Qui êtes-vous ? Le cas délicat de la vérification de l'identité en ligne
Un panel d'experts en cybersécurité et en protection de la vie privée débat des enjeux croissants de la confirmation de l'identité numérique et des solutions d'authentification les plus viables
Bien que plus de 90 % des consommateurs britanniques possèdent un smartphone, notre capacité à identifier en toute confiance les personnes avec lesquelles nous interagissons en ligne - entreprises et particuliers - est relativement faible. L'Estonie, pionnière du numérique, a été rejointe par le Viêt Nam, le Brésil et la Chine pour émettre des cartes d'identité numériques, et un groupe de travail composé de huit nations, dont le Royaume-Uni, élabore des principes pour des systèmes d'identification numérique mutuellement reconnus. Cela permettrait de confirmer l'identité en ligne, mais il y a encore beaucoup d'autres étapes à franchir.
Matthew Moynahan, président-directeur général de OneSpan, utilise l'acronyme CIA (confidentialité, intégrité et disponibilité) pour expliquer pourquoi l'établissement d'une identité numérique unique est si souhaitable. "Nous avons largement résolu le problème de la confidentialité. La disponibilité a également été résolue, principalement grâce à l'informatique dématérialisée. C'est l'intégrité qui est attaquée. L'identité numérique résout le problème de l'intégrité associé aux utilisateurs finaux et peut potentiellement faire de grandes choses pour l'expérience de l'utilisateur."
Les outils sont-ils suffisants ?
Mais si les identifiants numériques sont la solution pour garantir l'intégrité des données, combien de temps faudra-t-il avant qu'ils ne soient eux aussi compromis ? Kavin Mistry, responsable du marketing numérique et de la personnalisation à la TSB Bank, explique : "La fraude a toujours existé. L'ingénierie sociale ou le phishing sont les formes les plus courantes. Les piratages dans les organisations sont relativement rares"
Dans ce qui peut souvent ressembler à une vaine partie de whack-a-mole, les organisations sont frustrées par le fait que, malgré les efforts déployés pour garantir la cybersécurité, des failles se produisent parfois. "Lorsque vous examinez les échecs opérationnels, le seul dénominateur commun est que les organisations échouent malgré leurs investissements", déclare Stewart Room, associé et responsable mondial de la protection des données et de la cybersécurité chez DWF. "Je n'ai jamais vu de cas où l'activité de gestion des risques était inexistante. Normalement, il y a beaucoup d'activités de gestion des risques
L'identité numérique résout le problème d'intégrité associé aux utilisateurs finaux et peut potentiellement apporter des améliorations considérables à l'expérience des utilisateurs
Karen Jacks, responsable de la technologie au sein du cabinet d'avocats international Bird & Bird, reconnaît que des formes d'identité sécurisées peuvent être utiles. Mais elle observe que même les outils les plus sûrs échouent si le comportement des gens ne change pas en même temps et souligne le fait que l'évolution du lieu de travail a créé de nouveaux défis en matière de sécurité. "En tant que cabinet d'avocats, nous avons un devoir de diligence et de nombreuses obligations. Nous devons trouver un équilibre entre ces obligations et le fait de permettre aux gens de travailler où ils le souhaitent et quand ils le souhaitent" Elle estime qu'il faut "changer les comportements et la façon dont les gens envisagent leur sécurité, et accepter que les choses ne sont plus les mêmes qu'il y a 20 ans"
Mme Jacks estime que les clients et les fournisseurs devraient au moins faire autant d'efforts que Bird & Bird pour rester aussi en bonne santé cybernétique que possible : "Nous consacrons beaucoup de temps à la défense de notre périmètre, à l'authentification à facteurs multiples, par exemple. Si nous collaborons avec nos clients, nous nous attendons à ce qu'ils fassent de même. Nous nous informons en permanence
M. Mistry, de la TSB, ajoute qu'il est trop facile aujourd'hui de faire des clients des collaborateurs involontaires dans les actes de fraude eux-mêmes : "Les fraudeurs trouvent des moyens nouveaux et innovants pour atteindre leurs cibles, en utilisant certaines des techniques employées par les banques elles-mêmes. Nous trouvons des réseaux de fraudeurs de plus en plus sophistiqués qui utilisent des canaux multiples qui leur donnent l'air d'être légitimes"
Concilier sécurité et commodité
Personne ne souhaite être victime d'une fraude, mais nous vivons dans un monde où la commodité prime. Même si elles ont nos intérêts à cœur, les entreprises qui nous compliquent la vie sont souvent délaissées au profit de celles qui nous font signe de passer. "Dans le monde B2B, comment comprendre qui vient à nous par le biais des canaux numériques, tout en améliorant le parcours d'achat et en évitant de dresser trop d'obstacles ? Il doit y avoir un échange d'informations pour instaurer la confiance", insiste Yuri Jurgens, responsable mondial des mesures et responsable numérique EMEA chez State Street Global Advisors.
