Ce Que Vous Devez Savoir sur les Différences entre Gestion des Identités Centralisée et Décentralisée

La pandémie a changé la manière dont les entreprises et les particuliers perçoivent la possession et la sécurité des identités, car de plus en plus d’individus travaillent de chez eux sur des terminaux personnels, font toutes leurs courses en ligne et communiquent avec leur famille et leurs amis via des canaux digitaux. Le contrôle et la protection de l’identité et des données en ligne d’un utilisateur sont au cœur à la fois de la gestion des identités centralisée et décentralisée. L’objectif final est le même, mais les approches sont différentes.

Selon l’étude 2021 Identity Fraud Study réalisée par Javelin Strategy & Research, les pertes liées aux fraudes sur l’identité ont atteint, en 2020, 56 milliards de dollars. Les entreprises ont besoin d’un système de gestion des identités sûr et sécurisé, qui empêche les acteurs malveillants d’usurper l’identité d’utilisateurs légitimes pour voler des données et paralyser des réseaux, comme dans le cas de la récente attaque par ransomware ciblant Colonial Pipeline. Dans le même temps, les fuites de données et les vols d’identité ont conduit les utilisateurs à chercher des moyens de contrôler eux mêmes leur propre identité en ligne plutôt que de laisser les entreprises le faire à leur place.

L’identité digitale est une question de sécurité nationale. Il n’existe pas de réponse « universelle » et c’est pourquoi des solutions doivent être trouvées à la fois pour gérer les identités de manière centralisée et décentralisée. Les deux approches peuvent fonctionner ensemble pour sécuriser les données d’identité.

La gestion centralisée des identités (également appelée gestion des identités et des accès ou IAM) est utilisée par les entreprises pour protéger les données mais aussi pour contrôler l’authentification et l’accès aux applications, aux API et autres ressources.
 

L'étude la plus récente d’IBM sur le coût d'une violation de données a révélé que le coût moyen d’une violation de données était de 3,92 millions de dollars, 36 % de ce total, soit 1,42 million de dollars, étant le résultat direct d'une perte de revenus. De plus, le vecteur d’attaque initial le plus courant, à savoir des identifiants compromis, était la cause de 20 % des failles, le coût moyen d’une faille s’élevant à 4,37 millions de dollars.
 

Pour aider à prévenir les failles de données, les entreprises ont dû trouver un moyen pour vérifier les utilisateurs légitimes et leur donner accès aux ressources dont ils avaient besoin sans les frustrer au point de renoncer. Les solutions d’IAM garantissent la vérification des utilisateurs, typiquement par le biais d’une authentification simple ou à double facteur (MFA), pour prouver qu’ils sont bien ceux qu’ils prétendent être. Selon Microsoft, la MFA peut « empêcher 99,9 % des attaques ciblant vos comptes ».
 

Lorsque d’une solution de single sign-on (SSO) est également en place, les utilisateurs peuvent accéder aux outils dont ils ont besoin sans devoir se connecter à plusieurs comptes car une relation de confiance est établie entre l’utilisateur, l’entreprise et les sites partenaires. Cela réduit les frustrations, les frictions et le poids des mots de passe, tout en renforçant la sécurité des données.

L’identité décentralisée (également appelée self-sovereign identity et identité distribuée) procure davantage de pouvoir aux utilisateurs. Le modèle d’identité décentralisée permet aux individus de stocker des données liées à l’identité dans un portefeuille numérique sur leur propre appareil mobile. Ils peuvent mettre ces informations à jour et partager uniquement les données qu’ils souhaitent avec les entreprises ou d’autres individus pour ouvrir un compte bancaire, acheter une voiture, commencer un nouvel emploi et autres.

Les utilisateurs reçoivent de la part de plusieurs parties émettrices (employeurs, gouvernement, etc.) des identifiants prouvant leur identité et les stockent dans leur portefeuille numérique, un peu comme nous le faisons dans notre portefeuille avec notre permis de conduire, nos cartes de crédit ou attestations d’assurance. L’utilisateur peut, au sein de son portefeuille, créer une paire de clés privées et publiques et choisir d’utiliser seulement le minimum d’informations requis pour réaliser une transaction. Une fois qu’une personne a prouvé son identité à l’entreprise qui le lui demandait, l’entreprise peut s’assurer que les preuves sont valides grâce à un registre basé sur une blockchain.

