Les identités numériques

Raccourcis

Tribune libre

Le 22 mars 2007, Par Marcel Rizcallah

Diplômé de l’Ecole Nationale des Ponts et Chaussées, Marcel Rizcallah est Directeur du programme Gestion des Identités chez Oracle. Il cumule plus de 20 ans d’expérience en informatique, donc 12 ans passés en tant que Directeur Technique du cabinet de conseil Valoris. Son expérience reconnue dans le domaine de la gestion des identités lui a permis d’accompagner de nombreux clients de la phase amont à la mise en œuvre de leurs projets. Il a aussi une forte expérience dans les nouvelles technologies dont l’Internet ainsi que dans l’urbanisation des systèmes d’information. Marcel Rizcallah est aussi l’auteur d’un ouvrage de référence sur les Annuaires LDAP, publié aux Editions Eyrolles en Août 2000 et en novembre 2004. Il a aussi écrit de nombreux livres blancs sur la gestion des identités et sur le BPM, et plus récemment sur le Machine-to-Machine en partenariat avec France Telecom et le Syntec. Il est aussi l’auteur de nombreux articles dans la presse informatique.

Nous communiquons tous les jours des informations sur notre identité. Par exemple, lors de l’accès à un site Internet, ou encore lors de l’accès aux systèmes et applications d’entreprise, nous fournissons un identifiant, une adresse de messagerie, un numéro de carte de crédit, etc. Ces données, qu’on désigne généralement par identités numériques, sont sauvegardées et réutilisées grâce à des systèmes d’information. Mais le sont-elles à bon escient ? Quels sont nos droits et les obligations des entreprises relatives à ces données ? Pourquoi les entreprises s’intéressent-elles à ces informations ? Quelles opportunités pour les experts en la matière, comme les juristes et les informaticiens ? Quelles opportunités pour le Liban ?

Au delà de l’usage mal intentionné par un site des numéros de cartes de crédit récoltés lors d’achats en ligne, l’usurpation d’identité peut prendre différentes formes et causer de nombreux préjudices à chacun de nous, aux services administratifs et aux entreprises qui nous emploient. Par exemple, nous avons tous été victimes au moins une fois des « spam », ces courriers publicitaires envoyés à tous, qui polluent nos boîtes aux lettres et qui constituent plus de 70% du trafic des messageries sur Internet ! C’est la conséquence de la rediffusion de notre adresse de messagerie à des tiers. Ou encore, le renforcement d’une stratégie de mots de passe au sein d’une entreprise ou pour des services administratifs en ligne, peut engendrer l’oubli de ceux-ci par l’usager et la nécessité d’appeler le service client, engendrant un engorgement de ce dernier et une dégradation de la qualité de service et de l’image de l’entreprise. Ou encore, avec la mobilité croissante des collaborateurs et les accès distants au système d’information, comment s’assurer que seules les applications qui correspondent au métier d’un employé lui sont autorisées ? Des lois sur la sécurité financière, comme Sarbanne-Oxley (SOX) aux Etats-Unis ou LSF en France imposent aux entreprises de respecter des règles « d’éthique » relatives aux métiers des employés et à leurs droits d’accès informatique. Par exemple, le non cumul des rôles, comme la fonction « achat » et celle relative à la sélection des fournisseurs, doit aussi se traduire par l’absence d’accès aux applications informatiques associées.

La solution consiste à mettre en place des outils de gestion des identités et des accès, permettant de renforcer la politique de sécurité, de rationnaliser les processus de création des comptes et d’attribution des droits, tout en assurant une cohérence des droits d’accès dans un environnement informatique hétérogène. Ces outils ont atteint à ce jour un niveau de maturité suffisant. Ils sont constitués de plusieurs composants, ayant chacun un rôle bien précis. Certains d’entre eux assureront la gestion du cycle de vie des identités, d’autres permettront d’outiller les processus d’approbation de droits d’accès, et enfin d’autres apporteront les services nécessaires au renforcement des mots de passe, à l’authentification forte via des cartes puces, et au contrôle des accès aux applications conformément à la stratégie de sécurité de l’entreprise.

Ces outils, pour être mis en œuvre avec succès, devront s’appuyer sur des démarches adéquates et des bonnes pratiques spécifiques aux problématiques de sécurité informatique. Les sociétés de conseil et d’intégration de systèmes y trouveront de nouvelles opportunités de service. Les compétences requises passent avant tout par la maîtrise des technologies sous-jacentes, comme les annuaires LDAP, les outils d’authentification unique (Single Sign On) et les serveurs d’autorisation, etc. Mais elles comprennent aussi la maîtrise des impacts organisationnels générés par la mise en place de processus rigoureux de création d’un nouvel utilisateur, de modification de son profil, ou encore d’approbation de ses droits. Et enfin, il est aussi nécessaire de connaître suffisamment les lois en vigueur relative aux libertés individuelles et à la conformité réglementaire (comme Bâle II et SOX), et notamment les impacts de ces lois sur les solutions informatiques et les limites qu’elles imposent en terme d’usage.

Quelles opportunités pour le Liban ? Les sociétés de services en informatique y trouverons de nouvelles opportunités d’affaires à forte valeur ajoutée et nécessitant une main d’œuvre extrêmement qualifiée. Les entreprises devront tôt ou tard mettre en place ce type d’outils, pour protéger leur patrimoine informationnel et contrôler les accès à leurs applications informatiques.

La gestion des identités et des accès n’est autre que la transposition dans un monde numérique des liens sociaux entre les individus. En effet, il s’agit de gérer dans un système informatique qui est qui, qui fait quoi, qui à droit à quoi, etc. Qui d’autre que les Libanais est mieux placé pour ce métier ?

(Publicité)