Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
L’Année de la Gérance des Données d’Identité : Le Top 6 des Prévisions 2021 pour la Gestion des Identités

L’Année de la Gérance des Données d’Identité : Le Top 6 des Prévisions 2021 pour la Gestion des Identités
Back
8 février 2021
Andre Durand
CEO & Founder

Dans un monde devenu digital, nous sommes confrontés à des violations de la vie privée et à une crise de confiance. La collecte des données par les entreprises technologiques n’a jamais atteint une telle ampleur, et les consommateurs ont de moins en moins confiance en la capacité des fournisseurs de services à gérer correctement leurs données. En combinant cette situation avec les changements radicaux au niveau mondial qu’a entrainé la pandémie de 2020, notamment un basculement massif vers le télétravail et une explosion des ventes de l’e-commerce, il est clair que la gestion des identités et des accès a pris une importance sans précédent.

 

Comment le secteur de l’IAM va-t-il évoluer pour satisfaire les besoins croissants en matière de gestion des identités ? Pour en savoir plus sur cette question, voici, en compagnie d’autres spécialistes de l’identité chez Ping, nos prévisions sur ce qui nous semble être les tendances les plus remarquables de l’année à venir. Certains d’entre nous se concentrent sur des problèmes de confidentialité des données, d’autres sur la sécurité des identités, et d’autres encore sur l’expérience utilisateur, mais nous nous accordons tous sur le fait que de grands changements se profilent à l’horizon.

 

Prévision n° 1 : 2021, l’« Année de la Gérance des Données d’Identité »

Les consommateurs exigeront que les organisations non seulement protègent leurs données personnelles, mais qu’elles personnalisent aussi leur expérience tout en offrant des technologies en self-service qui leur donnent à chacun un contrôle sur le partage de leurs informations. Mon collègue Loren Russon, VP Product Management, remarque que ce mouvement est en cours depuis quelque temps déjà, et que de nombreuses organisations ont déjà généré un retour sur investissement de plusieurs millions de dollars résultant de projets d’amélioration de l’expérience client.

 

Dans le même temps, ces entreprises ont économisé des millions de dollars en prévenant des failles de données (sans parler des coûts incommensurables et des atteintes à leur image de marque découlant de ces failles). La gestion des identités et des accès va jouer un rôle clé pour aider les responsables d’entreprise à mener un changement positif dans leur capacité à protéger et utiliser en toute sécurité les données de leurs clients consommateurs, dans leurs nouvelles fonctions de ‘managers’ de données personnelles.

 

Prenons la santé comme exemple. Bayer Amin, CTO West, anticipe l’éclosion de soins de santé personnalisés, avec des régimes de prestations sociales personnalisés utilisant la science des données pour proposer des soins de santé personnalisés et réduire les coûts, tout en augmentant la transparence de ces coûts. Alors que les entreprises technologiques s’invitent dans la santé publique avec des initiatives telles que Amazon Halo, un intérêt croissant sera porté à la confidentialité puisque de plus en plus de services sont proposés numériquement, qu’une approche plus collaborative de la santé publique est adoptée, et qu’une procédure simplifiée de FDA prend effet.

 

De plus, des procédures et des services d’identité renforcés et axés sur l’utilisateur permettront de se démarquer sur le marché en 2021. Mark Perry, APJ CTO, signale que le mouvement vers l’identité distribuée, où l’utilisateur contrôle l’accès à ses données d’identité, est en train de passer d’un concept curieux à une réalité. Cette réalité se rapproche tandis que plusieurs gouvernements nationaux et fédéraux du monde entier s’orientent vers des services d’identité numériques, à commencer par des licences numériques.

 

 

Nous pouvons résumer cette attention portée à la juridiction de chaque utilisateur sur la manière dont ses informations sont partagées de la manière suivante :

 

2021 sera l’année pendant laquelle les consommateurs demanderont à contrôler davantage leurs données personnelles, et savoir comment elles sont utilisées et partagées. Le secteur de la sécurité de l’identité, en particulier, évoluera pour répondre à cette demande avec de nouvelles structures d’« identité personnelle » permettant aux consommateurs de contrôler leur identité et les attributs qu’ils souhaitent partager avec les fournisseurs de service.

