l'adoption du Cloud, des devices mobiles, de l'accès mobile, et du tout électronique (banque en ligne, achats en ligne, etc.). De nouvelles approches et technologies ont émergées pour faciliter les processus d'identification et d'accès et/ou renforcer la sécurité des interactions digitales. Il s'agit notamment de l'authentification multifactorielle (MFA), de l'authentification unique (SSO), de l'authentification contextuelle et adaptative/dynamique, de l'analyse comportementale et de la biométrie. Bien que cette évolution soit positive, les équipes de sécurité peuvent avoir du mal à déterminer quelle est la meilleure approche, et quels sont les outils et composants IDT les plus adaptés à leurs processus et à leur infrastructure. Ils doivent également s'assurer que l'adoption par l'ensemble des utilisateurs de l'entreprise sera aussi fluide et facile que possible.
Pour offrir cette expérience fluide, il faut garder à l'esprit les besoins des équipes informatiques et de sécurité qui gèrent ces technologies d'identité. D'un point de vue opérationnel, il est plus simple d'avoir une expérience utilisateur forte lorsque l'entreprise adopte une approche de sécurité unifiée. Pour ce faire, il est essentiel de déployer des solutions intégrées (par exemple, une plate-forme d'identité) qui apportent des bénéfices à la fois aux équipes IT et de sécurité (par exemple, en réduisant les tâches opérationnelles et de gestion) et à l'ensemble des collaborateurs (satisfaction des utilisateurs, productivité). Du côté des équipes informatiques et de sécurité, il s'agit d'une avancée majeure vers l'excellence opérationnelle en matière de sécurité. Et du point de vue de l'utilisateur, cela signifie une expérience fluide et transparente dans ses activités quotidiennes.
L'identité est un enjeu crucial pour l'entreprise
Le business est le principal bénéficiaire de ces améliorations. C'est très important : comme nous le savons tous, sans le soutien des métiers, l'adoption de nouvelles plateformes peut s'avérer difficile, même lorsque les équipes informatiques ou de sécurité connaissent les avantages de ces plateformes. Il est important de communiquer ces bénéfices au conseil d'administration et aux utilisateurs. À une période où les fuites de données sont fréquentes et la confiance des consommateurs décroit, une approche progressive de l'identité et de la sécurité prouve que l'entreprise prend soin des données personnelles (des employés, des clients et des autres parties prenantes). Cette approche contribue à établir la confiance qui est désormais essentielle pour la réussite de toute entreprise.
EPM, SSO et MFA
Revenons aux utilisateurs frustrés par la réinitialisation de leur mot de passe. Comment votre entreprise peut-elle résoudre ce problème ? Les gestionnaires de mots de passe (Enterprise password managers, ou EPM) deviennent un élément indispensable de la boîte à outils de l'employé. L'utilisateur final type possède aujourd'hui 90 à 200 identifiants et mots de passe pour différents sites (voire souvent plus !). Les mots de passe faibles et leur réutilisation sont des problèmes importants et fréquents qui peuvent entraîner l'usurpation des comptes et la violation des systèmes. Un bon EPM ne se contente pas de verrouiller tous vos mots de passe dans un seul emplacement convivial et inviolable. Il vérifie également les informations d'identification du site ou de l'application auquel vous essayez de vous connecter. Et si elles ne sont pas authentiques, par exemple si vous avez été dirigé vers une imitation malveillante de votre service bancaire en ligne, l'EPM ne saisit pas vos informations d'identification. Une protection supplémentaire sans action de la part de l'utilisateur. Que demander de plus ?
Autre priorité : le SSO. L'époque où les employés devaient se connecter à plusieurs applications on premise est révolue. Désormais, la norme est constituée d'applications Cloud et on premise. Ces applications prennent en charge la productivité, la flexibilité, la créativité, l'efficacité et tout ce qui est nécessaire à la réussite des activités digitales. Même la livraison en ligne des sandwichs pour les réunions au moment du déjeuner devrait être couverte par le SSO ! Plusieurs connexions disparates à la boîte à outils d'applications sont contre-productives. En matière d'amélioration de l'expérience utilisateur et de la sécurité, le déploiement d'une bonne solution SSO est l'une des décisions les plus pertinentes que votre entreprise peut prendre.
