« Cogito Ergo Sum » : je pense, donc je suis. Le concept d’existence et, par là-même, d’identité tel qu’il a été formulé par Descartes au 17e siècle n’a cessé d’évoluer depuis. Qu’est-ce qui fait notre identité de nos jours ? Notre numéro de sécurité sociale, de compte en banque ? Nos mots de passe récurrents ? Nos actes, les cercles des personnes avec lesquelles nous échangeons ? Avons-nous une seule ou plusieurs identités ? Avec chaque décennie vient un nouveau moyen de définir de notre identité…ou de la perdre selon le point de vue.
Pour nous, l’identité représente l’identifiant unique d’une personne ou d’une chose, qui permet de la différencier. On peut l’affiner par l’ajout d’attributs propres à chacun, la liste des tiers avec lesquels nous échangeons ou encore certains paramètres comportementaux. Notre identité était auparavant scindée en deux facettes, « personnelle » et « professionnelle », mais ça c’était avant ! Avant l’ère de la consumérisation de l’IT. Notre identité professionnelle est désormais définie le plus souvent par la fusion de ces deux facettes et prend également en compte l’utilisation d’appareils mobiles, les règles d’accès aux applications, d’identités sociales, etc. qui permettent de classer un individu en tant qu’employé, consultant, partenaire commercial, client etc.
Alors comment une organisation peut-elle établir le niveau de sécurité adéquat pour son système d’information quand les données personnelles et professionnelles sont si étroitement entrelacées ? C’est un défi de taille pour les services informatiques, qui doivent miser sur une identification claire et précise pour le relever. Plus que jamais, l’enjeu de la sécurité ne réside pas dans des aspects matériels ou technologiques mais plutôt dans la capacité de l’organisation à comprendre les tenants et aboutissants du concept d’identité et in fine à reconnaître l’individu qui se trouve derrière le terminal.
L’identité professionnelle, les paramètres personnels qui viennent se greffer dans l’environnement de travail et les éléments comportementaux sont autant de données qui s’amalgament et permettent de discerner ce qui se passe dans le périmètre professionnel, et au-delà. Et comme ce périmètre évolue, l’identité va inévitablement devenir l’unique préoccupation des équipes de sécurité car elle seule permet de faire le tri parmi les parasites événementiels et les données non pertinentes, sources de confusion qui empêchent de répondre aux menaces réelles ou de simplement détecter une attaque. L’incapacité à gérer l’identité, et les accès qui vont de pair, est le plus grand risque informatique de gestion pour une organisation. Une entité qui ignore « qui fait quoi » ne peut saisir les opportunités qui s’offrent à elle et s’expose à un risque organisationnel majeur.
La sécurité informatique au service de la performance de l’entreprise
Des changements doivent être opérés à la fois dans les rôles et les priorités des équipes informatiques et de sécurité. Elles se doivent de maîtriser ces enjeux et d’adapter leur stratégie pour non seulement fournir un environnement informatique de travail sécurisé mais aussi pour soutenir le développement du business et répondre aux attentes d’utilisateurs qualifiés. L’un des plus grands défis est incontestablement de suivre le rythme du changement, de s’adapter à la vitesse à laquelle évolue l’organisation. Les utilisateurs sont toujours plus exigeants quant à leurs besoins et souhaitent travailler comme ils l’entendent. Ils réclament des services encore plus personnalisés, une plus grande agilité pour répondre aux opportunités qui se présentent, une connectivité plus poussée et, bien entendu, moins de contrôles aux endroits où ils interagissent. Pour cela, les organisations doivent être capables d’adopter et d’assimiler des environnements informatiques hybrides et des outils mobiles qui peuvent s’ajuster aux besoins organisationnels et aux opportunités du moment. Répondre avec promptitude aux exigences croissantes des utilisateurs est devenu le quotidien des équipes informatiques.
C’est pour cela qu’il faut se concentrer sur l’exploitation du concept d’identité et relever le défi de la gestion des accès ; ce premier pas permettra de répondre avec diligence aux besoins futurs, tout en respectant les impératifs de sécurité et de conformité. Alors que l’Internet des Objets devient une réalité, de nouveaux défis et possibilités se présentent. Toute chose a ou aura une identité, et chacune de ces identités peut receler la réalité d’un utilisateur, d’un employé ou d’un client. La gestion de ces identités, et l’utilisation de sources d’identités fédérées toujours plus complexes, va dévoiler aux entreprises et administrations les multiples facettes d’un monde hyper-connecté. (Par Jean-Philippe Sanchez, Consultant Sécurité chez NetIQ France)
