| identité numérique
Gestion des identités et des accès : comprendre le CIAM, un accélérateur au service du business
Comprendre l'IAM et le CIAM
Dans l’univers de la cybersécurité et de la gestion des identités et des accès, deux concepts clés se détachent pour leur rôle central dans la sécurisation des systèmes d’information et l’amélioration de l’expérience utilisateur : la Gestion des Identités et des Accès (IAM) et la Gestion des Identités et des Accès des Clients (CIAM). Ces cadres de gestion des identités et des accès sont vitaux pour les entreprises qui cherchent à naviguer dans le paysage numérique moderne, marqué par une augmentation des cybermenaces et par l’exigence d’une expérience utilisateur fluide et sécurisée. L’identité numérique est devenue un élément clé de la stratégie des sociétés.
L’IAM et le CIAM, bien que partageant des objectifs communs de sécurisation de l’accès aux systèmes et données, répondent en réalité à des besoins spécifiques à leur périmètre.
L’IAM se concentre principalement sur la gestion des identités et des accès des employés et des prestataires de l’entreprise (B2E) à son système d’information. Elle s’assure ainsi que les bonnes personnes ont le juste niveau d’accès, aux ressources adéquates, au bon moment (principe du moindre privilège). L’entreprise a une maîtrise forte sur ces populations et peut dicter ses politiques en matière de sécurité. En établissant des pratiques et des processus IAM solides, elle améliore son niveau de sécurité, réduit ses coûts opérationnels en gagnant en efficience et renforce sa capacité d’adaptation dans un contexte concurrentiel.
Le CIAM (Customer ou Consumer Identity and Access Management), quant à lui, est l’application de l’IAM, mais dans les contextes B2B (Business-to-Business) et B2C (Business-to-Consumer). Il s’intéresse donc aux populations dite clientes, qu’elles soient des organisations ou des individus du grand public. Les enjeux, bénéfices et fonctionnalités attendus du CIAM varient par conséquent en fonction du contexte. L’entreprise a une maîtrise partielle de ces populations et doit adapter sa politique de gestion pour trouver un équilibre entre les 3 grands axes d’intérêt qui sont l’expérience utilisateur, la protection des données et la conformité vis-à-vis des réglementations.
Comprendre le CIAM pour booster le business de votre entreprise
Optimiser la Gestion des Identités et des Accès Clients pour le B2B : stratégies et avantages
Dans un contexte B2B, le CIAM gère les identités ayant une relation commerciale et professionnelle avec l’entreprise. Il peut s’agir d’entreprises clientes, de fournisseurs ou plus communément nommés sous le terme de partenaires. Le CIAM B2B est utilisé pour leur permettre d’accéder à des informations, services et outils. Par exemple, un fournisseur peut avoir besoin d’accéder à un outil de gestion de commandes, un partenaire peut avoir besoin d’accéder à de la documentation. Le CIAM B2B met l’accent sur la collaboration avec ces différents partenaires.
Le CIAM B2B contribue à la croissance d’une organisation à travers la mise en œuvre de processus et de fonctionnalités adaptés. En effet, il apporte des solutions pour faciliter la collaboration avec celles partenaires, maîtriser leur accès, réduire le Time-to-Market et renforcer l’image de marque. Les bénéfices attendus sont tangibles en termes de productivité, réduction des coûts de support et de sécurité.
En pratique, le CIAM B2B s’appuie sur des fonctionnalités clés :
- Authentification sans friction (SSO) et sécurisée (MFA) ;
- Autonomie des identités partenaires (self-service), par exemple pour demander un accès complémentaire ou en cas d’oubli de mot de passe ;
- Vision centralisé des identités et accès partenaires ;
- Contrôle et revue des identités et accès partenaires ;
- Capacité de délégation de responsabilités au partenaire ;
- Capacité d’interconnexion avec le système d’information du partenaire (Fédération d’identité).
Au-delà des fonctionnalités, il est impératif de réfléchir aux scénarios d’intégration des partenaires. En effet, les coûts et ressources nécessaires pour l’exploitation d’un service CIAM B2B sont rapidement exponentiels si l’entreprise est la seule à administrer et supporter toutes les identités. De plus, elle n’est pas toujours légitime pour gérer le cycle de vie des identités partenaires au quotidien en l’absence des informations pour prendre les bonnes actions ou décisions au bon moment – notamment en cas de départ d’une identité partenaire ou de demandes d’accès. L’organisation se doit donc de déléguer certaines responsabilités aux partenaires. Plusieurs approches peuvent être envisagées en fonction de leur maturité : technologique, sécurité et organisationnel.
L’évaluation de la maturité détermine le niveau de confiance envers le partenaire et son éligibilité à assurer :
- L’authentification de ses identités sur son propre système (Fédération d’identité) pour s’affranchir d’un compte et mot de passe local ;
- La gestion du cycle de vie de ses identités par des personnes habilitées chez le partenaire car ils sont les plus à même d’avoir l’information (création, modification, suppression…) à jour ;
- Le support utilisateur en cas de problème.
La relation B2B étant régie par un contrat, il est pertinent de prévoir des clauses contractuelles liées à l’utilisation des outils/services fournis et adaptées en fonction de l’offre retenue. Le parcours d’intégration du partenaire passe donc par des étapes juridiques, de configurations de solutions techniques, de définition de l’organisation opérationnelle et de formation des parties prenantes.