Enfin, parlons de l'authentification multifactorielle. Il s'agit d'un autre composant essentiel de la plateforme d'identité de l'entreprise, qui permet une « sécurité renforcée ». Les pirates informatiques ayant adopté diverses méthodes d'authentification successives, les entreprises, des banques aux agents de réservation, ont dû renforcer les méthodes d'authentification pour autoriser un accès ou approuver des transactions. Cela a entraîné une dynamique d'innovation chez tous les fournisseurs. Le résultat est une offre MFA adaptée à toutes les tailles et exigences des entreprises, on premise ou dans le Cloud, et avec un nombre illimité de méthodes d'authentification disponibles, afin de permettre au client de choisir celle qui lui qui convient le mieux. Quel que soit le niveau de risque souhaité par l'entreprise, il existera toujours une solution.
L'identité comme service
Les solutions existent, et il est clair qu'une plateforme d'identité intégrée représente l'approche la plus efficace et la plus facile à gérer. Mais quel est le meilleur modèle de déploiement ? Traditionnellement, les entreprises mettaient en œuvre une ou plusieurs solutions on premise, puis se chargeaient de la gestion, de la maintenance et de la mise à jour. Aujourd'hui, les solutions IDaaS (Identity as a Service) basées sur le Cloud permettent de relever de nombreux défis liés à la gestion de la plateforme d'identité et peuvent même améliorer le niveau global de protection de votre entreprise. Ces solutions nécessitent moins de ressources internes (en termes d'effectifs et de compétences requises), libérant ainsi l'équipe de sécurité pour d'autres tâches. Ensuite, cette approche s'appuie sur l'expérience et l'expertise d'un fournisseur d'identité dédié. Enfin, elle peut permettre de réaliser des économies considérables, ce qui représente un avantage supplémentaire pour l'entreprise. Le marché apprécie ces bénéfices : en effet, d'après les données d'IDC, l'adoption de solutions d'identité basées sur le Cloud a augmenté plus de trois fois plus que celle des solutions on premise en Europe en 2018.
Et finalement : l'utilisateur
Avez-vous un programme de gestion des identités ? Pas encore. Les utilisateurs, qu'il s'agisse d'employés ou de clients, sont souvent accusés d'avoir exposé par inadvertance des systèmes et des données à des risques. Cela peut sembler injuste : en effet, l'objectif principal d'un directeur des ventes est de stimuler l'activité et de générer des revenus à l'aide des outils disponibles. « Expert en sécurité » ne fait pas partie de la description de son poste. Néanmoins, il existe de nombreuses pratiques élémentaires, des habitudes simples et demandant peu d'efforts, qui peuvent apporter des avantages considérables lorsqu'elles sont adoptées par l'ensemble de l'entreprise dans le cadre d'une vaste politique de sécurité. De petites améliorations telles que le verrouillage de votre appareil lorsque vous vous en éloignez, l'importance de ne pas réutiliser le même mot de passe sur plusieurs sites différents ou de ne pas partager des données d'identification au sein d'une équipe en sont l'exemple. Les mesures les plus importantes consistent à toujours vérifier auprès de l'équipe informatique ou de sécurité s'il est possible d'installer une application en toute sécurité (le phénomène de « Shadow IT » reste un problème majeur pour toutes les entreprises) ou de ne pas stocker les données sensibles des clients sur votre disque dur. La formation et la sensibilisation à la sécurité, idéalement dispensées régulièrement et en phases successives, constituent une part importante du programme de sécurité et ne doivent pas être négligées. Tous ces facteurs contribueront, via une expérience utilisateur transparente, à intégrer les bonnes pratiques sécuritaires dans la culture et le business de l'entreprise.
Une approche intégrée de l'identité
Pour conclure, EPM, SSO et MFA sont trois acronymes qui aideront vos utilisateurs à éviter les deux petites phrases frustrantes que nous mentionnions en début d'article. Pour vous assurer également la satisfaction des équipes informatiques et de sécurité, faites appel à des solutions intégrées ou à des fournisseurs bénéficiant de partenariats établis. Une solution IDaaS est le meilleur moyen de fournir une plateforme d'identité à votre entreprise. Elle facilitera les processus de déploiement, de configuration et de gestion, et permettra à l'équipe IT d'offrir la protection la plus efficace possible à votre entreprise, avec le moins de problèmes pour vos employés et vos clients.
Auteur
Mark Child
Responsable de la recherche, Sécurité IDC
