Retour sur l’Identity Live 2017

0

Le 21 novembre dernier a eu lieu l’Identity Live au Cercle des armées à Paris, événement estampillé ForgeRock réunissant des acteurs du numérique témoignant de leur transformation digitale et notamment de leur gestion des identités.

Keynote d’ouverture

A 09h20, Ismet Geri, vice-président BENELUX et Europe du sud nous a rappelé l’importance du digital et des changements en cours avec l’arrivée de l’IoT et ses milliards d’objets connectés.
Ainsi, après une discussion autour de la révolution de l’IoT, de l’IA et de l’Agilité, Ismet insista sur l’importance de la création de valeur en tenant compte de l’expérience utilisateur, ce dernier point étant le nerf de la guerre.
Evidemment, tous ces points doivent être traités en garantissant la donnée privée avec la pierre angulaire : la gestion de l’identité digitale (humain, objets, machines, API).

La journée s’articulera autour de témoignages clients : HSBC, Société Générale, Amer Sport (Retail, IoT), Pôle Emploi (organisme public) avec en guest-stars : Fleur Pellerin (ancienne ministre et directrice d’un fond d’investissement) et Axel Bauer pour nous jouer un petit morceau !

Les mots du CEO

Le CEO, Mike Ellis, a ensuite pris la parole lors de ce deuxième Identity Live à Paris (d’autres ont lieu en Allemagne et aux USA) pour parler de la transformation du business en prenant en compte des stratégies d’identité. Différents UseCase sont adressés : Retail, banque… Avec le « tout connecté », cela représente de gros challenges.

Ainsi, pas d’innovation sur l’identité et le « customer engagement » : baisse des revenus et de la réputation. Après un rappel sur l’importance de la législation avec le règlement général sur la protection des données (RGPD) et la gestion des flux de paiements (PSD2), Mike posa les questions suivantes :

  • Comment pouvoir consommer et surtout payer efficacement?
  • Comment passer des silots au sein d’une même entreprise (plusieurs systèmes de gestion d’identités) à une solution uniforme?

Une mauvaise réponse à ces questions peut coûter cher avec toutes les menaces existantes (et émergentes avec l’arrivée des objets connectés) : perte de données, mots de passe faible, fake IRIS (Samsung S8), BotNet IoT…

Ainsi, l’objectif est d’être plus efficace envers son client tout en maintenant la sécurité et la vie privée. Quelques exemples ont été donnés dans l’hôtellerie (enregistrement automatique, détection…) ou encore avec la BBC avec la création de « BBC Id » qui se retrouve au cœur de la gestion d’identités des applications BBC (musique, journaux, vidéos, sports…) afin de personnaliser les campagnes marketing, créer des liens entre les identités ainsi que la personnalisation de contenu tout en garantissant le consentement utilisateur à tous les niveaux.

Quelques chiffres marquants : fin 2017, nous dénombrons pas moins de 8,5 milliards d’objets connectés. Il y en aura 20 milliards en 2020 !
Le mot-clé est « Relation » : il faut mettre en relation à la fois les humains mais aussi les objets. Les questions clés qui en découlent : who, what, why, when?

Ainsi, après un slide présentant tous les liens entre une personne et ses devices/applications, une transition devra s’opérer afin que l’IAM (Identity Access Management) devienne le DIM (Digital Identity Management) : il ne faut plus seulement prendre en compte les humains mais aussi les devices qu’ils utilisent et les liens avec les applications.

Mike termina sa présentation en présentant comment les outils de ForgeRock permettent de répondre à ces besoins et ces problématiques tout en permettant d’avoir accès facilement à la donnée et de gérer son consentement.

Témoignage d’une ancienne ministre

A 10h00, Fleur Pellerin est venue présenter son fond d’investissement (Korelya Capital) qui a levé dernièrement près de 200 millions d’euros. Lors d’une interview avec Ismet, elle se présente comme la créatrice de la French Tech, voulant faire connaître les startups (après avoir investi dans JobTeaser) partout dans le monde.

Fleur considère que certains gros acteurs ont tardé à anticiper la transition digitale (ex : Booking avec AirBnb) et que la plupart des entreprises ne seront pas totalement prêtes pour le RGPD.

Amer Sports

Marko Orenius de la société Amer Sports est venu nous présenter la transformation de sa société afin de créer plus de valeurs et de mieux répondre aux besoins des clients. Amer Sports pèse 2,6 milliards d’euros avec environ 8500 employés.

