Comprendre la vérification d’identité et son importance pour les utilisateurs

Spread the love
  • Yum

Comprendre la vérification d’identité et son importance pour les utilisateurs

En juin 2021, la France doit se conformer au droit européen et doter ses citoyens d’une carte nationale d’identité électronique pour remplacer la Carte Nationale d’Identité (CNI) actuelle, mise en place en 1987. Ce projet s’inscrit dans la mission interministérielle, initiée en 2018, en faveur d’un parcours d’identification numérique sécurisé. Alors que les citoyens du monde entier sont de plus en plus digitalisés et que la pandémie de COVID-19 accélère la vie numérique des utilisateurs, il est plus que jamais essentiel de veiller à protéger leur identité en ligne.

Une étude « Customer attitudes to digital identity » conduite par Onfido fin 2020, indique d’ailleurs que 57 % des Français interrogés déclarent avoir utilisé davantage de services en ligne depuis le début de la pandémie. Autant d’opportunités de fraude à l’identité pour les cybercriminels.

C’est pourquoi, il est important de pouvoir confirmer l’identité des utilisateurs. Mais concrètement, lorsqu’on parle d’identité en ligne, de quoi s’agit-il et pourquoi est-il crucial d’en comprendre les enjeux ? La vérification de l’identité, ou « identity proofing » en anglais, est un élément essentiel de l’infrastructure de sécurité. Selon une enquête conduite par Javelin en 2020, le coût total de la fraude à l’identité aurait atteint près de 17 milliards de dollars en 2019.

Ce coût se manifeste sous la forme de données compromises, de ressources perdues et d’amendes infligées en vertu des règlements sur la protection de la vie privée, comme le RGPD, dans le cas d’une violation évitable des données. En raison de ces risques bien réels, la capacité à vérifier de manière fiable l’identité est clé dans la sécurité d’une entreprise.

Dans de nombreuses situations, les utilisateurs s’auto-enregistrent dans un système de gestion des identités et des accès (IAM) : c’est-à-dire qu’ils s’inscrivent eux-mêmes. Dans ce cas d’auto-enregistrement, la vérification de l’identité ne repose souvent que sur une adresse électronique ou un numéro de téléphone — deux informations qui ne disent pas grand-chose sur la véritable identité de l’utilisateur dans le monde réel.

Dans certains contextes, il est judicieux d’aller au-delà de ces deux facteurs et d’utiliser des services de vérification de l’identité pour établir avec précision l’authenticité des utilisateurs.

publicité

Qu’est-ce que la vérification de l’identité ?

Il s’agit du processus qui consiste à vérifier l’identité d’un utilisateur, afin de confirmer qu’il est bien celui qu’il prétend être. Cela peut ressembler à une authentification ordinaire, fondée sur une combinaison de nom d’utilisateur et de mot de passe, mais la confirmation de l’identité entre en jeu avant que les utilisateurs n’obtiennent leurs identifiants pour accéder à une application ou parallèlement au processus d’authentification traditionnel. Le National Institute of Standards and Technology américain (NIST) dans ses Digital Identity Guidelines propose les deux définitions suivantes :

  • Identité déclarée : données relatives à l’identité qu’un utilisateur déclare lorsqu’il s’inscrit dans un système IAM, à savoir, qui il prétend être ;
  • Identité réelle : données prouvant l’authenticité de l’identité d’un utilisateur, c’est-à-dire qui il est réellement.

L’objectif ultime de la vérification de l’identité est de s’assurer que l’identité déclarée d’un utilisateur correspond à son identité réelle et qu’il ne s’agit pas d’une identité fictive. Cette étape est un moyen de défense de première ligne contre les attaques perpétrées aujourd’hui sur le périmètre d’identité.

La fraude à l’identité coûte un montant considérable chaque année aux particuliers et aux entreprises. Selon le Consumer Sentinel Network, géré par la Federal Trade Commission (FTC) américaine, les services de police et les organisations privées ont reçu 3,2 millions rapports de vol et de fraude d’identité en 2019. Sur ce nombre, 1,7 million de cas étaient liés à la fraude, tandis qu’environ 651 000 (soit 20 %) étaient des plaintes pour vol d’identité. Un coût qui sera probablement plus élevé sur l’année 2020, car la pandémie de COVID-19, ainsi que les perturbations sociales et économiques à l’échelle mondiale, ont entraîné un pic des activités frauduleuses.

Comment fonctionne la vérification de l’identité ?

La vérification de l’identité permet de confirmer l’identité d’un utilisateur sur la base de ses antécédents (un rapport de crédit), de la biométrie (un balayage facial) et d’autres facteurs avant de lui accorder l’accès au système de son choix.

Bien entendu, il est possible de vérifier manuellement l’identité des utilisateurs en leur demandant de fournir des documents papier, comme une copie de leur passeport, ou en effectuant une vérification interactive via des outils de visioconférence comme Zoom. Toutefois, ces processus manuels, chronophages, ne sont pas facilement adaptables et nuisent inévitablement à l’expérience des utilisateurs.

Le NIST définit trois étapes cruciales dans le processus de confirmation de l’identité : la résolution, la validation et la vérification.

  • La résolution a pour but de distinguer l’identité d’une personne dans le cadre du système ;
  • La validation permet de recueillir des informations d’identification auprès de l’utilisateur (nom d’utilisateur, mot de passe, réponses aux questions de sécurité) et confirmer l’exactitude de ces informations ;
  • La vérification, enfin, qui confirme que l’utilisateur est bien celui qu’il prétend être et permet d’approuver son enregistrement ou sa demande d’accès.

Grâce à un système de confirmation de l’identité adapté, il est possible d’effectuer ce travail automatiquement, en temps réel, et sans intervention humaine, créant ainsi une fonction d’authentification sécurisée qui ne compromet pas l’expérience de l’utilisateur. 

Déterminer où mettre en œuvre la vérification de l’identité 

La vérification de l’identité renforce le dispositif de sécurité d’une entreprise en veillant à ce que ses applications ne fassent confiance qu’à des utilisateurs vérifiés. Toutefois, la confirmation de l’identité n’est pas nécessaire ni même souhaitable dans tous les cas de figure. Par exemple, si les utilisateurs gérés par le système IAM en place sont des employés qui accèdent aux systèmes internes de l’entreprise, la confirmation d’identité n’est pas nécessaire.

En revanche, elle devient essentielle lorsqu’il est primordial de vérifier l’identité d’un grand nombre d’utilisateurs. Par exemple, pour assurer une prise en charge sécurisée des patients en télémédecine, pour enregistrer des candidats à un emploi dans un système de ressources humaines, pour permettre à des étudiants de se connecter à un examen en ligne, ou encore pour gérer des transactions bancaires et commerciales sur internet. 

La vérification de l’identité est un élément fondamental de la relation de confiance numérique qu’une entreprise ou un commerçant souhaite établir avec ses utilisateurs. Aujourd’hui, ces derniers possèdent une identité à la fois dans le monde réel et en ligne, et il est primordial de leur accorder le même niveau d’importance et la même sécurité.

Face à l’évolution rapide du paysage technologique, aux transformations des pratiques induites par la pandémie et à l’augmentation des activités en ligne des utilisateurs, l’empreinte numérique de ces derniers va continuer de se répandre, créant autant de nouvelles opportunités pour les cybercriminels.

Il est donc essentiel d’équiper les entreprises pour les prémunir contre la fraude à l’identité et leur assurer une expérience en ligne optimale et sereine. Cela leur assurera ainsi la confiance de leurs utilisateurs en ligne et favorisera ainsi une relation solide et pérenne.

Leave a Reply

%d bloggers like this: