Qu'est-ce qu'une identité numérique ?

Dans l'écosystème numérique actuel, chaque personne et chaque "objet" (ordinateurs, smartphones, appareils connectés à Internet (IoT) et applications) possèdent une identité numérique unique. Cette dernière contient des identifiants uniques qui permettent aux systèmes, services et applications de savoir avec qui ou avec quoi ils interagissent. Lors d'une transaction en personne, il vous faut parfois présenter une pièce d'identité, par exemple votre permis de conduire, pour vérifier qui vous êtes. Mais dans le monde numérique, c'est-à-dire sans intervention humaine, une combinaison de données et d'attributs ou de comportements est nécessaire pour certifier raisonnablement votre authenticité. Parmi ces attributs, on peut citer : 

  • Nom d'utilisateur
  • Mot de passe
  • Empreintes digitales ou scan du visage
  • Adresse e-mail
  • Réseau
  • Adresse IP
  • Appareil et système d'exploitation
  • Activités en ligne
  • Date de naissance
  • Numéro de sécurité sociale
  • Historique ou comportement d'achat

Intro to Identity: What is Digital Identity?

 

L'essor du numérique complexifie la gestion des identités en ligne

L'utilisation des services digitaux a explosé, c'est une tendance amplifiée par la pandémie. Après avoir pris l'habitude de faire leurs achats en ligne, les individus se sont mis à utiliser les canaux numériques dans tous les domaines de leur vie : pour effectuer leurs opérations bancaires, consulter le médecin, payer leurs impôts, lire l'actualité, suivre des cours, travailler, et bien d'autres choses encore.

Recently, TechRadar reported that consumers have, on average, 100 online accounts. Even though these accounts are owned by the same person, each account identifies the person differently. While your one driver's license may suffice for proving your age and identity everywhere you go, your digital identity will be different for every online account with which you connect. For your employer, your digital identity may include your device information along with your login credentials. Your streaming service may identify you by your television, location, and viewing habits. Your bank may use multi-factor authentication (MFA), which would require your credentials as well as a security question, a push notification, or a second factor for verification (2FA).

Les entreprises qui sont chargées de gérer toutes ces identités, tout en les protégeant des hackers et de la fraude et en préservant la confidentialité et la conformité, sont confrontées à un défi de taille. Par ailleurs, le nombre d'identités d'appareils excède aujourd'hui celui des identités humaines ; il n'est ainsi pas inhabituel pour une entreprise de gérer des millions d'identités.

 

Pourquoi les identités numériques sont plus difficiles à vérifier

Il fut un temps où un simple identifiant et un mot de passe suffisaient pour permettre à un utilisateur d'accéder à un site avec un certain degré de confiance quant à son authenticité. Mais cela ne suffit plus, car ces identifiants sont généralement statiques et les informations qu'ils contiennent peuvent être volées. D'un autre côté, il arrive qu'un utilisateur légitime ait besoin d'emprunter un appareil pendant que le sien est en réparation. Il est certes important de bloquer les accès non autorisés, mais on ne peut pas empêcher un client ou un employé légitime d'accéder aux comptes dont il a besoin.

Autrefois, les décisions portant sur les accès étaient simples : on autorisait ou on refusait. Aujourd'hui, cependant, ce n'est plus tout noir ni tout blanc. Les solutions de gestion des identités et des accès (IAM) doivent tenir compte d'une série d'autres facteurs et contextes, tels que l'emplacement de l'utilisateur, son appareil, ses habitudes de comportement et le niveau d'accès demandé.

Si les identifiants de connexion sont corrects mais que l'appareil n'est pas reconnu, la solution IAM doit signaler cette tentative de connexion et exiger une authentification renforcée, par exemple répondre à une notification push. De même, si un utilisateur de confiance se connecte sur un fuseau horaire inhabituel, la solution IAM peut ajouter une étape supplémentaire pour s'assurer que la tentative est légitime et, si c'est le cas, elle peut enregistrer cette information afin que la prochaine tentative de cet endroit soit approuvée d'emblée.

