De l’identification au consentement, il n’y a qu’un pas

De l


Cette semaine, le monde feutré de la gestion des identités a été secoué par l’annonce du rachat d’Auth0 par Okta pour un montant de 6,5 milliards de dollars. Une annonce qui a attiré la curiosité de GreenSI sur ce domaine clef pour la cybersécurité et l’expérience utilisateur.

Le marché sur lequel ces sociétés opèrent est celui des technologies de contrôle d’accès, que ce soit en interne d’une entreprise (B2E), ou en externe avec ses clients ou ses partenaires (B2B, B2C). Elles permettent, la gestion des mots de passe et profils, ou leur délégation sécurisée en libre-service aux utilisateurs, en proposant plusieurs méthodes d’authentification (multifactorielle, SSO, …) et plusieurs protocoles d’identité (SAML, OAuth, ou OpenID). Elles sont essentielles pour la détection de la fraude et de la sécurité, mais aussi pour l’expérience utilisateur (UX). Un mauvais « provisioning » utilisateur (création de son compte et premier accès) est catastrophique en terme d’image. Quand il est interne, cet utilisateur peste contre sa DSI, mais quand il est externe il quitte le site internet, renonce à son achat ou résilie son abonnement.

Dans ce rachat, la hauteur du montant interroge (les actions d’Okta ont chuté de 14% avant de se reprendre). L’évaluation d’Auth0 lors de sa dernière augmentation de capital, l’été dernier,  la valorisait 3 fois moins ($2 milliards). Il faudrait donc comprendre que la consolidation de deux acteurs et les besoins de renforcement de la cybersécurité, tout en maitrisant l’expérience utilisateur aurait un tel potentiel de création de valeur sur le long terme ?

Auth0 est connu pour son offre gratuite qui permet à un développeur de démarrer facilement et d’enregistrer jusqu’à plusieurs milliers d’utilisateurs. Ensuite, c’est l’art de proposer des options et la croissance des utilisateurs qui permettent de gagner de l’argent. Cette approche est tout particulièrement adaptée pour la gestion des identités des clients (externes). Okta, quant à lui est plus développé pour la gestion des salariés (internes) négociée avec des DSI. Donc c’est vrai qu’en plus de leurs complémentarités géographiques de marchés, l’offre commune Okta+Auth0 est capable de couvrir un éventail plus large, des utilisateurs internes et externes de l’entreprise. On peut d’ailleurs suspecter que la partie gratuite de Auth0 deviendra progressivement payante.

Les deux patrons y voient la création d’un « cloud des identités » qui va s’imposer progressivement à toutes les entreprises avec la généralisation du Cloud. D’où selon eux une telle valorisation.

Sur ce marché, vu par l’analyste Gartner, le grand concurrent d’Okta c’est Microsoft qui profite de sa proximité avec les DSI pour prendre la tête du carré magique en 2020. Et donc Okta marque des points en s’ouvrant sur les identités des clients.

Mais cette course est loin d’être terminée. En fait elle commence !

La gestion des identités des clients, avec le développement du commerce en ligne, pèsera un jour plus lourd que la gestion des identités des salariés. C’est donc ici que l’on peut trouver du potentiel de valorisation.

Et puis, le développement des objets connectés va étendre ce besoin d’identité au monde des machines et des applications, qui conversent via des API. Donc pour construire une économie de la confiance, on va donc devoir gérer beaucoup plus d’identités à l’avenir. Un service payé à l’identité, avec des coûts qui eux sont fixes, est donc promis à un bel avenir.

Les approches « Zero trust » reposent justement sur la conviction que les entreprises devraient systématiquement ne jamais faire confiance à quoi que ce soit, ni à l’intérieur et ni à l’extérieur de leur périmètre réseau. Au-delà de l’identité, elle se propose d’exploiter l’intelligence artificielle et l’apprentissage automatique par la machine, pour aller vers de l’analyse comportementale avancée et en temps réel (UEBA – User & Entity Behavior Analytics)

Ce marché est donc en mutation et offre certainement de multiples opportunités de valorisation d’une plateforme qui serait devenue incontournable. Il y a cependant deux nuages, ou virages, qui pourraient contrer une logique de consolidation comme elle est en train d’arriver.

