L’identité numérique est devenue au fil du temps, avec l’essor des échanges numériques et de la cybercriminalité, un nouvel enjeu pour les entreprises.
L’utilisation d’un certificat électronique délivré par une autorité de certification, outil multi–usage et universel est une des solutions. En effet, il permet une authentification forte, le fondement même d’une identité numérique d’aujourd’hui.
Il existe deux définitions bien différentes quand on parle d’identité numérique.
Définition identité numérique #1
D’un point de vue marketing, l’identité numérique désigne l’ensemble des traces laissées par un individu sur internet notamment sur les médias sociaux (blogs, réseaux sociaux, commentaires, contenus partagés).
Il peut s‘agir de contenus publiés par l’internaute mais pas seulement. De nombreux contenus peuvent être non maîtrisés et laissés involontairement au gré des navigations et connexions. Prenons l’exemple des données personnelles telles qu’une adresse IP, les cookies, ou encore les historiques. Certaines traces sont également héritées. Il s’agit de ce que les autres disent de nous ou publient sur nous.
Définition identité numérique #2
L’identité numérique peut également faire référence à l’identification qu’un individu utilise pour accéder à un site web ou un e-service. Dans ce cas cette identité numérique est dite déclarative. Elle peut être en rapport avec l’état civil, un pseudonyme, un numéro…
L’identification de l’individu se fait alors en utilisant un moyen appelé « authentification ». Et c’est de cela dont nous allons parler dans cet article.
Avant toute chose, pour bien comprendre, il est important de définir distinctement ces deux notions .
C’est l’actions consistant à identifier un individu. Elle permet de répondre à la question « qui êtes-vous ? ».
Elle sert à déclarer l’identité d’une personne (son nom, prénom, date de naissance, n° SIREN pour les entreprises etc.). Ceci peut se faire au moyen de différents documents et contrôles (actes de naissances, livret de famille, justificatif de domicile, avis Siren pour les entreprises …)
C’est l’action de prouver l’identité d’un individu et d’apporter la preuve de cette identité. Elle permet de répondre à la question « êtes-vous vraiment cette personne ? ».
La cohérence entre ces deux volets est essentielle lorsque l’on parle d’identité numérique.
En effet, l’un ne va pas sans l’autre. Une authentification sans identification n’a aucun sens. Un internaute doit obligatoirement se présenter, donc s’identifier préalablement à la phase d’authentification, afin que le système puisse comprendre quelle authenticité vérifier.
En France, il n’est pas obligatoire de disposer d’une carte d’identité. Toutefois, au quotidien, elle sert à maintes reprises. Elle permet de justifier de son identité, son âge ou sa nationalité. Elle est exigée lors d’une demande de prêt, ou encore lors du retrait d’une lettre recommandée avec accusé de réception.
Il en va de même avec les certificats électroniques. Ils permettent de s’authentifier dans le monde numérique où l’usurpation d’identité et l’absence de valeur probante sont des risques avérés.
Disposer d’une capacité à s’authentifier numériquement permet donc à toutes les parties prenantes de gagner en sécurité. Que ce soit pour les entreprises et/ou les administrations.
Comme il a été expliqué plus haut, le certificat électronique se définit comme l’identité numérique d’une personne morale ou d’une personne physique.
Cette certitude est obtenue parce qu’un certificat électronique est délivré par un organisme indépendant appelé Autorité de Certification. C’est le cas depuis 20 ans pour ChamberSign.
Ce tiers de confiance s’engage et se porte garant de l’identité du titulaire du certificat. En effet, il effectue de nombreux contrôles quant à l’exigence de l’entité morale (vérification de l’extrait Kbis, fiche INSEE, dirigeant, propriété des noms de domaine). Il vérifie le titre d’identité du titulaire du certificat, voire, selon le niveau de sécurité souhaité, contrôle son identité via une rencontre physique. Il permet alors d’authentifier numériquement et avec certitude son propriétaire. En effet, le certificat numérique est protégé par un code PIN. Il est même, dans certain cas, délivré sur un support cryptographique sécurisé remis en main propre à son porteur. L’identité numérique de la personne peut-être justifiée de manière certaine!