 

En permettant aux individus de sélectionner les données spécifiques et les attributs d’identité qu’ils souhaitent partager avec des applis, et de valider leur identité sans révéler plus que ce qui est nécessaire, nous mettons un terme au statu quo consistant à donner des quantités excessives de données personnelles pour réaliser des taches basiques de notre quotidien.

 

Prévision n° 2 : L’accélération de l’identité Zero Trust est le nouveau périmètre

En 2020, Zero Trust est passé d’un mot faisant le buzz à une stratégie. En 2021, cette tendance va s’accélérer et les RSSI vont créer leurs propres stratégies Zero Trust au lieu d’adopter celles des fournisseurs. Ces stratégies constitueront la base de la sécurité de l’entreprise, car construire un modèle de sécurité qui facilite le flux de travail des utilisateurs en mettant en place une authentification adaptative, des services d’authentification et de vérification de l’identité, permettra aux organisations de réaliser des progrès fondamentaux au niveau de leur posture de sécurité.

 

Perry indique :

 

« L’idée selon laquelle l’identité de l’utilisateur est fondamentale pour la sécurité informatique, et non les gateways, les VPN ou autres services de sécurité du périmètre, est désormais majoritaire. Il est essentiel de gérer les preuves d’identité, l’authentification et les accès avec des procédures et des politiques d’identité fortes. Le maillon faible n’est pas votre service d’authentification dans lequel l’authentification multi-facteurs est activée. Il s’agit de la procédure pour réinitialiser les mots de passe oubliés, lorsque le MFA n’est pas forcément nécessaire, et qu’un appel au service d’assistante ou une « question (pas si) secrète » est utilisé pour identifier vos employés à cette fin. La technologie permettant d’appliquer une sécurité forte de l’identité est prête et peut être mise en place rapidement ».

 

Robb Reck, notre RSSI, prévoit que l’attention du secteur de l’identité portée au Zero Trust viendra en partie en raison de plusieurs failles de haut profil dues à des intégrations non sécurisées à des applis SaaS essentielles pour les entreprises. Alors que les attaquants s’orientent vers des attaques toujours plus sophistiquées pour vaincre le MFA, de meilleures techniques d’authentification seront essentielles pour lutter contre les menaces. Et les entreprises ne seront pas les seules concernées : Les efforts des gouvernements et du secteur diminueront sensiblement l’efficacité des attaques ransomware. Selon Reck, aux États-Unis, le gouvernement promulguera des lois pour réglementer les entreprises technologiques dans les domaines de la confidentialité, de la modération des contenus et du chiffrement.

 

Pour qu’une adoption presque insuffisante du Zero Trust se produise, des dépenses plus ciblées sont nécessaires pour sécuriser les accès aux PC et aux ordinateurs portables, aux smartphones et aux appareils mobiles, ainsi qu’aux milliards d’appareils d’IdO (Internet des objets) sous-protégés. Russon identifie deux domaines technologiques associés clés :

 

  • Flux sans code/à code faible : La demande de développement rapide d’applications mobiles et web, de chatbots et d’applis web réactives pour intégrer des services d’identité à des applications et des services, augmente rapidement. Nous prévoyons que les concepteurs de flux de travail qui permettent aux administrateurs d’élaborer des modèles de données, des flux et des politiques pour les services de gestion de l’identité et des accès, seront le mécanisme courant pour mettre au point des intégrations et des politiques.
  • L’identité de pointe : Les cyberattaques suivront les charges de travail tandis que de plus en plus d’applications et de données se déplacent vers les plateformes cloud telles que Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) et d’autres encore. Alors que l’identité est devenue un véritable pilier dans la structure Zero Trust d’une organisation, il est fondamental de s’assurer que les services d’identité soient sécurisés et facilement déployés près des charges de travail. La sécurité ne peut plus compter sur des accès filtrés à la limite. Elle a besoin de services et d’applications.

 

 

Prévision n° 3 : La mort du numéro de sécurité sociale comme authentifiant

Le numéro de sécurité sociale comme moyen d’authentification connaîtra ses derniers jours en 2021, et il est temps. Dans le contexte de la sécurité et de la confidentialité des données, avoir un identifiant unique au monde n’a jamais été un problème, mais le fait de croire qu’il s’agissait d’un secret connu uniquement par chaque individu en était un. Nous sommes davantage en sécurité si nous considérons que tous les faits (et même les opinions) sont connus et que nous ne les traitons pas comme des secrets. Pour cette raison, traiter le numéro de sécurité sociale comme une information confidentielle pourrait permettre de s’assurer qu’une authentification sécurisée est trop risquée pour être tolérée.

