Pour offrir des services numériques, les entreprises créent des plateformes ou des sites Web privés nécessitant l’inscription des clients. L’authentification est la porte d’entrée de ces services et permet l’identification numérique des utilisateurs. Faire son choix parmi les différentes solutions d’authentification disponibles sur le marché est une décision importante qui doit tenir compte aussi bien de la sécurité des données que de la facilité d’utilisation pour les clients et les employés.
QU’EST-CE QUE L’IDENTIFICATION NUMÉRIQUE ?
L’identification numérique est un processus électronique qui permet à une personne physique ou morale de s’identifier, et qui vérifie l’intégrité des données. Avant l’authentification, le client doit s’enregistrer dans le système. Pour cela, l’entreprise doit vérifier son identité.
Les progrès de la digitalisation ont permis que des processus qui auparavant exigeaient l’envoi de documents ou la présence dans les agences puissent être désormais réalisés intégralement à distance.
Une fois enregistré dans le système, l’utilisateur pourra y accéder en justifiant son identification numérique. Parmi les systèmes d’authentification numériques, quel que soit le dispositif utilisé, la plateforme disposera d’au moins un des facteurs suivants :
Quelque chose que l’utilisateur sait et que lui seul devrait savoir (mots de passe, phrases de sécurité).
Quelque chose que l’utilisateur possède (un dispositif token ou une carte qui contient une signature électronique).
Quelque chose que l’utilisateur est (traits biométriques).
Les systèmes de double authentification sont souvent utilisés pour les services qui gèrent des données sensibles, comme les services financiers ou les commerces électroniques. Le nom d’utilisateur et le mot de passe s’utilisent comme premier niveau d’identification pour accéder à la plateforme, qu’il s’agisse d’un commerce électronique, d’une banque, d’une compagnie d’assurance, etc. Pour réaliser une transaction (achat, virement, etc.), un système de double authentification, notamment la reconnaissance faciale ou l’utilisation de systèmes d’authentification, comme les codes à usage unique, est nécessaire.
DIRECTIVES DE L’UNION EUROPÉENNE (EIDAS ET AML)
La protection de la sécurité et la confidentialité des données, ainsi que la régulation des transactions électroniques sont deux questions relevant de la compétence de l’Union européenne qui affectent les systèmes d’authentification numériques. Le règlement européen de reconnaissance de l’identification numérique eIDAS (electronic IDentification, Authentication and trust Services) doit être obligatoirement respecté par tous les pays membres de l’UE et régule les systèmes de signature électronique ainsi que les services de fournisseurs de confiance de méthodologies de vérification d’identité, authentification et signature électronique.
La directive 5AML (Anti Money Laundering Directive) constitue également un document de référence que les États ont transposé à leur corpus législatif national. L’AML établit des principes directeurs pour éviter le blanchiment de capitaux. Une des mesures que les entreprises doivent prendre en compte est l’obligation d’identifier les titulaires réels des services numériques. Autrement dit, pour éviter les fraudes d’identité, une entreprise doit mettre en œuvre tous les efforts possibles pour connaître ses clients et vérifier que ce sont bien eux qui utilisent ses services (processus KYC ou Know Your Customer). Le non-respect de la 5AML est sévèrement sanctionné, avec des amendes allant jusqu’à 5 millions d’euros, 10 % du chiffre d’affaires ou la cessation de l’activité commerciale.
MÉTHODOLOGIES D’AUTHENTIFICATION PAR SIGNATURE ÉLECTRONIQUE
La signature électronique est l’un des systèmes d’authentification les plus connus et présente l’avantage de pouvoir être utilisée dans tout type de transactions, aussi bien avec une entreprise privée que pour les démarches auprès de l’administration publique. De cette façon, l’utilisateur dispose d’un mécanisme pour s’identifier qui équivaut à la vérification en face à face, et qui lui permet également de signer des contrats ou de passer des commandes.
Une signature électronique est un ensemble de données qui peuvent être utilisées comme moyen d’identification du signataire. Le règlement eIDAS définit trois types de signatures selon le degré de confiance dans l’identification de l’utilisateur : simple, avancée et qualifiée. Chacune d’entre elles est associée à un usage spécifique. Il existe ici trois niveaux de signature électronique différents : la signature électronique simple, la signature électronique avancée et la signature électronique qualifiée.
AUTHENTICATION METHODOLOGIES BIOMÉTRIQUES : COMMENT CHOISIR ?
Les méthodes d’authentification biométriques se basent sur la détection des traits uniques de la personne et leur comparaison avec un registre préalable pour confirmer l’identité. Il peut être tentant d’opter pour une solution unique d’identification numérique biométrique valide pour toutes les entreprises, mais, en fait, chaque entreprise doit choisir celle qui lui convient le mieux en analysant les avantages et inconvénients de chacune d’elles.
Dans tous les cas, le choix peut se faire selon les critères suivants et toujours en partant du fait que l’on traite avec des fournisseurs de confiance : Flexibilité, Facilité d’utilisation, Intégration.
La reconnaissance vocale se base sur l’identification de l’empreinte vocale, qui est unique à chaque être humain. En effet, les paramètres physiologiques des personnes forment un ensemble unique qui génère une onde sonore spécifique et isolable. La biométrie vocale s’avère très pratique lorsqu’elle peut être utilisée dans un espace clos et silencieux. Parmi les systèmes d’authentification, il s’agit d’un système très sûr, mais la reconnaissance peut se trouver affectée par les bruits de fond ou d’éventuels problèmes de locution.
L’identification par empreinte digitale est le système biométrique le plus classique. Comme pour la voix et le visage, les empreintes digitales forment des patrons uniques et reconnaissables. Les téléphones portables intégrant un scanner pour l’identification de l’empreinte digitale sont de plus en plus nombreux. Sur les ordinateurs et d’autres dispositifs, cette technologie n’est pas encore aussi répandue, mais il est prévu qu’elle s’étende encore davantage.
L’identification par vidéo est le seul processus reconnu par l’eIDAS pour permettre l’onboarding de clients à distance, et elle est utilisée aussi bien dans le secteur des services financiers que dans certains organismes de l’administration publique. Les autres méthodes d’authentification et formes de reconnaissance faciale, comme le selfie, ne sont pas si sûres, car l’image statique est plus susceptible de donner lieu à une falsification ou une usurpation d’identité.
Tribune par Cyril Drianne, Country Manager France chez Electronic IDentification (A Signicat Company).