Repenser la propriété de la CIAM dans l'entreprise

1. Introduction#

Demandez à dix entreprises qui est propriétaire de l'identité des clients ou des consommateurs (CIAM) et vous obtiendrez dix réponses différentes. Parfois, c'est le CISO. Parfois, c'est le CTO, car la CIAM doit être intégrée directement dans l'application, le site web et les API qui constituent le produit. Parfois, c'est le CPO. Parfois, c'est une équipe chargée de la fraude qui a pris le relais petit à petit parce que personne d'autre n'avait une vue d'ensemble. Souvent, ce n'est personne du tout et le système est maintenu en vie par un ingénieur DevOps qui en a hérité il y a trois réorganisations.

Le Gartner CIAM Magic Quadrant définit l'IAM client autour de cinq catégories fonctionnelles - l'enregistrement, l'authentification, l'autorisation, le libre-service et l'analyse - qui ne correspondent presque jamais à une seule équipe. Selon Grand View Research, le marché mondial de la CIAM a été évalué à 8,12 milliards USD en 2023 et devrait atteindre 26,72 milliards USD d'ici 2030, soit un taux de croissance annuel composé de 17,4 %. Les questions de propriété augmentent avec ces dépenses.

La CIAM est l'un des programmes les plus interfonctionnels que la plupart des entreprises B2C dirigent. Elle se situe au carrefour de la sécurité, de l'ingénierie, du produit, de la fraude et de la croissance, et chacune de ces fonctions optimise un indicateur différent. La propriété détermine quel indicateur l'emporte en cas de conflit. Une propriété ambiguë signifie que personne ne l'emporte et que le programme d'identité dérive.

Cet article repense la propriété de la CIAM pour l'entreprise moderne : les profils de propriétaires courants, comment le secteur d'activité façonne la réponse, pourquoi les données fragmentées et la culture du "ce n'est pas mon problème" laissent la question en suspens, et à quoi ressemble un modèle de fonctionnement partagé lorsqu'une réorganisation n'est pas envisageable.

1.1 Questions traitées dans cet article#

Dans cet article, nous abordons les questions suivantes :

1. Pourquoi la propriété de la CIAM est-elle ambiguë dans la plupart des entreprises et que coûte réellement cette ambiguïté ?
2. Qui sont les propriétaires habituels de la CIAM et comment chacun optimise-t-il le programme différemment ?
3. Pourquoi la fragmentation de la propriété est-elle souvent liée à l'absence d'une couche d'analyse de l'authentification ?
4. Comment le contexte sectoriel (commerce électronique vs banque vs B2C réglementé) modifie-t-il la réponse ?
5. Où la division de la propriété fait-elle le plus de dégâts ?
6. Quels KPI de la CIAM personne ne possède entièrement, mais dont chaque équipe a besoin ?
7. À quoi ressemble un tableau de bord CIAM partagé et comment le déployer sans réorganisation ?

2. Le problème du tirage au sort#

2.1 Pourquoi la CIAM est votre programme le plus interfonctionnel#

L'identité des clients et des consommateurs touche à tout. Elle détermine si un utilisateur peut acheter, renouveler, récupérer son accès ou accéder à une fonctionnalité réglementée. Le bureau du CISO s'en préoccupe car chaque événement d'authentification est un événement de sécurité. Le bureau du CTO s'en préoccupe car la CIAM doit être intégrée dans l'application, le site web et les API, et chaque modification apportée à la connexion est déployée avec le code du produit réel. Le bureau du CPO s'en préoccupe car chaque événement d'authentification est un événement de conversion. L'équipe fraude s'en préoccupe car chaque step-up (authentification renforcée) est un signal de fraude. L'équipe croissance s'en préoccupe car la personnalisation dépend de l'identification de l'utilisateur. Aucun autre système n'a cinq propriétaires légitimes à la fois.

2.2 Le coût d'une propriété ambiguë#

Le coût est visible dans les déploiements de clés d'accès. Les déploiements qui stagnent à une adoption de 5 % à 15 % ont presque toujours un point commun : aucun propriétaire unique n'a piloté le déploiement de bout en bout. La sécurité a financé le projet pilote, le produit possédait l'interface utilisateur (UI), l'informatique possédait l'IdP, l'équipe fraude possédait le renforcement (step-up) et personne ne s'est occupé d'encourager la cohorte, ce qui stimule réellement l'inscription. Le programme a avancé au rythme du propriétaire le plus lent.

