Apportez votre propre identité (BYOI)

En mars, Grand View Research a suggéré que le marché de la gestion des identités et des accès (IAM) vaudrait plus de 24 milliards de dollars d'ici 2020. Cette croissance saine sera en partie réalisée la popularité croissante de bring-your-own-identity (BYOI). BYOI offre rapidité et commodité aux utilisateurs, mais les risques l'emportent-ils sur les avantages pour les entreprises?

Nous sommes tous devenus à l'aise avec le concept de BYOI dans notre vie quotidienne. Combien de services connectez-vous maintenant à l'utilisation de vos informations d'identification Facebook ou d'autres médias sociaux? C'est rapide, efficace et vous n'avez pas à vous souvenir de milliers de mots de passe différents. Le monde B2B a pris plus de temps pour adopter BYOI, mais cela commence à arriver.

Lorsque j'ai rejoint OpenText ™ en 2017, j'ai été ravi de constater que la société utilisait le même fournisseur de gestion des dépenses que mon précédent employeur. Lorsque je mettais en place tout ce que devait faire un nouvel employé durant la première semaine, j'étais content de voir que je me connectais simplement et que ça fonctionnait – ça me rappelait qui j'étais basé sur mon identité. Maintenant, j'ai dû mettre à jour quelques éléments importants comme ma nouvelle carte de crédit et ma nouvelle adresse en Californie, mais pas grand-chose d'autre – la configuration de mon profil de dépenses d'entreprise était terminée avant même qu'elle ne commence. Ce type de gestion des identités fédérées représente la voie à suivre pour les entreprises, notamment dans un monde où vos réseaux et applications sont autant, sinon davantage, consultés par des tiers (clients, partenaires et entrepreneurs) que vos propres employés.

Aucun professionnel de la sécurité de l'information digne de ce nom ne pourra accéder à ses actifs les plus vitaux grâce à l'authentification des médias sociaux. Alors, comment pouvons-nous construire une solution d'entreprise intelligente qui offre à la fois les avantages commerciaux et de sécurité de BYOI?

La montée de BYOI

BYOI ressemble beaucoup à BYOD (bring-your-own-device) et bonnes raisons. Le besoin de la première a grandi à partir du succès de l'autre. La tendance des employés à vouloir accéder aux ressources de l'entreprise en utilisant leurs propres appareils (ordinateurs portables, tablettes et téléphones intelligents) a commencé il y a plus de dix ans. Aujourd'hui, il remplace presque l'approche traditionnelle consistant à garantir que les employés accèdent uniquement à vos systèmes sur les appareils fournis par l'entreprise. En fait, certaines organisations commencent à exiger que les employés utilisent tout ce qu'ils veulent tandis que l'organisation s'assure que les bons niveaux de gestion des identités et des accès et la sécurité des données sont en place.

déplacé un long chemin d'où nos employés étaient les seuls dont nous avions à nous inquiéter. Aujourd'hui, l'accès sécurisé doit être rapidement accordé aux clients et aux partenaires, et presque toutes les entreprises utilisent de plus en plus d'entrepreneurs, qui ont tous besoin de droits d'accès différents et de différents niveaux d'accès, avec lesquels ils peuvent travailler rapidement et facilement. Alors que par le passé vous pouviez vous concentrer uniquement sur des considérations de sécurité (en théorie du moins!), Vous devez maintenant considérer le rôle de la sécurité de l'information comme facilitateur d'affaires.

Le Ponemon Institute a réalisé une vaste étude mondiale en 2017, qui a révélé que 69% des répondants estimaient que leurs solutions de sécurité actuelles étaient désuètes et inadéquates pour leur entreprise. Lorsqu'on leur a demandé quelles étaient les capacités les plus importantes d'une nouvelle infrastructure de sécurité, les répondants étaient certains que IAM était en tête de liste . Les entreprises interrogées ont vu l'intégration de tiers dans leurs réseaux et applications (76%) et l'impossibilité de sécuriser leurs droits d'accès (74%) comme deux des principaux risques sécuritaires auxquels ils sont aujourd'hui confrontés.

Il est clair que BYOI joue un rôle important dans répondre à ces exigences de sécurité, mais il doit être soigneusement planifié et conçu. La plupart des fonctions de sécurité multifacteur, telles que la biométrie et l'emplacement, atténuent la vitesse et la commodité requises. Les découvertes de Ponemon soulignent la nécessité de trouver une solution de gestion d'identité qui fonctionne pour les utilisateurs. Près de 60% des personnes interrogées ont admis qu'au sein de leur organisation, les employés et les tiers contournaient les politiques et technologies de sécurité car elles étaient trop complexes.

