<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>IAM of Things - RiskInsight</title>
	<atom:link href="https://www.riskinsight-wavestone.com/en/tag/iam-of-things/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.riskinsight-wavestone.com/en/tag/iam-of-things/</link>
	<description>The cybersecurity &#38; digital trust blog by Wavestone&#039;s consultants</description>
	<lastBuildDate>Mon, 12 Jul 2021 08:54:56 +0000</lastBuildDate>
	<language>en-US</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://www.riskinsight-wavestone.com/wp-content/uploads/2024/02/Blogs-2024_RI-39x39.png</url>
	<title>IAM of Things - RiskInsight</title>
	<link>https://www.riskinsight-wavestone.com/en/tag/iam-of-things/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>IAM of Things, un marché émergeant mais un besoin déjà présent</title>
		<link>https://www.riskinsight-wavestone.com/en/2020/02/iam-of-things-un-marche-emergeant-mais-un-besoin-deja-present/</link>
		
		<dc:creator><![CDATA[Kévin Guérin]]></dc:creator>
		<pubDate>Mon, 17 Feb 2020 13:28:16 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Digital Identity]]></category>
		<category><![CDATA[IoT & smart products]]></category>
		<category><![CDATA[CIAM]]></category>
		<category><![CDATA[IAM]]></category>
		<category><![CDATA[IAMoT]]></category>
		<category><![CDATA[IoT]]></category>
		<category><![CDATA[SI]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=12648</guid>

					<description><![CDATA[<p>Dans un précédent article, nous avons pu découvrir l’IAM of Things (IAMoT) et souligner les très fortes interactions avec les domaines de l’IAM et du Customer IAM (CIAM). Dans ce nouvel article, nous allons maintenant mettre en évidence les lacunes...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/en/2020/02/iam-of-things-un-marche-emergeant-mais-un-besoin-deja-present/">IAM of Things, un marché émergeant mais un besoin déjà présent</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com/en/">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Dans <a href="https://www.riskinsight-wavestone.com/en/2019/01/what-is-iam-of-things/">un précédent article</a>, nous avons pu découvrir l’IAM <em>of Things</em> (IAMoT) et souligner les très fortes interactions avec les domaines de l’IAM et du <em>Customer</em> IAM (CIAM). Dans ce nouvel article, nous allons maintenant mettre en évidence les lacunes actuelles du marché à couvrir les besoins de l’IAMoT.</p>
<p>&nbsp;</p>
<h2>Quels besoins pour l’IAMoT ?</h2>
<p>Il est possible de définir l’IAM comme une discipline permettant de « <strong>donner les bons droits, aux bonnes personnes, aux bons moments</strong> ». L’IAMoT vient ajouter une composante à cette définition pour permettre de « donner les bons droits, <strong>aux bonnes personnes et aux bons objets</strong>, aux bons moments ».</p>
<p>Mettre en œuvre des solutions pour permettre une gestion adaptée des identités des objets connectés se traduit donc par le besoin de prendre en compte :</p>
<ul>
<li>La gestion des identités des objets et de leur état (<a href="https://www.riskinsight-wavestone.com/en/2019/09/life-cycle-iot-security/">voir l’article</a> détaillant le cycle de vie des objets) ;</li>
<li>La gestion du contrôle d’accès et des habilitations :
<ul>
<li>des objets sur le SI et sur ses données ;</li>
<li>des objets sur les autres objets et leurs données ;</li>
<li>des employés/partenaires de l’entreprise sur l’objet et ses données ;</li>
<li>des clients finaux sur l’objet et ses données ;</li>
</ul>
</li>
<li>La gouvernance des identités des objets et la pertinence des droits associés dans le temps.</li>
</ul>
<p>Tout comme pour l’IAM, pour chacun de ces domaines, il va être nécessaire de définir des processus, une organisation associée et des outils adaptés aux contraintes technologiques du projet.</p>
<p>La question est donc maintenant : vers quelles solutions s’orienter pour répondre à mes besoins ?</p>
<p>&nbsp;</p>
<h2>Des plates-formes IoT orientées connectivité et gestion de flotte</h2>
<p>Le premier réflexe est de se tourner vers les services que peuvent fournir les plates-formes de gestion d’objets connectés.</p>
<p>En étudiant ces plates-formes plus en détail, nous avons fait le constat que leur priorité est déjà de couvrir les services essentiels pour la gestion de la flotte des objets connectés :</p>
<ul>
<li>gérer la connectivité multi-protocolaire des objets avec le SI de l’entreprise (SigFox, LoRa, 3/4/5G…) ;</li>
