La Stratégie nationale pour des identités de confiance dans le cyberespace met de l’ordre dans ses affaires un an après sa création. La question est maintenant de savoir si elle peut s’accélérer et rallier une masse critique d’organisations publiques et privées à se joindre à cet effort.
Avec un financement de 16,5 millions de dollars et 10 millions de dollars réservés à des programmes pilotes, le plan dirigé par le gouvernement visant à faciliter la construction d'une identité couche pour Internet a une année d'organisation à son actif, un défi de mise en œuvre pour son avenir et quelques critiques gazouillant dans son oreille.
En avril dernier, la Stratégie nationale pour des identités de confiance dans le cyberespace (NSTIC) était une initiative de l'administration Obama. mandat, une conférence de presse et un gars ambitieux assis dans un bureau du Commerce Building au-dessus du plus ancien bâtiment du pays. aquarium.
Aujourd’hui, ses progrès constituent une merveille d’efficacité à l’intérieur du Capital Beltway, mais une course contre l’exécution du temps Internet en dehors de ce cercle.
Le NSTIC travaille à la création d'un cadre pour un « écosystème identitaire » qui sera construit et entretenu par le secteur privé. Il fournira des identités sécurisées pour les transactions en ligne, qu'elles soient entre entreprises et consommateurs ou entre entreprises, tout en limitant la divulgation d'informations personnelles. Le système fait appel à des fournisseurs d'identité publics et privés accrédités ainsi qu'à un choix d'identifiants d'identité.
Au cours des 12 derniers mois, NSTIC, qui est géré par le National Institute of Standards and Technology (NIST) et est sous le contrôle du Le Département du Commerce s'est appuyé sur son infatigable leader Jeremy Grant, qui a récemment ajouté six personnes à son programme national. Bureau.
Le NSTIC a utilisé la contribution du public pour créer un cadre pour ses politiques et sa structure, a reçu un financement fédéral et a sélectionné les finalistes pour son projet pilote. programme, a réservé 2,5 millions de dollars à un comité directeur dirigé par le secteur privé et a répété ad nauseam que le NSTIC n'est pas un plan pour une carte d'identité nationale. carte.
Mais d'un autre côté, les observateurs affirment que même si le NSTIC a réussi en termes d'organisation et de sensibilisation, il lui reste encore à démontrer des atouts tangibles tels que des lignes directrices de mise en œuvre, est toujours confronté au défi de résoudre les problèmes séculaires de la fédération identitaire et manque de défenseurs externes forts capables d’en expliquer au public l’importance. travail.
"Nous disposons de nombreux indicateurs internes sur lesquels nous pouvons nous appuyer, mais ce qui me passionne le plus, ce sont les dizaines d'entreprises, grandes et petites, qui sont venues nous voir et nous ont dit: "Nous avons lu le NSTIC". Nous pensons que cela a du sens. Et nous aimerions vous parler de ce que nous faisons en tant qu'entreprise pour aligner nos gammes de produits sur cela », déclare Grant.
Il ne minimise pas les réalisations des 12 derniers mois, mais veille à ne pas être « trop auto-félicitant ».
"A Washington, où il faut souvent des années pour faire quelque chose, nous avons reçu de nombreux éloges pour avoir accompli tant de choses si rapidement avec si peu. Mais dans d’autres cercles, on me demande pourquoi cela fait un an que le président a signé la stratégie et que le monde n’a pas changé. Les deux côtés ont leurs points. »
Programme de financement pilote du NSTIC a tiré 186 propositions qui, la semaine dernière, ont été réduites à 27. Jusqu'à huit seront sélectionnés en août pour recevoir une part d'une cagnotte de 10 millions de dollars afin de développer leurs idées.
L'un de ces finalistes, le Transglobal Secure Collaboration Program (TSCP), un consortium de l'aérospatiale et de la défense qui comprend les États-Unis. Le ministère de la Défense et le ministère britannique de la Défense estiment que NSTIC commence à rassembler les entreprises qui souhaitent construire leur identité écosystème.
