Identity Access Management : Quelles solutions pour les accès BtoC?

co-écrit par Ronan.

Le Business to Client (BtoC) est l’ensemble des services proposés aux clients et prospects par une entreprise. À l’heure du digital, ces services sont de plus en plus supportés par des applications accessibles via internet ou mobile sur lesquelles les clients ont des comptes individuels.

L’accès à ces services BtoC devient un sujet de préoccupation pour de nombreuses entreprises…

Ces accès peuvent en effet être plus ou moins sensibles en fonction des informations manipulées (données personnelles, informations bancaires, données médicales…) et/ou des enjeux financiers qui découlent des opérations réalisables en ligne (virement bancaire, souscription de service, achat,…).

Ces enjeux de sécurité sont également partagés par les clients et poussés par la règlementation. Les réglementations se multiplient autour des sujets « data privacy », en lien direct avec une cybercriminalité qui se renforce. Ce marché lucratif des identités numériques explose : une identité numérique piratée a une valeur estimée à quelques milliers euros en moyenne sur le marché noir.

Toute attaque réussie induit donc des coûts directs au business mais aussi et surtout indirects pour toute l’entreprise: procès, image dégradée…

La sécurisation de ces accès BtoC s’inscrit en partie dans la continuité des travaux déjà engagés pour les populations internes (BtoE), fournisseurs et partenaires (BtoB). Toutefois, les spécificités du BtoC limitent la réutilisation des solutions de l’IAM BtoE/BtoB :

–          Les services BtoC s’adressent à des populations situées hors de l’entreprise. Ceci nécessite donc de prendre en compte les problématiques d’accès distant. Le manque de sensibilisation des clients et la diversité des périphériques utilisés requièrent de mettre en place des solutions sécurisées, mais aussi ergonomiques et flexibles.

–          Le volume d’identités digitales BtoC est considérablement plus élevé que celui des identités BtoE, ce qui détermine les choix de solutions et des modèles opérationnels. Un groupe d’assurance CAC40 gère ainsi habituellement environ 100 000 identités dans le monde B2E, pour plus de 100 millions dans le monde B2C !

–          L‘enjeu « Time to Market » prédomine souvent face à celui de la sécurité. En particulier, les entités au cœur des services BtoC sont souvent le Marketing ou la Communication, et celles -ci sont traditionnellement assez distantes des équipes sécurité. Ainsi, il est fréquent qu’elles n’intègrent pas les questions de sécurité dans la phase amont des projets.

–          L’attrait du « Social Login » comme simplificateur de l’expérience client introduit des problématiques sécurité assez différentes de celles d’un projet IAM habituel (confiance, niveau de service, gestion des incidents…).

La première étape d’un projet d’IAM BtoC est la définition d’un business plan prenant en compte les enjeux métiers, client et sécurité.

Le projet IAM doit s’articuler autour d’une analyse de risques. Cette analyse de risque doit structurer le modèle opérationnel et la solution technique portés par le projet IAM.

–          La méthodologie d’analyse de risques est celle des projets IAM classiques. Elle peut toutefois être complétée d’une campagne de Pen-test pour rendre factuelle l’analyse et donner au métier un aperçu plus concret des risques.

–          Le modèle opérationnel repose essentiellement sur de la délégation de tâches vers le client (self-care) et les entités locales (prise en compte des spécificités locales et marketing). Ce modèle doit être étayé par la mise en place d’une gouvernance globale et de politiques de sécurité précises et partagées.

–          La plupart des solutions sont traditionnellement facturées au nombre d’utilisateurs, ce qui peut au final induire un coût très important, qui plus est pour des utilisateurs parfois occasionnels. Les solutions Open Source sont une alternative théoriquement moins coûteuse.

Il ne faut pas oublier la communication avec le client qui est essentielle pour la conduite du changement. Cette communication mettra en avant les avantages liés au projet : l’expérience utilisateur et la confiance. L’IAM BtoC devient alors un atout pour la Marque !