<li>maîtriser l’inventaire des objets déployés et en assurer la configuration ou la mise à jour via un module de « Device Management » (LWM2M, OMA-DM, TR-069/CWMP…) ;</li>
<li>permettre la remontée et la mise à disposition des données générées par l’objets (DTLS, CoAP, MQTT, AMQP…).</li>
</ul>
<p>Ces fonctions s’accompagnent de solutions techniques d’authentification de l’objet sur les plates-formes mais celle-ci n’offrent aucune opportunité de couverture des besoins métier.</p>
<p>Dans ce cas, que font les acteurs traditionnels de l’IAM et du CIAM ? Puis-je me tourner vers leurs solutions qui sont aujourd’hui orientées sur la couverture des besoins des utilisateurs ?</p>
<p>&nbsp;</p>
<h2>Des marchés IAM et CIAM en mutation pour couvrir une infime partie du besoin IoT</h2>
<p>Les éditeurs historiques de solutions IAM et CIAM ont compris l’énorme opportunité que représente l’IAMoT et orientent progressivement leurs offres et le discours associé sur ce marché. Néanmoins, nous constatons qu’ils ne couvrent encore que très partiellement les besoins identifiés ci-dessus et que selon leur capacité à innover le délai de mise en œuvre des nouveautés pourra être important.</p>
<p>Forts de leurs savoir-faire technologiques, ils se concentrent aujourd’hui quasi-exclusivement sur le volet contrôle d’accès. Ils offrent ainsi des solutions pertinentes pour permettre l’authentification applicative des objets sur le SI et la délivrance de jetons d’autorisation dont la gestion du contenu relève encore d’un défi propre à chaque projet. Sur les autres volets de l’IAMoT tels que la gestion de l’identité et de l’état des objets, la gestion du modèle de rôles liant objets / utilisateurs / identités internes / identités externes, ou la gouvernance des droits dans le temps, il est urgent que leur offre s’étoffe.</p>
<p>Dès lors, comment peut-on couvrir des besoins IAMoT bien présents malgré les lacunes du marché ?</p>
<p>&nbsp;</p>
<h2>Une hétérogénéité des usages rendant complexe la normalisation des pratiques et la standardisation des solutions</h2>
<p>La diversité des usages et donc des modes de fonctionnement des objets connectés est évidemment à l’origine de la difficulté des éditeurs à proposer une offre générique adaptée à ses clients. Mais les projets IoT sont là et il n’est pas envisageable d’attendre que le marché prenne forme.</p>
<p>Mais si l’harmonisation est actuellement impossible au niveau global du marché, un effort peut être consenti au niveau de l’entreprise afin d’essayer d’harmoniser les réponses pour l’ensemble de ses usages IoT. Ainsi tout en cherchant à tirer parti de ce que propose le marché IAMoT, il est nécessaire d’envisager le développement modulaire des briques manquantes et en priorité celles ayant trait à la gestion des relations « objets / utilisateurs / identités internes / identités externes ». Attention toutefois à ne pas succomber aveuglement à l’utilisation des <em>frameworks</em> bas-niveau propriétaires proposés par les plates-formes IoT. Chacun devra être vigilant à conserver un niveau d’abstraction et d&#8217;autonomie suffisant pour ne pas être lié <em>ad vitam æternam</em> à un éditeur unique. Ce point d’attention est d’autant plus important dans un marché peu mature et en explosion où les bonnes idées se font et se défont.</p>
<p>&nbsp;</p>
<h2>Que faut-il retenir ?</h2>
<p>Aucune solution du marché ne couvre l’intégralité des besoins fondamentaux de l’<em>IAM of Things</em>. Les plates-formes IoT se limitent aux fonctions de connectivité des objets, de gestion de flotte et de remontée de données. Les plates-formes IAM et CIAM n’offrent quant à elles que des réponses technologiques aux besoins d’authentification et d’autorisation.</p>
<p>Afin de combler les manques, chaque entreprise devra évaluer le besoin de se lancer dans le développement de ses propres modules applicatifs. Un effort tout particulier devra être entrepris pour atteindre un niveau adapté de généricité des modules pour l’ensemble de leurs usages et d’indépendance vis-à-vis des solutions éditeur.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/en/2020/02/iam-of-things-un-marche-emergeant-mais-un-besoin-deja-present/">IAM of Things, un marché émergeant mais un besoin déjà présent</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com/en/">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>What is IAM of Things?</title>
		<link>https://www.riskinsight-wavestone.com/en/2019/01/what-is-iam-of-things/</link>
		
		<dc:creator><![CDATA[Kévin Guérin]]></dc:creator>
		<pubDate>Mon, 14 Jan 2019 08:55:54 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Digital Identity]]></category>
