Les meilleures pratiques IAM pour renforcer la sécurité des entreprises
À l’occasion du Cybermoi/s 2024, nous partageons avec vous les meilleures pratiques IAM pour renforcer la sécurité des entreprises
Le KYC, ou Know Your Customer (Connaissez Votre Client), est un processus crucial de vérification de l’identité numérique d’un individu ou d’une entreprise dans le cadre d’une activité commerciale. En tant qu’êtres humains, la confiance en notre identité, c’est-à-dire qui nous sommes, est au cœur de nos interactions sociales : que ce soit pour louer ou acheter un bien immobilier, recevoir notre salaire, faire des achats en supermarché, ouvrir un compte bancaire, ou même pour le remboursement des frais médicaux.
Le KYC n’est pas un concept nouveau, mais la numérisation galopante de nos sociétés nécessite de l’adapter aux nouveaux usages. Chez Memority, nous sommes convaincus que des processus d’identité numérique correctement outillés sont des moteurs de croissance pour les entreprises.
Identifiant, login, IAM, mot de passe, IDaaS, Fido, passkey : tous ces termes barbares ont été imaginés par nos sociétés technologiques pour reproduire, dans l’univers numérique, des concepts ancestraux. Les termes Identity Factory et KYCaaS, plus récents, viennent étendre cette longue liste pour offrir de nouveaux services.
Alors qu’à l’origine, une simple poignée de main suffisait pour échanger une chèvre contre trois poules, les organisations et les gouvernements ont depuis longtemps mis en place des processus visant à garantir l’identité des individus. Les tablettes d’argile ou de cire, découvertes en grand nombre lors de fouilles en Mésopotamie et dans d’autres sites antiques, étaient utilisées pour enregistrer des décrets, des prêts, des contrats et d’autres transactions commerciales. Ces tablettes étaient authentifiées par un représentant de l’autorité en vigueur, souvent un scribe, qui les signait ou les marquait du sceau du souverain local.
Au fil de l’évolution de nos civilisations, le rôle du scribe a été transmis aux Scriptores romains puis aux copistes du Moyen Âge. Dès 1215, le concile de Latran impose la tenue de registre de baptêmes, mariages et sépultures par les paroisses, pour lutter contre la consanguinité. Ce système a été progressivement enrichi au fil des conciles et ordonnances royales, jusqu’à la Révolution française où ce rôle a été progressivement assumé par les services étatiques, notamment les maires et notaires en France.
Ainsi, l’importance de notre identité dans nos sociétés modernes est indéniable, et la tenue de registres n’est en aucun cas une nouveauté. C’est un processus fondamental qui remonte à des millénaires et qui continue de jouer un rôle essentiel dans nos interactions sociales et commerciales actuelles.
L’Âge moderne a vu l’augmentation fulgurante des capacités de transport et de communication, nous permettant de rencontrer des acteurs toujours plus éloignés de nos cercles sociaux habituels, garants historiques de la confiance entre individus. Les préoccupations croissantes concernant le blanchiment d’argent, le financement du terrorisme et d’autres activités criminelles, ont poussé dès les années 1970 les Etats-Unis à instaurer la « Bank Secrecy Act », une loi ayant pour but de détecter et de prévenir le blanchiment d’argent. De même en France avec le LCB-FT. Contrôler l’identité ou vérifier les documents d’un nouvel utilisateur fait partie des obligations légales pour de nombreux secteurs d’activité. C’est ce que l’on appelle le KYC («Know Your Customer» ou connaissance du client).
Télécommunications, E-commerce, et maintenant les xTechs : FinTech, InsurTech, EdTech, LegalTech, PropTech, TravelTech, RetailTech, etc. La liste des domaines progressivement révolutionnés par la technologie ne finit pas de croître. Certains que l’on pensait protégés ne le sont plus, tels les notaires pourtant considérés comme peu enclins au changement en raison de leur rôle de gardiens des livres.
