Dans les deux premières parties de notre article, nous avons présenté un avenir où la confiance fait partie intégrante de l’écosystème numérique, comme une pile de fiabilité multicouche où identité, attestation et vérification forment la couche de confiance du réseau. Pourtant, même l’architecture la mieux pensée ne peut pas changer à elle seule le fonctionnement du secteur. Ce rôle est celui des êtres humains. Pour apporter de la valeur, la confiance doit non seulement répondre aux exigences cryptographiques, mais aussi ne pas être excessivement invasive et offrir un environnement numérique naturel, intuitif et sûr.

Cette dernière partie nous montre ce que c’est que de vivre dans un monde où le réseau sait qui est qui et où la confiance n’est plus ce fardeau de méfiance extrême que nous devons porter, mais bien une partie intégrante de l’environnement.

Quand la sécurité se fond dans le décor

Dans le monde numérique actuel, nous, citoyens et citoyennes ordinaires, devons souvent assumer le rôle d’analyste judiciaire. Nous devons chercher les fautes d’orthographe dans les URL, détecter les tentatives d’hameçonnage (même en dormant…) et gérer une quantité de mots de passe toujours plus grande. C’est une attente irréaliste. Vous semblerait-il normal de demander aux passagers et passagères d’un avion d’en inspecter les moteurs avant l’embarquement?

Nous croyons que ce paradigme va changer. À l’avenir, la sécurité deviendra omniprésente, comme l’électricité ou l’eau potable : toujours présente, mais rarement visible. En plaçant le fardeau de la vérification sur la pile de fiabilité multicouche, la confiance est automatique et l’identité vérifiable plutôt que supposée. Dans ce nouveau monde, « plus de sécurité » est remplacé par « moins d’inquiétude ».

La fin du doute

Parlons un peu des appels téléphoniques, un moyen de communication aujourd’hui en pleine tourmente de légitimité. Actuellement, même les identifiants d’appelant « vérifiés » sont exploités par les fraudeurs. Avec une architecture basée sur une couche de confiance, le réseau vérifie l’identifiant décentralisé (DID) de l’appelant et l’attestation matérielle de l’appareil avant même que l’appel s’affiche à l’écran de votre cellulaire. Au lieu d’une série de chiffres suspects, vous y lisez à présent une confirmation claire :

Vérifié par : source de confiance avec identité reposant sur le matériel.

Si un pirate tente d’usurper l’identité de l’appelant, le réseau écarte l’appel sans même que vous vous en rendiez compte. Votre cellulaire ne sonne même pas.

Cette logique s’applique aussi à l’« Internet des objets ». Pour l’instant, notre confiance envers les appareils se base sur la réputation de l’entreprise ou nous espérons naïvement que tout va bien se passer. À l’avenir, chaque appareil, que ce soit un moniteur cardiaque ou un thermostat intelligent, devra présenter un « certificat de santé numérique » remis par le service d’attestation à distance (RAS) avant de pouvoir communiquer des informations. Si un dispositif a été compromis, le système l’isole en temps quasi réel et alerte les professionnel(le)s de la santé avant même que le patient ou la patiente ne puisse constater un problème. La sécurité se fait en continu, discrètement et de manière proactive.

Le plan technique des fournisseurs en télécommunications : construire l’ossature

Pour que la pile de fiabilité multicouche puisse fonctionner à grande échelle, les fournisseurs en télécommunications ne doivent plus se contenter d’offrir des capacités de bande passante : ils doivent assumer leur responsabilité de chefs d’orchestre de la confiance numérique. Pour réussir cette transition, la pile des communications globales doit être largement modernisée.

Premièrement, les fournisseurs en télécommunications doivent combler l’écart entre l’identité mobile et l’Internet au sens large. Pour ce faire, ils peuvent intégrer les identités par carte SIM physique ou embarquée (eSIM) régies par des cadres d’identité décentralisés. Ils peuvent ensuite intervenir en tant qu’entités de confiance de base en suivant l’utilisateur ou l’utilisatrice sur chaque application ou service.

Deuxièmement, l’infrastructure téléphonique principale (surtout les anciennes couches IMS/SIP) doit être mise à niveau pour intégrer les principes d’identité cryptographique et d’attestation. Ainsi, même si un appel passe par des fournisseurs internationaux, le système s’assure que le statut « vérifié » de l’appelant soit un certificat signé reconnu mondialement qui conserve sa validité en tout temps.