Si cette confiance est importante, il est logique de ne pas en abuser. L'établissement d'une sorte de ressource d'identité centrale ou d'un identifiant numérique unique signifie qu'ils peuvent contenir une mine d'informations, ce qui rend chaque interaction, qu'il s'agisse d'entrer dans un magasin ou de se rendre dans un hôpital pour une procédure, tout à fait transparente. Mais les données mises à la disposition des partenaires commerciaux ou institutionnels doivent également être appropriées et uniques pour cette interaction.
"Le facteur de commodité améliore tout, mais il y a un risque quant à l'utilisation qui en sera faite. Je ne veux pas que tout le monde connaisse mon groupe sanguin si j'achète simplement un chapeau", fait remarquer M. Jurgens. "Je n'ai rien à cacher, mais je ne sais pas ce qu'ils pourraient faire de ces informations. J'aime l'idée d'avoir le contrôle sur l'utilisation des données, car le chat est déjà sorti du sac
Le paysage des données évolue constamment. L'abandon des cookies signifie que les entreprises seront plus enclines que jamais à trouver des moyens d'identifier leurs clients. Il existe de nouvelles plateformes que les consommateurs souhaitent utiliser, et le public a un appétit et une capacité variables à partager ses informations. "Une fois que vous avez soumis les clients à des obstacles de sécurité, ils ne toléreront pas de les franchir une deuxième fois. Il faut commencer par une vérification rigoureuse de l'identité", insiste M. Moynahan.
Mistry reconnaît que la convivialité, la pertinence et la sécurité doivent être au cœur de toute forme de cadre de conformité en matière de protection de la vie privée : "Il est important d'accompagner les clients sur la voie de l'adoption du numérique. Il y a des risques à disposer d'un moyen unique d'authentifier les transactions, même si le marché s'oriente dans cette direction. L'ouverture d'une session sur Facebook en est un exemple. Mais le fait de lier toute votre sécurité à une seule connexion met les gens mal à l'aise et peut soulever d'autres vulnérabilités"
À qui ferez-vous confiance demain ?
C'est l'un des plus grands défis à venir. À qui appartient le paysage de l'identité ? Il y a certainement de nombreux prétendants valables, mais le manque général de compréhension de la sécurité des données de la part du grand public et de nombreuses entreprises signifie que nous pourrions être en train de somnoler vers des problèmes futurs.
Qui défend les défenseurs ? Et qui possède l'identité numérique ?
"La position générale est qu'un fournisseur de services en nuage offre de meilleures économies d'échelle, une meilleure compréhension et, en fin de compte, un meilleur choix en termes de risque que de faire les choses soi-même. Mais nous avons ajusté notre opinion sans procéder à une véritable évaluation des risques", prévient M. Room. "Microsoft, Google et d'autres peuvent être crédibles, mais si l'on descend de quelques crans, l'informatique dématérialisée n'est pas aussi performante que l'informatique sur site
Jacks se méfie davantage du fait que nous sommes sur le point de mettre nos identités entre les mains d'entités privées sans mandat social :
"Je suis un peu nerveux à l'idée qu'un géant de la technologie puisse finir par être responsable d'une identité numérique. C'est à la fois effrayant et rassurant. Qui défend les défenseurs ? Et à qui appartient la carte d'identité numérique ? Si vous avez une erreur de passeport, c'est le gouvernement qui en est le propriétaire. Le gouvernement nous donne-t-il une carte d'identité numérique ? Ou s'agit-il d'un système mondial ? Comment cela fonctionne-t-il au niveau international ? C'est ce que je ne connais pas assez bien"
M. Moynahan reconnaît que l'équilibre entre la simplicité des interactions et la protection globale sera difficile à trouver. "Tout le monde veut une bonne expérience utilisateur. C'est la raison pour laquelle les paiements en un clic d'Apple et d'Amazon connaissent un tel succès. Le moteur de l'identité numérique, j'en conviens, réside dans la manière de créer une bonne expérience utilisateur dans un monde de plus en plus global. Mais il est aussi de plus en plus balkanisé. Comment puis-je faire ce que je veux sur l'internet quand tout le monde a son propre système d'identification numérique ?
Il existe donc des options permettant aux organisations d'offrir de meilleures expériences tout en fournissant aux consommateurs les outils nécessaires pour assurer leur sécurité et celle des entreprises avec lesquelles ils interagissent. Mais il serait exagéré de dire que le problème est résolu. D'ailleurs, les derniers commentaires de M. Room s'accompagnent d'un avertissement pour toutes les parties concernées :
"Les gens ne s'intéressent pas au sujet. Ils sont comme la grenouille dans l'eau bouillante. Ils ne protestent pas contre certains développements. Ils accepteront volontiers une livraison de marchandises plus efficace en échange de leurs données, parce que c'est mieux qu'une livraison inefficace" M. Room conclut : "Il faut améliorer l'élaboration des politiques afin d'obtenir des résultats qui conviennent à la société. Mais personne ne le fait encore. Nous n'avons pas tous les angles d'attaque
Cet article a été publié pour la première fois sur raconteur.net, le 14 juillet 2023.