Le FIDO Alliance 2024 Online Authentication Barometer a révélé que la familiarité avec les clés d'accès a atteint 57 % à l'échelle mondiale, et 42 % des personnes interrogées familières avec les clés d'accès les avaient activées sur au moins un compte. L'écart entre la sensibilisation et l'activation est là où l'ambiguïté de la propriété de la CIAM apparaît le plus concrètement : la technologie fonctionne, mais le déploiement ne suit pas. Comme l'a dit l'analyste de Gartner David Mahdi dans le contexte de la convergence des disciplines IAM, "les organisations doivent repenser leur architecture IAM pour faire face à la décentralisation croissante de la gestion des identités et des accès". Sans un propriétaire, cette refonte n'a pas lieu.

2.3 Le problème de l'analyse déconnectée#

L'une des raisons pour lesquelles tant d'équipes finissent par avoir une part de la CIAM est qu'il n'y a pas d'outil d'analyse de l'authentification partagé au départ. Le schéma ci-dessous illustre cette tendance : quatre systèmes détiennent quatre tranches du parcours d'authentification et rien ne les chapeaute pour joindre les signaux.

Les directives du NIST Special Publication 800-63-4 concernant l'identité numérique exigent explicitement une "évaluation continue" de l'assurance de l'authentificateur, ce qui est impossible sans une vue des événements de bout en bout. En pratique, seule une minorité de programmes B2C dispose de cette vue : l'enquête 2024 Ping Identity Consumer Survey a révélé que 63 % des consommateurs abandonneraient un compte après deux tentatives de connexion infructueuses. C'est un indicateur que peu d'équipes CIAM suivent, car les données nécessaires se trouvent dans trois systèmes différents.

Chaque propriétaire protège alors sa tranche. Cela s'explique en partie par le budget - l'équipe qui a payé pour les données estime avoir gagné le contrôle. Et en partie par le pouvoir - les données sont le moyen le plus simple de démontrer la valeur lors d'une évaluation interfonctionnelle. L'effet pratique est que même lorsqu'un problème de CIAM concerne les quatre systèmes, aucune personne ne peut le voir de bout en bout. Une couche d'observabilité de l'authentification dédiée supprime cette excuse et déclenche généralement la discussion sur la propriété qui aurait dû avoir lieu depuis longtemps.

3. Les propriétaires courants#

Cinq fonctions revendiquent régulièrement la CIAM, et chacune optimise un indicateur différent. La comparaison ci-dessous résume ce sur quoi chaque archétype est évalué et où se situe son point aveugle.

3.1 Bureau du CISO#

Optimise : taux de fraude, couverture MFA, taux de comptes compromis et conclusions d'audit. Traite la CIAM comme un contrôle de sécurité. Points forts : des KPI clairs et une autorité budgétaire sous pression réglementaire (DORA, NIS2 ou NIST 800-63). Points aveugles : l'impact de la friction sur la conversion, le coût de support des parcours interrompus et l'expérience de la longue traîne d'utilisateurs dont les appareils tombent en panne silencieusement.

3.2 Bureau du CTO#

Optimise : effort d'intégration, fiabilité de la plateforme, qualité du SDK, vitesse de publication et coût d'ingénierie. Traite la CIAM comme un problème d'intégration de produit car la connexion est un code qui est déployé avec l'application, le site web et les API. Points forts : proximité avec le produit, propriété du SDK côté client, capacité à corriger rapidement les parcours défaillants. Points aveugles : nuances réglementaires, compromis en matière de fraude et hygiène des informations d'identification à long terme une fois l'intégration en direct. Le DSI joue ce rôle dans le secteur public et les entreprises à l'informatique fortement centralisée, mais dans la plupart des entreprises axées sur les consommateurs, le bureau du CTO est le plus approprié.

3.3 Bureau du CPO ou Produit#

Optimise : conversion de la connexion, taux d'activation, succès de la récupération et délai avant la première valeur. Traite la CIAM comme un produit. Points forts : rigueur de l'UX, tests A/B et empathie envers le client. Points aveugles : exposition à la fraude, contraintes réglementaires et hygiène des informations d'identification à long terme.