Enfin, en déployant des API NaaS (« Network as a Service », réseau service), les fournisseurs en télécommunications peuvent aider les entreprises à renforcer leurs politiques de sécurité directement depuis la frontière du réseau. Les appareils non vérifiés voient leur premier paquet bloqué avant même qu’il atteigne le nuage.

Un monde sans mots de passe

Les mots de passe sont des vestiges d’une ère avant l’attestation. Ils persistent uniquement parce que nous n’avons pas terminé de créer leur remplaçant. Ce remplaçant existe aujourd’hui.

Dans notre nouvel écosystème, l’authentification est fondée sur les clés d’accès FIDO2 et les portefeuilles d’identifiants vérifiables (IV). La connexion devient aussi simple qu’une vérification biométrique. Dans le monde de l’entreprise, la transformation est encore plus spectaculaire. Finis les VPN ou les innombrables validations par SMS : le personnel s’authentifie à l’aide d’un DID. Finies les longues journées passées à intégrer les nouvelles recrues : le processus ne prend désormais que quelques minutes. Finie la réputation de grincheux interdisant tout du service de sécurité qui devient plutôt acteur de la productivité.

Malgré tout, les changements les plus profonds sont moins techniques que psychologiques. Nous vivons dans un climat où la suspicion et la peur sont omniprésentes. En faisant le choix d’un Internet sécurisé dès la conception, nous pouvons changer cette vision. La devise du secteur se transforme alors :

Ce qui vient à moi est digne de confiance.

Notre avis : un objectif pour 2030

Pour offrir une expérience utilisateur sécurisée, il ne faut pas ajouter des étapes et créer plus de friction autour de la sécurité, il faut en éliminer. Nous proposons trois actions concrètes pour y parvenir :

  • Gestion sans contact : réduisez la durée du processus d’intégration du personnel et des appareils de 90 %, en remplaçant l’identification manuelle par des DID automatisés et une attestation matérielle synchronisés grâce à des cartes SIM embarquées intégrées aux opérateurs.
  • Périmètre « silencieux » : éliminez presque complètement les demandes de mot de passe des utilisateurs et utilisatrices en adoptant l’authentification FIDO2 et par identifiants vérifiables comme norme universelle.
  • Interopérabilité authentifiée : protégez 100 % des appareils connectés et du trafic d’API avec des certificats cryptographiques fondés sur le matériel; ces certificats rendent l’usurpation d’identité et la fraude techniquement impossibles dans la structure du réseau.

Voilà le monde que nous devons bâtir : un écosystème numérique où la confiance doit être tenue pour acquise, pas jaugée par les utilisateurs et utilisatrices.

Expertise de CGI en communications et médias

L’expertise de CGI en télécommunications, sécurité et intégration de systèmes aide les fournisseurs de services et les grandes entreprises à créer des réseaux numériques à haut niveau d’assurance afin de renforcer la lutte contre la fraude, les contrôles d’identité et la confiance des utilisateurs et utilisatrices sur tous les canaux.

À propos des auteurs

Dave Richards : Dave est un visionnaire dans le domaine des communications et des technologies. Il occupe actuellement le poste de vice-président chez CGI et agit à titre de leader mondial du secteur des communications et des médias. En reconnaissance de ses contributions remarquables, CGI lui a décerné le prix CGI Builder en 2019, soulignant ainsi son engagement et sa quête d’excellence. Sa passion pour l’innovation et la transformation du secteur continue d’inspirer ses collègues et partenaires.

Yajnavalkya Bhattacharya (auteur externe) : Yaj Bhattacharya est architecte de solutions d’entreprise et stratège en cybersécurité, fort de plus de trente ans d’expérience. Il aide les organisations à moderniser leur architecture d’entreprise en harmonisant l’intégration, en gérant les risques et en assurant la conformité, afin de bâtir des écosystèmes numériques sécurisés et résilients.

Contactez-nous pour en savoir plus sur les services de sécurité de CGI.

 

Références

  • W3C. Decentralized Identifiers (DIDs) v1.0. World Wide Web Consortium, 2022.
  • W3C. Verifiable Credentials Data Model v1.1. World Wide Web Consortium, 2022.
  • FIDO Alliance. FIDO2: Moving the World Beyond Passwords, 2023.
  • NIST. Digital Identity Guidelines (SP 800-63), Institut national des normes et de la technologie des États-Unis.
  • GSMA. eSIM Security and Remote Provisioning Architecture, spécifications GSMA.