Fonctionnement

1. Les parties émettrices sont des sources officielles de données, telles que les bureaux de crédit ou des pharmacies, qui fournissent des données vérifiées sur les personnes. Les utilisateurs peuvent cliquer sur un lien d'une partie émettrice ou scanner un code QR pour ajouter des données vérifiées, sous la forme d’une carte, à leur portefeuille numérique.
    

2. Les utilisateurs sont des individus (de potentiels employés, clients, etc.) qui stockent des données d’identité (permis de conduire, carnet de vaccination, procès-verbaux, etc.) dans un portefeuille numérique qui utilise la technologie des blockchain pour s’assurer que les informations ne soient jamais modifiées ni supprimées. Les informations personnelles sont stockées uniquement dans le portefeuille numérique, elles ne sont donc jamais hors du contrôle de l’utilisateur.
    

3. Les vérificateurs sont des entreprises ou des personnes qui ont besoin de confirmer quelque chose sur quelqu’un. En scannant simplement un code QR, les utilisateurs peuvent partager des données vérifiées et à jour sur eux-mêmes avec les vérificateurs.

Selon Gartner, en 2018, « l’émergence des blockchains en qualité de technologie utilisée pour appliquer un registre partagé décentralisé et inviolable permet d’expérimenter la meilleure manière de mettre en place un domaine de confiance commun ». Appelée « identity trust fabric » (ITF), elle réduit le rôle des fournisseurs d’identité centralisée dans la gestion de la confiance.

Alors que la sécurité de l’identité évolue, l’équilibre entre la gestion centralisée et décentralisée des identités peut se déplacer. Étant donné que Ping propose des solutions pour ces deux approches afin de protéger les données personnelles, nous comprenons leurs ressemblances et leurs différences.

La gestion centralisée des identités

Les solutions de gestion de l’identité et des accès (IAM) existent depuis des années et s’appuient sur des relations de confiance établies entre et parmi les utilisateurs, les fournisseurs d’identité (IdP) et les fournisseurs de services (SP). Les solutions d’IAM sont conçues pour les clients, les collaborateurs et les partenaires, ce qui en fait une option flexible pour les entreprises. 

L’IAM s’appuie sur des répertoires pour stocker les profils des utilisateurs, en réunissant des données depuis plusieurs sources. Les solutions de gestion de l’identité et des accès clients (CIAM) ressemblent aux solutions d’IAM mais peuvent apporter des options supplémentaires telles que l’inscription, la gestion du compte en libre-service, la gestion du consentement et des préférences ainsi que la gouvernance de l’accès aux données. Les profils des utilisateurs qui sont créés permettent aux entreprises et à leurs partenaires de fournir un service personnalisé à leurs clients.

Étant donné que les entreprises stockent et partagent, potentiellement, des données sensibles avec des tiers, des risques existent. Les régulateurs ont pris des mesures pour renforcer la protection des données des consommateurs et des sanctions sont appliquées si elles ne sont pas respectées. Le Règlement Général sur la protection des données (RGPD) et le California Consumer Privacy Act (CCPA) n’en sont que deux exemples. 

Avantages

• Améliorer l’expérience et la sécurité de l’utilisateur grâce à l’authentification multi-facteurs (MFA)

• Accroître la productivité avec le single sign-on (SSO)

• Des relations de confiance existent déjà

• Des coûts informatiques plus faibles, en particulier pour les modèles d’abonnement IDaaS (identity as a service)

Inconvénients

• Les fuites de données mettent les données des utilisateurs en danger

• Il peut être coûteux de respecter les réglementations relatives au partage de données

• Une mauvaise planification peut entraîner des problèmes de réalisation et de mise en œuvre

• Des perturbations, des interruptions de service ou des attaques par ransomware peuvent faire cesser les opérations

La gestion décentralisée des identités

En 2019, une étude Pew Research study a constaté que « 79 % des adultes déclarent être inquiets ou très inquiets de la manière dont les entreprises utilisent les données qu’ils collectent à leur sujet, tandis que 64 % déclarent être tout aussi inquiets de la collecte de données par le gouvernement ». Il n’est pas étonnant que les gens souhaitent davantage contrôler leur identité en ligne et le partage de leurs données.

