Identité numérique, nouvel enjeu des organisations ?
L’identité numérique est devenue, au fil du temps, avec l’essor des échanges numériques et de la cybercriminalité, un nouvel enjeu pour les entreprises.
Les réglementations à propos de la protection des données personnelles sont de plus en plus strictes. Ainsi, l’identité numérique devient un réel enjeu pour les entreprises qui doivent alors mettre en œuvre des solutions conformes et sécurisées.
L’utilisation d’un certificat électronique délivré par une Autorité de Certification, outil multi–usage et universel, est une des solutions. En effet, il permet une authentification forte, le fondement même d’une identité numérique d’aujourd’hui.
Qu'est-ce que l’identité numérique ?
Il existe deux définitions bien différentes quand on parle d’identité numérique.
Définition identité numérique #1
D’un point de vue marketing, l’identité numérique désigne l’ensemble des traces laissées par un individu sur internet notamment sur les médias sociaux (blogs, réseaux sociaux, commentaires, contenus partagés).
Il peut s‘agir de contenus publiés par l’internaute mais pas seulement. De nombreux contenus peuvent être non maîtrisés et laissés involontairement au gré des navigations et connexions. Prenons l’exemple des données personnelles telles qu’une adresse IP, les cookies, ou encore les historiques. Certaines traces sont également héritées. Il s’agit de ce que les autres disent de nous ou publient sur nous.
Ainsi, sans le savoir, vous avez déjà ce qu’on peut appeler une « identité numérique », même si vous n’avez pas de vision spécifique.
Définition identité numérique #2
L’identité numérique, c’est l’équivalent dans le monde digital de votre passeport ou votre carte d’identité. Elle contient l’ensemble de vos informations personnelles (noms, prénoms, date de naissance, lieu de naissance, etc.).
L’identité numérique peut également faire référence à l’identification qu’un individu utilise pour accéder à un site web ou un e-service. Dans ce cas, cette identité numérique est dite déclarative. Elle peut être en rapport avec l’état civil, un pseudonyme, un numéro…
L’identification de l’individu se fait alors en utilisant un moyen appelé « authentification ». Et c’est de cela que nous allons parler dans cet article.
Attention :
Identification et authentification, ce n'est pas la même chose !
Avant toute chose, pour bien comprendre, il est important de définir distinctement deux notions bien différentes : identification et authentification.
QU’EST-CE QUE L’IDENTIFICATION ?
C’est l’action consistant à identifier un individu. Elle permet de répondre à la question « qui êtes-vous ? ».
Elle sert à déclarer l’identité d’une personne (nom, prénom, date de naissance, numéro SIREN pour les entreprises, etc…). Ceci peut se faire au moyen de différents documents et contrôles (acte de naissance, livret de famille, justificatif de domicile, avis SIREN pour les entreprises, etc. …).
Pour les entreprises, on parle de KYC pour « Know Your Customer ». C’est un processus pour vérifier l’identité et l’intégrité de leurs clients.
Cette démarche permet d’anticiper plusieurs risques :
Lutte contre la fraude à l’identité, conformité réglementaire, protection et réputation de l’entreprise.
QU’EST-CE QUE L’AUTHENTIFICATION ?
C’est l’action d’apporter la preuve de l’identité de l’individu. Elle permet de répondre à la question « êtes-vous vraiment cette personne ? ».
L'enjeu de l'identité numérique pour les organisations : le KYC ?
Pour vérifier l’identité du client, il y a 2 étapes :
– La collecte d’informations : l’entreprise va recueillir des données sur le client ou l’utilisateur.
– La vérification des informations : les données sur l’utilisateur doivent être vérifiées afin de prouver leur véracité.
Grâce à l’identité numérique, le processus KYC est simplifié ! C’est la solution idéale pour s’authentifier de manière certaine et conforme en limitant le risque d’usurpation d’identité.
Il faut noter que la cohérence entre ces deux volets est essentielle lorsque l’on parle d’identité numérique.
En effet, l’un ne va pas sans l’autre. Une authentification sans identification n’a aucun sens. Un internaute doit obligatoirement se présenter, donc s’identifier préalablement à la phase d’authentification, afin que le système puisse comprendre quelle authenticité vérifier.
Le certificat électronique, un incontournable de l’identité numérique.
ChamberSign délivre des certificats électroniques permettant de s’authentifier à vos plateformes professionnelles.
Selon les certificats, un rendez-vous en face-à-face est nécessaire auprès de nos opérateurs en Chambre de Commerce et d’Industrie. Cela nous permet de contrôler en amont l’identité du titulaire du certificat. Ensuite, ses informations personnelles sont cryptées et stockées sur nos certificats de manière réglementaire.
Ainsi, nous pouvons justifier de son identité, son âge, etc. Elle est exigée lors d’une demande de prêt, ou encore lors du retrait d’une lettre recommandée avec accusé de réception. Il en va de même avec les certificats électroniques. Ils permettent de s’authentifier dans le monde numérique où l’usurpation d’identité et l’absence de valeur probante sont des risques avérés. Disposer d’une capacité à s’authentifier numériquement permet donc à toutes les parties prenantes de gagner en sécurité. Que ce soit pour les entreprises et/ou les administrations.
COMMENT RELIER L'IDENTITÉ NUMÉRIQUE AU PROPRIÉTAIRE D’UN CERTIFICAT ÉLECTRONIQUE ?
Comme il a été expliqué plus haut, le certificat électronique se définit comme l’identité numérique d’une personne morale ou d’une personne physique.