3.4 Bureau Fraude ou Risque#

Optimise : taux de déclenchement du renforcement (step-up), taux de faux positifs, taux de rétrofacturation et taux de piratage de compte. Possède un segment de l'identité, rarement la totalité. Points forts : modélisation des risques, signaux en temps réel et réponse aux incidents. Points aveugles : flux d'inscription, flux de récupération et les parties de l'identité qui ne sont pas transactionnelles.

3.5 Bureau Croissance ou Marketing#

Propriétaire émergent, en particulier dans les abonnements grand public et la vente au détail. Optimise : taux de réengagement, connexions verrouillées par la vente croisée et préparation à la personnalisation. Traite l'identité comme le substrat des boucles de croissance. Points forts : réflexion sur le cycle de vie et culture de l'expérimentation. Points aveugles : tout ce qui n'est pas de la croissance.

4. Là où la propriété divisée fait réellement mal#

4.1 Approvisionnement contre désapprovisionnement#

L'approvisionnement est un problème d'efficacité : à quelle vitesse pouvez-vous faire entrer un utilisateur dans le système ? Le désapprovisionnement est un problème de sécurité : à quelle vitesse pouvez-vous retirer un utilisateur compromis ou parti. Ils sont presque toujours achetés comme un seul outil et sous-optimisés, car le propriétaire axé sur l'efficacité ne ressent jamais la douleur du désapprovisionnement et le propriétaire axé sur la sécurité ne ressent jamais la douleur de l'approvisionnement.

4.2 L'UX gérée par la fraude contre l'UX gérée par le produit#

La fraude ajoute de la friction car la friction bloque les acteurs malveillants. Le produit supprime la friction car la friction bloque les revenus. Lorsque les deux équipes façonnent la même page de connexion sans propriétaire commun, le résultat est un compromis qui ne satisfait ni l'un ni l'autre : suffisamment de friction pour contrarier les utilisateurs, mais pas assez pour stopper la fraude. Le renforcement évalué en fonction des risques est la réponse technique. Un propriétaire unique du parcours est la réponse organisationnelle.

4.3 Aucune vue partagée des performances de connexion#

La division de la propriété nuit également à cause de l'absence de couche d'analyse partagée. Les vrais chiffres sur les performances de connexion - taux de réussite de bout en bout, réussite de la récupération, taux de déclenchement du step-up, part de secours par cohorte et réussite au niveau de la méthode (mots de passe, OTP, réseaux sociaux, clés d'accès) - se trouvent dispersés dans l'IdP, la suite d'analyse de produits, le moteur de fraude, le SIEM et quelques feuilles de calcul. Chaque équipe voit sa propre tranche, personne ne voit le parcours complet et les symptômes se retrouvent enfouis dans des indicateurs qui semblent corrects individuellement mais qui cachent le véritable problème.

Une connexion lente pour les utilisateurs d'anciennes versions d'Android apparaît comme une petite anomalie de latence dans l'IdP, une petite baisse de conversion et une petite hausse des tickets d'assistance. Aucun d'entre eux n'est alarmant en soi. Mis bout à bout, ils constituent une régression qui vaut la peine d'être corrigée. Sans un seul propriétaire et une seule vue d'ensemble, cette régression peut rester ignorée pendant des trimestres.

5. Le secteur d'activité détermine la réponse#

La personne qui détient en fin de compte la responsabilité de l'identité des clients et des consommateurs dépend également du secteur d'activité. Le même organigramme qui fonctionne pour un secteur est perçu comme sur-gouverné ou sous-gouverné dans un autre.

