Un grand nombre d’internautes a déjà utilisé les boutons Facebook, Twitter ou Google Apps, disponibles sur les sites Web, pour se connecter à des services tiers. Particulièrement utile dans le cadre de l’informatique grand public, cette fonctionnalité permet à l’utilisateur d’accéder à une palette de services à l’aide de ses mots de passe Facebook, Twitter ou Google Apps, sans avoir à configurer plusieurs comptes sur différents sites internet. Cette tendance s’est également propagée à l’univers de l’entreprise, où les employés ont pris l’habitude de se connecter à des sites professionnels ou à des environnements B2B grâce à leur compte Facebook ou Twitter. Si la commodité de cette pratique est appréciée des employés, elle pose cependant de nombreuses questions à l’entreprise quant aux répercussions éventuelles…
Fuites d’identité dans le cloud
La connexion à des services professionnels en utilisant des identifiants personnels peut s’avérer une pratique à risques pour l’entreprise. Celle-ci ne pourra en effet pas suivre les activités de son employé s’il se connecte à un site professionnel, ou à un environnement B2B, comme Salesforce ou ADP, par le biais de ses identifiants sociaux personnels (compte Facebook, compte Google, etc.). Il sera impossible pour entreprise de vérifier l’identité de l’utilisateur, de contrôler ses actions ou de piloter son accès. Si l’employé vient à quitter l’entreprise, celle-ci ne pourra l’empêcher d’accéder aux services précités, il y restera connecté sous son identité personnelle.
Les responsables de la sécurité doivent regagner le terrain perdu
Actuellement, la majorité des employés accède à des services tiers par le biais de ses identifiants utilisés sur les réseaux sociaux. Cela signifie que le contrôle de l’identité de ces utilisateurs, de même que les capacités de provisionnement et de gestion des comptes associées, sont transférées à Google, Twitter ou Facebook. Dans ces conditions, l’organisation IT interne risque de devenir inadaptée et d’être considérée comme un frein pour l’employé, qui fera alors en sorte de la contourner. L’organisation IT peut répondre à cette problématique et amener les salariés à utiliser leur ID professionnelle pour accéder aux services tiers, via une procédure extrêmement simple.
Le défaut de contrôle sur les identités des employés se trouve également au cœur des préoccupations des responsables de la sécurité. Ceux-ci doivent savoir comment les utilisateurs gèrent leurs mots de passe, connaître le type de services auquel ceux-ci accèdent et être en mesure d’évaluer le risque de piratage de leur identité. Dans la plupart des cas, les responsables de la sécurité pallient ce problème en appliquant des politiques de mots de passe. Néanmoins, si les utilisateurs contournent les règles de connexion interne et accèdent à des systèmes tiers via Gmail, les politiques mises en place deviennent de fait redondantes et inadaptées.
Fournisseurs d’identité
L’entreprise doit pouvoir exercer un contrôle sur la façon dont ses employés utilisent leur identité dites « sociale » pour accéder à des sites et environnements professionnels. Twitter, Facebook et Google sont alors considérés comme des fournisseurs d’identité pour l’utilisateur (IdP- Identity Provider – fournisseur d’identité). Par exemple, l’utilisateur se connecte au service à l’aide du nom d’utilisateur et du mot de passe Facebook. Puis Facebook connecte ensuite l’utilisateur et se porte garant de son identité auprès des autres systèmes utilisés.
Si Facebook, Twitter et Google ont pu devenir des IdP, c’est grâce à des technologies telles que OAuth et OpenID. Une entreprise qui désire devenir son propre fournisseur d’identité peut également exploiter ces technologies.
Afin de maîtriser l’identité de ses employés, l’entreprise devient fournisseur d’identité en amenant les utilisateurs à se connecter aux services tiers via Intranet. Ainsi, l’entreprise se porte elle-même garante de l’identité de ses employés et leur fournit, en guise de point d’accès, ses propres liens vers les différents services tiers utilisés.
Une entreprise peut également devenir fournisseur d’identité via le développement d’un portail interne dédié à ses employés. Néanmoins, cette approche nécessite la maîtrise de standards d’identité nombreux et complexes. Autre alternative, les produits de médiation d’identité constituent une passerelle qui fait office de point d’accès de l’identité professionnelle aux services tiers.
La question de la propriété
En conclusion, il est important de rappeler que les fournisseurs d’identité tels que Google, Facebook et Twitter sont propriétaires des identifiants de l’utilisateur et, en finalité, de son identité numérique. Par exemple, un utilisateur qui supprime le compte Gmail affilié à des services tiers se verra dans l’impossibilité d’accéder à ces services par la suite… Dans ce contexte, l’identité d’un employé présente des liens de plus en plus étroits avec les plateformes de réseaux sociaux. Pour contrer cette tendance, les entreprises doivent exercer un contrôle sur l’accès de leurs employés à ces services et leur proposer une alternative : la connexion interne, qui doit être définie par une politique mise en place par le service informatique de l’entreprise. Se connecter via internet doit être très facile d’utilisation, faute de quoi les employés continueront à utiliser leurs identifiants personnels pour accéder à des sites tiers, exposant l’entreprise à des risques potentiels et à un défaut de gouvernance.
___________
Jean Claude Bellando est Directeur Marketing Solution chez Axway