4 principes pour sécuriser l’écosystème d’identité numérique
- Avec des services de plus en plus numériques, la preuve de l’identité en ligne reste essentielle.
- Les cas d’utilisation intersystèmes nécessitent une signification commune de la confiance.
- Une sécurité et une confiance accrues dans les identités peuvent encourager une plus grande participation.
Lorsque nous traversons des aéroports avec des passeports qui nous permettent d’entrer dans des pays, il est parfois facile d’oublier toutes les étapes sous-jacentes qui ont permis d’établir la confiance entre les pays émetteurs et les pays d’accueil. Au minimum, il y a la définition de normalisation internationale d’une «expression neutre» pour le logiciel de reconnaissance faciale; la zone lisible par machine du passeport qui contient nos informations biographiques; les caractéristiques d’interface de la puce embarquée; et, plus important encore, les processus utilisés pour prouver initialement l’identité du propriétaire et ses droits sur le passeport, et les étapes d’authentification ultérieures utilisées pour vérifier qu’il s’agit bien de celui qui présente le passeport aux aéroports et aux frontières.
Tout comme un passeport physique facilite les déplacements, imaginez la commodité d’avoir votre propre «passeport» d’identité numérique que vous pouvez présenter chaque fois que vous souhaitez accéder à un nouveau service en ligne, sans fournir toutes les informations personnelles habituelles et sans créer un mot de passe de nom d’utilisateur, et d’autres facteurs d’authentification. Mais alors que le monde en ligne – de plus en plus omniprésent en raison de la pandémie mondiale – ne nécessite aucun document physique normalisé, la vérification de l’identité et l’authentification deviennent inexorablement plus complexes à mesure que les utilisateurs essaient d’accéder à un large éventail de services et d’avantages sans aucun interaction avec la personne. Pour les transactions à but unique, que ce soit dans le secteur commercial ou gouvernemental, les solutions d’identité autonomes sont aujourd’hui souvent robustes et faciles à utiliser. Les défis commencent à se poser lorsque nous exploitons les informations d’identification créées par un système pour les utiliser sur un autre.
Pourquoi est-ce si difficile? Au cœur du défi se trouvent deux considérations importantes interdépendantes: la confiance et la motivation. Avec les documents de voyage, un pays émetteur est incité à autoriser ses citoyens à voyager dans d’autres pays, et les deux pays se sont mis d’accord sur les conditions de fonctionnement du passeport – il y a donc une confiance mutuelle. La sécurisation de l’écosystème de l’identité numérique est importante car elle peut aider à établir les bases d’une telle confiance en ligne: entre les fournisseurs de services, les services d’identité et, surtout, les utilisateurs qui dirigeront les moteurs transactionnels commerciaux et gouvernementaux.
Cette confiance doit cependant être alignée sur des incitations pour les différentes parties. Par exemple, les utilisateurs qui gèrent et réutilisent leurs informations d’identification comme les passeports seraient probablement incités à générer une plus grande croissance économique en ligne grâce à plus de commodité et de confiance. En outre, si les fournisseurs d’identité commerciaux sont incités à permettre aux utilisateurs de réutiliser les informations d’identification pour accéder à une multitude de services, cela permet de limiter la quantité d’informations personnelles en ligne inutiles et répliquées que les consommateurs sont tenus de fournir. Cela signifierait surmonter tout problème de responsabilité entre les parties ou la tendance naturelle des organisations à vouloir conserver des informations sur leur clientèle pour leur usage exclusif.
Les 4 principes directeurs de l’identité numérique
Image: Deloitte
Bien qu’il reste encore beaucoup à faire autour de ces considérations, l’aspect confiance internationale de l’identité numérique mûrit rapidement. Sur la base de programmes de soutien à travers le gouvernement et les organisations commerciales depuis plus d’une décennie, Deloitte a récemment articulé quatre principes spécifiques qui sont importants pour réaliser des transactions en ligne plus larges, plus solides et plus pratiques:
- Les solutions d’identité numérique doivent être contrôlées par l’utilisateur et portables. Cela signifie que les citoyens et les consommateurs peuvent facilement accéder à de nombreux services en ligne avec la même identité numérique sécurisée et ne pas avoir à en créer plusieurs pour chaque service.