Le problème du courtier d'identité honnête

création d'une identité indépendante de l'une des applications ou des réseaux cibles. Vous n'avez pas besoin d'être configuré pour chaque application individuelle. Au contraire, vous établissez votre identité et l'appliquez à toutes les ressources auxquelles vous devez accéder. Cela suggère naturellement un courtier d'identité, et c'est exactement ce qui se passe dans le monde B2C. Les services de médias sociaux sont en train de devenir des courtiers d'identité reconnus.

Avec les courtiers d'identité, vous disposez d'un service en nuage où un compte d'utilisateur unique peut être lié à des identités provenant de différentes sources d'identité. Ce compte serait alors utilisé comme moyen de BYOI qui peut être appliqué à vos applications et réseaux. Cela représente un pas en avant dans la consumérisation informatique car la frontière entre les identités professionnelles et personnelles est floue pour créer une identité universelle.

En fait, c'est exactement ce que tente de réaliser l'Alliance FIDO . Dirigée par Microsoft, Google et PayPal, l'alliance considère l'authentification PKI comme un moyen de sécuriser l'accès à un large éventail d'applications et de services.

Cependant, je me demande si l'approche du courtier d'identité est correcte pour la plupart des entreprises. Si, comme le suggère l'Institut Ponemon, IAM est l'élément le plus important d'une stratégie moderne de sécurité de l'information, voudriez-vous externaliser à un fournisseur, une entreprise de médias sociaux pas moins? Vous créez également un point de défaillance unique. L'utilisation d'un courtier d'identité sociale serait une cible presque irrésistible pour les pirates et, si vous craignez le plus de violations de données, toute attaque réussie exposera tous vos systèmes à la menace.

De plus, un seul compte utilisateur avec le courtier pour placer toutes leurs informations d'identité dans le même endroit et le garder à jour. Cela peut fonctionner à long terme, mais l'entreprise devra au préalable indiquer au nouvel utilisateur le service de courtage et lui demander de s'enregistrer avant de pouvoir accéder aux ressources de l'entreprise. Cela ressemble à une étape inutile avec peu d'avantages réels pour l'utilisateur ou l'entreprise.

Vers BYOI d'entreprise

Bien que BYOI ne puisse pas simplement être vissé sur des systèmes de sécurité IT traditionnels, il existe des plates-formes IAM avancées telles que OpenText ™ Covisint Cloud Platform, qui peut être utilisé comme base pour la fourniture de fonctionnalités BYOI à l'échelle de l'entreprise. J'ai déjà écrit sur la nécessité de passer d'un modèle «à l'envers» à un modèle à l'extérieur pour une gestion de l'identité conçue pour donner un accès sécurisé à tous les partenaires impliqués dans la chaîne d'approvisionnement connectée. Cela nous amène à boucler le début de ce blog: nous ne parlons pas seulement de vos employés, nous parlons de tous ceux qui ont besoin d'accéder à l'information au sein de votre entreprise.

Les plateformes qui permettent le modèle «outside in» sont Il fournit déjà des solutions de gestion des identités qui s'adressent à tous les individus, systèmes et éléments qui doivent être correctement identifiés, gérés et auxquels des règles d'accès appropriées sont accordées. BYOI est, en réalité, une extension de cette approche. Par exemple, un fabricant de produits est connecté à un détaillant par l'intermédiaire d'un réseau d'intégration B2B et a obtenu des contrats pour travailler avec un autre détaillant. Si ce détaillant est connecté au réseau B2B, le fabricant pourrait alors commencer à négocier en utilisant ses paramètres de sécurité et d'authentification existants, en plus des transactions EDI standard mais en fin de compte . La plate-forme de gestion d'identité à l'échelle de l'entreprise joue le rôle de courtier d'identité, mais elle est présentée dans le cadre de la solution globale de gestion des identités d'entreprise. Vous pouvez maintenir les mêmes niveaux de sécurité et de protection des données que vous avez précédemment et vous êtes en mesure de fournir la rapidité et la commodité – au niveau individuel et de l'entreprise – pour tenir la promesse de BYOI en tant que facilitateur d'entreprise. Ce n'est qu'un thème que nous étudions pour le B2B, mais il représente un élément de la chaîne d'approvisionnement connexe et c'est l'un de nos principaux sujets à Enterprise World à Toronto en juillet. Enregistrez votre place aujourd'hui . Pour une réunion personnalisée et privée, veuillez nous contacter via le site web ou m'envoyer un e-mail directement.