Amiral Nelson, L’identité et l’Internet des objets
Le 21 octobre 1805, le monde a changé. Lors de la bataille de Trafalgar, l’amiral britannique Horatio Nelson mit en place une nouvelle stratégie de guerre navale. Au lieu de s’aligner dans une ligne de tir face à l’ennemi, il envoya sa flotte directement sur les lignes ennemies. Le chaos qui s’ensuivit ne permettait plus aux matelots de se fier au lieu pour identifier les alliés et les ennemis. Au lieu de cela, Nelson redéfinit sa compréhension de l’identité : la légende affirme qu’il a peint ses navires dans un motif unique afin que l’identité de chaque navire soit évidente. Cela permit à l’ensemble de la flotte (chaque navire, chaque matelot) d’agir immédiatement et indépendamment afin de remporter la victoire. Sachant cela, il partit au combat avec un seul ordre de combat : « Nous attendons de chacun qu’il fasse son devoir ». La marine britannique remporta une victoire décisive et la guerre navale ne fut plus jamais la même. Les entreprises d’aujourd’hui se retrouvent à un point d’inflexion similaire ; la montée de l’Internet des objets change le monde entrepreneurial. On estime que plus de 50 milliards d’appareils seront connectés à Internet au cours des trois prochaines années et les entreprises cherchent à exploiter cette nouvelle capacité : Gartner estime que plus de 73 % des sociétés lanceront une initiative IdO d’ici l’année prochaine. Ces initiatives amèneront une nouvelle génération d’appareils, d’agents et de programmes représentant des cibles alléchantes pour des acteurs malveillants. Plus important encore, le programme d’identité devrait prendre en charge 85 % de ces initiatives IdO. L’Internet des objets arrive et les programmes d’identité devraient régir ce phénomène. Comment pouvons-nous, comme Nelson, utiliser le pouvoir de l’identité ? Comment pouvons-nous les adopter sans problème dans un programme de gouvernance des identités existant et leur permettre d’être à la fois productifs et sécurisés ? Comment pouvons-nous émettre un seul ordre de bataille « Nous attendons de chaque entité basée sur les identités qu’elle fasse son devoir » ? Notre compréhension de l’identité doit s’élargir afin d’intégrer ce nouvel ensemble d’entités introduit par l’Internet des objets. Tout d’abord, nous devons étudier l’ensemble des appareils, agents et programmes afin de détecter s’ils entrent dans la gamme de l’IdO et d’identifier leur niveau de menace potentielle. Le niveau de menace associé peut alors être déterminé, ainsi que le niveau de gouvernance requis. En appliquant des modèles d’identité existants bien compris (par exemple sous-traitant ou employé), moyennant quelques modifications le cas échéant, nous pouvons prolonger la gouvernance des identités à cette nouvelle classe d’acteurs, transformant ainsi l’Internet des objets en Identité des objets.
Le spectre de l’Internet des objets et les modèles d’identité existants l’Internet des objets est un ensemble varié d’équipements, d’agents et de programmes. Il est utile de considérer cet ensemble en tant que spectre continu. D’un côté du spectre se trouvent les dispositifs passifs connectés au réseau, mais avec peu d’autonomie. Une caméra de sécurité qui assure la surveillance illustre très bien cette partie du spectre. Les appareils passifs ne méritent pas d’identité. Ils nécessitent plutôt une protection des accès et un cycle régulier d’identifiants permettant l’accès à l’appareil, quelque chose comme la gestion des comptes privilégiés. Au milieu du spectre se trouvent les agents indépendants. Il s’agit souvent de programmes ou « bots » qui prennent en charge des tâches spécifiques pour l’entreprise. L’automatisation robotisée des processus (RPA) correspond parfaitement à cette zone. Les agents ont accès à certaines ressources et peuvent opérer des changements, mais ces activités sont limitées. Un bot de service client qui répond aux questions au sujet du statut d’une commande illustre parfaitement cette section moyenne du spectre. Le meilleur accès et la capacité à prendre des initiatives signifient que la gouvernance est requise et qu’une identité doit ainsi être attribuée. Cependant, l’accès et le contrôle étant limités, les « bots » peuvent être traités comme des sous-traitants, avec un accès et un contrôle limités dans le temps et restreints. À l’autre bout du spectre se trouvent les programmes sophistiqués basés sur l’intelligence artificielle. Les limites d’accès sont minimes et ces programmes ont la possibilité de prendre des mesures si nécessaire. Le potentiel illimité de l’intelligence artificielle, tout comme ses dangers, captivent l’imagination (comme l’a prouvé tout un genre cinématographique). À l’évidence, ces acteurs d’ordre supérieur nécessitent une gouvernance totale et doivent par conséquent être traités comme des employés de l’entreprise à part entière. Toutes les entités au sein de l’Internet des objets se trouvent quelque part dans le spectre. Plus on se déplace vers le haut sur ce continuum (des agents passifs à l’intelligence artificielle en passant par les agents indépendants), plus on obtient un meilleur accès aux ressources et la capacité à amorcer un changement dans l’environnement. Par conséquent, cela indique une augmentation associée des risques pour l’entreprise. Cela augmente également la probabilité d’attribution d’une identité ; une identité qui doit être régie selon des modèles bien compris afin de réduire le risque élevé.
Le pouvoir de l’identité et l’Internet des objets L’Internet des objets change le fonctionnement des entreprises et la gestion de ces nouveaux équipements, de ces bots et de l’intelligence artificielle nécessite une réévaluation de l’identité. Tout comme à l’époque de Nelson, une évolution de stratégie (à la recherche de l’Internet des objets basé sur l’identité) est un facteur de réussite essentiel. Une telle stratégie démontre le pouvoir de l’identité permettant aux entreprises d’adopter cette nouvelle technologie et de profiter du changement qui l’accompagne. Les entreprises qui déploient cette stratégie peuvent alors, comme Nelson, émettre un seul ordre de bataille : « Nous attendons de chaque entité basée sur les identités qu’elle fasse son devoir ».