- Les services d’identité numérique doivent être flexibles et adaptatifs. Les services doivent prendre en charge l’intégration rapide des différents dispositifs des utilisateurs finaux et des mécanismes d’authentification – tels que les technologies biométriques et les solutions à faible friction telles que l’analyse comportementale – en fonction de l’évolution des technologies et de l’évolution de l’environnement des menaces.
- Un écosystème d’identité numérique plus large émergera probablement là où des informations vérifiées sont consommées. Par exemple, un citoyen peut établir une confiance de réputation autour de son identité numérique qui peut ensuite être utilisée pour publier des informations en ligne ou recevoir des alertes de menace, telles que des adresses e-mail compromises ou d’autres informations qui peuvent être partagées entre les organisations de l’écosystème.
- Des systèmes d’identité numérique solides devraient permettre une confiance bidirectionnelle. Autrement dit, les gouvernements doivent savoir que les citoyens autorisés ont accès aux services et aux informations. Mais les citoyens doivent également avoir confiance qu’ils interagissent avec un service légitime, que leurs informations personnelles seront protégées et qu’ils peuvent accéder efficacement aux services.
Comme indiqué, la confiance doit s’étendre à toute la gamme des fournisseurs d’identité et de services dans l’écosystème d’identité. Bien qu’il existe des outils de fédération qui facilitent l’interopérabilité technique (c.-à-d. Le format des données a-t-il un sens?), Il reste encore une lacune dans la définition des «règles de la route» qui peuvent quantifier la confiance incarnée dans un justificatif d’identité: c’est-à-dire nous sommes vraiment sûrs que la personne qui présente le titre est bien celle qu’elle prétend être?
En ce qui concerne les incitations, il existe un potentiel de partage de données entre les participants au sein d’un écosystème d’identité numérique. Ces données pourraient inclure des signaux de menace partagés, des informations sur les nouvelles vulnérabilités, des profils d’acteurs de menaces émergents et des informations générales qui aident à débloquer des capacités de sécurité à l’échelle de l’écosystème d’identité à l’appui de transactions de confiance. Cela permettrait aux gouvernements et aux organisations commerciales de déployer une approche en couches qui ajuste de manière dynamique les contrôles de sécurité en fonction du risque situationnel et transactionnel actuellement connu. Cela permettrait également à tous les participants de l’écosystème plus large de l’identité numérique d’avoir plus confiance dans les données sur lesquelles ils s’appuient et donc d’encourager un ensemble plus riche de participants.
À une époque de données sans précédent et d’intelligence omniprésente, il est essentiel que les organisations réinventent la façon dont elles gèrent les données personnelles et les identités numériques. En responsabilisant les individus et en leur offrant des moyens de contrôler leurs propres données, les identités numériques centrées sur l’utilisateur permettent des interactions physiques et numériques fiables – des services gouvernementaux aux paiements électroniques en passant par les informations d’identification de santé, la mobilité sûre ou l’emploi.
Le Forum économique mondial organise la plate-forme pour une bonne identité numérique pour faire progresser les activités d’identité numérique mondiale qui sont collaboratives et placent l’intérêt de l’utilisateur au centre.
Le Forum convoque des collaborations d’identité numérique public-privé des voyages, de la santé et des services financiers dans un réseau mondial d’action et d’apprentissage – pour comprendre les défis communs et saisir des solutions utiles pour soutenir les coalitions actuelles et futures. De plus, des modèles spécifiques à l’industrie tels que l’identité numérique du voyageur connu ou les modèles d’identité décentralisés montrent que des solutions d’identité numérique respectant l’individu sont possibles.
La pandémie obligeant à une plus grande interaction en ligne, il est probable qu’une société plus virtuelle persistera au-delà de la crise. En tant que tel, un écosystème d’identité numérique dynamique et cohérent sera nécessaire pour permettre aux citoyens et aux consommateurs de naviguer plus efficacement et plus facilement en ligne, tandis que les gouvernements et les organisations commerciales obtiennent l’assurance dont ils ont besoin pour déterminer que les avantages et les services vont aux bonnes personnes. Cette société virtuelle aura de nombreuses circonstances diverses – avec des cas d’utilisation couvrant un large éventail d’exigences pour les identités numériques. Mais il est essentiel d’atteindre le bon degré de confiance et d’incitation qui inspirera aux utilisateurs la confiance nécessaire pour stimuler la croissance économique pour les années à venir.