Les données sensibles des clients sont-elles un atout ou un passif ? Lorsque nous pensons aux entreprises les plus prospères de ces dernières années qui ont exploité les données clients pour construire des avantages concurrentiels — comme les entreprises FAANG (Facebook, Amazon, Apple, Netflix et Google) — nous considérons les données clients comme un atout.
Cependant, avec l'augmentation constante des violations de données et l'introduction et l'application de réglementations mondiales sur la protection des données, les dirigeants d'entreprise comprennent maintenant que les données clients, en particulier les données sensibles telles que les informations personnellement identifiables (PII), peuvent être un passif pour l'entreprise.
Une façon pour les entreprises de réduire ce risque de stockage de données sensibles des clients est de ne pas stocker de données clients, telles que les données d'identité, en premier lieu — en utilisant des solutions d'identité décentralisées.
Centrer l'identité autour de l'individu
Avec les modèles actuels de logiciels de gestion d'identité centralisés, une entreprise conserve les PII de l'utilisateur final, telles que le nom, l'adresse e-mail, les mots de passe et d'autres identifiants pour authentifier l'utilisateur en ligne. En revanche, les outils d'identité décentralisée placent l'utilisateur au centre de l'équation d'identité et en charge de ses données en ligne.
Qu'est-ce que le logiciel d'identité décentralisée ?
Le logiciel d'identité décentralisée permet aux utilisateurs finaux, tels que les clients, de maintenir un contrôle direct sur leurs informations d'identité et de partager ou révoquer facilement l'accès à ces données. Les données d'identité restent en possession de l'utilisateur final et l'entreprise ne fait que valider l'identité ou toute autre information sensible de l'utilisateur.
Le concept selon lequel un individu a un contrôle direct sur son identité numérique sans l'utilisation d'un registre centralisé, d'un fournisseur d'identité ou d'une autorité de certification est appelé identité auto-souveraine (SSI).
Par exemple, dans le monde physique, pour entrer dans un bar avec une politique d'âge requis, un client doit prouver son âge en présentant sa date de naissance sur une carte d'identité (ID) avec photo délivrée par le gouvernement. Le videur du bar confirmerait l'identité du client en comparant la photo de l'ID au visage de la personne, puis en vérifiant la date de naissance. Ce faisant, le videur est également en mesure de voir d'autres informations d'identification telles que le nom, l'adresse physique, et plus encore sur la carte d'identité.
Dans un scénario d'identité décentralisée, le client n'aurait qu'à partager une carte numérique indiquant qu'il répond à l'exigence d'âge, mais pas les données réelles (date de naissance spécifique) elles-mêmes.
| En relation : Le problème flagrant de la vérification des identités des consommateurs → |
Comment fonctionnent les solutions d'identité décentralisée ?
Dans l'écosystème actuel de l'identité numérique, la validation de l'identité numérique d'une personne est le plus souvent réalisée par le biais de justificatifs d'identité basés sur des comptes. Les utilisateurs peuvent avoir plusieurs comptes et utilisent souvent les mêmes noms d'utilisateur et mots de passe à travers eux pour réduire la friction de connexion, mais cela introduit le risque de piratage des justificatifs d'identité. Certains justificatifs d'identité basés sur des comptes sont fournis par des fournisseurs d'identité centralisés, tels que les fournisseurs de connexion sociale, puis fédérés à des tiers. Il existe également des risques associés à ce modèle, notamment les temps d'arrêt avec le fournisseur d'identité, ou le suivi de l'utilisateur à travers plusieurs comptes.
Alors, comment l'identité décentralisée fonctionne-t-elle différemment des justificatifs d'identité basés sur des comptes ?
Il n'y a pas de stockage central des données d'identité. Au lieu de cela, l'utilisateur apporte ses justificatifs d'identité numérique, qui lui ont été accordés par une autorité de confiance, pour être vérifiés par l'organisation cherchant à valider son identité.
| Il y a trois parties principales dans un cas d'utilisation d'identité décentralisée : |
|
Le fournisseur délivre un justificatif à une personne souvent après un processus de vérification typique du monde réel. Par exemple, un employé nouvellement embauché dans une entreprise devrait présenter son ID gouvernemental physique, remplir des documents, puis recevoir un badge physique et un justificatif numérique d'employé. Le justificatif crée une paire de clés cryptographiques :
- Une clé publique qui est stockée dans un registre distribué via un identifiant décentralisé unique (DID) pour permettre à un vérificateur de la consulter lorsque nécessaire.