• Le commerce électronique traite la CIAM comme un problème de conversion. Le produit est responsable de la connexion, l'équipe croissance du réengagement et la fraude se situe à côté des deux. L'appétit pour la sécurité est modéré. La cadence est faite d'expériences hebdomadaires. La recherche sur l'abandon de panier du Baymard Institute rapporte un taux d'abandon moyen de 70,2 %, et une part importante est attribuable à la friction du compte, ce qui maintient le produit fermement dans le siège du propriétaire.
• Le secteur bancaire et les services financiers considèrent la CIAM comme un problème de sécurité et de conformité. Le CISO possède le programme, le risque gère le renforcement (step-up) et l'informatique gère la plateforme. L'appétit pour la sécurité est élevé et la cadence est trimestrielle avec un audit lourd.
• Les télécommunications, l'assurance et la santé se situent entre les deux. La pression réglementaire les pousse vers le secteur bancaire. La pression de l'expérience client les pousse vers le commerce électronique. Le modèle de gouvernance est généralement divisé entre le CISO et le CPO avec un tableau de bord partagé.
• Le secteur public et le B2B réglementé donnent la priorité à l'auditabilité sur l'expérimentation. La CIAM est sous la responsabilité du DSI (là où l'informatique centralisée existe encore) ou sous une fonction dédiée de gouvernance des identités avec une cadence axée sur la conformité. Les exigences NIST 800-63-4 Identity Assurance Level fixent le niveau de base.

Le graphique en quadrants ci-dessous positionne chaque secteur sur les deux dimensions qui déterminent la réponse de propriété - l'appétit pour la sécurité et la cadence d'examen - et cartographie le propriétaire dominant qui ressort de chaque position.

Un tableau de bord qui fonctionne pour un détaillant semble sous-gouverné dans une banque. Un modèle de gouvernance qui fonctionne pour une banque semble trop complexe pour un détaillant. Les études Total Economic Impact (TEI) de Forrester commandées par les fournisseurs sur la CIAM montrent un écart important : le ForgeRock CIAM TEI a rapporté un ROI de 186 % sur trois ans, tandis que le WSO2 CIAM TEI a rapporté un ROI de 332 %. La combinaison de facteurs – augmentation de la conversion, réduction de la fraude ou coût d'audit – diffère considérablement selon les secteurs, ce qui explique pourquoi la plage de ROI elle-même varie. Choisir le bon propriétaire commence par identifier le modèle de l'industrie dans lequel vous opérez réellement.

6. Identité du personnel contre identité du client#

L'IAM pour le personnel (Workforce IAM) et l'IAM client (CIAM) se trouvent généralement dans des équipes différentes, et c'est souvent la bonne configuration. Les deux traitent de l'identité, mais optimisent des choses différentes. L'IAM du personnel gère des employés connus sur des appareils gérés avec une longue session et une population d'utilisateurs restreinte, généralement de 1 000 à 100 000 utilisateurs. La CIAM gère des prospects et des clients anonymes sur des appareils non gérés avec des sessions courtes, sensibles à la conversion, et une population d'utilisateurs bien plus importante, souvent de l'ordre de dizaines ou centaines de millions. Les modèles de menaces, les KPI et les choix d'outils divergent.

7. Il n'y a pas de réponse unique#

Il n'y a pas de place universellement bonne ou mauvaise pour la CIAM. Ce qui compte, c'est que les dépendances internes fonctionnent : l'équipe propriétaire a l'autorité de prendre des décisions, les équipes contributrices ont une place formelle à la table, et le tableau de bord est suffisamment partagé pour que personne ne puisse sortir un indicateur de son contexte.

Une banque réglementée peut confier la CIAM au CISO et réussir. Un détaillant peut la confier au CPO et réussir. Une entreprise de télécommunications peut exécuter un modèle divisé entre le CISO et le CPO et réussir. Ce qui échoue partout, c'est une propriété implicite sans force d'action, sans couche d'analyse partagée et sans cadence de révision interfonctionnelle. Le modèle organisationnel a moins d'importance que le modèle d'exploitation qui l'accompagne.

8. Tableau de bord CIAM partagé#

Choisir un tableau de bord est généralement plus facile que de choisir un propriétaire, et cela fonctionne sans réorganisation. L'idée est simple : le tableau de bord local de chaque cadre pour sa fonction est correct mais globalement incomplet. La solution est une seule page, cinq indicateurs, passés en revue tous les mois par l'ensemble des fonctions propriétaires.

8.1 Les indicateurs que personne ne possède entièrement#

Voici les cinq KPI interfonctionnels qui se situent entre les visions du CISO, du CTO, du CPO, de la fraude et de la croissance. Chacun est crucial et chacun est sous-instrumenté dans la plupart des entreprises. Le schéma ci-dessous montre comment chaque indicateur se situe à l'intersection de plusieurs fonctions propriétaires, ce qui explique pourquoi aucun d'entre eux ne revient clairement à une seule équipe.

