Pour la plupart d’entre nous, gérer des identités évoque immédiatement l’accès à des applications et des ressources d’entreprise. Pourtant, la gestion des identités et des accès, plus connue sous l’acronyme d’IAM (Identity and Access Management) a pour but la création, la gestion et la protection des identités en sens large, et non pas uniquement des employés en entreprise.
Mais ces dernières ont d’abord besoin de stocker en toute sécurité les identités et les profils de leurs employés afin de les aider à travailler plus efficacement, et se sont donc longtemps exclusivement concentrés sur des systèmes IAM capables de gérer ces identités, et de faire en sorte que les bonnes personnes accèdent aux bons contenus, applications et services. Les cas de gestion des accès client étaient typiquement considérés comme des projets subalternes et des extensions mineures de systèmes IAM d’entreprise.
Cependant au cours des dernières années, la gestion des identités et des accès client (CIAM) a acquis une place à part et de plus en plus importante au sein des technologies IAM, sur la base d’exigences distinctes. Ces exigences reposent sur la différence fondamentale existant entre clients et employés. Les premiers peuvent facilement se tourner vers la concurrence s’ils ne sont pas satisfaits, alors que les seconds restent toujours soumis aux règles fixées par leur entreprise.
Dans l’environnement ultra concurrentiel d’aujourd’hui, l’expérience client peut être aussi importante que le produit ou le service offert, et peut souvent être un facteur décisif influant sur la décision d’achat. En outre, l’engagement des clients emprunte désormais de multiples canaux, ce qui implique qu’un système CIAM doit tenir compte d’une infrastructure complexe et de divers silos de données tout en maintenant un profil client unifié et en préservant les performances d’accès, même durant des périodes de fort trafic.
Les éléments traditionnels contenus dans les systèmes IAM s’adressant aux employés sont toujours présents dans les systèmes CIAM, mais la prise en compte de l’expérience client a entraîné de profondes évolutions dans les solutions que les entreprises déploient aujourd’hui pour protéger et gérer les identités client.
Le C dans CIAM
Utiliser une solution IAM traditionnelle pour gérer des identités client peut sembler à la fois logique et très simple, spécialement si l’entreprise concernée a déjà une telle solution en place pour protéger ses employés. Toutefois, les exigences d’une solution CIAM différent sensiblement de celles d’un système IAM traditionnel.
Objectifs clés
Dans le cas de la protection des employés, l’objectif premier est de réduire les risques de sécurité et d’accroître l’efficacité des accès aux ressources de l’entreprise. Dans le cas des clients, dont les attentes en termes de performance d’accès et d’engagement sont beaucoup plus fortes, l’impératif est de fournir une expérience client la plus fluide et transparente possible. Un système CIAM doit d’abord offrir cohérence, facilité d’utilisation et temps de réponse ultra rapides pour attirer et retenir les clients.
Sécurité de bout en bout
Même si les vols d’identité d’employés peuvent créer des dommages importants, les vols d’identités client peuvent avoir des conséquences beaucoup plus dévastatrices. La multiplication des nouveaux vecteurs d’attaque et l’accroissement du volume et de la fréquence des vols de données ont fait de la sécurisation des données client un impératif primordial pour les entreprises, du stade de l’authentification à celui du stockage des données elles-mêmes.
Echelle et impératifs de performance
Même pour les plus imposantes solutions IAM traditionnelles dédiées aux employés, le nombre d’utilisateurs à gérer ne dépasse pas plusieurs dizaines voire centaines de milliers. L’ordre de grandeur est tout autre pour les systèmes CIAM qui doivent gérer des millions d’utilisateurs en ligne et des milliards d’attributs différents, tout ceci sans sacrifier les performances. En plus du nombre très élevé d’identités à gérer, les entreprises doivent aussi prendre en compte les pics d’activités, telles que le BlackFriday par exemple pour la grande distribution. Les clients n’acceptent pas d’attendre en cas de ralentissement ou de blocage d’un site marchand, et ne pas être capable d’adapter son infrastructure à un accroissement soudain de la demande génère un vrai risque commercial.
Protection de la vie privée
Les politiques de protection de la vie privée sur les lieux de travail sont généralement fixées et gérées par les employeurs. En revanche, les consommateurs et clients doivent avoir un contrôle complet sur l’identité des personnes qui accèdent à leurs données, et la façon dont elles sont utilisées et partagées. Les solutions CIAM qui intègrent une gouvernance des accès aux données au niveau des attributs et une obligation de consentement permettent de renforcer la confiance des consommateurs et de réduire les risques. En outre, de nouvelles réglementations, telles que le RGPD, vont encore plus loin dans la protection des données personnelles des clients et sur les obligations soumises aux entreprises.
Implication des utilisateurs
Les employés sont identifiés par leur entreprise lorsqu’ils sont recrutés, et le service des ressources humaines gère ensuite les autorisations d’accès. Par contraste, les clients ou consommateurs s’enregistrent d’eux-mêmes, et l’entreprise concernée doit être capable de toujours les identifier par la suite, même lorsqu’ils prennent contact avec d’autres services et communiquent des informations supplémentaires. Les clients veulent aussi pouvoir gérer leur profil et leurs préférences, et s’inscrire et se désinscrire facilement à différents services.
L’IAM dans le CIAM
L’importance essentielle de l’expérience client dans les solutions de gestion des identités client a entraîné l’émergence de solutions CIAM accordant la priorité à des objectifs marketing, tels que les taux de conversion, au détriment de la sécurité, les performances et la capacité d’extension. Toutefois, ces éléments centraux des solutions IAM traditionnelles ne doivent pas être négligés. En fait, elles sont encore plus critiques pour la gestion des identités client compte tenu du haut niveau d’exigence de ces derniers et de la facilité avec laquelle ils peuvent basculer vers la concurrence. Aucune extension complémentaire ne peut compenser les effets dévastateurs d’un vol de données, d’un arrêt système, du non-respect d’une réglementation ou d’une perte de confiance.