Baptisée Interoperability Profile for Secure Identity in the Enterprise (IPSIE), la norme de sécurité des identités open source annoncée par le fournisseur de solutions IAM Okta est sur de très bons rails. Ce framework de sécurité devrait être adopté par Microsoft, Google, Ping Identity, BeyondIdentity et SGNL, la fonation OpenID dont ils font partie ayant officiellement annoncé la création d'un groupe de travail dédié. IPSIE promet entre autre d’améliorer la « sécurité de bout en bout » des identités basées sur le SaaS. « Okta est déterminé à assurer la sécurité et nous savons que l'avenir de l'industrie repose non seulement sur la sécurisation de l'identité, mais aussi sur une norme d'identité sécurisée, ouverte et accessible à tous », a déclaré Arnab Bose, chef de produit pour Workforce Identity Cloud chez Okta. « Cette norme industrielle contribuera à standardiser la sécurité de l'identité pour élever le niveau de sécurité de tous, y compris celui des acteurs de l'industrie de la technologie, afin d’être mieux protégés contre les attaques. » L’annonce a été faite lors de la conférence annuelle sur l'identité Oktane du fournisseur, en même temps que le dévoilement de plusieurs améliorations de produits.
En route vers la sécurité dès conception
Selon Okta, la norme de sécurité IPSIE centrée sur l'identité va renforcer les contrôles de sécurité existants en plus de certaines fonctionnalités dont peut bénéficier la communauté SaaS. Parmi les capacités existantes de sécurité de l'identité que l'IPSIE pourrait renforcer dans les applications SaaS figurent notamment l'authentification unique Single Sign-On (SSO), la gestion du cycle de vie, la gouvernance et l'accès à privilèges, le partage du signal de risque et la fermeture de session. Selon M. Bose, la norme IPSIE offrira de nouveaux avantages, en particulier une meilleure visibilité sur les surfaces de menaces liées à l'identité et la création d'applications SaaS sécurisées par design.
Pour faciliter l'adoption, Okta travaille à l'intégration de plusieurs fournisseurs de logiciels indépendants (ISV). « Okta a collaboré avec les principaux fournisseurs de SaaS pour créer plus de 125 intégrations profondes avec certaines des applications d'entreprise les plus répandues, y compris Google, Microsoft Office 365, Slack et Atlassian », a précisé M. Bose. « Ces applications prennent en charge des fonctionnalités qui seront incluses dans la norme afin de mieux répondre à l'écosystème technologique et aux clients là où ils se trouvent aujourd'hui, tout en fournissant un framework pour mieux les protéger à l'avenir », a ajouté le chef de produit. Okta cherche aussi à faire en sorte que les créateurs d'applications utilisant Okta Customer Identity Cloud (CIC) puissent construire leurs applications pour qu'elles soient conformes à IPSIE et « sécurisées par design ».
Simplifier les expériences MFA et SSO
Okta a également annoncé une offre appelée Extended Device SSO, disponible au premier trimestre 2025 avec Okta Device Access, la solution de contrôle de sécurité d’Okta qui gère l'accès aux ressources de l'entreprise en fonction du type d'appareil utilisé. Extended Device SSO peut résoudre plusieurs défis liés à l'authentification multifacteur (MFA) en ramenant le nombre d'invites MFA à une seule invite par connexion d'appareil. Elle sera prise en charge à la fois par Windows et MacOS, avant de permettre l'accès à des applications comme Office 365, Google Workspace, Zoom et Slack, l’objectif étant d’éviter les authentifications multiples. Okta a aussi annoncé des partenariats avec plusieurs vérificateurs d'identité tiers, notamment Clear, Persona, Incode, Socure, Onfido et LexisNexis, afin d'appliquer une couche supplémentaire de vérification de l'identité. « En appliquant la vérification d'identité à n'importe quelle étape du travail professionnel, les entreprises peuvent réduire plus efficacement le risque d'ingénierie sociale et d'attaques de type « deep fake » », a affirmé M. Bose.