Les grandes entreprises ont industrialisé et automatisé depuis longtemps le maintien de leurs registres des utilisateurs. Initialement simples annuaires numériques, ils ont évolué en applications de gestion d’identité et des accès (IAM) apportant les interfaces et processus de gestion d’identité. Puis ont migré dans le cloud avec l’IDaaS (IDentity as a Service), allégeant la charge de maintenance des infrastructures.
Enfin, l’Identity Factory Memority offre aux organisations un service où les identités sont produites, gérées et sécurisées de manière efficace, reproductible et sécurisée. Cela inclut des processus automatisés pour la création, la gestion et la révocation de tous types d’identités (employés, partenaires, clients, objets connectés), ainsi que des mécanismes pour garantir la sécurité des informations d’identification et des données associées aux identités. Des interfaces modernes simplifient la saisie et des connecteurs facilitent l’intégration avec les outils métier du système d’information. Les fonctions intégrées d’authentification, de fédération et de contrôle d’accès permettent de rationaliser les systèmes d’IAM historiques complexes. La rapidité et le coût maitrisé de l’activation de Memority la rend accessible non seulement aux grandes organisations, mais également aux ETI voire à certaines PME.
En effet, depuis 2019 et les confinements, les dernières organisations retardataires ont numérisé de nombreux processus, pour réussir à poursuivre leur activité malgré la distance. S’appuyant sur des services permettant de faire toujours plus, toujours plus vite, mais parfois en oubliant la raison historique qui a engendré certains processus jugés compliqués, archaïques ou inutiles et sur laquelle reposent pourtant nos civilisations : l’importance de la confiance.
Cette rapide démocratisation a permis à de trop nombreux acteurs malveillants de profiter de nos faiblesses. Malgré les sensibilisations, les formations, les messages d’alerte et autres écrans de validation en trois étapes, il est encore trop simple d’usurper l’identité numérique d’un individu. Cela peut entraîner des conséquences dévastatrices sur le propriétaire de l’identité volée, ou le correspondant floué.
Ainsi, on ne compte plus les histoires de prêts à la consommation indus, de voiture vendue sans en posséder les papiers, de personne âgée extorquée, d’ami coincé à l’autre bout du monde et demandant de l’argent… Ou encore de sommes considérables d’argent obtenues illégalement (marchés de stupéfiants et d’armes, …) blanchies trop facilement par l’intermédiaire des échanges numériques.
Ces multiples raisons ont motivé des entreprises à proposer des services de contrôle d’identité numérique plus accessibles aux organisations non étatiques ou financières. Ceci pour leur permettre de respecter la réglementation et de réduire leur risque. Ces services existent depuis une quinzaine d’années, et proposent des offres variées afin d’adapter les contrôles au niveau de confiance requis pour les besoins métiers de leurs clients.
Nos concitoyens ont alors découvert des pratiques pourtant utilisées depuis plusieurs décennies par certaines grandes entreprises, et depuis une dizaine d’années par les technophiles et autres crypto-addicts : signature électronique, contrôle automatisé de pièce d’identité, portefeuille électronique, clés de chiffrement, etc. Il s’agit d’outils et de services permettant d’authentifier automatiquement une personne grâce à ses documents d’identité et ainsi simplifier le contrôle d’identité. Si certains sont encore fastidieux à l’usage, d’autres offrent une telle fluidité que l’on commence à les utiliser non seulement pour renforcer la sécurité, mais également pour améliorer la productivité de nos organisations. Les KYCaaS, ou Know Your Customer as a Service, permettent de réaliser des contrôles d’identité en moins de 5 minutes, quel que soit l’heure ou le jour de la semaine, et pour un coût de quelques centimes d’euros.
• KYC -> Know Your Customer : processus d’authentification d’un client
• KYCaaS -> KYC as a Service : service en ligne offrant d’automatiser le processus de KYC
• Identity Factory Memority : service en ligne permettant de produire, gérer et sécuriser tous les types d’identités des organisations, afin d’accélérer et de fluidifier les parcours utilisateurs et processus de gestion d’identités.