Développer ou acheter ? 20 questions sur la gestion des identités
Les enjeux de la gestion des identités sont parfaitement compris. Ils perdurent depuis les premiers ordinateurs. Mais quel est le vrai niveau de difficulté ? Probablement plus haut que vous le pensez... Répondez à notre questionnaire « Développer ou acheter »
« J'ai toujours préféré laisser les experts faire au mieux de leurs compétences. Une erreur de gestion des identités et tout s'écroule. Vous faites les gros titres, et vous êtes confronté à des accusations graves, ayant exposé une foule de gens à des risques insupportables. Je ne pense pas que nous puissions développer en interne une solution vraiment fiable ».
— David Bernick, Harvard Medical School
Pourquoi développer une solution de gestion des identités ?
La gestion des identités est une fonction clé des logiciels depuis l'aube de l'informatique : les opérations par lots sur cartes perforées et les premiers systèmes de temps partagé utilisaient déjà une authentification par nom d'utilisateur/mot de passe. Avec autant d'expérience et d'historique, vous pourriez croire que la gestion des identités est maintenant un problème résolu.
- Supposons que votre projet est simple : vous ne manipulez pas d'informations sensibles, vous n'avez pas de problèmes de confidentialité, vos exigences en matière de sécurité sont modestes, car le nombre de vos utilisateurs est limité, de même que leur typologie. Et quelques applications suffisent à vos objectifs.
- Vous êtes un développeur expérimenté, ou faites partie d'une équipe extrêmement qualifiée. Vous créez depuis des années des applications, des sites, des API et des services d'authentification.
- Et votre budget est réduit au strict minimum. Vous avez donc des choix à faire. Mais l'équation semble plutôt évidente : vous devez conserver des capitaux pour des activités réellement stratégiques.
Mais bon, honnêtement : Si vous n'utilisez qu'un ou deux fournisseurs de réseaux sociaux pour une application Web simple, que vous n'avez pas besoin d'une base de données de noms d'utilisateur/mots de passe, ou d'autres fonctions plus élaborées, vous pourrez très bien créer une solution en interne. Dans tous les cas, vous pouvez puiser dans les bibliothèques d'authentification de base disponibles dans n'importe quel framework open source et créer une solution efficace.
Pourquoi acheter une solution de gestion des identités ?
Nous connaissons bien les commentaires des équipes de développement qui se demandent si Auth0 est la bonne option :
Si vous avez les compétences, il peut être difficile de justifier des dépenses en gestion des identités, alors que vos besoins restent simples.
Voyons cela de plus près.
Compétences
Certes, la gestion des identités semble relativement simple. Mais les conséquences d'un seul échec sont terrifiantes. Il faut bien l'admettre. Les possibilités d'erreur et de problèmes abondent. Et en cas de dérapage, le préjudice pour votre réputation sera considérable. Face à des tentatives de piratage persistantes, au flot constamment renouvelé de vulnérabilités à corriger, en savez-vous suffisamment pour protéger vos utilisateurs et votre entreprise ?
Ressources
Le développement en interne n'est pas gratuit. Vous ne pouvez pas éviter les coûts d'opportunité engendrés par l'engagement des ressources dans la gestion des identités. Voulez-vous vraiment prendre en charge le développement d'une solution d'authentification ? Concentrez-vous sur vos activités stratégiques et renforcez votre valeur ajoutée. Vous n'aurez pas besoin d'écrire votre propre système de gestion de base de données relationnelle ou RDBMS. La gestion des identités ressemble à un système RDBMS. Pourquoi créer une infrastructure comme la gestion des identités, alors que pour un prix raisonnable, vous pouvez déléguer ce travail non stratégique à des spécialistes ? Et comme le coût d'un piratage d'identité peut se chiffrer en millions de dollars, pourquoi faire des économies sur la sécurité ? Tenez compte de ces facteurs lorsque vous évaluez le retour sur investissement d'une solution de gestion des identités !
