5 tendances à suivre sur l’identité client

La gestion des identités clients est de plus en plus sophistiquée. Les clients désirent une connexion fluide, une navigation intuitive et ils veulent être protégés. Pour faire face à cette évolution, les organisations doivent être très attentives aux développements et innovations qui affectent les systèmes d’identité client. Et plus encore, être prêts à mettre en œuvre rapidement et efficacement de nouveaux produits et solutions.  

Pour vous donner toutes les cartes en mains, voici cinq tendances à suivre en matière de gestion des identités clients pour l’année à venir :

Aujourd’hui, de plus en plus d’organisations dans divers secteurs mettent en œuvre des systèmes d’authentification basée sur les risques (RBA) qui tiennent compte de signaux de risque avant d’accorder un accès à l’utilisateur.  

Les signaux de risque auxquels ils s’intéressent comprennent :

• La posture du terminal : S’agit-il du même terminal avec lequel cette personne se connecte habituellement   A-t-il été jailbreaké ?
 

• Données réseau : La connexion a-t-elle lieu depuis le même réseau ou s’agit-il d’un réseau différent ? Se trouve-t-elle dans la plage d’adresses IP ?  

• Données utilisateur : L’utilisateur interagit-il avec le terminal dans un schéma normal, notamment la vitesse de frappe, les zones sur lesquelles il appuie sur l’écran, la force de frappe et la vitesse à laquelle il balaye l’écran ?


L’un des principaux composants du RBA étant la détection d’activités frauduleuses avant le début de la session, les meilleurs outils de prévention des fraudes commencent à agir avant le début de la session authentifiée de l’utilisateur. Ceci veut dire que dès qu’un utilisateur arrive sur la page, la détection des fraudes entreprend d’évaluer tous les signaux de risques possibles, en analysant la télémétrie et les données utilisateur disponibles, et en les corrélant avec des données tierces pour déterminer s’il s’agit d’un utilisateur légitime ou d’un bot. 

 ◻︎ Question : Êtes-vous en train d’installer une RBA en continu ?

Une autre tendance dans la gestion des identités clients est le fait que de nombreuses organisations passent d’un contrôle d’accès statique basé sur les rôles (RBAC) à un contrôle d’accès basé sur les attributs (ABAC), ou autorisation dynamique. Historiquement, les organisations se sont appuyées sur une autorisation statique basée sur le fait qu’un utilisateur donne toutes ses données à une entreprise et se voit assigné un rôle. Dans le monde digital actuel, beaucoup d’autres éléments doivent être évalués afin de prendre des décisions d’autorisation d’importance critique, comme pour les transferts d’argent.

Qu’est-ce que l’autorisation dynamique ? Elle vous permet de contrôler l’autorisation de façon centralisée et peut évaluer tous les attributs et la télémétrie disponibles pour un utilisateur donné. Il peut s’agir de son rôle, des attributs de son identité, du consentement de l’utilisateur (stocké dans une base de données ou un annuaire utilisateur), de statuts de membre, de signaux de risque et toute autre donnée à laquelle une entreprise a accès. Et il ne s’agit pas seulement d’autoriser les ressources auxquelles les utilisateurs peuvent accéder. Ces politiques peuvent également être évaluées pour autoriser des actions, par exemple pour approuver des transactions, ou appliquer le consentement de l’utilisateur lors du partage des données d’un utilisateur avec des applis tierces.

Désormais, l’utilisateur peut choisir quelles informations fournir à l’organisation, sur la base d’une interaction spécifique. Par exemple, imaginons que des utilisateurs choisissent d’utiliser un service comme Mint pour avoir une vision consolidée de leurs données financières. Dans ce cas, l’utilisateur peut choisir d’autoriser uniquement Mint à consulter des informations basiques, comme le solde de ses comptes, mais rien concernant les échéances des factures.

Un autre exemple peut être lorsqu’un utilisateur qui commande un équipement auprès d’un fournisseur et accepte de partager son adresse et son numéro de téléphone avec l’entreprise de livraison tierce, mais pas son adresse email.

Les organisations qui mettent en place l’autorisation dynamique constateront probablement un meilleur taux de fidélisation, une meilleure confiance et un meilleur taux de satisfaction globale de leurs clients, ceux-ci profitant d’un meilleur contrôle de leurs données personnelles.

  ◻︎ Question : Êtes-vous passé à l’autorisation dynamique ?

Aujourd’hui les systèmes informatiques sont généralement centralisés, ce qui signifie que les informations personnelles d’un utilisateur telles que son nom, son adresse et son numéro de carte de crédit peuvent potentiellement être stockées sur des dizaines de sites. 

