Nous assistons en ce moment même à un virage majeur dans la gestion des identités. Traditionnellement, les identités gérées par l’entreprise étaient des utilisateurs internes du SI de l’entreprise : employés et prestataires. Quelques centaines ou milliers d’utilisateurs dont il fallait maîtriser le cycle de vie et les comptes dans le système d’information.
Et puis sont venus les partenaires externes et leurs employés. Dans le cas d’usage classique, un constructeur d’avion doit pouvoir collaborer avec l’ensemble de ses sous-traitants : il faut leur permettre l’accès aux applications, gérer ou faire gérer leurs comptes et leurs droits. La fédération des identités ainsi que ses standards et protocoles ont permis de répondre à cette problématique. La gestion des identités si elle devait prévoir de nouveaux processus n’a été que faiblement impactée (la volumétrie restait d’un ordre de grandeur comparable, les utilisateurs restaient des humains maîtrisés, etc.)
Aujourd’hui, un premier palier doit être franchi pour gérer une volumétrie beaucoup plus forte et des utilisateurs d’un nouveau type : les clients. Des centaines de milliers voire des millions d’identités. Il faut maintenant gérer l’identité d’un client et pouvoir l’authentifier et l’autoriser sur les applications mises à sa disposition. Il faut savoir l‘authentifier simplement de son point de vue (e.g. via un réseau social) et faire le lien avec son compte traditionnel dans le CRM pour gérer la relation. Les opérateurs télécoms et les banques et leurs bases clients sont devenues le nouveau cas d’usage classique : les accès aux applications via Internet et terminaux mobiles sont dans l’air du temps.
Au-delà de ce changement d’échelle, les caractéristiques de ces identités de clients sont différentes des traditionnelles identités de l’entreprise : le nombre d’applications accédées et de rôles est plus faible. Par ailleurs, plus question de devoir gérer des cas particuliers, tous les clients sont logés à la même enseigne et ce pour le plus grand bénéfice des projets IAM qui vont enfin voir se réduire fortement leur complexité fonctionnelle.
Enfin, un deuxième palier s’annonce déjà : la gestion des identités des objets connectés. Le CES 2014 qui s’achève ces jours-ci nous en offre de multiples illustrations : brosses à dent, cocottes minutes, lits, ampoules, etc. Tous les objets du quotidien sont désormais connectés. Par ailleurs, la complexité et les facultés de ces objets nous environnant sont telles aujourd’hui que de nouvelles approches sont nécessaires.
Les premiers objets connectés étaient de simples capteurs : température, pression, cellules infrarouge, compteurs, etc. Généralement non connectés directement à Internet, ils émettaient de l’information dans un protocole spécifique à destination d’une passerelle qui elle avait pour rôle de centraliser les données et de les transmettre via Internet à un serveur de traitement.
Nouveaux usages et nouveaux besoins
L’identification de ces objets est alors très sommaire, allant de la simple déclaration d’adresse MAC jusqu’à l’utilisation d’une clé de chiffrement des échanges pour les installations les plus sophistiquées.
Les objets connectés sont maintenant non seulement émetteurs de données de plus en plus complexes mais également destinataires de commandes et d’action à réaliser, de correctifs et patches de sécurité, etc.
Dernier cas d’usage classique à la mode : la voiture connectée informe directement le constructeur ou le concessionnaire qu’un sous-composant est en mauvaise santé ou qu’une révision est nécessaire.
Ces objets doivent pouvoir être joints depuis n’importe où (et ne plus être masqués par une passerelle) et par ailleurs, les capacités d’attaques cybercriminelles ayant fortement augmentés ces dernières années, la sécurité des échanges et l’authentification préalable des objets est devenu un prérequis. Et nous voilà donc avec des milliers d’objets disposant d’une identité !
Challenges
Nous sommes maintenant face à des millions d’identités pour ne pas dire des milliards d’identités à gérer. Et soyons honnêtes un instant : pas un seul système de gestion des identités traditionnel ne sait traiter une telle volumétrie. C’est bien une toute nouvelle façon d’approcher la problématique de l’identité qui s’impose :
- Le cycle de vie de ces identités inclus désormais des notions comme la revente, le prêt, le partage entre plusieurs utilisateurs, etc. Il faut donc adapter leur modèle de relations avec leur environnement : utilisateur(s), entreprise, autres objets connectés, etc.
- La sécurité passe par des moyens d’authentification à l’état de l’art mais également par des mécanismes de mise à jour robustes. Et il ne s’agit pas simplement de bien protéger l’objet lui-même, il faut également sécuriser les services qui les pilotent. Vous ne voudriez pas que votre brosse à dents change subitement et de manière incontrôlée sa vitesse de rotation n’est-ce pas ?
Les outils de gestion d’identités traditionnels vont donc devoir évoluer très rapidement pour s’adapter à ces nouvelles identités, maîtriser leur imposante volumétrie et traiter des cas d’usage très innovants.