L’identité numérique, clé de la confiance
À l’ère de la dématérialisation, l’identité établit un périmètre de sécurité pour effectuer un échange en toute confiance. Mais que recouvre la notion d’identité entre signature et certificat électroniques ?
Sep 2023Par Frédéric Bergonzoli
L’identification et l’authentification constituent le pilier sur lequel reposent les offres des tiers de confiance. Ces trusted third parties exploitent le meilleur de la technologie pour sécuriser et contrôler une interaction entre deux parties qui leur font confiance.
En France, ils sont qualifiés par l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui effectue des audits réguliers de conformité, et remplissent souvent également les fonctions d’autorité de certification – prestataires de services de certification électronique (PSCE) au niveau national ou prestataires de services de confiance (PSC) au niveau européen.
Ces professionnels présentent les meilleurs gages de fiabilité, renforcés par le règlement eIDAS qui, depuis 2014, définit les process des activités numériques transactionnelles ou administratives et établit les différents rôles de confiance entre les pays de l’Union européenne (UE).
À la notion de confiance s’ajoute celle de l’identité. Dans une économie mondialisée où l’essor du cloud et du télétravail pousse les organisations à adopter une gouvernance numérique, rien n’est possible sans la légitimité d’une identité par laquelle l’entreprise peut revendiquer la conformité de ses activités dématérialisées et défendre ses intérêts en cas de litige.
« À l’échelle des individus, l’identité numérique offre la capacité de passer une transaction en ligne en s’identifiant de manière fiable. Cela peut se faire en présence physique par le contrôle visuel d’un justificatif d’identité ou à distance en demandant à l’utilisateur de se présenter avec son justificatif dans un flux vidéo qui permettra à un opérateur humain assisté par l’intelligence artificielle de vérifier son identité avec un niveau de fiabilité équivalent voire supérieur au contrôle en face à face. En France, l’Anssi a émis un référentiel d’exigences applicables aux prestataires de vérification d’identité à distance (PVID). L’identité numérique d’une entreprise, elle, comporte des éléments tels que la raison sociale, le numéro de Siret, le nom du responsable du certificat ainsi qu’une adresse mail ou un nom de domaine qualifié. Elle fonctionne comme une pièce d’identité numérique, qui lui permet, comme tout individu, de réaliser des transactions en ligne mais aussi de garantir la provenance et l’intégrité des documents qu’elle échange », explique Thibault de Valroger, Senior Director Business Development chez DocuSign.
De fait, toute organisation a besoin d’établir sans équivoque son identité digitale, à la fois pour garantir la transparence de ses activités en ligne et rassurer ses clients et partenaires quant à la confidentialité des données qui transitent par de multiples canaux. « L’identité numérique de l’entreprise a la capacité de marquer son empreinte sur des documents pour protéger ses identités, son image et sa production. Ensuite, dans le droit français, l’entreprise n’agit pas seule. C’est une personne physique qui agit pour elle selon un rôle, un mandat, un pouvoir ou une délégation. L’identité numérique professionnelle, c’est le lien entre la personne physique et l’entreprise qu’elle représente », rappelle Stéphane Gasch, directeur général de ChamberSign.
+ de 10 % de croissance pour le marché de la confiance numérique en 2022
Source : Observatoire 2023 de la filière de la confiance numérique
Le certificat électronique
Pour orchestrer leurs transactions, les entreprises ont, depuis quelques années, adopté la signature électronique, mais celle-ci ne suffit pas à établir à elle seule une identité numérique fiable et sécurisée.
Délivré par une autorité de certification, avec l’intervention d’une autorité d’enregistrement et d’un opérateur, le certificat électronique garantit pleinement cette identité. Souvent fourni sur un support physique, carte à puce ou clé USB dont les données chiffrées sont associées à une clé publique et à une clé privée, le certificat s’appuie sur la technologie PKY (public key infrastructure) pour gérer le cycle de vie des certificats numériques.
Chaque prestataire de confiance dispose de sa propre plate-forme PKY mais subit dorénavant la concurrence de solutions open source, comme celles de Keyfactor ou de Let’s Encrypt, cette dernière ayant la particularité d’être gratuite.
D’autres offres tentent de se structurer autour des technologies blockchain, mais sont encore en gestation, partagées entre les promesses des systèmes décentralisés exploités par les cryptomonnaies et leur limitation pour se prêter à une forme de gouvernance des identités authentifiant des documents par des autorités légales centralisées. Sans parler des frais de minage associés, qui alourdissent le modèle économique.
« L’e-wallet pourrait être disponible au plus tard entre juillet 2025 et juin 2026, après l’adoption de son règlement »
Pierre d’Estais, VP Partenaires & Alliances chez Signaturit
Une reconnaissance européenne
L’EU mise sur d’autres pistes, notamment un portefeuille d’identité numérique, l’European Unit Digital Identity (Eudi) Wallet, dont les fondements reposent sur la version 2.0 du règlement eIDAS, attendue fin 2023. L’Eudi permettra aux citoyens européens d’accéder à une identité numérique de confiance fournie par leurs gouvernements respectifs et acceptée par tous les États membres.
« La Commission européenne travaille sur un cadre pour un portefeuille européen d’identité numérique pour les entreprises. Celles-ci pourraient l’utiliser pour vérifier leur identité et leurs références lorsqu’elles interagissent avec des utilisateurs mais aussi des organisations des secteurs public et privé dans toute l’UE. Les avantages seraient nombreux. D’abord, une commodité accrue puisque les entreprises pourraient utiliser une seule identité numérique pour interagir avec plusieurs organisations, ce qui leur permettrait d’économiser du temps et des efforts. Ensuite, une amélioration de la sécurité car une seule identité numérique serait plus facile à gérer et à protéger que plusieurs distinctes. En outre, un portefeuille européen d’identité numérique contribuerait à instaurer la confiance entre les entreprises et les organisations, car il fournirait un moyen sûr, standard et fiable de vérifier leur identité », indique Nicolas Bigand, directeur technique de l’Identité numérique La Poste.
Selon lui, les entreprises doivent dès à présent se préparer à l’arrivée de ce portefeuille, en réfléchissant notamment à la manière dont ils l’utiliseront, pour quels services et avec quels types d’intégration dans leurs systèmes existants. D’après Pierre d’Estais, VP Partenaires & Alliances chez Signaturit, elles ont encore un peu de temps : « Si nous nous fions aux textes actuels, toujours en cours de discussion, l’adoption du règlement définissant l’e wallet est prévu pour la fin d’année. Le scénario optimiste envisage une disponibilité de l’e-wallet dix-huit mois après l’adoption de son règlement, et trente mois dans le cas le plus pessimiste. La date de disponibilité serait donc comprise entre juillet 2025 et juin 2026. »
Alors que l’EU mise sur des projets pilotes réalisés par quatre consortiums (voir encadré) pour bâtir une identité européenne, le choix d’un prestataire se posera immanquablement. « Plus les individus possèdent une eID, plus il est facile pour les entreprises de s’appuyer sur une forme d’identité de confiance. Mais
le portefeuille pourrait tout changer pour les deux parties – une identité réutilisable qui ne nécessite pas d’identifier quelqu’un à partir de zéro à chaque interaction avec une entreprise rendra les interactions en ligne beaucoup plus fluides.
Le défi pour les entreprises et les consommateurs pourrait être la fragmentation du marché des portefeuilles : combien de fournisseurs développeront une offre de portefeuilles ? Comment les utilisateurs et les entreprises devraient-ils choisir le portefeuille à utiliser ? La question clé sera de savoir comment encourager l’interopérabilité entre différents portefeuilles afin d’éviter des écosystèmes d’identité fermés. Cela servira à la fois les individus et les entreprises », estime Julien Barbier, solutions consultant Document Cloud chez Adobe.
« Pour la signature qualifiée, il faut avoir recours aux solutions certifiées du marché, par exemple avec la norme PVID »
Thibault de Valroger, Senior Director Business Development chez DocuSign
Authentifier le représentant légal
À ces inconnues s’ajoute dans l’entreprise la nécessité de déterminer quel représentant en tant que personne physique peut engager une personne morale. De plus, à l’heure où les systèmes de mandats sont très cloisonnés dans beaucoup de secteurs, le manque d’interopérabilité est flagrant. Le cachet électronique est une réponse partielle. Il est largement exploité dans l’envoi de gros volumes de documents, par exemple les factures électroniques, et facilite l’automatisation des processus, tout en permettant d’authentifier l’origine du document.
Mais, contrairement à une signature électronique, il n’implique aucun engagement ni aucune obligation de la part du signataire concernant le contenu du document. Si l’on s’en tient à la sémantique du règlement eIDAS, electronic signature fait référence à la signature électronique pour une personne physique, alors que electronic seal désigne le cachet électronique pour une personne morale.
En revanche, tout comme la signature électronique, le cachet électronique peut être avancé ou qualifié pour garantir l’authenticité des échanges. Autre point commun, les certificats électroniques demeurent au cœur du cycle de vie des deux services, signature et cachetage.