Cette certitude est obtenue parce qu’un certificat électronique est délivré par un organisme indépendant appelé Autorité de Certification. C’est le cas depuis 24 ans pour ChamberSign.
Ce Tiers de confiance s’engage et se porte garant de l’identité du titulaire du certificat. En effet, il effectue de nombreux contrôles quant à l’exigence de l’entité morale (vérification de l’extrait Kbis, fiche INSEE, dirigeant, propriété des noms de domaine). Il vérifie le titre d’identité du titulaire du certificat, voire, selon le niveau de sécurité souhaité, contrôle son identité via une rencontre physique. Il permet alors d’authentifier numériquement et avec certitude son propriétaire.
SÉCURISER L’IDENTITÉ NUMÉRIQUE GRÂCE AU CERTIFICAT ÉLECTRONIQUE
En effet, le certificat numérique est protégé par un code PIN. Il est même, dans certains cas, délivré sur un support cryptographique sécurisé remis en main propre à son porteur. L’identité numérique de la personne peut être justifiée de manière certaine !
Toutes ces procédures répondent à différentes exigences des réglementations en vigueur : règlement eIDAS, RGS, RGPD. L’Autorité de Certification, Tiers de confiance, est garante de l’identité de ses clients. Elle apporte ainsi un niveau de confiance optimal dans les échanges électroniques.
À QUOI SERT UNE IDENTITÉ ÉLECTRONIQUE PROFESSIONNELLE PAR CERTIFICAT NUMÉRIQUE ?
Pour des raisons évidentes de sécurité, il est constamment demandé à un salarié de s’authentifier sur divers outils et applications web tout au long de sa journée de travail.
Mais cela peut constituer des failles dans la sécurité informatique de l’organisation…
L’identité numérique professionnelle, une solution universelle
L’utilisation d’une identité numérique peut alors être une solution idéale et permet de simplifier les processus internes. Pour cela, un seul et même outil : le certificat électronique. Il permet de se connecter de façon sécurisée à différents services web tels qu’un intranet, extranet, coffre-fort ou encore logiciel / plateforme métier. Il peut aussi, par exemple, servir de Smart Logon sur un poste de travail !
Par ailleurs, cet outil indispensable permet de se soustraire d’innombrables mots de passe de 12 caractères alphanumériques et spéciaux, non significatifs pour l’utilisateur, et idéalement renouvelés tous les 90 jours (conformément aux préconisations de l’ANSSI).
Il ne faut pas oublier non plus qu’une identité numérique professionnelle offre également la possibilité de signer électroniquement. En effet, la signature numérique apposée sur un document dématérialisé repose sur un mécanisme de chiffrement. Ce mécanisme permet de garantir l’intégrité du document (certifier que le document n’a pas été modifié) et aussi d’en identifier son auteur.
L’utilisation d’un certificat de signature électronique atteste de l’engagement du signataire et apporte ainsi une valeur probante au document.
La validité d’une signature électronique repose avant tout sur le niveau de confiance qu’elle apporte, dans l’identité de la personne signataire et dans la preuve que le document a bien été signé par celle-ci. De même, la signature électronique par certificat numérique permet d’identifier de manière certaine l’individu et/ou l’organisation émettrice et ainsi prévenir de tous documents frauduleux et ainsi s’assurer de la provenance du document.
Protéger les organisations grâce à l'identité numérique et au certificat électronique
L’identité numérique d’une entreprise doit obligatoirement reposer sur un socle de confiance. La moindre faille peut entraîner un impact désastreux sur son image.
Notamment sensibilisés par la politique des moteurs de recherche, les internautes exigent dorénavant que les sites web ou applications qu’ils utilisent soient authentifiés et sécurisés. Pour ce faire, on utilise des certificats électroniques. Les Autorités de Certification qui les délivrent s’engagent alors sur l’existence de l’organisation et sur la propriété du nom de domaine ou de l’application.
Plus les échanges numériques concerneront des données confidentielles et personnelles, plus l’internaute voudra s’assurer de l’identité du propriétaire du site Internet qu’il souhaite utiliser. Il exigera également que les informations qu’il saisit ne soient pas divulguées à son insu.
Les entreprises doivent donc se prémunir des vols de toutes données et pas uniquement celles dites sensibles. C’est pourquoi des protocoles spécifiques ont été développés, comme le TLS (Transport Layer Security). Ce standard technique permet d’authentifier de manière certaine le serveur et l’utilisateur. Par ailleurs, il garantit également l’intégrité et la confidentialité des échanges électroniques.
Se protéger face aux usurpations d'identité
Les entreprises doivent également se protéger des éventuelles usurpations d’identité, modifications ou altérations de documents officiels. L’authenticité des données envoyées ainsi que leur intégrité doivent donc être garanties. Pour ce faire, les organisations utilisent le mécanisme de scellement et un certificat électronique de type cachet. Ce dernier lie de manière univoque le document à la signature électronique ainsi générée.
Vous l’aurez donc compris, le certificat électronique, délivré par une Autorité de Certification, Tiers de confiance, permet une authentification forte nécessaire au fondement de l’identité numérique.
Aujourd’hui, c’est un enjeu primordial pour toutes les organisations mais également pour les utilisateurs des plateformes et sites web.
Les réglementations évoluent et sont de plus en plus strictes quant à la nécessité de posséder une identité numérique vérifiée et conforme.
Auteure : Virginie Delamare Thevenin
Responsable marketing et communication
ChamberSign France
Un projet, une question ?
N’hésitez pas à contacter nos experts !