- Une clé privée qui est stockée dans un portefeuille de justificatifs sur leur appareil mobile, que le nouvel employé peut utiliser pour l'authentification pour accéder aux comptes d'employé, comme un compte de messagerie professionnel.
Pour authentifier leur identité d'utilisateur, le nouvel employé (le sujet) présenterait sa clé publique associée à son justificatif d'employé au fournisseur de messagerie (le vérificateur), qui la consulterait ensuite sur le registre public. Le registre renvoie le DID unique et présente un défi pour que la clé privée de l'employé y réponde. Si l'employé possède la clé privée correcte liée au DID associé à la clé publique, alors l'utilisateur est authentifié et vérifié et ainsi autorisé à accéder au compte de messagerie.
Dans le scénario ci-dessus, le fournisseur de messagerie n'a pas besoin de stocker des informations d'identité utilisateur sensibles. L'authentification est effectuée sur la base de la confiance du fournisseur de justificatif qui a donné à l'employé un justificatif et a écrit cette information sur un registre public pour que d'autres puissent la vérifier.
Identité décentralisée pour une sécurité et une authentification améliorées
Dans les modèles actuels, les données d'identité peuvent être difficiles à sécuriser, à valider, et ajoutent souvent une friction frustrante au processus d'authentification de l'utilisateur. Par exemple, les mots de passe seuls ne sont pas un moyen fiable d'authentifier qu'une personne est bien celle qu'elle prétend être en ligne. De nombreux outils tels que les logiciels d'authentification multi-facteurs (MFA) ont émergé pour répondre à cela, mais ils peuvent être une contrainte pour l'utilisateur final. De même, les fausses identités sont fréquemment et facilement créées sur les plateformes sociales, ce qui rend les connexions sociales une source peu fiable pour les fins de vérification d'identité. Pour lutter contre ce problème, les entreprises peuvent utiliser des logiciels de détection de fraude pour les transactions à haut risque.
Avec l'identité décentralisée, cependant, les entreprises n'ont pas à stocker des informations sensibles sur les utilisateurs, ce qui réduit ou élimine même entièrement le risque de compromission des informations personnellement identifiables (PII) lors de violations de données.
Les entreprises n'ont pas non plus à investir dans des produits de sécurité tels que les logiciels de cryptage pour sécuriser les données d'identité qui n'existent pas en premier lieu. De plus, puisqu'il n'est pas nécessaire de stocker des informations sensibles comme les PII, le coût du stockage des données et des logiciels de gestion du stockage est réduit.
Comment cela impacte le marché existant de l'identité
L'identité décentralisée est nouvelle et de niche pour le moment, et les acteurs revendiquent une place sur le marché, comme le note la catégorie récemment créée de logiciels d'identité décentralisée de G2. Des poids lourds du logiciel comme Microsoft et IBM entrent dans l'espace alors que Microsoft a annoncé leur pilote d'identité décentralisée en septembre 2020 tandis qu'IBM a une version alpha de leur produit d'identité décentralisée disponible.
De plus, l'identité décentralisée peut être considérée comme une continuation d'une tendance déjà en cours dans un espace adjacent de la protection des données. Le concept de centrer les individus dans l'écosystème des données est une tendance émergente — la technologie de protection des données centrée sur les personnes cherche à mieux opérationnaliser le respect des choix des individus concernant les données qu'une entreprise stocke sur eux. Pour y parvenir, les entreprises doivent cesser de penser aux données comme étant stockées dans des silos, mais plutôt organisées autour de l'individu.
| Lire la suite : Tendances 2021 dans la technologie de protection des données centrée sur les personnes → |
Comment l'identité décentralisée impacte le marché existant de l'identité soulève de grandes questions. Comment cela affectera-t-il les fournisseurs d'identité d'aujourd'hui ? Comment cela affectera-t-il les fournisseurs de logiciels de connexion unique (SSO) ou les entreprises qui offrent des gestionnaires de mots de passe ? Comment cela affectera-t-il les annonceurs qui dépendent des données clients (pas seulement des données d'identité) ? Nous n'avons pas les réponses, mais il est essentiel de poser les questions.
Édité par Sinchana Mistry
Vous voulez en savoir plus sur Logiciel de gestion des identités ? Découvrez les produits Gestion de l'identité.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