Par exemple, dans le passé, les entreprises de eCommerce stockaient les informations personnelles et les numéros de carte de crédit de leurs utilisateurs. Désormais, des standards ont été mis en place pour permettre aux utilisateurs de reprendre le contrôle sur leurs données d’identité à travers la gestion décentralisée des identités. Cela signifie que les organisations ne devront recevoir d’informations que sur une base transactionnelle ; lorsque les utilisateurs autoriseront la transmission de leurs identifiants et de leurs méthodes de paiement vérifiés en toute sécurité depuis leur porte-monnaie électronique vers l’organisation, pour finaliser la dite transaction.  

Par exemple, vous pourrez fournir vos identifiants vérifiés au cabinet d’un médecin, qui n’aura plus besoin d’appeler votre compagnie d’assurance pour vérifier votre couverture et vos remboursements. Ces standards permettent également de s’assurer que les informations sont toujours à jour, et non l’image d’une situation antérieure. Et les utilisateurs peuvent révoquer ces données à tout moment, en leur permettant de contrôler totalement leurs données personnelles. 

En bref, l’identité décentralisée permet aux utilisateurs de prendre le contrôle de leurs informations, en minimisant le besoin de transférer leurs données à une organisation pour pouvoir interagir avec elle. Cela est également bénéfique pour les entreprises, car elles peuvent être certaines que les informations que les consommateurs ont partagé avec elles sont exactes et qu’elles appartiennent à la personne avec laquelle elles interagissent, ce qui réduit le risque de fraudes et renforce la sécurité simultanément pour les deux parties.

Qu’est ce que l’identité décentralisée prend en compte ?

L’identité décentralisée présente de nombreux avantages, lesquels se multiplient au fur et à mesure que s’accroît le nombre de personnes qui l’utilisent. Malheureusement, cela a donné lieu à un paradoxe de l’œuf et de la poule. 

Voilà ce qu’il en est :

Aujourd’hui, les banques peuvent facilement délivrer une version digitale de la carte de crédit d’un utilisateur qui serait compatible avec les protocoles d’identité décentralisée, qui n’est pas si différente d’un utilisateur qui ajouterait sa carte de crédit à son porte-monnaie électronique sur son téléphone. 

En poussant ce concept un peu plus loin, les gouvernements peuvent vous délivrer une version digitale de votre permis de conduire que vous pouvez également stocker sur votre téléphone. Toutefois, vous devrez toujours avoir votre permis physique avec vous jusqu’à ce que vos agences de location de voiture par exemple aient les outils pour vérifier eux-mêmes cette identité digitale. L’identité décentralisée a le vent en poupe et cette tendance n’est pas en train de s’éteindre. Elle conduira à changer en profondeur la façon dont les gens se présentent dans le monde digital, et c’est juste une question de temps avant que cela devienne la norme.

   ◻︎ Question : Avez-vous une méthode ou un plan pour mettre en place l’identité décentralisée ?

Au cours des dernières années, la sécurité a clairement pris une place de plus en plus centrale. Les gros titres ont été remplis de cyber attaques qui peuvent affecter notre vie quotidienne telles que le ransomware ciblant Colonial Pipeline ou celles ayant touché les secteurs de la santé et des universités. 

Désormais, les RSSI travaillent étroitement avec les CIO sur des projets de transformation digitale pour s’assurer que les expériences utilisateur sont à la fois fluides et sécurisées. Un exemple de cette évolution est la mise en œuvre de systèmes d’authentification basés sur le niveau de risque (mentionnée plus haut). Après tout, pourquoi imposer à tous les utilisateurs une authentification multifacteur alors qu’ils ne posent pas tous le même niveau de risque ?

Un autre exemple est l’élimination des mots de passe, en créant des expériences de connexion sécurisées et fluides pour les utilisateurs, qui permettent aux organisations de fidéliser leurs clients et d’obtenir un avantage concurrentiel. Je vous donnerai plus d’informations à ce sujet un peu plus tard.

Enfin, nous constatons un intérêt croissant pour la capacité à créer, tester et évaluer rapidement différentes expériences utilisateur pour découvrir lesquelles fonctionnent le mieux. Concrètement, cela veut dire   

• Des expériences faciles à intégrer dans des applis avec un simple copier coller et quelques lignes de code. Les éléments intégrés hériteront automatiquement des paramètres des applis et le résultat sera parfait, réduisant drastiquement les délais de leur mise sur le marché.