Améliorer l'engagement avec le CIAM dans le B2C
Dans un contexte B2C, la gestion des identités et des accès (CIAM) gère les identités des prospects grand public, autrement dit de particuliers qui achètent ou consomment des produits ou services de l’entreprise. Le premier domaine d’application associé au B2C est celui du e-commerce mais concerne également d’autres domaines tels que le public, la santé ou la finance. Dans l’e-commerce, le CIAM B2C contribue à l’amélioration du taux de conversion des campagnes marketing et à la concrétisation des transactions. Le parcours client est au cœur de la réflexion et se doit d’offrir une expérience utilisateur sans friction et unifiée. En effet, plus de 50% des personnes ont déjà renoncé à un service après avoir jugé l’authentification trop contraignante.
Cette expérience se doit d’être omnicanal, c’est-à-dire de permettre d’interagir avec les utilisateurs de manière cohérente sur plusieurs canaux de communication et de vente en même temps, qu’ils soient physiques ou numériques (boutiques, sites web, applications mobiles, réseaux sociaux, etc.). Le CIAM B2C apporte des réponses au travers de fonctionnalités clés telles que :
- L’authentification via du social login si l’utilisateur souhaite utiliser un compte de réseau social pour s’authentifier, tel qu’avec Google, Apple, Facebook, Microsoft, etc ;
- L’authentification multifactorielle (MFA) pour renforcer son identité et la sécurité de son compte ;
- L’inscription simplifiée pour limiter la demande d’informations à la création du compte et les demander au moment opportun ;
- La personnalisation de l’expérience en fonction des préférences et intérêts de l’utilisateur (progressive profiling).
L’entreprise est soumise à des contraintes réglementaires telles que le RGPD portant sur la protection et l’usage des données. Elles se traduisent par des fonctionnalités essentielles CIAM pour redonner à l’usager le contrôle sur ses données :
- Droit au consentement : « Le recueil du consentement assure aux personnes concernées un contrôle fort sur leurs données, en leur permettant :
- de comprendre le traitement qui sera fait de leurs données ;
- de choisir sans contrainte d’accepter ou non ce traitement ;
- de changer d’avis librement. » ;
- Droit à l’oubli : « Si un utilisateur ne souhaite plus bénéficier des services d’un site de commerce, celui-ci peut demander la suppression de ses données. » ;
- Droit à la portabilité : « Le droit à la portabilité permet à un utilisateur « de récupérer les données qu’il a fournies à une plateforme, pour un usage personnel ou pour les transmettre à des tiers » ;
- Droit de rectification : « Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsque ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite. ».
Le CIAM B2C concerne directement le cœur d’activité de l’entreprise et n’est pas cloisonné d’un point de vue opérationnel aux équipes IT. Les équipes métier (e-commerce, marketing, CRM) sont bien souvent les premiers porteurs des besoins cités précédemment et d’autres plus spécifiques. On peut mentionner la détection de fraude pour empêcher la création de plusieurs comptes afin de profiter d’une offre réservée aux nouveaux abonnés ou la création de comptes par un robot. Dans certains cas liés à des services financiers, l’entreprise a pour obligation de vérifier l’identité du client (Know Your Customer – KYC) pour confirmer qu’il s’agit bien de qui il affirme être à travers la vérification d’un document d’identité officiel telle que la carte d’identité et d’un selfie.
Les bonnes pratiques pour définir votre projet CIAM
Pour bien définir votre projet CIAM au sein de votre entreprise, il est essentiel de suivre certaines bonnes pratiques.
Cadrer votre projet
Avant toute chose, il est indispensable de définir le contexte CIAM à adresser : B2B ou B2C, puisque chacun répond à des enjeux distincts, et de réaliser un cadrage du projet avant son exécution. La première étape consiste à comprendre l’existant à travers la réalisation d’un état des lieux des processus en place, et de l’écosystème actuel (utilisateurs, partenaires, fournisseurs, clients). La seconde se concentre sur la définition de vos besoins, exigences, cas d’usage à couvrir. Ce travail préalable sert alors de fondation pour définir votre vision cible de la gestion des identités du CIAM, identifier les chantiers à entreprendre, les ressources nécessaires, les coûts estimés et choisir la solution à intégrer, en adéquation avec vos objectifs. Ces informations sont généralement détaillées dans un plan projet, qui décrit les éléments clés pour réaliser et atteindre vos ambitions.
Le principal défi est de concevoir une ou des offres de service CIAM équilibrant le parcours client, l’expérience utilisateur, la sécurité et la structure organisationnelle à mettre en place pour le supporter et sécuriser les identités, que ce soit dans un contexte B2B ou B2C.
Impliquer les bonnes équipes
La collaboration efficace entre les équipes métier et les équipes IT joue un rôle déterminant dans l’intégration réussie des solutions de CIAM au sein des systèmes d’information. Cette synergie organisationnelle est indispensable pour harmoniser la stratégie CIAM avec les objectifs commerciaux spécifiques de l’entreprise et répondre aux exigences techniques nécessaires à une gestion sécurisée et efficace des identités utilisateur.
Avoir un sponsor
Comme pour tout projet, le succès d’une intégration CIAM dépend également en partie de l’engagement et du soutien d’un sponsor pouvant assurer la visibilité du projet au niveau des instances de direction, l’allocation des ressources nécessaires, et les arbitrages en cas de nécessité. L’engagement d’un sponsor et de la direction dans les projets CIAM est donc un facteur déterminant pour leur réussite.
Adopter une solution CIAM mature et bien intégrée est donc crucial pour toute entreprise aspirant à se développer dans le paysage numérique actuel. En mettant l’accent sur la gestion des identités et des accès grâce à la mise en place de processus IAM et CIAM, les entreprises peuvent non seulement naviguer en sécurité dans un environnement réglementaire complexe, mais également se distinguer par la qualité de leur relation B2B et B2C.
Thierry MA & Anne-Lise POUTREL
IAM senior Managers