Les points d’attention de cette intervention :

  • Shopping experience (beaucoup de canaux différents, SEO, revendeurs…)
  • Utilisation des produits

La problématique importante est celle des objets connectés (montres, équipements de salle de sport pré-connectés), et de géolocalisation : Amer Sports ne pouvait pas effectuer cette transition sans aide et technologie. Il utilise donc les produits ForgeRock pour être plus efficace dans sa gestion des identités.

Monétisation des identités

Steve Ferris, de ForgeRock, est ensuite venu discuter de la monétisation de toutes ces relations digitales avec encore une fois, l’importance d’apporter de la valeur (utilisateurs, équipements…). Les identités concernent « tout » : les utilisateurs, les périphériques et les « things » (IoT).

Les éléments suivants sont importants quand on veut monétiser ces identités :

  • Authentification contextuelle avec gestion de multifacteurs
  • La gestion des relations
  • « Responsive identity » : facilité de mise en oeuvre et d’installation

De plus en plus de « things » doivent être connectées :

  • Utilisation de brokers spécifiques (notamment basés sur MQTT)
  • Translation de protocoles
  • IoT : authentifications, autorisations
  • Penser à la sécurité (HTTPS) et au Cloud

Tous ces points sont notamment abordés et traités dans les plateformes proposés par ForgeRock ; suite à cette présentation, nous avons eu le droit à une démo d’un supermarché en ligne permettant de gérer son panier et de partager ses informations (avec la gestion du consentement).

Transformation de la Société Générale

Pour le dernier talk de la matinée, Arnaud Domard et Florent Captier nous ont parlé de la transformation de la Société Générale basée sur les API mais aussi beaucoup de la gestion du legacy.

Les points importants de leur architecture :

  • Beaucoup de frameworks et d’outils à la mode : Consul, Hortonworks, ForgeRock, AngularJS, Bootstrap, Docker, Amazon, Azure. Ils font beaucoup de lab pour l’innovation et travaillent en features team, pilotés par les cas d’utilisation
  • [email protected] : mise en place d’un SSO. Cerésilient, UX (risque opérationnel et d’images). Au niveau de la stack ForgeRock nous retrouvons les outils suivants : OpenAM, OpenDJ, OpenIDM – LPM (Loi de programmation militaire) : possibilité d’activer et synchroniser plusieurs sites de données
  • Utilisation d’ELK pour collecter et monitorer les données
  • Pour le déploiement : automatisation via Ansible

Les principales difficultés actuelles :

  • La gestion des conteneurs (Docker+Kubernetes) : pas assez mature pour se projeter en production avec cette stack
  • La synchronisation entre les produits : problématiques avec ForgeRock (OpenAM, OpenDJ…)

Au niveau des améliorations, ils sont capables de livrer en six heures (avant 3 jours, cible en 30 minutes).

Enfin, concernant la protection de leur micro-services, les enjeux/problématiques tournent autour des appels chaînés entre les services.
Les réalisations associées permettant notamment de créer de manière autonome un service et au client de demander la souscription à ce service (workflow de suivi dans OpenIDM).
Au niveau de la dimension utilisateur, celui-ci peut consulter et modifier ses informations ou encore demander et consulter ses droits.
Les travaux sur les prochains mois s’articuleront autour :

  • Développement du partenariat avec ForgeRock
  • Accélération sur la partie DevOps
  • Chantiers autour de la prévention de la fraude, analyse comportementale

Pour conclure, une citation de Mandela : « Une vision qui ne s’accompagne pas d’actions n’est qu’un rêve. Une action qui ne découle pas d’une vision c’est du temps perdu. Une vision suivie d’action peut changer le monde. ».

Evidemment, le RGPD…

En début d’après-midi, Allan Foster et Eve Maker de ForgeRock sont venus nous parler du RGPD (et oui on pouvait difficilement y échapper). Allan et Eve précisent que tout le monde parle du RGPD comme d’une sentence alors que c’est plutôt l’occasion de voir les choses d’une nouvelle façon et d’adopter un comportement correct.

Le RGPD est donc utile pour la protection, la transparence et le contrôle avec notamment des focus sur la nécessité d’obtenir le consentement explicite et le droit à l’oubli

N’oublions pas : « ce n’est pas parce que c’est dans votre base de données que la donnée vous appartient ».

Témoignage du Pôle Emploi

Christophe Lemaire et Jean-François Dupitier, deux employés chez Pôle Emploi sont ensuite montés sur scène pour évoquer la transformation digitale initiée par leur entreprise. Après la présentation de quelques chiffres (pas moins de 33 milliards d’euros versés), nous avons eu le droit à un inventaire rapide des différents services offerts.