		<category><![CDATA[CIAM]]></category>
		<category><![CDATA[customer IAM]]></category>
		<category><![CDATA[IAM]]></category>
		<category><![CDATA[IAM of Things]]></category>
		<category><![CDATA[identity]]></category>
		<category><![CDATA[IoT]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=11499/</guid>

					<description><![CDATA[<p>Identity and IoT, what stakes? Connected objects bring a whole range of new perspectives for the evolution of processes and working methods for businesses and users. Indeed, they are now able to interact with their environment to exchange information or...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/en/2019/01/what-is-iam-of-things/">What is IAM of Things?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com/en/">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>Identity and IoT, what stakes?</h2>
<p>Connected objects bring a whole range of new perspectives for the evolution of processes and working methods for businesses and users. Indeed, they are now able to interact with their environment to exchange information or perform actions. These interactions are characterized by relationships between corporate information systems, employees, end users and even other objects. To ensure the security of such exchanges, it is absolutely necessary to implement access control mechanisms which implies<strong> knowing and managing the identities of all connected objects of a fleet as well as their users.</strong></p>
<p>This identity management discipline is well known within companies and linked to the IAM field (Identity &amp; Access Management), that means the lifecycle management of the identities of employees and partners (traditional IAM) or end clients (<a href="https://www.riskinsight-wavestone.com/en/2017/01/ciam-pilier-de-transformation-business/">Customer IAM</a>). It must now be applied to the fleets of connected objects: it is the <strong>IAM <em>of Things</em></strong> (IAMoT).</p>
<figure id="post-11493 media-11493" class="align-none"><img fetchpriority="high" decoding="async" class="aligncenter wp-image-11493 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image-1.png" alt="" width="1924" height="1009" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image-1.png 1924w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image-1-364x191.png 364w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image-1-768x403.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image-1-71x37.png 71w" sizes="(max-width: 1924px) 100vw, 1924px" /></figure>
<figure id="post-11497 media-11497" class="align-none"></figure>
<p style="text-align: center;"><em>Figure 1 – Traditional IAM, Customer IAM and IAMoT: three strongly related fields</em></p>
<p>&nbsp;</p>
<h2>A connected object, yes&#8230; but to WHAT?</h2>
<p>The interactions between a connected object and its environment can be grouped into 3 main categories.</p>
<p>&nbsp;</p>
<h3>1 &#8211; An object connected to the company’s IS</h3>
<p>This is the first use case that comes to mind. Each object communicates with the IS via <strong>a unique identity that represents it and is associated to its access rights</strong>. This implies the implementation of principles for the creation, referencing, management, control and piloting of theses identities. We must <strong>know the condition of an object or the identity of its owner at any time.</strong></p>
<p>In a standard technological chain such as “objects – relays – IoT platform – applications”, <strong>the IoT platform offers a central point for managing all objects identities.</strong></p>
<p>In this context, it is also essential to manage the authentication of objects to applications, and therefore to define the principles of creating the secrets that will be used.</p>
<figure id="post-11495 media-11495" class="align-none"><img decoding="async" class="aligncenter wp-image-11495" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image-2.png" alt="" width="250" height="397" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image-2.png 547w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image-2-120x191.png 120w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image-2-25x39.png 25w" sizes="(max-width: 250px) 100vw, 250px" /></figure>
<p style="text-align: center;"><em>Figure 2 – Standard technological chain</em></p>
<p>&nbsp;</p>
<h3>2 &#8211; An object used by customers</h3>