Cependant, les certificats ne servent pas uniquement à réaliser ces opérations. On trouve ainsi des certificats SSL/TLS destinés à garantir la sécurité d’une connexion internet et la protection de données sensibles transmises entre deux systèmes, des certificats Aces et ECA exploités par le gouvernement américain, des certificats IoTT utilisés par des périphériques qui ne sont pas des serveurs, des certificats S/Mime pour atténuer le piratage des e-mails, ou les certificats Trust ID qui garantissent l’identité des individus et des entreprises dans des opérations de transaction. Tous répondent à la norme X.509.
L’importance d’un cadre réglementé
Pour beaucoup de professionnels de la confiance, l’identité numérique vue sous le prisme de la signature électronique présente une frontière poreuse avec l’identity and access management (IAM), que les entreprises utilisent depuis des années pour permettre à leurs employés de se connecter de manière sécurisée et centralisée au système d’information.
De là à exploiter des identités numériques déjà créées en interne à l’extérieur de l’entreprise, il n’y a qu’un pas virtuel à franchir. Des acteurs déjà positionnés sur des offres IDaaS (identity as a service) estiment qu’à terme la gestion des identités devra être appréhendée dans sa globalité. Pour l’heure, ces services cloud, créés selon les politiques de sécurité propres à l’entreprise, ne sont pas nécessairement conformes au cadre réglementaire d’eIDAS et du règlement général de protection des données.
« Nous permettons à nos clients d’utiliser leur SSO pour authentifier leurs utilisateurs quand ils accèdent à leur compte et même pour s’authentifier dans une signature électronique simple ou avancée. Pour la signature qualifiée, il faut avoir recours aux solutions certifiées du marché, par exemple celle qui utilise la norme PVID », explique Thibault de Valroger.
Des évolutions sont encore à venir, tant technologiques que législatives. « Le marché de la confiance numérique est en pleine croissance, 18 milliards d’euros en 2022, soit une augmentation de 10 % par rapport à 2021. On observe un accroissement des menaces cyber (+ 400 % depuis la crise sanitaire au niveau mondial) et les techniques de fraude se sont “professionnalisées” et affinées, touchant tous les secteurs. On assiste également à une multiplication des usages digitaux impliquant de la sécurité et de la mise en conformité, boostée par une réglementation incitative », indique Romain Le Formal, responsable marketing solutions, Innovation&trust chez Tessi.
Quatre projets pour l’identité numérique européenne
La création du portefeuille d’identité numérique européen, l’EU Digital Identity (Eudi) Wallet, associe près de 250 organisations qui travaillent sur l’élaboration de quatre projets retenus fin 2022 par un appel d’offres.
Le projet Potential est coordonné par l’Allemagne et la France, avec la participation de 17 États membres et de l’Ukraine. Près de 50 administrations publiques et 80 entités privées y contribuent. Le projet doit appliquer le portefeuille Eudi à six cas d’usage : services publics électroniques, permis de conduire électronique, ouverture de comptes bancaires, enregistrement de cartes SIM, signature électronique et prescription médicale électronique.
Le consortium EWC (EU Digital Identity Wallet Consortium), mené par la Suède, compte plus d’une cinquantaine d’organisations publiques et se concentre sur l’utilisation de l’e-wallet dans le cadre des voyages.
Le consortium Nobid (Nordic-Baltic eID Project), coordonné par la Norvège et impliquant près de 5 administrations publiques et 15 entités privées, est destiné à l’utilisation du portefeuille Eudi pour l’autorisation des paiements de produits et de services par l’utilisateur du portefeuille.
Le projet DC4EU (Digital Credentials for Europe Consortium) est piloté par l’Espagne et fédère près de 35 administrations publiques et 40 entités privées. Il teste l’utilisation du portefeuille Eudi dans le secteur de l’éducation et le domaine de la sécurité sociale.
Pour les banquiers et les assureurs, la vérification de l’identité reste un processus manuel
Selon une récente enquête de Markess by Exaegis menée dans le secteur de la banque et des assurances, 54 % des décideurs interrogés indiquent que les pièces qui leur sont transmises sont encore vérifiées manuellement par des gestionnaires métiers. Pour 50 %, les contrôles sont aussi manuels et réalisés par des référents « fraude ».
Le recours à des solutions digitales pour contrôler les pièces n’est mentionné que par 34 % des répondants. De l’extraction des données avec des technologies d’OCR, pour détecter des anomalies dans un document, à la vérification de l’identité via des solutions apportant un niveau de garantie substantielle eIDAS ou répondant aux exigences applicables aux prestataires de vérification d’identité à distance (PVID), en passant par la certification grâce à la blockchain, l’arsenal dédié au KYC (know your customer) est large, souligne le cabinet d’études.
Les atouts de la numérisation sont aussi nombreux. Dans le schéma ci-contre, Markess précise les facteurs qui poussent les banquiers et les assureurs à numériser leurs processus de gestion de l’identité et du KYC.