 

Le risque d'usurpation d'identité dans l'espace numérique

Selon le dernier rapport Consumer Identity Breach de ForgeRock, les accès non autorisés sont la principale cause de violations de données, et ce pour la troisième année consécutive. Les pratiques discutables, bien que courantes, telles la réutilisation de mots de passe, permet aux hackers d'accéder à des données précieuses, notamment les dates de naissance ou les numéros de sécurité sociale. Ils peuvent subtiliser ces données et les vendre sur le black market, ou bien les utiliser pour mener des activités frauduleuses, par exemple des piratages de compte (ATO), dont le nombre a bondi de 307 % entre 2019 et 2020. Lors de telles opérations, les hackers peuvent déplacer de l'argent, ouvrir de nouveaux comptes et causer des préjudices financiers importants tant au client qu'aux institutions. Pour en savoir plus sur le piratage de compte, consultez cet article.

La cause principale des violations de données est liée aux identités, et une grande partie de la responsabilité incombe à la dépendance continue de la sphère digitale à l'égard des mots de passe. Les consommateurs souhaitent que leurs données et leurs informations personnelles soient sécurisées, mais comment peut-on se souvenir d'une centaine de mots de passe uniques ? Dans une étude de PC Magazine, 65 % des personnes interrogées ont déclaré qu'elles finissent par oublier leurs mots de passe si elles ne les écrivent pas, et 57 % les oublient immédiatement après une réinitialisation.

La solution consiste à se passer complètement de mots de passe. Avec l'authentification sans mot de passe, une personne peut se connecter à un compte en ligne sans avoir à saisir de mot de passe. À la place, l'authentification est assurée par des terminaux, tels que des appareils mobiles ou des ordinateurs, sur lesquels l'utilisateur peut utiliser l'authentification « biométrique » qui consiste en la reconnaissance du visage ou des empreintes digitales. Il est également possible d'utiliser des applications d'authentification, des jetons et des cartes à puce, qui sont d'ailleurs de plus en plus populaires. Ainsi, l'utilisateur n'a pas à se soucier de retrouver son mot de passe, et les anciennes méthodes d'attaque, telles que la force brute et le password spraying, deviennent inefficaces.

Les violations de noms d'utilisateur et de mots de passe ont augmenté de 450 % en 2020, soit un total de 1,48 milliard de données compromises.

 

Rapport Consumer Identity Breach 2021 de ForgeRock

L'identité numérique est le nouveau périmètre de sécurité

Outre l'essor du commerce numérique, le recours au télétravail et aux applications et services cloud s'est fortement développé. Par conséquent, le périmètre de sécurité réseau traditionnel n'existe plus. L'accès sécurisé repose désormais sur l'identité numérique, également connue sous le nom de « périmètre d'identité ».

ForgeRock Identity Platform offre les capacités IAM avancées dont vous avez besoin pour protéger chaque identité présente au sein de votre entreprise : collaborateurs, systèmes, applications et appareils. Elle comprend des solutions basées sur l'IA qui permettent de gérer les identités numériques à toute échelle et de garantir que les entités sont bien celles qu'elles prétendent être. La solution ForgeRock Autonomous Access s'appuie sur l'IA afin d'empêcher le piratage de compte et la fraude au niveau du périmètre d'identité. Elle analyse les signes de menace et les modèles de comportement en temps réel afin d'établir des scores de risque, qui sont ensuite utilisés pour mettre en place des parcours utilisateur sécurisés tout en supprimant les contraintes inutiles et en améliorant l'expérience numérique des utilisateurs légitimes.

Découvrez comment insuffler toute la puissance de l'intelligence artificielle, du machine learning et de la reconnaissance avancée des modèles de comportements au périmètre d'identité grâce à ForgeRock Autonomous Identity et ForgeRock Autonomous Access.

Ressources
Présentation de la solution

Passez à l'authentification sans mot de passe

Rapport d'analyste

Gartner® Magic Quadrant™ 2021 sur la gestion des accès

ForgeRock a été nommé leader dans le Magic Quadrant pour la gestion des accès

Fiche technique

ForgeRock Access Management

Des expériences fluides et sécurisées pour vos collaborateurs et clients