• L’orchestration des expériences utilisateur tout au long du parcours utilisateur, et non seulement lors de l’authentification. Avant l’enregistrement, après l’authentification et au-delà. Ceci vous permet également de créer des tableaux de bord avec une vue complète de l’activité tout au long du parcours utilisateur. 

• Des tests A/B et des analytics pour pouvoir tester et analyser quels parcours convertissent plus d’utilisateurs pour optimiser rapidement la meilleure expérience.

• Faciliter la tâche aux développeursen rendant l’intégration des expériences dans les applications aussi facile que leur conception. Par exemple, en intégrant un flux d’enregistrement fluide dans une appli avec quelques lignes de code, et faisant en sorte qu’il hérite automatiquement du design et du paramétrage de l’appli et puisse la mettre à jour instantanément avec une interface en glisser-déposer. 

 ◻︎ Question : Faites-vous de l’expérience utilisateur une priorité ?

Enfin et, bien que nous n’en soyons pas encore tout à fait là, l’une des tendances que nous observons en CIAM est le fait que de plus en plus d’organisations proposeront l’authentification passwordless. Mais c’est une voie que les organisations doivent prendre. Et, comme beaucoup d’autres choses, la raison pour laquelle elles ne le font pas encore est probablement qu’elles doivent consacrer leurs ressources à d’autres priorités, ou bien qu’elles ne savent simplement pas par où commencer.

Mais tout bien considéré, ne laissez pas encore longtemps de côté l’authentification passwordless, car elle présente d’énormes avantages ! Voici pourquoi :

• Le passwordless améliore sensiblement l’expérience utilisateur en rendant l’accès en ligne fluide et sécurisé. 46 % des consommateurs préfèrent les sites qui proposent des alternatives aux mots de passe et 53 % se sentent mieux lorsqu’ils utilisent le MFA pour se connecter à des sites ou à des services. 
  
  

  Les clients sont déjà habitués aux connexions biométriques passwordless sur leurs smartphones. En proposant une authentification sans mot de passe, les entreprises peuvent non seulement améliorer les expériences utilisateur, mais aussi réduire le taux d’abandon et accroître leur chiffre d’affaires.

   

• 33 % des tickets de helpdesk sont liés aux mots de passe et, l’année dernière, les leaders de l’informatique ont constaté une hausse de 30 % des incidents liés aux mots de passe.¹

• Concernant les identités des clients, les mots de passe coûtent très cher aux organisations. En moyenne, 11 heures sont perdues par an pour réinitialiser des mots de passe, 12 minutes par jour sont consacrées à la saisie et à la réinitialisation de mots de passe et 33 % des tickets de support sont liés aux mots de passe. Pour une entreprise de 15 000 employés, on estime le coût moyen en matière de perte de productivité par organisation à 5,2 millions de $ par an.²

Si le passwordless est un parcours, il est gagnant-gagnant à la fois pour l’entreprise et ses clients.

 ◻︎ Question : Avez-vous commencé un projet de passwordless ?

Il est impératif pour les responsables de l’informatique, les architectes et les professionnels de connaître ces tendances et de les devancer. Savoir où vous vous situez vous aide à mieux comprendre là où vous voulez aller. Les organisations les plus intelligentes doivent continuer autant que possible à améliorer leur approche du CIAM, si et quand leurs budgets et leurs ressources le leur permettent.

Faisons un bref récapitulatif :

 ◻︎ Êtes-vous en train de mettre en place une RBA en continu ?

 ◻︎ Êtes-vous passé à l’autorisation dynamique ?

 ◻︎ Avez-vous une méthode ou un plan pour mettre en place l’identité décentralisée ?

 ◻︎ Faites-vous de l’expérience utilisateur une priorité ?

 ◻︎ Avez-vous commencé un projet de passwordless ? 

Ne vous inquiétez pas si nous n’avez pas répondu oui à toutes ces questions. En général, tant que vous gardez à l’esprit la sécurité et l’expérience client, vous êtes sur la bonne voie.

Consultez notre Guide d’achat complet consacré au CIAM pour avoir une feuille de route détaillée sur la façon d’évaluer une solution de gestion des identités clients. 

Sources :

1. Notre avenir Passwordless : Une nouvelle ère de la sécurité https://www.pingidentity.com/fr/resources/content-library/misc/3637-2022-workforce-survey-our-passwordless-future.html

2. https://www.thenationalnews.com/business/up-to-11-hours-spent-every-year-resetting-passwords-1.819620