Cybersecurity

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

Identités numériques, ça bouge !

Jan 9, 2024 | Cyber Security | 0 commentaires

La prochaine entrée en vigueur de eIDAS 2.0 et l’arrivée des wallets d’identité met en lumière le caléidoscope des stratégies d’identités numériques européennes et les évolutions qui seront parfois nécessaires.

Ouverture d’un compte bancaire, location d’une voiture, d’une trottinette électrique, consultation de son dossier médical…  « Les identités numériques sont l’un des piliers de la numérisation de nos vies quotidiennes, estime Stéphane Mavel, ID Market & Strategy Specialist, IDnow. Demain, avec le nouveau règlement eIDAS 2.0 de la Commission européenne, chacun pourra enregistrer son identité numérique sur son smartphone et l’utiliser de manière intuitive -en quelques clics- partout en Europe. »

Le nouveau règlement eIDAS, dont l’entrée en vigueur est prévue dans les prochains mois, a pour objectif de créer un service d’authentification unifié et sécurisé à travers l’Union européenne. Pour cela, eIDAS 2.0 prévoit la mise en place d’un portefeuille d’identité numérique pour tous les résidents de l’Union européenne (European Digital Identity Wallet). Celui-ci permettra de créer un espace unique où seront regroupées les données liées à l’identité numérique de chaque personne : papiers d’identité, mais également documents administratifs ou documents liés à la santé.

Cette identité numérique pourra être utilisée dans toute l’UE, en ligne mais également hors ligne, pour les services publics et les services privés. Le portefeuille d’identité numérique serait ainsi une réponse pérenne à une demande des citoyens de l’Union européenne : selon une enquête Eurobaromètre, 63 % d’entre eux souhaiteraient « disposer d’une identité numérique unique sûre pour tous les services en ligne », précise la Commission européenne. D’ici là, de nombreux Etats ont déjà initié des stratégies avancées.

Itsme, identités numériques made in Belgium

En 2017, les principales banques et entreprises de télécommunications belges ont formé un consortium et lancé l’application mobile itsme. Adoptée aujourd’hui par 80 % de la population belge, utilisée par plus de 1 000 plateformes du secteur public et plus de 250 entreprises, itsme, méthode d’identification via un identifiant mobile, permet aux usagers de signer toutes sortes de documents (contrats de travail, baux, etc.) et de l’utiliser dans de nombreuses applications liées à la finance et aux télécommunications. La confiance importante des citoyens belges dans les secteurs des banques et télécommunications, et une expérience utilisateur optimale, expliquent le véritable succès d’itsme.

« Avec myID, le gouvernement belge souhaite introduire un portefeuille en tant que solution d’État, poursuit Stéphane Mavel. Objectif : servir de version numérique de la carte d’identité nationale et être utilisé pour les démarches administratives -demande de permis de conduire, permis de construire, etc. » Développé en conformité avec le règlement eIDAS 2.0 et déployé en 2023, myID.be devrait venir compléter l’application itsme existante, ou, selon le souhait du gouvernement belge, la remplacer. « On peut toutefois se demander pourquoi une solution largement plébiscitée par le public se trouverait remplacée plutôt que de lui apporter les évolutions nécessaires, au risque de perdre l’adhésion massive de la population… »

BankID, la solution scandinave

Dès le début des années 2000, les plus grandes banques suédoises et danoises ont créé un consortium pour développer la plateforme BankID. Trois ans plus tardsous l’impulsion du gouvernement et sa mobilisation à développer un cadre juridique adapté, une première version de la solution était disponible. Enrichie au cours du temps, BankID est aujourd’hui l’application la plus utilisée par les Suédois… devançant tous les réseaux sociaux !

« L’étroite collaboration entre l’État, les banques et le secteur privé explique ce succès, justifie Stéphane Mavel. Au fil des ans, tous les participants ont su partager leur savoir-faire et leurs expériences en matière d’identité numérique et créé une grande variété d’usages : gestion de cartes de crédit, de comptes bancaires, services du secteur public, accès aux données médicales, signature de contrats, etc. Leur approche pragmatique consistant à recourir à des infrastructures déjà existantes a également facilité la mise en œuvre. Autre raison indéniable de ce succès ? Un partenariat public-privé particulièrement efficace qui pourrait servir de modèle à d’autres cas d’usage, hors secteur financier. » 

e-Estonia, l’Estonie en tête

L’Estonie dispose déjà de sa propre solution nationale d’eID, faisant de ce pays l’un des plus numérisés de l’UE. La solution d’identité numérique e-Estonia a été conçue dès… 2002 ! « Aujourd’hui, 99 % des démarches administratives sont proposées sous forme numérique, assure Stéphane Mavel. Les documents physiques ne sont plus nécessaires, car enregistrés sur le smartphone. L’eID estonienne mise sur le lien avec un numéro personnel unique associé aux attributs de la carte d’identité et à l’application correspondante, et c’est ce numéro qui la rend unique en Europe et adoptée par tous les citoyens. »

Qu’en ira-t-il demain ? L’UE a certes confirmé que les systèmes existants des États membres resteront en place et serviront de base au portefeuille numérique de l’UE mais les normes et exigences annoncées par le futur règlement sont encore trop abstraites et doivent d’abord être élaborées par la Commission et les États membres, et l’Estonie ne prend pas encore position sur l’interprétation du règlement eIDAS 2.0.

SPID, l’Italie à toute vitesse

Mis en place en 2016, le système public d’identité numérique SPID (Sistema Pubblico di Identità Digitale) d’Italie fédère 11 fournisseurs d’identité habilités par l’Etat. Similaire à FranceConnect pour la France, le système SPID se différencie en offrant un niveau substantiel de sécurité et un modèle économique existant pour les fournisseurs d’Identité. Il est utilisé par plus de 35 millions d’Italiens et permet d’accéder à plus de 14 000 administrations publiques en ligne et 167 entreprises privées !

« L’arrivée de la carte d’identité électronique, associée à une application mobile, vient ici aussi s’ajouter au paysage italien, observe Stéphane Mavel. Elle rencontre cependant des difficultés de déploiement et d’utilisation et le gouvernement italien, qui pensait remplacer SPID par la CIE y renonce finalement. » 

FranceConnect, 42 millions d’utilisateurs

Après avoir lancé FranceConnect en 2016 permettant aux utilisateurs de se connecter à plus de 1 500 sites publics et privés via plusieurs fournisseurs d’identité publics et privés, le gouvernement français propose aujourd’hui FranceConnect+, de niveau de sécurité substantiel et élevé.

Par son approche de fédérateur d’identités, le gouvernement a opté pour l’ouverture du dispositif aux fournisseurs d’identité publics et privés certifiés par l’ANSSI. Les citoyens français ont ainsi le choix de leur fournisseur d’identité, en fonction de leur sensibilité, usage ou confiance.

« Avec 42 millions d’utilisateurs de FranceConnect, cette approche et son succès sont assez uniques en Europe, basée dès son lancement sur une collaboration étroite public/privé, commente Stéphane Mavel. L’arrivée de eIDAS 2.0 ne devrait pas bouleverser le paysage de l’identité numérique, FranceConnect+ pouvant promouvoir les futurs portefeuilles d’identité -Wallet Identity qui est un espace numérique personnel dans lequel sont stockés documents officiels et d’identité afin de fluidifier, simplifier et sécuriser les vérifications d’identité- aux côtés ou en remplacement des identités actuelles. »