• Taux de réussite de connexion par cohorte. Le succès de connexion global cache tout. Un taux global de 92 % peut masquer un taux de 70 % sur une combinaison spécifique de système d'exploitation, de navigateur et de gestionnaire d'informations d'identification. Rapporter le taux de réussite uniquement de manière globale est l'erreur de mesure de la CIAM la plus courante.
• Délai avant la première action authentifiée. Le délai réel qu'un utilisateur subit entre l'arrivée sur la page de connexion et le moment où il peut effectuer une transaction. Cela inclut le temps de déclenchement du Conditional UI, la sélection des informations d'identification, l'invite biométrique et la redirection. Cela est corrélé avec la conversion et personne ne le possède.
• Utilisation et succès du parcours de récupération. Combien d'utilisateurs atteignent la récupération, quels parcours ils utilisent et combien réussissent. La récupération est le point où la fraude rencontre la friction et les coûts de support. Cela appartient au CISO, au CPO et au CTO à la fois, ce qui signifie généralement personne.
• Création de clés d'accès vs utilisation des clés d'accès. La création est la part des utilisateurs éligibles qui se sont inscrits. L'utilisation est la part des connexions qui utilisent réellement une clé d'accès. Un déploiement peut avoir 60 % de portée et 20 % d'utilisation si les utilisateurs inscrits continuent à taper des mots de passe par habitude. Le même écart s'applique à toute nouvelle méthode d'authentification.
• Abandon par méthode d'authentification. Avec quelle méthode la session a commencé et à quelle fréquence ne s'est-elle pas terminée. Les abandons de mots de passe, d'OTP, d'identifiants sociaux et de clés d'accès ont des causes profondes différentes : hygiène des informations d'identification, échec de la distribution, panne d'un tiers, problème d'interface utilisateur ou conflit de gestionnaire de mots de passe. En faire la moyenne les cache tous.

8.2 Une page, cinq indicateurs, un examen mensuel#

Le tableau de bord est un document d'une page passé en revue chaque mois par les fonctions propriétaires ensemble. Chaque indicateur a un propriétaire principal pour la qualité des données, un propriétaire interfonctionnel pour le plan d'action et une cible définie conjointement au début de chaque trimestre. Une page Notion ou un Google Sheet suffit - l'examen a lieu sur la page unique, pas sur les tableaux de bord sous-jacents.

Chaque propriétaire apporte la tranche que lui seul peut voir :

• La sécurité fournit le taux de fraude, le taux de comptes compromis et les résultats des renforcements par cohorte.
• Le CTO / Ingénierie fournit la disponibilité, le taux d'erreur d'intégration, les performances du SDK et le coût par authentification selon la méthode.
• Le produit apporte les entonnoirs de conversion, les abandons par étape et le délai avant la première valeur.
• La fraude indique le taux de déclenchement du step-up et le taux de faux positifs par cohorte.
• La croissance fournit les ratios de sessions anonymes vs identifiées et le taux de réengagement.

La matrice ci-dessous résume le schéma de contribution et rend explicites les lacunes de couverture : aucun propriétaire ne produit à lui seul les cinq indicateurs.

8.3 Le déployer sans réorganisation#

La plupart des programmes de tableaux de bord échouent au niveau de l'instrumentation, et non de la gouvernance. Si la couche d'observabilité sous-jacente ne peut pas décomposer le taux de réussite par système d'exploitation, navigateur et gestionnaire de mots de passe, aucune fréquence d'examen ne produira un tableau de bord utile. La séquence qui fonctionne en pratique :

1. Instrumentez d'abord. La télémétrie des événements côté client qui peut décomposer le taux de réussite par cohorte est la condition préalable pour tous les autres indicateurs du tableau de bord.
2. Choisissez un premier indicateur à coposséder. Le taux de réussite de connexion par cohorte est généralement le bon premier choix car il force l'instrumentation inter-cohortes dont dépendent tous les autres indicateurs.
3. Révision mensuelle de 60 minutes. Première réunion : convenir des cinq indicateurs et de la base de référence actuelle. Deuxième réunion : s'accorder sur les objectifs trimestriels. Troisième réunion : premier plan d'action. Ajoutez des indicateurs sur deux trimestres plutôt que tous à la fois.

À six mois, un déploiement mature rapporte le taux de réussite de connexion par cohorte avec des propriétaires nommés pour les trois pires, la portée et l'utilisation des clés d'accès comme deux nombres distincts, le succès de la récupération avec un propriétaire partagé CISO/CPO, le taux de déclenchement du step-up à côté du taux de faux positifs, et le coût par authentification décomposé par méthode. La révision mensuelle passe des débats sur les données aux débats sur les décisions, ce qui est le véritable livrable.

9. Comment Corbado ajoute la couche de données manquante pour l'authentification#

Corbado ne décide pas qui est propriétaire de la CIAM et n'essaie pas de le faire. La propriété est une décision organisationnelle. Ce que Corbado apporte, c'est la couche de données qui manquait en premier lieu - la couche que les silos, les budgets divisés et les attitudes de type "ce n'est pas mon problème" n'ont jamais produite par eux-mêmes. L'authentification a enfin l'équivalent de ce que l'analyse produit, l'observabilité et les outils anti-fraude possèdent déjà dans leurs propres domaines.

La couche d'observabilité de l'authentification se situe au-dessus de l'IdP, du moteur de fraude et du SIEM et joint leurs signaux dans une seule vue du parcours de connexion. Les tentatives backend, les cérémonies côté client, le comportement du gestionnaire de mots de passe, le succès au niveau de la cohorte et les résultats de la récupération vivent dans un seul système et sont mesurés les uns par rapport aux autres.

• Une couche de données pour l'authentification. Les signaux backend, frontend, fraude et sécurité sont corrélés par session, par cohorte et par parcours, de sorte que les véritables performances de connexion cessent d'être enfouies dans quatre systèmes.
• Taux de réussite au niveau de la cohorte. Le succès de connexion décomposé par système d'exploitation, navigateur, gestionnaire d'informations d'identification et matériel - le premier indicateur du tableau de bord que la plupart des équipes ne peuvent pas produire avec leurs outils existants.
• Création et utilisation sous forme de nombres distincts. La création de clés d'accès et leur utilisation sont rapportées comme deux KPI distincts, ce qui est le principal correctif de mesure dont la plupart des tableaux de bord ont besoin.
• Analyse du parcours de récupération. L'utilisation, le succès et l'abandon du flux de récupération apparaissent dans la même taxonomie d'événements que les flux de connexion, afin que le CISO et le CPO voient les mêmes chiffres.
• Abandon par méthode. L'abandon par méthode permet au tableau de bord de séparer l'abandon du mot de passe (hygiène des informations d'identification) de l'abandon de la clé d'accès (problème d'interface utilisateur ou conflit avec le gestionnaire de mots de passe).
• Garde-fous de déploiement. La suppression dynamique, les incitations spécifiques aux cohortes et les boutons d'arrêt d'urgence permettent à la personne qui convoque le programme d'exécuter des modifications sans toucher directement à l'IdP.
• Benchmarks de référence. Les bases de référence inter-déploiements de la base de clients de Corbado permettent de comparer les chiffres internes avec des données externes, ce qui transforme souvent une révision mensuelle en une prise de décision.

Les conflits de propriété ne disparaissent pas avec une couche de données. Mais ils deviennent plus faciles à résoudre, car les arguments basés sur "mes données disent que" cessent et les arguments sur ce qu'il faut faire commencent.

10. Conclusion#

La CIAM a de multiples propriétaires légitimes et cela ne changera pas. Ce qui change, c'est de savoir si l'entreprise choisit un propriétaire ou un tableau de bord. Choisir un propriétaire est plus rapide mais nécessite un capital politique. Choisir un tableau de bord est plus lent mais fonctionne sans réorganisation. L'une ou l'autre voie est préférable au tirage au sort implicite que la plupart des entreprises pratiquent aujourd'hui. Le coût d'une propriété ambiguë se mesure en déploiements bloqués, en parcours décousus et en l'érosion silencieuse des chiffres de sécurité et de conversion.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

FAQ#

Qui est généralement propriétaire de la CIAM dans une grande entreprise ?#

Dans notre expérience, la propriété est divisée entre les fonctions du CISO, du CTO, du CPO, de la fraude et de la croissance. Dans les secteurs réglementés, le bureau du CISO détient l'autorité principale. Dans les entreprises numériques axées sur les consommateurs, c'est généralement le bureau du CPO ou du CTO, car la CIAM doit être intégrée au produit. Un chef de produit d'identité dédié avec un tableau de bord partagé est le modèle le plus mature dans les deux cas.

