Par Cyril Patou, Regional Director of France, Alps and Southern Europe chez Clear Skye
La vie privée et les lois de l'identité
Sensibiliser les chefs d'entreprise et les responsables informatiques, ainsi que le public, à l'importance de la gestion et de la sécurisation des identités numériques est devenu primordial. Mais s'il est passionnant d'anticiper ce que réserve le domaine de l'identité en fonction de l'actualité ou des nouveaux outils et technologies qui arrivent sur le marché, il est encore plus utile de revenir sur ses débuts.
En 2005, le regretté Kim Cameron a écrit « Les Lois de l’Identité ». Ce document explorait la manière de donner aux internautes un profond sentiment de sécurité, de confidentialité et de certitude quant à leurs interactions en ligne. Avec la prolifération des services et des applications sur le web, il était essentiel de développer une compréhension formelle des causes à l'origine du succès ou de l'échec des systèmes d'identité numérique. Près de 20 ans plus tard, les sept lois de l'identité de Cameron sont toujours d'actualité. Publié peu après l'effondrement des dotcoms et l'introduction des médias sociaux, ce document est arrivé à un tournant décisif pour Internet. Aujourd'hui, avec la promesse du Web3, du métavers, et la transition vers un monde du travail majoritairement virtuel, nous vivons un changement historique similaire. Dans les deux cas, l'identité numérique est à l'épicentre et il est bon de se rappeler certaines leçons éprouvées du passé.
Explorons trois lois de l'identité et la manière dont les responsables informatiques des entreprises peuvent les appliquer à leur organisation aujourd'hui.
Contrôle et consentement de l'utilisateur
La première loi stipule que « les systèmes techniques d'identité ne doivent révéler les informations identifiant un utilisateur qu'avec le consentement de ce dernier ». Cela signifie essentiellement que les systèmes doivent être conçus pour permettre à l'utilisateur de contrôler non seulement les informations qu'il communique, mais aussi la commodité et la simplicité de leur collecte. Que les décisions des utilisateurs soient prises au cas par cas ou qu'ils aient opté pour un système automatique, tous ces éléments sont cruciaux. Concentrons-nous sur les deux derniers principes : commodité et simplicité. Ces éléments ne sont nulle part plus importants que dans une entreprise. Si les mesures de sécurité empêchent les gens d'accéder aux systèmes et aux applications qui leur permettent de remplir leurs fonctions professionnelles quotidiennes, votre stratégie d'identité a échoué. Compte tenu de la quantité de changements de contexte qui se produisent dans les entreprises modernes et numériques, il est essentiel que les gens puissent accéder à ce dont ils ont besoin, quand ils en ont besoin, sans avoir à franchir des obstacles. Dans le cas contraire, vous pouvez être sûr qu'ils trouveront des solutions de contournement qui compromettront la sécurité ou ne seront pas en mesure de fonctionner efficacement - deux facteurs qui nuisent aux résultats.
Divulgation minimale pour une utilisation restreinte
Une deuxième loi porte sur une bonne pratique consistant à utiliser les « informations les moins identifiantes ». Il s'agit des informations les moins susceptibles d'identifier une personne donnée dans de multiples contextes. Par exemple, il est beaucoup moins risqué pour une organisation d'acquérir et de stocker le numéro d'identification de l'entreprise d'un employé que son permis de conduire ou son numéro de sécurité sociale, qui peuvent l'identifier de manière unique et exposer davantage d'informations. Dans un monde parfait, personne n'aurait accès aux informations ou aux données dont il n'a pas besoin. Mais nous ne vivons pas dans un monde parfait et, malheureusement, accorder et supprimer un accès dans une entreprise peut prendre des heures, voire des semaines. Cela signifie que d'anciens employés, ou dans certains cas des employés mécontents, pourraient avoir accès à des informations sur les clients, à des secrets commerciaux et à d'autres informations très sensibles. Au-delà de la collecte d'informations d'identification minimales, les entreprises doivent s'assurer qu'elles accordent et suppriment les accès de manière appropriée et en temps voulu. En outre, des audits réguliers devraient être la norme pour s'assurer que les protocoles et les mesures de sécurité sont respectés - par exemple, les réglementations HIPAA et HITRUST pour les organismes de santé.
Parties justifiables Identité numérique
La troisième loi stipule que les systèmes doivent être conçus pour que la divulgation d'informations d'identification soit limitée aux parties ayant une place nécessaire et justifiable dans une relation d'identité. Dans l'histoire récente, des lois comme le RGPD ont réprimé le partage de données par des tiers pour protéger les informations des consommateurs. Mais cela est un peu plus ambigu dans un environnement d'entreprise. Surtout si l'on considère que la plupart des entreprises travaillent avec des fournisseurs de cloud public, des solutions open-source ou d'autres applications SaaS qui s'appuient sur vos données pour fonctionner. Il est de la plus haute importance d'évaluer les précautions prises par les partenaires et les fournisseurs de services lorsqu'ils manipulent les données de votre entreprise. Mais gérer plusieurs fournisseurs et leurs pratiques en matière de sécurité des données n'est pas une mince affaire. Les entreprises passent ainsi de nombreuses solutions « best-of-suite » à des solutions de plate-forme. Par exemple, les entreprises utilisant ServiceNow auront accès à leur suite de produits et d'intégrations allant de domaines tels que la gouvernance des identités, aux chatbots et à la gestion des actifs logiciels. Vos données ne sont pas partagées au-delà de la plateforme de confiance, et les intégrations faciles et les interfaces familières en font une option sûre et avantageuse pour les entreprises.
À mesure qu'Internet mûrit et que les technologies commerciales et grand public évoluent, l'identité continuera d'être une cible mouvante. Toutefois, en comprenant les lois fondamentales de l'identité, nous pouvons mieux protéger nos informations personnelles et professionnelles et nous préparer aux défis à venir.