La première, c’est que les entreprises peuvent développer leur propre solution – ce qu’elles ont toujours fait – en s’appuyant sur de l’open source, qui en retour bénéficie de ces développements et d’une communauté grandissante. Dans un domaine où la confiance dans le code sera clef, et où le Cloud va jouer un rôle prédominant, l’open source a déjà montré sa capacité à y répondre quand il y est supporté par des grands acteurs mondiaux. Par exemple, dans un autre domaine où la sécurité et le Cloud sont critiques,  Kubernetes libéré par Google, est devenu en quelques années la référence mondiale d’orchestration des conteneurs, remettant en cause les stratégies des éditeurs qui misaient sur des solutions propriétaires.

La seconde, c’est la réponse à la question de savoir comment la gestion de l’identité va évoluer pour, à l’avenir, gérer le consentement, c’est-à-dire d’avoir la preuve que telle personne a bien donné son accord pour l’usage de ses données personnelles par tel acteur pour telle finalité.

Le RGPD s’impose en Europe et ces deux sociétés, américaines, n’ont peut-être pas encore mesuré tout l’impact d’un monde où c’est Mme Michu qui décidera si tel API peut accéder à sa photo qu’elle a confié à ce fournisseur. La tendance forte de la règlementation est de restituer les données personnelles détenues par les responsables de traitement aux individus afin de leur redonner la maitrise de celles-ci, ces derniers pouvant les (re)partager avec d’autres acteurs. Aujourd’hui on en est loin et on parle simplement d’accès à ses données personnelles, mais demain ?

Des tiers d’authentifications souveraines, comme en Estonie (plateforme nationale X-Road) ou en France (France Connect), se développent. En Estonie, qui a au moins 5 ans d’avance, les informations relatives aux individus sont systématiquement liées à leur identité numérique et enregistrées par l’administration concernée, sous le pilotage du RIA (Riigi Infosüsteemi Amet). Les employés de chaque administration ont des permissions limitées dans leurs accès aux informations des citoyens. Ils n’ont accès qu’aux informations qui leur sont nécessaires pour effectuer leur mission d’intérêt général et les accès à ces informations sont suivis et enregistrés afin qu’ils puissent être contrôlés par l’administration ainsi que par le citoyen. 

On peut également citer le travail de la Fing sur le « Self Data territorial« , qui est « la production, l’exploitation et le partage de données personnelles par les individus, sous leur contrôle et à leurs propres fins ». C’est la possibilité de développer une approche reposant sur le consentement et le portage des données personnelles par des tiers de confiance souverain. La Fing voient les métropoles comme ces tiers, pour remettre l’usager au centre et de lui permettre d’avoir une expérience sans-couture dans les services locaux.

Plusieurs formes de gouvernance des données pourraient émerger et par ricochet impacter les besoins en gestion des identités. Du cloud personnel qui va stocker pour moi mes données et donc gérer les autorisations de ceux qui veulent y accéder, à une gouvernance publique ou publique-privée. Les entreprises devront alors prendre en compte ces gouvernances pour gérer les identités et autorisations de leurs clients et partenaires. Rappelez-vous qu’avant l’état civil, c’était l’Eglise qui gérait l’identité, et c’est sa présence territoriale forte qui lui avait donné cette capacité 😉

 

Enfin, ce consentement ne concernera pas que les données personnelles.

On le voit apparaître dans les données des machines agricoles qui sont réutilisées pour alimenter les marchés et prédire les productions, donc anticiper les cours des matières premières. Des batailles juridiques sont engagées entre ceux qui produisent le matériel, de plus en plus connecté, et ceux qui les utilisent, pour savoir quelle donnée est accessible et propriété de qui.

GreenSI ne sait pas si cette fusion vaut 6,5 milliards, mais ce domaine va ouvrir de multiples opportunités. Le maitre mot, c’est de retrouver la confiance, dans une économie numérique tirée par ses clients, et dans un contexte de renforcement des régulations nationales et de la cybersécurité.

Pour les DSI qui ne voyaient dans la gestion de l’identité qu’un service technique ou une commodité à sous-traiter, les montants en jeux dans cette fusion rappellent qu’au contraire, c’est bien une pièce maitresse du système d’information que certains sont prêt à vous faire payer plus cher.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.