 

Et si l’on a besoin qu’on nous rappelle à quel point les conséquences peuvent être graves lorsque qu’on utilise ce numéro comme un authentifiant de confiance, il suffit de regarder la quantité de demandes d’allocations chômage frauduleuses qui affectent actuellement les États-Unis. Depuis la pandémie, les fraudes aux allocations chômage sont très diffusées et submergent les systèmes de l’Etat à hauteur d’environ 1 milliard de $. En plus de voir les coffres de notre nation être financièrement dévastés, dernière chacune de ces demandes se trouve une personne qui est affectée.

 

Prévision n° 4 : Sécuriser le télétravail

L’agilité commerciale, c’est tout. 2020 nous a montré que réagir en quelques jours, face à une véritable urgence durable, pour faire passer les employés en télétravail, est vital pour réussir sur la durée. Les entreprises ont signalé des problèmes importants de productivité lorsque des milliers d’employés qui venaient habituellement travailler au bureau se sont tous connectés depuis chez eux sur le VPN de l’entreprise, sans que l’infrastructure tienne. De plus, les fraudeurs et les cyberdélinquants ont utilisé la pandémie comme un élément déclencheur pour réaliser de nouvelles attaques par phishing ou hacking. La capacité à réagir en quelques jours, et non en l’espace de quelques semaines ou de mois, pour résoudre ces problèmes est quelque chose que nous utiliserons probablement comme modèle pour gérer à l’avenir des événements urgents.

 

Emma Maslen, VP & GM de EMEA & APAC, estime que si le nombre d’employés devant être intégrés pour assurer un niveau plus important d’assistance est la plus grande leçon à tirer de 2020, il s’accompagne d’autres difficultés telles que les employés se connectant aux ressources numériques depuis plusieurs endroits différents pendant la journée, les employés qui devraient bénéficier de la même expérience que celle qu’ils ont au bureau, et des collaborateurs qui continueront de travailler sur site avec un accès unique et sécurisé aux applications et aux données dont ils ont besoin. Elle souligne que l’identité peut aider les difficultés liées au télétravail de deux manières clés :

 

  • Là où nous travaillons. La pandémie a créé une dépendance plus importante au télétravail. Si certains employés sont susceptibles de retourner au bureau à l’avenir, d’autres employés apprécient le fait de passer moins de temps dans les transports, de partager plus de repas en famille et d’avoir plus de flexibilité pendant la journée de travail (ce à quoi ils risquent de ne pas vouloir renoncer à l’avenir). Le fait de garantir à vos employés qu’ils peuvent travailler depuis chez eux, de manière productive, sera un grand thème de cette année.

  • La guerre aux talents. La guerre pour les employés convoités continue. Tandis que le monde entier est perturbé, les employés cherchent des visions, des missions qui résonnent ainsi que des environnements de travail qui permettent aux employés de faire au mieux. Un accès sans friction à la technologie permet de réduire les frustrations et d’aider les organisations à attirer et conserver les meilleurs talents.

 

Chez Ping, nous prévoyons que la manière dont nous avons travaillé en 2020 sera la « nouvelle normalité » pour la prochaine décennie. Si certains d’entre nous s’attendent à un contrecoup concernant le télétravail puisque la créativité et l’innovation sont en déclin, d’autres prévoient que ceux qui sont en télétravail continueront à stimuler l’innovation en matière d’outils et de services de collaboration en ligne, en apportant ainsi une « consumérisation des services d’identité » sur le marché. Ces services s’appuieront sur les fonctionnalités fournies aux entreprises pour le marché de la gestion de l’identité et des accès des clients (CIAM).