<p>For this type of object, appears <strong>a strong relationship with the <em>Customer IAM</em> field</strong>. Indeed, the object must be able to <strong>verify the user’s identity</strong> against the CIAM and <strong>determine the services to which the customer has subscribed. </strong></p>
<p>In case of shared usage of the same object, <strong>a role and data model involving different types of end-users</strong> must also be considered.</p>
<p>Let’s take the example of a connected vehicle:</p>
<ul>
<li>The vehicle driver wants to use the GPS service. Before granting access to the service, the vehicle must answer many questions. What is the identity of the driver and what personal profile should I use (in order to load his previous rides for instance)? Is he the owner of the vehicle, the driver of a rental car, or has he borrowed it for a one-time use? Has the driver subscribed to the GPS services from the manufacturer and what is his level of service (routes calculation only, or also alerts for danger zones)?</li>
</ul>
<p>&nbsp;</p>
<h3>3 &#8211; An object in interaction with the company’s employees and partners</h3>
<p>Last use case, each object can interact with the company’s employees, service providers or partners. <strong>The relationship with the traditional IAM domain</strong> managing the authorizations and roles of the company’s partners and employees is therefore essential.</p>
<p><strong>The use cases</strong> of an object require the creation of <strong>a role model</strong> to answer the question: which rights for which populations of users on which functionalities of the object?</p>
<p>Let’s take again the example of a connected vehicle:</p>
<ul>
<li>If repairs are needed, the mechanic must be able to view the latest vehicle’s operating indicators before the breakdown for diagnostic purposes. Is this garage part of the manufacturer’s network or independent? Is the mechanic allowed to access all GPS information or only the technical indicators of the engine? Can the customer consent or at least be informed of such access to his vehicle’s data?</li>
</ul>
<p>This example also highlights that access rights may be closely linked <strong>to a time frame</strong> (only for the duration of the repair) or <strong>to the nature of the data</strong> (privacy protection of GPS data).</p>
<p>&nbsp;</p>
<h2>IAM of Things also means processes!</h2>
<p>All IAM experts will agree: there is no IAM without a thorough study of the lifecycle of the identities involved. Our conviction is that <strong>IAMoT must study all the processes involving the object over its entire life cycle.</strong> Indeed, throughout the life of an object, the nature of interactions with its environment is likely to evolve according to its condition. For example, a brand-new object should be associated with its main user via a pairing process that ensures a level of trust consistent with the issues at stake…</p>
<p>Let’s use for the last time the example of the connected vehicle:</p>
<ul>
<li><em>A person has just acquired a second-hand connected vehicle from a private owner. In the context of this resale, it is necessary for the new purchaser to ensure that all accesses to services will be properly revoked for the previous owner. The detection of the resale event must therefore trigger a process of un-pairing the former owner.</em></li>
</ul>
<p><img decoding="async" class="aligncenter wp-image-11497 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image3.png" alt="" width="1354" height="544" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image3.png 1354w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image3-437x176.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image3-768x309.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/01/image3-71x29.png 71w" sizes="(max-width: 1354px) 100vw, 1354px" /></p>
<p style="text-align: center;"><em>Figure </em><em>3</em><em> – Ingredients for the IAM of Things recipe</em></p>
<p>&nbsp;</p>
<h2>The IAM of Things, a new discipline based on mastered concepts</h2>
<p>This article highlights the identity management issue for the IoT and underlines the existing links with other fields of the IAM. It is important to keep in mind that even if <strong>the fundamental principles of the IAM also apply</strong> to the identity of connected objects, <strong>responses adapted to each project’s context</strong> must be carefully studied.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/en/2019/01/what-is-iam-of-things/">What is IAM of Things?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com/en/">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