Toutes ces procédures répondent à différentes exigences de la réglementation (règlement eIDAS, RGS, RGPD) et permettent à l’Autorité de Certification, tiers de confiance, d’être la garante de l’identité de ses clients. Elle apporte ainsi un niveau de confiance optimal dans les échanges électroniques.
Pour des raisons évidentes de sécurité, Il est constamment demandé à un salarié de s’authentifier sur divers outils et applications web tout au long de sa journée de travail.
L’identité numérique professionnelle est un outil multi-usages et universel
L’utilisation d’une seule et même identité numérique peut lui simplifier la vie ! Un seul et même outil, le certificat électronique, pour se connecter de façon sécurisée à différents services web tels qu’un intranet, extranet, coffre-fort ou encore logiciel métier, c’est une solution. Il peut, en plus, servir de Smart Logon sur un poste de travail !
Par ailleurs, cet outil indispensable permet de se soustraire d’innombrables mots de passe de 12 caractères alphanumériques et spéciaux, non significatifs pour l’utilisateur, et idéalement renouvelés tous les 90 jours. (Conformément aux préconisations de l’ANSSI).
Il ne faut pas oublier non plus qu’une identité numérique professionnelle offre également la possibilité de signer électroniquement. En effet, la signature numérique apposée sur un document dématérialisé repose sur un mécanisme de chiffrement. Ce mécanisme permet de garantir l’intégrité du document (certifier que le document n’a pas été modifié) et aussi d’en identifier son auteur.
L’utilisation d’un certificat de signature électronique atteste de l’engagement du signataire et apporte ainsi une valeur probante au document.
Il faut noter que la validité d’une signature électronique repose avant tout sur le niveau de confiance qu’elle apporte, dans l’identité de personne signataire et dans la preuve que le document a bien été signé par celle-ci. De même, la signature électronique par certificat numérique permet d’identifier de manière certaine l’individu et/ou l’organisation émettrice et ainsi prévenir de tous documents frauduleux et ainsi s’assurer de la provenance du document.
L’identité numérique d’une entreprise doit obligatoirement reposer sur un socle de confiance. La moindre faille peut entraîner un impact désastreux sur son image.
Notamment sensibilisés par la politique des moteurs de recherches, les internautes exigent dorénavant que les sites web ou applications qu’ils utilisent soient authentifiés et sécurisés. Pour ce faire on utilise des certificats électroniques. Les Autorités de certification qui les délivrent s’engagent alors sur l’existence de l’organisation et sur la propriété du nom de domaine ou de l’application.
Plus les échanges numériques concerneront des données confidentielles et personnelles, plus l’internaute voudra s’assurer de l’identité du propriétaire du site Internet qu’il souhaite utiliser. Il exigera également que les informations qu’il saisit ne soient pas divulguées à son insu.
Les entreprises doivent donc se prémunir des vols de toutes données et pas uniquement celles dites sensibles. C’est pourquoi des protocoles spécifiques ont été développés comme par exemple le TLS (Transport Layer Security). Ce standard technique permet d’authentifier de manière certaine le serveur et l’utilisateur. Par ailleurs, il garantit également l’intégrité et la confidentialité des échanges électroniques.
Les entreprises doivent également se protéger des éventuelles usurpations d’identité, modifications ou altérations de documents officiels. L’authenticité des données envoyées ainsi que leur intégrité doivent donc être garanties. Pour ce faire, les organisations utilisent le mécanisme de scellement et un certificat électronique de type cachet. Ce dernier lie de manière univoque le document à la signature électronique ainsi générée.
Vous l’aurez donc compris, le certificat électronique, délivré par une Autorité de certification, tiers de confiance permet une authentification forte nécessaire au fondement de l’identité numérique.
Auteure : Virginie Delamare Thevenin
Responsable marketing et communication
ChamberSign France