La proposition NSTIC du groupe se concentre sur la combinaison des travaux des membres du TSCP et du gouvernement sur les identités, les informations d'identification et l'authentification. mécanismes utilisant PKI et non-PKI avec des attributs et des contrôles de confidentialité et étendant cela à un Internet plus distribué et commun applications.
Keith Ward, président-directeur général de TSCP, a déclaré que l'élaboration de sa proposition NSTIC a amené la prise de conscience que TSCP devra s'adresser à d'autres, y compris à des concurrents, pour élaborer une proposition compétente.
"Étant donné que les pilotes NSTIC seront initialement développés dans des environnements distincts, je dirais que ce qui sera important pour NSTIC est de s'assurer qu'ils facilitent la collaboration dans la gouvernance entre les projets pilotes, c'est-à-dire les politiques et les responsabilités », a déclaré Ward.
Cet été, le NSTIC prévoit de mettre en place son groupe de pilotage dirigé par le secteur privé pour diriger cette collaboration.
Les observateurs affirment que les développements du NSTIC reflètent un travail de base important, mais qu'ils ne parviennent pas à atteindre l'essentiel de l'objectif du NSTIC.
"Ce que nous avons vu, c'est le travail préalable", déclare Ian Glazer, analyste chez Gartner. "Mais nous n'avons pas vu de guide de mise en œuvre formalisé qui ait la chance de dire à quoi ressemble une mise en œuvre du NSTIC. Quelque chose qui sert de point de départ à un débat et qui doit être comparé à des cas d'utilisation réels. »
Glazer fait l'éloge du travail des 12 derniers mois et déclare qu'en guise d'encadré, NSTIC a déclenché le travail sur des normes telles que OpenID Connect, une spécification de fédération légère, et OAuth 2.0, qui contribuera à sécuriser l’informatique mobile.
"Ce travail n'est peut-être pas directement lié, mais il est tangentiellement important pour le NSTIC", a déclaré Glazer.
Le plus grand obstacle auquel NSTIC est désormais confronté est ce qui est un problème séculaire de fédération, le recrutement d'entreprises et d'organisations pour devenir des parties de confiance (RP). Dans une fédération d'identité, les RP s'appuient sur des fournisseurs d'identité, ceux qui délivrent des informations d'identification, pour valider l'identité des utilisateurs visitant le site du RP. Historiquement, il a été difficile de recruter des PR car leur rôle est le moins bien compris dans la chaîne de valeur de l'identité fédérée.
"Je pense que vous verrez également des exemples passionnants [cette année] de gouvernement soutenant l'écosystème en tant que partie de confiance, notamment en acceptant des informations d'identification émises par le secteur privé", a déclaré Grant. "Les agences se rendent compte qu'il n'existe aucun moyen pratique de mettre en ligne la prochaine génération d'applications phares si elles n'ont aucun moyen de résoudre l'énigme de l'identité: est-ce la personne qu'ils prétendent être, ou un « chien sur le L'Internet?"
Grant s'attend à ce que jusqu'à trois agences fédérales annoncent des initiatives majeures alignées sur le NSTIC d'ici la fin de l'année.
Les critiques affirment que le NSTIC doit obtenir un alignement similaire en dehors du gouvernement.
"On a l'impression que c'est une affaire de gouvernement", explique Glazer. "Le NSTIC a besoin d'une voix extérieure au processus pour expliquer pourquoi c'est important. Pourquoi il y a de la valeur."
Grant affirme que la critique la plus courante qu’il entend est que le NSTIC doit agir rapidement pour rester pertinent.
"En fait, je ne suis pas en désaccord avec eux", dit-il. Grant affirme qu'au cours des 24 prochains mois, des améliorations matérielles seront réalisées.
"Le message que je voudrais transmettre à toute partie prenante qui n'est pas encore impliquée est le suivant: vous voudrez peut-être y prêter attention", déclare Grant.
Voir également:
- Un document du NSTIC décrit la transition vers un effort d'identification mené par le secteur privé
- Le NSTIC engage 2,5 millions de dollars pour créer un organe directeur
- NSTIC investit 10 millions de dollars dans des programmes pilotes d'identité