Chaque fuite de données est synonyme de dommages pour l’entreprise et suscite surtout une perte de confiance de la part des clients : ces dommages sont très difficiles à estimer mais ils peuvent, dans le pire des cas, paralyser la croissance de l’entreprise. Mais ces pertes de données peuvent également être synonymes d’amendes comme ce fut le cas aux Etats-Unis pour la Kaiser Foundation Health Plan, Inc., en Californie, état dans lequel les entreprises doivent révéler leurs pertes de données rapidement. Mais l’entreprise n’avait révélé que 3 mois plus tard qu’elle avait perdu un disque dur avec les informations personnelles de plus de 20000 employés et de leurs familles. Un délai de 3 mois qui lui a valu une amende de 41 millions d’euros (soit 1990 euros par individu concerné).

De telles failles de sécurité ne sont que la conséquence logique d’une connexion permanente : si tout est connecté, tout est vulnérable. Pourtant, beaucoup d’entreprises se sont laissées surprendre et réalisent, tout d’un coup, qu’elles sont vulnérables. Et cela mène à une nouvelle prise de conscience sur l’importance qu’ont les technologies et les processus de sécurité pour l’engagement des clients, le chiffre d’affaires et le capital-marque.

Chaque entreprise ou organisation, sans but lucratif ou autre, qui détient des données personnelles doit réévaluer la sécurité de son infrastructure informatique et commencer à se poser les questions suivantes : comment réduire les risques ? Comment être sûr qu’un utilisateur précis n’a accès qu’à ce dont il a besoin ? Et plus important encore, comment les avancées technologiques peuvent-elles aider à gérer les identités afin qu’il soit possible de continuer à profiter d’une meilleure connexion et d’un meilleur partage des données personnelles, sans que celles-ci ne soient exposées à des risques de sécurité ?

Les pare-feux et les périmètres de sécurité sont en général hors-jeu lorsqu’un nombre important de systèmes se doit de pouvoir être accessible à un très grand nombre d’utilisateurs ne se trouvant pas au sein de l’entreprise. À la place, beaucoup d’entreprises se tournent vers « la réduction de la surface d’attaque », une approche de Brad Maiorino, le tout nouveau chef de la sécurité informatique chez Target.

D’après Monsieur Maiorino, « il n’est pas nécessaire d’avoir des solutions de défense de type militaire pour réaliser qu’il y a trop de connexions sur le réseau. Il faut surtout simplifier et consolider ces solutions un maximum. »

En plus de réduire le nombre de points de connexion, les entreprises doivent compliquer le système d’identification. Les mots de passe de sécurité faibles et choisis par les utilisateurs sont les talons d’Achille de beaucoup de systèmes. De plus en plus d’entreprises mettent alors en place un système d’identification à multi-facteurs afin qu’il soit plus difficile pour les individus non-autorisés de deviner les mots de passe ou de se connecter avec des informations volées.

Mais même si d’un côté, le fait de renforcer les politiques d’accès soit logique, d’un autre, les clients et les partenaires de l’entreprise requièrent un accès simple et ils se tourneront vers d’autres solutions s’ils trouvent le système d’accès trop compliqué. Au lieu d’établir plus de restrictions, les entreprises doivent améliorer leurs processus d’accès avec plus d’intelligence contextuelle. Le système d’identification unique d’aujourd’hui, le système SSO, doit être beaucoup plus qu’un simple choix entre oui et non. Les systèmes d’accès doivent saisir et agir en fonction d’un contexte pour chaque opération.

Le contexte peut inclure plusieurs facteurs : quels sont les systèmes auxquels un utilisateur en particulier doit pouvoir avoir accès afin d’accomplir ses tâches ? Quand cet utilisateur a -t-il besoin de l’accès ? Où se trouve-t-il ? Grâce à un contexte bien défini pour chaque utilisateur, les systèmes de sécurité peuvent repérer et répondre avec précision à des variations de la norme. Si un individu se connecte à partir d’un nouvel appareil ou d’un nouveau pays, par exemple, les systèmes doivent demander des identifications supplémentaires.

Une telle intelligence contextuelle pourrait avoir protégé Target. Pourquoi est-ce qu’un vendeur de chauffages, ventilations et climatisations devrait-il avoir accès à un système de terminal de point de vente ? Pourquoi est-ce qu’il s’y connecterait en plein milieu de la nuit alors que les maintenances ne se font généralement que pendant les heures d’ouverture ? Et pourquoi est-ce que la connexion se ferait via un emplacement à distance, alors qu’elles se font habituellement à partir de l’un de leurs bureaux ou d’un site Target ? N’importe lequel de ces indices contextuels aurait pu mettre la puce à l’oreille sur le danger et aurait éventuellement pu éviter la perte de données de l’entreprise.

Les fuites de données sont de plus en plus importantes et de plus en plus fréquentes. Cela prouve que l’ère des solutions de gestion des identités et d’accès traditionnelles (IAM) est bien finie. Les solutions IAM étaient destinées et conçues pour un usage interne, afin de supporter des milliers d’employés sur leurs ordinateurs professionnels. Elles ne peuvent tout simplement pas fonctionner de manière sécurisée avec des utilisateurs externes, qui se compteraient par millions et qui se connecteraient via différents appareils mobiles, tablettes, navigateurs web et via l’IdO, à n’importe quel moment et de n’importe où. Dans le monde numérique d’aujourd’hui, il devient de plus en plus important de pouvoir gérer un très grand nombre d’utilisateurs externes.

C’est pourquoi les entreprises, au sens large, ont commencé à se tourner vers des solutions IRM qui lient les utilisateurs à des identités numériques qu’une entreprise peut identifier et avec lesquelles elle peut interagir, afin de déployer des services sécurisés en toute simplicité, à travers des applications, des terminaux et des objets. Elles peuvent supporter plusieurs appareils par utilisateur, réagir en fonction d’un contexte, et s’adapter afin de gérer plusieurs millions d’utilisateurs en même temps. Elles lient les appareils (ordinateurs portables, téléphones, TouchPad et même voitures) aux nouvelles applications mobiles et sociales pour ainsi créer une plateforme de sécurité unique qui permet une identification unique et une synchronisation des identités à n’importe quel moment et de n’importe où.

Les solutions IRM offrent aux entreprises un système de sécurité dynamique et établi qui surpasse très facilement tout ce qui l’a un jour précédé. De plus, étant donné que ces solutions fournissent une meilleure vision de qui a accès à quel système, à partir de quel appareil et à quel moment, ses avantages vont bien au-delà de la sécurité. Elles aident les entreprises à comprendre leurs clients, pas seulement à les protéger. Elles offrent de nouvelles opportunités en termes de chiffre d’affaires puisqu’elles permettent de fournir aux clients des services personnalisés, de faire des ventes croisées et des montées en gamme. Et étant donné la puissance de l’association d’une expérience client personnalisée et d’une sécurité adaptable et à toute épreuve, toutes les entreprises devraient dès maintenant se pencher sur les solutions IRM, préférablement avant que la prochaine grande perte de données ne vienne faire les gros titres des médias, et bien évidemment, avant qu’elles n’en soient les victimes.