Petite anecdote sympathique sur le site institutionnel : au niveau du nombre de connexions, la version mobile a dépassé la version Web!

Le quinquennat 2015-2020 est dédié à la modernisation du SI ; la trajectoire digitale se faisant suivant quatre axes :

  1. Nouveaux usages : réseaux sociaux, mobilité
  2. Valoriser les données
  3. Protéger
  4. Etat de l’art du marché

Autour de ces quatre axes, l’identité se retrouve au cœur des problématiques et des besoins ; évidemment, les projets IT de Pôle Emploi sont directement impactés par l’émergence des solutions techniques. Ainsi, on retrouve beaucoup d’applications Web moderne (AngularJS), de mobiles et surtout un vrai besoin de partager ses données au travers d’API (et donc le fameux couple OAuth2/OpenID Connect).

Voici un historique sur la plateforme d’innovation :

  • 2015 : Emploi store (boostez votre recherche d’emploi / développeurs). Choix de ForgeRock OpenAM (OIDC/OAuth2/SAMLv2 + évolutivité et sécurisation des API)
  • 2016 : entreprise.pole-emploi.fr – Faciliter l’accès aux services – Rendre les entreprises autonomes – Limiter la fraude – Résultats : >200 epsaces recruteurs frauduleux bloqués chaque jour
  • 2017 : pole-emploi.fr

L’objectif principal est de remettre l’utilisateur au centre des services ; les points suivants sont donc incontournables :

  • Protéger les données
  • Gérer les consentements
  • Préparer le RGPD

En termes de résultats : le socle a été livré en mars 2017, migration en Octobre (14,4 millions d’authentifications et niveau de performances de 40 authentifications/seconde en pointe). Nous avons ensuite eu le droit à une petit démo avec le site macigogne qui bascule vers le site du Pôle Emploi (protégé par OpenAM) avec une gestion propre du consentement à l’authentification.

L’architecture des services est évidemment orientée API avec OpenAM renvoyant des access_token OAuth2 et basée sur des référentiels utilisateurs (nouveaux et legacy) ; quant à Emploi store, il utilise OpenIG comme API Gateway.

Pour la suite, les chantiers suivants sont à prévoir :

  • Poursuivre la mise en conformité au RGPD
  • Améliorer la lutte contre la fraude
  • Intégrer FranceConnect
  • Continuer à valoriser les données
  • Fédérer l’ensemble des populations usagers de Pôle Emploi

En bref conférence très intéressante mais il reste beaucoup de boulot ! 🙂

Témoignage de HSBC

Pour le dernier talk de la journée , Ian Sorbello de HSBC est venu nous parler des identités clientes. Après une vue globale d’HSBC (37 marchés dans près de 70 pays avec pas moins de 37 millions de clients…) et de la stratégie, nous avons pu évoquer ce qui nous intéresse le plus lors d’une telle journée : la gestion des accès.

En effet, au niveau de l’IT, il existe trois points géographiques distincts. Ainsi, à la question « on déploie en PROD? » la première réponse à avoir est… « quelle prod? » ! Il est donc nécessaire pour HSBC d’utiliser une solution global à utiliser et non à coder.
Pour la gestion des accès, les protocoles suivants ont été envisagés : OAuth2, OpenID Connect, UMA et évidemment tout cela en SSO !
Ainsi, le choix s’est rapidement porté sur OpenAM et OpenIDM ; plusieurs instances d’OpenAM sont déployées selon la géographie.
Enfin, HSBC développe des solutions biométriques (toujours en utilisant la plateforme de ForgeRock Access Management), le but final étant d’atteindre l’Identity as a Service, le tout en utilisant des patterns de sécurité pour pouvoir challenger et innover efficacement.

La conclusion de Ian est intéressante : n’oubliez pas de prendre soin de vos employés avant même vos clients.

Conclusion

C’était le dernier talk de cette journée, s’en est suivi un petit concert d’Axel Bauer avec le mot de la fin d’Ismet Geri !

Vivement 2018 pour la prochaine édition, on y sera !

Partagez cet article.

A propos de l'auteur

Responsable du pôle Sécurité chez Zenika, Erik est un véritable passionné d'informatique. Son leimotiv est de remettre la sécurité au centre des projets. Profil Javaiste, il apprécie également les technologies back ainsi que les problématiques de performance et d'optimisation.

Ajouter un commentaire