Pourquoi la collaboration numérique exige une identité organisationnelle vérifiable

Andre Kudra, CIO d'esatus AG, explique pourquoi l'économie numérique a besoin de toute urgence d'une identité organisationnelle vérifiable et comment le vLEI Authenticator, développé en collaboration avec GLEIF, répond au besoin d'une confiance et d'une sécurité réelles.

---

---

esatus AG est un fournisseur de services informatiques spécialisé dans les identités numériques et décentralisées. Dans ce blog, Andre Kudra, CIO d'esatus AG, explique comment les plus grands cas de fraude en entreprise de ces dernières années montrent clairement que la confiance sans vérification technique n'est plus une option. Pour relever cette Contestation, l'intégration de l'Authenticator vLEI dans les systèmes informatiques permet d'appliquer le principe de Connaissance Client (KYC) aux relations entre les organisations. Les entreprises deviennent ainsi vérifiables numériquement, ce qui réduit les risques et jette les bases d'une économie dans laquelle la confiance n'est pas présumée mais prouvée.

Pourquoi l'identité numérique organisationnelle est-elle attendue depuis longtemps ?

La collaboration numérique est devenue la norme dans l'économie mondiale. Les entreprises échangent des données, accordent aux employés de leurs partenaires l'accès à leurs plateformes et autorisent les paiements. Pourtant, une garantie cruciale fait souvent défaut : Qui est réellement de l'autre côté d'une interaction ?

La Contestation vient du fait que les organisations sont couramment "identifiées" par des signaux indirects tels que des domaines de messagerie, des logos d'entreprise ou des listes de partenaires mises à jour manuellement. Ces méthodes sont peu fiables, faciles à manipuler et difficiles à mettre à l'échelle. Et lorsque les organisations s'appuient sur la confiance plutôt que sur la technologie pour vérifier, les conséquences sont réelles et coûteuses.

Que se passe-t-il lorsque la confiance remplace la vérification ?

Souvenez-vous de ce fraudeur qui a soutiré plus de 100 millions de dollars à deux des plus grandes entreprises technologiques du monde en se faisant passer pour un fournisseur légitime et en envoyant de fausses factures Ou encore ce grand équipementier automobile qui a viré des dizaines de millions de dollars à des criminels qui s'étaient fait passer pour un partenaire commercial de longue date ?

Ces deux histoires ont fait la une des journaux, mais elles mettent en évidence un problème bien plus pernicieux qui touche les entreprises de toutes tailles. Un rapport conjoint de l'Office de l'Union européenne pour la propriété intellectuelle (EUIPO) et d'Europol a révélé qu'à eux seuls, les factures trompeuses et les systèmes d'usurpation d'identité coûtent aux entreprises européennes plus de 26 millions d'euros par an. Si ce chiffre peut sembler relativement bas, il ne représente que le minimum visible. Bien que des milliers de demandes de paiement trompeuses aient été signalées ces dernières années, la grande majorité d'entre elles ne sont pas signalées. Compte tenu des millions de cibles potentielles en Europe, les pertes réelles sont probablement bien plus élevées que ne le suggèrent les chiffres officiels.

Quelle que soit leur ampleur, presque tous les cas présentent le même défaut : l'identité des organisations concernées n'est jamais vérifiée techniquement.

Comment l'identité vérifiable des organisations résout-elle ce problème ?

Dans les systèmes d'entreprise, les utilisateurs se connectent en tant qu'individus. Mais de nombreux processus, tels que les audits de conformité, l'intégration des fournisseurs, l'accès aux données ou les rapports réglementaires, nécessitent de connaître l'organisation qui se cache derrière la personne et son rôle officiel au sein de celle-ci.

L'Identifiant d'entité légale vérifiable (vLEI) répond à ce besoin. Il s'agit d'un titre numérique pour les organisations, délivré par des Émetteurs vLEI homologués (QVI) sous la Gouvernance du GLEIF. Elle permet de vérifier qu'une organisation existe officiellement et que des personnes spécifiques sont autorisées à agir en son nom. Toutes les informations sont sécurisées par cryptographie, lisibles par machine et vérifiables au sein de l'écosystème vLEI du GLEIF.

Pour rendre cette identité opérationnelle dans les systèmes informatiques existants, le GLEIF et esatus AG ont développé conjointement le vLEI Authenticator. Il permet aux individus de s'authentifier dans les systèmes informatiques avec une preuve cryptographique de leur organisation et de leur rôle autorisé au sein de celle-ci. Le vLEI Authenticator effectue une vérification cryptographique de la connexion et peut être intégré dans les flux de connexion comme les composants IAM standard. Cependant, il est basé sur des références organisationnelles vérifiables plutôt que sur des mécanismes SSO traditionnels. Il s'agit d'un premier pas vers un monde où les entreprises peuvent se vérifier automatiquement les unes les autres avant de partager des données, d'approuver des paiements ou d'interagir numériquement. En d'autres termes, il s'agit de transformer "nous pensons qu'il s'agit de notre partenaire" en "nous savons qu'il l'est"

Comment fonctionne le vLEI Authenticator dans la pratique ?

Le vLEI Authenticator s'intègre aux plateformes standard de gestion des identités et des accès. Lorsqu'un utilisateur ou une organisation se connecte à un système protégé - par exemple, pour accéder à un document ou à une application - l'Authenticator vLEI valide le justificatif vLEI par rapport au cadre de confiance GLEIF. L'accès n'est accordé que si le justificatif est valide. La fiabilité devient une propriété du processus, et non une hypothèse.

Quels avantages les entreprises tirent-elles de cette approche ?

L'authentificateur vLEI sécurise les scénarios de connexion dans des systèmes tels que les environnements de données partagées, les portails de fournisseurs ou les applications d'entreprise en réduisant la dépendance à l'égard des noms d'utilisateur et des mots de passe traditionnels, en ajoutant des références organisationnelles vérifiables au processus d'authentification et en offrant divers avantages :

• Sécurité : Seules les organisations vérifiées peuvent effectuer des transactions ou accéder aux systèmes.
• Rapidité : Les contrôles automatisés remplacent les étapes de vérification manuelle.
• Transparence : Chaque transaction et chaque rôle sont traçables.
• Conformité : Les exigences en matière de vérification sont respectées dès la conception.

La solution est-elle déjà utilisée aujourd'hui ?

Dans un environnement de démonstration Nextcloud, les organisations ont utilisé avec succès le vLEI Authenticator pour vérifier à la fois l'identité de leur entreprise et l'autorisation des employés à agir en leur nom. L'accès aux données n'était accordé qu'après vérification. Le processus a pris quelques secondes et a remplacé les vérifications manuelles qui prennent généralement des heures ou des jours.

Quelle est la prochaine étape en matière d'identité organisationnelle vérifiable ?

La combinaison de la vLEI de GLEIF, des protocoles d'identité normalisés et des logiciels d'entreprise existants crée une nouvelle couche d'infrastructure de confiance numérique. À l'avenir, elle pourra se connecter à des initiatives européennes telles que le portefeuille EUDI, ce qui permettra aux organisations de vérifier leurs identités de manière sûre et cohérente au-delà des frontières. Cela nous rapproche d'un monde où la confiance n'aura plus à être présumée. Ce sera un fait vérifiable.

---