Les portefeuilles numériques sont une méthode intuitive pour stocker des informations personnelles et y accéder sur le smartphone d’un utilisateur, ce qui est très facile. Contrairement au single sign-on qui s’appuie sur un profil centralisé pour vérifier les utilisateurs pour plusieurs applications, les utilisateurs d’identité personnelle doivent se connecter séparément à chaque application.

Avantages

• Les utilisateurs contrôlent les données qu’ils souhaitent partager

• Les téléphones portables agissent en qualité d’appareils d’identité numérique

• La monétisation des données personnelles par les entreprises, réseaux sociaux inclus, est réduite

• La quantité de données des utilisateurs exposée sera plus faible si des hackers attaquaient l’entreprise.

Inconvénients

• Des protocoles sont encore en cours de développement et ce n’est pas universellement accepté

• Les utilisateurs pourraient avoir des difficultés à recevoir tous les identifiants qu’ils doivent stocker dans leurs portefeuilles

• Les utilisateurs pourraient avoir des difficultés à choisir une entreprise de bonne réputation pour gérer leur identité

• Une courbe d’apprentissage existe pour les utilisateurs et les entreprises

Cette année, Ping Identity a rejoint la Decentralized Identity Foundation pour faire progresser les standards ouverts pour l’identité personnelle. L’objectif de la DIF est d’aider les particuliers et les organisations à mieux contrôler leurs identités numériques, en leur permettant de réaliser en toute confiance des transactions en ligne et à interagir de manière sécurisée. Les membres de la DIF travaillent activement sur les protocoles et installations qui permettent de créer, de résoudre et de découvrir des identifiants et des noms décentralisés dans des systèmes décentralisés, y compris dans des registres distribués et des blockchains.

La gestion fédérée des identités est une solution de gestion centralisée des identités fournissant le single sign-on aux applications dans plusieurs domaines ou entités. Une entreprise peut donner à ses employés un accès en un clic aux applications tierces telles que Salesforce ou Zoom. Lorsqu’un employé se connecte le matin, il n’a pas besoin de plusieurs comptes et mots de passe pour mener à bien ses activités quotidiennes, ce qui accroît sa productivité. 

Le CIAM fournit une expérience semblable aux clients. Par exemple, une banque peut donner à ses clients un accès fluide aux services bancaires qui sont gérés de manière externe, comme commander des chèques, envoyer de l’argent via Zelle ou encore demander un prêt. Si le client met à jour son adresse sur une application, elle le sera sur toutes les applications.

Vous avez peut-être déjà fait l’expérience de l’identité décentralisée sans le savoir. Le projet Project COVID Freedom de Ping permet aux fournisseurs de vaccins, aux entreprises et aux individus de prouver en toute sécurité leur vaccination et des résultats de tests COVID à d’autres, tout en conservant le statut de vaccination des utilisateurs à jour sur le temps grâce à des messages chiffrés privés. Les individus reçoivent une preuve numérique de leurs vaccinations dans leur portefeuille mobile et sécurisé ShoCard, qu’ils peuvent partager en toute sécurité avec les employeurs, les restaurants et autres participants en utilisant un code QR.

Les portefeuilles mobiles peuvent avoir un impact considérable. On compte actuellement plus de 6 milliards d’utilisateurs de téléphones mobiles dans le monde. Les téléphones portables sont devenus les appareils d’identité numérique les plus puissants et pourraient être le seul moyen d’accéder à des services financiers ou autres pour des millions d’individus dans des pays du tiers monde. 

La solution de gestion décentralisée des identités, PingOne for Individuals, permet aux entreprises de délivrer des cartes d’identité numériques à leurs utilisateurs, qui sont liées à des données vérifiées et stockées dans le portefeuille numérique ShoCard. Cela permet aux utilisateurs de gérer leurs propres données, stockées en tout sécurité sur leurs appareils mobiles.

La solution de gestion centralisée des identités, PingOne Cloud Platform, aide les entreprises à fournir à leurs employés et à leurs clients une expérience en ligne fluide et sécurisée. Pour en savoir plus sur la manière dont la gestion de l’identité et des accès peut aider votre entreprise, veuillez lire notre Guide complet sur le CIAM.