Clients, fournisseurs, collaborateurs et partenaires doivent tous pouvoir accéder aux données dont ils ont besoin, au bon moment, de manière sécurisée et efficace. Vous pouvez le faire vous-même ou déléguer cette compétence essentielle à un partenaire de confiance. Il est toutefois important de reconnaître cet aspect comme critique pour votre activité, car il peut avoir un impact significatif sur vos résultats et votre réputation.
Gestion des identités vs. gestion des accès
La vérification d’identité est un processus qui confirme l’identité d’un utilisateur de votre système. Il vérifie différentes propriétés de l’identité de l’utilisateur - comme son nom, son adresse e-mail ou son numéro de téléphone - afin de s’assurer qu’il est bien celui qu’il prétend être. Ce processus est important car il contribue à prévenir les activités frauduleuses, telles que l’usurpation d’identité, et permet d’attribuer les bons accès à la bonne personne.
La gestion des accès est le processus de contrôle de l’accès à un système ou à une ressource. Il s’agit d’accorder ou de refuser l’accès à des utilisateurs ou groupes spécifiques en fonction de leurs rôles, permissions, abonnements ou d’autres critères. Ce processus est important et presque toujours critique pour une organisation active dans l’espace numérique, car il garantit que seuls les utilisateurs autorisés ont accès au système ou aux ressources, avec le niveau d’accès approprié.
Lors de l’inscription sur une plateforme numérique, vous devez pouvoir vous identifier et vous authentifier. Le fournisseur de la plateforme doit d’abord s’assurer que vous pouvez être identifié de manière unique - traditionnellement en vérifiant votre adresse e-mail et un mot de passe. Ces dernières années, l’authentification multifacteur, les clés numériques, la biométrie et d’autres méthodes sont devenues de plus en plus populaires pour identifier les utilisateurs. Une fois votre identité établie, la plateforme vous accorde l’accès aux ressources dont vous avez besoin.
En tant qu’entreprise, vous souhaitez permettre aux nouveaux utilisateurs de s’inscrire avec le moins de friction possible. Pour cela, vous pouvez leur permettre de s’identifier via des fournisseurs d’identité reconnus tels que Google, Microsoft, LinkedIn, Apple, GitHub, etc. Mais attention : vous ne voulez pas déléguer la gestion des accès à un tiers.
Contrôler les autorisations d’accès aux ressources est un aspect critique de votre activité dans l’espace numérique.
Les pièges courants de la délégation de la gestion des accès
Google Firebase propose de gérer tous les contacts entre votre plateforme et vos utilisateurs, et vous permet de configurer la gestion des accès et les notifications via sa pile technologique. En déléguant cette gestion à Firebase, vous pouvez tirer parti de ses fonctionnalités - authentification à deux facteurs, chiffrement et protection des données - pour assurer la sécurité des données de vos utilisateurs et prévenir les accès non autorisés. Mais une question se pose : qui détient réellement le contact avec vos utilisateurs ? Google ou vous ?
Pour votre organisation, il s’agit de peser les avantages et les inconvénients. Entre des fonctionnalités supposées gratuites et la délégation d’un certain niveau de contrôle à un tiers.
Garder le contrôle de vos clients
Vous pouvez décider de conserver le contrôle de vos clients et de la gestion de leurs données, en utilisant les fournisseurs d’identité existants tout en assurant votre propre gestion des accès. Les deux solutions pratiques sont les implémentations sur mesure - avec votre propre code ou un framework - et les solutions open source d’entreprise auto-hébergées que vous pouvez exploiter vous-même.
Avantages de garder le contrôle de vos clients
En gardant le contrôle du contact avec vos clients, vous pouvez surveiller tous les signaux entrants et sortants qu’ils reçoivent. Vous vous assurez ainsi qu’ils évoluent toujours dans un environnement sécurisé et de confiance, et vous améliorez votre compréhension de vos clients. Contrôler l’expérience numérique de vos clients vous permet de garantir une expérience de premier ordre au sein de l’écosystème de vos produits numériques.
Pourquoi nous exploitons Keycloak nous-mêmes plutôt qu’un SaaS étranger
Chez Luzid, nous appliquons ce même principe à notre propre plateforme - et pour les clients qui veulent garder le contrôle de leur couche d’identité. Nous avons examiné les options SaaS étrangères évidentes - Auth0, Okta, Microsoft Entra, Google Firebase Auth - et nous les avons toutes écartées pour la même raison : chacune place la relation client et la couche de décision d’accès sous les conditions d’une entreprise étrangère et la portée d’une juridiction étrangère. Le coût de cette délégation est rarement évident - jusqu’à ce que vous vouliez en sortir, qu’un palier tarifaire change, ou qu’un audit vous demande qui peut lire votre liste d’utilisateurs.
Nous avons choisi Keycloak, le projet IAM open source créé à l’origine par Red Hat et désormais gouverné sous la Cloud Native Computing Foundation. Trois points ont fait la différence :
- C’est open source. Pas de compteur de licences, pas de tarif au nombre d’utilisateurs, pas de changement de palier surprise. Nous pouvons lire le code, l’auditer et le corriger nous-mêmes si nécessaire.
- Il tourne sur notre infrastructure. Les données d’identité résident dans nos propres bases de données, sur nos propres serveurs, sous la même juridiction que le reste de la pile. Il n’y a pas de tiers sur le chemin d’authentification.
- C’est une implémentation sérieuse des standards. OpenID Connect, OAuth 2.0, SAML 2.0, FAPI - le tout proprement implémenté. Nous pouvons intégrer n’importe quel fournisseur d’identité conforme pour le login social (Google, Microsoft, GitHub), sans lui céder le contrôle de la décision d’accès elle-même.
Exploiter Keycloak soi-même implique aussi de l’opérer : appliquer les correctifs, faire les sauvegardes, le configurer. Pour nous, c’est une fonctionnalité, pas un défaut. Nous opérons déjà le reste de notre pile de la même manière, et la discipline opérationnelle qui sert à exploiter notre propre base de données couvre aussi notre propre authentification. Pour les clients qui veulent posséder leur relation client, nous avons ainsi un schéma de déploiement que nous pouvons répliquer rapidement, plutôt qu’un compte SaaS que nous louerions en leur nom.
Gardez le contrôle de vos clients et de votre marque numérique
Évaluez le nombre de partenaires externes à qui vous avez délégué la gestion des accès pour vos clients et partenaires, dans quels pays ils se trouvent et quelles sont leurs conditions générales. Assurez-vous d'être en conformité avec les réglementations en vigueur et de pouvoir offrir le même niveau d'accès à vos clients et partenaires.
Assurez-vous de disposer des bons outils et processus pour gérer les accès de vos clients et partenaires, y compris l'utilisation de mots de passe forts, l'authentification multifacteur et des audits de sécurité réguliers. Garder le contrôle vous permettra de tirer parti de la gestion des accès à votre avantage.