Le secteur d'activité modifie-t-il la personne qui devrait posséder la CIAM ?#

Oui. Le commerce électronique considère la CIAM comme un problème de conversion et l'attribue généralement au produit ou à la croissance. Le secteur bancaire le considère comme un problème de sécurité et de conformité et l'attribue au CISO. Les télécommunications, l'assurance et la santé fonctionnent avec des modèles divisés. La bonne réponse dépend de l'appétit pour la sécurité et de la cadence de révision de l'industrie, et non d'une meilleure pratique abstraite.

Pourquoi la division de la propriété de la CIAM nuit-elle aux nouveaux déploiements d'authentification ?#

Toute nouvelle méthode d'authentification - de la connexion sociale et de l'authentification renforcée MFA aux clés d'accès - nécessite une UX d'inscription, des flux de récupération, une politique de risque et des outils de support coordonnés. Lorsque chacun relève d'un propriétaire différent avec des vitesses différentes, le déploiement avance au rythme du propriétaire le plus lent. Les déploiements de clés d'accès stagnent régulièrement à 5 % à 15 % d'adoption.

L'IAM du personnel et l'IAM client devraient-ils se trouver dans la même équipe ?#

Généralement non. Ils partagent un vocabulaire et peu d'autres choses. L'IAM du personnel optimise les appareils gérés, les utilisateurs connus et la rentabilité. L'IAM client optimise les appareils non gérés, les utilisateurs anonymes et la conversion. La plupart des entreprises matures les maintiennent sous une gouvernance séparée et partagent un conseil plutôt qu'un leader.

Quels sont les KPI les plus importants de la CIAM ?#

Cinq indicateurs interfonctionnels se situent entre les tableaux de bord par fonction : le taux de réussite de connexion par cohorte, le délai avant la première action authentifiée, la portée et l'utilisation des clés d'accès en tant que deux nombres distincts, le succès du parcours de récupération et l'abandon par méthode d'authentification. Chacun est crucial et sous-instrumenté dans la plupart des entreprises.

Pourquoi la portée et l'utilisation des clés d'accès ne sont-elles pas le même indicateur ?#

La portée est le pourcentage d'utilisateurs éligibles qui ont enregistré une clé d'accès. L'utilisation est le pourcentage de connexions qui utilisent réellement une clé d'accès. Un déploiement peut avoir une forte portée et une faible utilisation si les utilisateurs inscrits continuent de taper des mots de passe par habitude. Ne rapporter qu'un seul indicateur induit l'examen exécutif en erreur.

Qu'est-ce qu'un tableau de bord CIAM partagé ?#

Un document d'une page avec cinq indicateurs interfonctionnels, examiné mensuellement par les fonctions propriétaires réunies. Chaque indicateur a un propriétaire principal pour la qualité des données, un propriétaire interfonctionnel pour le plan d'action et une cible conjointe. L'examen se fait sur le document d'une page, pas sur les tableaux de bord sous-jacents.

À quelle fréquence le tableau de bord doit-il être révisé ?#

Une fois par mois, lors d'une réunion interfonctionnelle de 60 minutes avec les fonctions propriétaires. Plus fréquemment et rien ne change entre les examens. Moins fréquemment et une dérive systémique passe inaperçue, en particulier pour les régressions au niveau des cohortes.

Comment commencer sans réorganisation ?#

Choisissez les deux indicateurs qui posent le plus problème, réunissez les propriétaires pour un examen mensuel de 60 minutes et développez le tableau de bord sur deux trimestres. Aucun titre ne change. Le tableau de bord devient la couche de gouvernance.

Un fournisseur peut-il aider à résoudre les litiges de propriété ?#

Un fournisseur ne peut pas décider de la propriété pour vous. Il peut supprimer l'ambiguïté des données. Une couche d'analyse partagée donne à chaque propriétaire la tranche dont il se soucie tout en préservant la vue globale, ce qui suffit souvent à transformer un débat politique en un débat opérationnel.