 

Prévision n° 5 : Le Boom de l’expérience client numérique sans frictions

Non seulement nous travaillons davantage depuis la maison, mais nous achetons aussi davantage depuis la maison. C’est pour cette raison que, selon Maslen, l’identité sera une préoccupation majeure des consommateurs à l’avenir :

 

« Les utilisateurs/consommateurs sont bombardés de demandes de noms d’utilisateurs et de mots de passe, de problèmes d’identité et d’expériences remplies de frictions, qui entraînent de nombreux abandons pour nos détaillants qui sont assaillis. Pour que les entreprises garantissent une part maximum du portefeuille, elles doivent remplacer leurs anciennes expériences et changer leurs environnements. L’expérience sans friction pour les consommateurs suscitera de la fidélité de la part de vos clients et une grande part du portefeuille. Il est à prévoir que ceux qui se concentrent sur ces défis soient les gagnants de 2021, sûrement dans les secteurs de la vente au détail, de l’assurance, de la banque et autres ».

 

L’absence de mots de passe nous aidera à y arriver. Pour maximiser la sécurité tout en minimisant les frictions pour les utilisateurs, l’authentification multi-facteurs permet aux utilisateurs de s’authentifier avec quelque chose d’autre que le mot de passe, comme des notifications en push nécessitant une empreinte digitale sur un appareil en particulier, des solutions de MDM intégrées ou des jetons de sécurité. Reck s’attend à ce qu’un nombre croissant d’entreprises oriente leurs consommateurs vers une expérience sans mot de passe, et que cette tendance pousse les autres à investir dans des expériences client plus souples juste pour tenir le rythme.

 

2021 identity industry predictions graphic

 

D’après Russon, 2021 connaîtra une accélération des services de vérification et de validation de l’identité intégrant les informations biométriques et biographiques. Les documents d’identité et la connaissance de données ou d’événements personnels seront utilisés pour garantir l’unicité et la validité de l’identité d’un individu avant qu’il puisse accéder à un service ou recevoir une autorisation, et cela devra être réalisé de manière à ne pas affecter l’expérience utilisateur.

 

Prévision n° 6 : Une présence accrue de l’intelligence artificielle/de l’apprentissage automatisé

Est-ce que le monde de « Neuromancien » de William Gibson, dans lequel des intelligences artificielles sont pleinement conscientes et luttent pour contrôler le cyber-espace, est déjà là ? Non, mais Perry pense qu’il est fort probable que l’intelligence artificielle devienne cette année le nouveau mécanisme d’attaque utilisé par les cyberdélinquants et qu’elle réussira à frauder des services majeurs :

 

« Les attaques ciblées pourraient devenir plus sophistiquées et moins évidentes grâce à l’intelligence artificielle, rendant impuissantes les défenses statiques telles que les passerelles de sécurité. Ce sera intelligence artificielle contre intelligence artificielle puisque les organisations s’orientent vers leurs propres cyber défenses non supervisées et en apprentissage permanent, pour défendre leurs systèmes et leurs services ».

 

De ce fait, Perry prévoit que la détection et la limitation des menaces à l’aide de l’intelligence artificielle pour les canaux en ligne pour les collaborateurs et les consommateurs seront une dépense de cybersécurité prioritaire au cours des 12 prochains mois. Mais si Russon considère que les analyses comportementales et les signaux de risques devraient être intégrés dans tous les flux de gestion des accès et des cycles de vie pour identifier rapidement les activités douteuses et adapter l’accès au niveau de risques, il met en garde contre le fait de trop insister sur l’intelligence artificielle et l’apprentissage automatisé :

 

« De nombreuses organisations et de nombreux fournisseurs pensaient que l’intelligence artificielle et l’apprentissage automatisé allaient restructurer la manière dont les politiques de contrôle des accès et de gestion des cycles de vie des identités étaient créées. L’intelligence artificielle et l’l’apprentissage automatisé peuvent utiliser les signaux et les informations sur les risques pour améliorer des politiques explicites mais rien ne prouve que cela les remplace efficacement ».

 

Défendre votre identité

Maintenant que 2020 est bien derrière nous (heureusement !), chez Ping nous continuons à défendre votre identité en nous efforçant à aider les entreprises à atteindre une sécurité Zero Trust définie par l’identité et à proposer des expériences personnalisées et simplifiées. Nous vous défendons également en vous aidant à suivre le rythme des évolutions permanentes que connaît le secteur de la sécurité de l’identit. Inscrivez-vous aux mises à jour hebdomadaires de notre blog pour connaître les toutes dernières informations fournies par des dizaines d’experts de l’identité.

 

Related Posts
Categories