Qu'est-ce que l'ID-Proofing ? Pourquoi est-ce aussi important ?
Aujourd'hui, les interactions entre les applications et les services numériques nécessitent de valider que nous sommes bien celui que nous prétendons être. En effet, la sécurité est une priorité. Les violations de données peuvent conduire à des usurpations d'identité et à de fausses déclarations ou transactions, qui sont toutes coûteuses et difficiles à réparer.
Dans ce contexte, les entreprises sont donc amenées à sécuriser les identités de ses utilisateurs, en renforçant la mise en place de « la preuve d'identité » (ID-Proofing).
En France, chaque année plus de 210 000 personnes sont victimes d'une usurpation d'identité. Le coût individuel moyen d'une usurpation d'identité s'élève à 2 229 euros - cumulant l'ensemble des détournements.
Qu'est-ce que l'ID-Proofing ?
La preuve d'identité est un processus consistant à fournir suffisamment d'informations pour établir une identité, et en dégager un accès à un Système d'Information (SI). Ces informations peuvent être des documents d'identification physique, des questions de sécurité basées sur les connaissances, la biométrie...
Ce processus se décompose en trois étapes que le National Institute of Standards and Technology (NIST) identifie comme la résolution, la validation et la vérification de l'identité.
La première étape, consiste à distinguer d'une seule façon, l'identité d'une personne dans le contexte de la population ou du système. Tandis que la seconde étape est celle de la validation de l'identité, pendant laquelle on collecte les preuves auprès de la personne, et on vérifie qu'elles soient bien authentiques et valides.
Enfin, la dernière étape vise à confirmer que l'individu est bien celui qu'il prétend être. Le gouvernement britannique a, lui, défini le processus de la preuve de l'identité en cinq étapes : point fort, validité, activité, fraude à l'identité et vérification.
Le point fort, tout d'abord, consiste à obtenir la preuve de l'identité de la personne, sous forme de documentation.En effet, les documents internationalement reconnus et dotés de fonctionnalités de sécurité sont considérés comme plus solides.
La validité, ensuite, permet de confirmer que les preuves fournies sont authentiques. L'activité confirme, elle, que l'identité a existé au fil du temps avec des factures - par exemple. Tandis que la phrase de fraude à l'identité invite à vérifier si l'identité risque d'être frauduleuse, en consultant une base de données nationale sur la fraude - ou tout autre source similaire.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Finalement, l'étape de vérification invite à vérifier que l'identité appartient à la personne qui la revendique. Des tâches et des questions basées sur les connaissances de celle-ci peuvent faciliter cela.
L'objectif premier de l'ID-Proofing est bien d'offrir aux entreprises, à la fin de chaque processus, d'être certaine que l'identité revendiquée par la personne est unique, correcte et exacte - ou non.
Comment fonctionne l'ID-Proofing ?
Il existe trois exemples de mécanismes de l'ID-Proofing : les Données Personnelles d'Identification (DPI), les documents d'identité et l'identité biométrique.
Les DPI représentent toutes les données qui pourraient être utilisées pour identifier une personne en particulier. Il s'agit, par exemple, du nom complet d'une personne, de son numéro de sécurité sociale, permis de conduire, compte bancaire, passeport ou encore d'une adresse e-mail.
Au premier abord, on peut penser que demander des informations personnelles spécifiques et différentes pour chacun, pourrait être une bonne solution. Toutefois, c'est l'inconvénient même des DPI. En demandant ces informations, on met en risque des données à caractère personnel car elles pourraient être exploitées par les pirates, et être vendues ou publiées sur le Dark Web par exemple.
Un utilisateur peut également être invité à prouver son identité (en donnant son nom, par exemple) à l'aide d'un document gouvernemental - tel qu'une carte d'identité avec photo. Comme il s'agit d'un document unique et officiel, seule la personne qui le revendique est censée l'avoir en sa possession. Mais les documents d'identité peuvent être volés, falsifiés ou créés par des fraudeurs. Le simple fait de recevoir une image d'une photo d'identité ne constitue donc pas une « preuve » suffisante de l'identité de cette personne.
Enfin, la vérification de l'identité biométrique est la dernière méthode utilisée pour l'ID-Proofing, et sûrement la plus fiable pour prouver l'identité d'un utilisateur numérique. La vérification biométrique peut concerner les empreintes digitales, la lecture de l'iris de l'oeil, les empreintes vocales ou, le plus souvent, la reconnaissance faciale.
La combinaison d'une ou plusieurs méthodes indiquées ci-dessus permet d'obtenir une identité unique et réduit le risque de fraudes. En associant la vérification de l'identité à la gestion des accès des clients, l'entreprise peut renforcer la sécurité de son SI, sans ajouter de frictions inutiles à l'expérience de ses utilisateurs
Sur le même thème
Voir tous les articles Cybersécurité