Qu'est-ce qu'une identité numérique ?

Dans l'écosystème numérique actuel, chaque personne et chaque « objet » (ordinateur, smartphone, appareil connecté à Internet (IoT) ou application) possèdent une identité numérique unique. Cette dernière contient des identifiants uniques qui permettent aux systèmes, aux services et aux applications de savoir avec qui ou avec quoi ils interagissent. Lors d'une transaction en personne, il vous faut parfois présenter une pièce d'identité, par exemple votre permis de conduire, pour vérifier qui vous êtes. Mais dans le monde numérique – où il n'y a aucune intervention humaine – une combinaison de données et d'attributs ou de comportements est nécessaire pour obtenir un niveau de certitude raisonnable sur votre identité. Parmi ces attributs, on peut citer :

  • Nom d'utilisateur
  • Mot de passe
  • Empreintes digitales ou scan du visage
  • Adresse e-mail
  • Réseau
  • Adresse IP
  • Appareil et système d'exploitation
  • Activités en ligne
  • Date de naissance
  • Numéro de sécurité sociale
  • Historique ou comportement d'achat

Introduction à l'identité : qu'est-ce que l'identité numérique ?

 

L'essor du numérique complexifie la gestion des identités en ligne

L'utilisation des services digitaux a explosé, c'est une tendance amplifiée par la pandémie. Après avoir pris l'habitude de faire leurs achats en ligne, les individus se sont mis à utiliser les canaux numériques dans tous les domaines de leur vie : pour effectuer leurs opérations bancaires, consulter le médecin, payer leurs impôts, lire l'actualité, suivre des cours, travailler, et bien d'autres choses encore.

TechRadar a récemment révélé que les consommateurs possédaient une centaine de comptes en ligne en moyenne. Or, même si ces comptes appartiennent au même individu, chacun d'entre eux identifie cet individu de façon différente. Alors que votre carte d'identité suffit à prouver votre identité partout où vous allez, votre identité numérique est différente pour chaque compte en ligne auquel vous vous connectez. Pour votre employeur, votre identité numérique peut comprendre les informations de votre appareil ainsi que vos identifiants de connexion. Votre service de streaming peut vous identifier grâce à votre télévision, à votre localisation et à vos habitudes. Votre banque peut utiliser l'authentification multifacteur (MFA), qui nécessite vos identifiants ainsi qu'une question de sécurité, une notification push ou un deuxième facteur de vérification (2FA).

Les entreprises qui sont chargées de gérer toutes ces identités, tout en les protégeant des hackers et de la fraude et en préservant la confidentialité et la conformité, sont confrontées à un défi de taille. Par ailleurs, le nombre d'identités d'appareils excède aujourd'hui celui des identités humaines ; il n'est ainsi pas inhabituel pour une entreprise de gérer des millions d'identités.

Pourquoi les identités numériques sont plus difficiles à vérifier

Il fut un temps où un simple identifiant et un mot de passe suffisaient pour permettre à un utilisateur d'accéder à un site avec un certain degré de confiance quant à son authenticité. Mais cela ne suffit plus, car ces identifiants sont généralement statiques et les informations qu'ils contiennent peuvent être volées. D'un autre côté, il arrive qu'un utilisateur légitime ait besoin d'emprunter un appareil pendant que le sien est en réparation. Il est certes important de bloquer les accès non autorisés, mais on ne peut pas empêcher un client ou un employé légitime d'accéder aux comptes dont il a besoin.

Autrefois, les décisions portant sur les accès étaient simples : on autorisait ou on refusait. Aujourd'hui, cependant, ce n'est plus tout noir ni tout blanc. Les solutions de gestion des identités et des accès (IAM) doivent tenir compte d'une série d'autres facteurs et contextes, tels que l'emplacement de l'utilisateur, son appareil, ses habitudes de comportement et le niveau d'accès demandé.

Si les identifiants de connexion sont corrects mais que l'appareil n'est pas reconnu, la solution IAM doit signaler cette tentative de connexion et exiger une authentification renforcée, par exemple répondre à une notification push. De même, si un utilisateur de confiance se connecte sur un fuseau horaire inhabituel, la solution IAM peut ajouter une étape supplémentaire pour s'assurer que la tentative est légitime et, si c'est le cas, elle peut enregistrer cette information afin que la prochaine tentative de cet endroit soit approuvée d'emblée.

Le risque d'usurpation d'identité dans l'espace numérique

According to the latest ForgeRock Identity Breach Report, unauthorized access was the leading cause of breaches for the fifth consecutive year. Questionable yet common practices, like reusing passwords, enable bad actors to gain access to valuable data like birth dates or social security numbers. They can steal this data and sell it on the black market, or they can use the data to carry out fraudulent activities, such as account takeover (ATO) attacks, which increased 307 percent from 2019 to 2020. In a successful ATO, an attacker can move money, open other accounts, and create financial havoc for the customer and the institution. Read more about ATO in this blog.

La cause principale des violations de données est liée aux identités, et une grande partie de la responsabilité incombe à la dépendance continue de la sphère digitale à l'égard des mots de passe. Les consommateurs souhaitent que leurs données et leurs informations personnelles soient sécurisées, mais comment peut-on se souvenir d'une centaine de mots de passe uniques ? Dans une étude de PC Magazine, 65 % des personnes interrogées ont déclaré qu'elles finissent par oublier leurs mots de passe si elles ne les écrivent pas, et 57 % les oublient immédiatement après une réinitialisation.

La solution consiste à se passer complètement de mots de passe. Avec l'authentification sans mot de passe, une personne peut se connecter à un compte en ligne sans avoir à saisir de mot de passe. À la place, l'authentification est assurée par des terminaux, tels que des appareils mobiles ou des ordinateurs, sur lesquels l'utilisateur peut utiliser l'authentification « biométrique » qui consiste en la reconnaissance du visage ou des empreintes digitales. Il est également possible d'utiliser des applications d'authentification, des jetons et des cartes à puce, qui sont d'ailleurs de plus en plus populaires. Ainsi, l'utilisateur n'a pas à se soucier de retrouver son mot de passe, et les anciennes méthodes d'attaque, telles que la force brute et le password spraying, deviennent inefficaces.

« Le pourcentage de violations causées par un accès non autorisé est resté le même en 2022, mais il faut noter qu'il représentait 91 % du nombre de données piratées pendant cette même année, affectant près de 1,4 milliard de personnes. »

 

Rapport ForgeRock Identity Breach 2023

L'identité numérique est le nouveau périmètre de sécurité

Outre l'essor du commerce numérique, le recours au télétravail et aux applications et services cloud s'est fortement développé. Par conséquent, le périmètre de sécurité réseau traditionnel n'existe plus. L'accès sécurisé repose désormais sur l'identité numérique, également connue sous le nom de « périmètre d'identité ».

ForgeRock Identity Platform offre les fonctionnalités avancées dont vous avez besoin pour protéger chaque identité présente au sein de votre entreprise : collaborateurs, systèmes, applications et appareils. Elle comprend des solutions basées sur l'IA qui permettent de gérer les identités numériques à toute échelle et de garantir que les entités sont bien celles qu'elles prétendent être. La solution ForgeRock Autonomous Access s'appuie sur l'IA afin d'empêcher le piratage de compte et la fraude au périmètre d'identité. Elle analyse les signaux de menace et les modèles de comportement en temps réel afin d'établir des scores de risque, qui sont ensuite utilisés pour mettre en place des parcours utilisateur sécurisés tout en supprimant les contraintes inutiles et en améliorant l'expérience numérique des utilisateurs légitimes.

Découvrez comment apporter toute la puissance de l'intelligence artificielle, du machine learning et de la reconnaissance avancée des modèles de comportement au périmètre d'identité avec ForgeRock Autonomous Identity et ForgeRock Autonomous Access.

Ressources
Ressources
Blog

ForgeRock Recognized as a Leader in the 2023 Gartner® Magic Quadrant™ for Access Management

Lire le blog
Rapport d'analyste

Gartner®, Magic Quadrant™ for Access Management, 2023

Gartner, Magic Quadrant for Access Management, 16 November 2023, Henrique Teixeira, et. Al.

Télécharger le rapport
Présentation de la solution

Passez à l'authentification sans mot de passe

Découvrir la solution
Fiche technique

ForgeRock Access Management

Des expériences fluides et sécurisées pour vos collaborateurs et clients

Obtenir la fiche technique