Complexité
Les premières étapes des applications et des produits sont souvent simples. Mais après la première version, vous pourriez très bien avoir besoin d'un éventail plus étendu de fournisseurs d'identifiants. Vous pourriez avoir besoin de partenaires. Vous pourriez déployer des applis mobiles et une API. Il serait logique que votre base d'utilisateurs grandisse. Vous êtes peut-être dans un secteur réglementé avec des exigences de conformité. Ce n'est jamais aussi simple qu'il n'y paraît au début. Le coût de maintenance de votre propre solution de gestion des identités peut grimper bien plus haut que vous ne l'aviez imaginé.
Le questionnaire
Vous avez peut-être déjà répondu à certaines de ces questions. Certaines peuvent manquer de pertinence. D'autres peuvent concerner des problèmes que vous rencontrerez lors de la mise en œuvre de l'IAM. Mais nous vous invitons à y réfléchir avec pragmatisme, d'après votre situation actuelle et la direction que vous souhaitez prendre au fil des mois et des années. Cliquez sur les liens pour comprendre comment Auth0 répond à ces questions de gestion des identités et comment nous gérons la complexité avec notre offre complète.
Utilisateurs
1. | Avez-vous réfléchi à votre approche de mise en œuvre la gestion des utilisateurs ? Self-service ou gérée par un administrateur ? Comment voyez-vous l'expérience utilisateur ? |
2. | Avez-vous des utilisateurs qui auront besoin d'une authentification sur plusieurs IdP ? Comment détecterez-vous s'il s'agit ou non du même utilisateur ? |
3. | Utilisez-vous plusieurs applications qui nécessitent une fonction d'authentification ? Si oui, utilisent-elles tous la même pile de développement ? |
« Comparé aux coûts et aux ressources nécessaires pour développer, héberger et sécuriser une solution personnalisée, l'investissement exigé par un service d'authentification tiers comme Auth0 a été pour nous un choix judicieux. » — Cris Concepcion, Safari |
4. | Quels sont les outils analytiques dont vous aurez besoin pour la création des comptes et les événements d'authentification ? Comment allez-vous collecter, analyser et visualiser ces données ? |
5. | Comment allez-vous signaler et corriger les anomalies de la gestion des utilisateurs et des événements d'authentification ? |
Applications
6. | Quelles ressources pouvez-vous utiliser pour devancer et éliminer les vulnérabilités potentielles de la sécurité ? Comment allez-vous gérer les retards de correctifs dans les bibliothèques dont vous dépendez ? |
« L'an passé, avant qu'aucun des sites d'information ne signale la vulnérabilité zéro-jour Heartbleed, Auth0 nous a envoyé un e-mail pour nous avertir de la situation. Auth0 nous avait déjà fourni un correctif pour éliminer la menace Heartbleed dans nos systèmes. Un e-mail a suivi pour confirmer qu'Auth0 avait déjà installé ce correctif sur l'instance Schneider Electric du service d'Auth0 ». — Stephen Berard, Schneider Electric |
7. | Comment traiterez-vous les inévitables incompatibilités des normes et les changements des attributs et des autorisations pour les différents fournisseurs d'identité par réseaux sociaux ? Et les différences de mise en œuvre entre les fournisseurs d'identité pour entreprise ? Sans oublier les différences des piles de développement et des bibliothèques d'authentification ? Comment allez-vous gérer toutes ces variables ? |
« Je n'ai pas eu à écrire du code difficile pour chaque IdP que nous avions besoin d'intégrer. J'ai seulement eu besoin d'écrire une seule chose, très simple, et cela a suffi pour mettre en œuvre mon authentification sécurisée. » — David Bernick, Harvard Medical School |
8. | Votre équipe d'exploitation peut-elle suivre les bonnes pratiques pour configurer en toute sécurité l'infrastructure d'authentification ? Sur site et dans des instances de Cloud privé ? |
9. | Quelle est votre stratégie d'authentification multi-facteur ? Comment allez-vous l'intégrer pour vos différents clients ? Souhaitez-vous que vos utilisateurs mobiles utilisent Touch ID sur leurs appareils IOS pour s'authentifier sur vos applications ? |
10. | Avez-vous pris en compte les exigences d'évolutivité, de performances et de réplication/disponibilité pour votre magasin d'utilisateurs ? |
« Auth0 nous a fourni la combinaison parfaite : les fonctionnalités prêtes à l'emploi, la flexibilité et le service de niveau entreprise. L'équipe d'Auth0 s'est surpassée pour répondre à nos exigences en termes de tests de performances et d'échéances. » — AKQA, partenaire marketing pour Marks & Spencer |
Fournisseurs d'identifiants et normes
11. | Lorsque vous migrez les anciennes bases de données UN/PW dans une solution de gestion des identités plus moderne, que ferez-vous pour délivrer une bonne expérience utilisateur sans réinitialisation des mots de passe ? |
« Auth0 a aussi apporté toute une série de connecteurs prêts à l'emploi. Ils ont ainsi pu se connecter très simplement à notre système CRM pour exploiter notre base de données existante comme magasin d'utilisateurs et assurer le rôle de fournisseur d'identifiants ». — Amol Date, JetPrivilege |
12. | Comment allez-vous intégrer les nouveaux clients B2B qui veulent une authentification unique (SSO) pour votre produit ou service ? Pouvez-vous fonctionner en fédération avec des partenaires qui utilisent Active Directory derrière le pare-feu ? |
« Nous avons configuré notre application pour intégrer un partenaire. Il a pu ensuite servir de hub de services pour des dizaines de systèmes d'identité. Grâce à cette approche, nous avons pu simplifier le travail de nos équipes de développement principales, tout en permettant à notre clientèle de bénéficier d'une croissance exponentielle. » — Cris Concepcion, Safari |
13. | Différents fournisseurs d'identifiants SAML peuvent stocker et envoie des revendications dans de nombreux formats. Avez-vous une méthode simple pour normaliser les revendications ? |
14. | OpenID Connect est une nouvelle norme largement répandue pour l'authentification : REST/JSON, basée sur OAuth2, conçue pour les développeurs. Mais le défi de l'interopérabilité réside dans les détails. Comment la mettrez-vous en œuvre pour vos clients et piles de développement ? |
Sécurité et conformité
15. | Les systèmes d'identité constituent une cible attrayante pour les cyber-agresseurs. Avez-vous pensé à mettre en place des protections contre les attaques par force brute ? Une prévention DDoS et une protection des points terminaux ? |
16. | Devriez-vous prévoir des consultants en sécurité tiers pour effectuer des tests de pénétration indépendants, des révisions et des audits de code, ainsi que des examens d'architecture, afin de valider la sécurité et les bonnes pratiques ? |
17. | Comment allez-vous gérer les rapports fournis par la communauté de la sécurité concernant les vulnérabilités de votre solution d'identité ? |
« Chaque technologie a ses propres vulnérabilités. Si vous n'avez pas mis en place une procédure publique permettant à des hackers responsables de les signaler, seules des attaques malveillantes vous permettront de les découvrir. » — Alex Rice, Facebook, dans « HackerOne Connects Hackers With Companies, and Hopes for a Win-Win », The New York Times, 7 juin 2015 |
18. | Aurez-vous besoin d'une authentification renforcée (step-up) contextuelle ? Par exemple : plage IP ou adhésion à un groupe Active Directory ? Politiques de mots de passe ? Ou bien une authentification sans mot de passe serait-elle une bonne option pour vos utilisateurs ? |
Respect des délais et du budget
19. | Combien de personnes vous seront nécessaires, notamment des opérateurs informatiques, des développeurs et des services externes, comme l'expertise juridique ? Ces personnes sont difficiles à trouver et leurs services sont onéreux. Où allez-vous trouver ces talents et quel budget devez-vous prévoir ? |
« La demande en professionnels de la sécurité continue d'augmenter. Mais l'offre correspondante ne suit pas. Et cette situation ne fait qu'augmenter les rémunérations ». — « The 2015 (ISC)2 Global Information Security Workforce Study », Frost & Sullivan, 16 avril 2015 |
20. | Quelle est votre date cible pour passer au stade la production ? Combien de temps / combien d'itérations faudra-t-il pour mettre en œuvre votre solution IAM ? |
« Alors que les autres fournisseurs prévoyaient des délais de mise en œuvre de plusieurs mois, Auth0 s'est engagé sur une échéance de quelques semaines seulement ». — Amol Date, JetPrivilege |
Inscription gratuite
Commencez à construire et à sécuriser vos applis dès aujourd'hui avec la plateforme d'identité Auth0.