Comment s’assurer de la fiabilité des services de vérification d’identité à distance ? La question se pose avec d’autant plus d’acuité que la crise sanitaire a accéléré la digitalisation des services et le recours à des services en ligne (publics ou privés) qui nécessitent le contrôle de l’identité numérique des personnes souhaitant y accéder. Pour répondre à ces enjeux sécuritaires, l’ANSSI s’est retroussé les manches pour élaborer un référentiel d’exigences permettant d’identifier les prestataires de vérification d’identité à distance (PVID) offrant un niveau de garantie « substantiel » ou « élevé ». Comment fonctionne ce référentiel ? Comment un prestataire peut-il obtenir cette certification ? Et quels sont ses usages ?

PVID : un référentiel d’exigences pour les prestataires de services de vérification de l’identité numérique

Le PVID est un « visa de sécurité » qui prend la forme d’un référentiel d’exigences à remplir. Établi par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en mars 2021, il permet au grand public d’identifier les prestataires de services de vérification d’identité à distance qui présentent un niveau de garantie suffisant pour assurer la protection de l’identité numérique des utilisateurs. Donnant lieu à une certification, ce référentiel atteste que les prestataires en question ont mis en œuvre les mesures visant à réduire les risques de fraude.

Quels risques ? Parce que le processus de vérification d’identité est identique à distance comme en face-à-face, il présente a priori les mêmes vulnérabilités – le risque premier étant l’usurpation d’identité. Or, en réalité, ce risque est plus grand lorsqu’il touche à l’identité numérique, en raison du nombre plus important de leviers de fraude : falsification ou contrefaçon des documents, masques physiques, deepfakes, tentatives répétées d’usurpation… Autant de raisons qui font que l’identité numérique doit être vérifiée avec une plus grande rigueur, en s’assurant de l’authenticité du titre d’identité et de la légitimité du détenteur à le posséder.

De plus en plus d’opérateurs proposent des services de vérification d’identité à distance, et le recours à ces services ne fait qu’augmenter. L’objectif de l’ANSSI, avec le PVID, est donc de mettre en lumière les solutions qui offrent le plus de garanties. À ce titre, le référentiel prévoit deux niveaux de sécurité en fonction du besoin :

  • le niveau « substantiel » (fiabilité similaire à une vérification en face-à-face : le prestataire doit considérer les attaquants disposant d’un potentiel modéré),
  • et le niveau « élevé » (fiabilité équivalente à la délivrance d’un titre d’identité auprès d’une autorité compétente : le prestataire doit considérer les attaquants disposant d’un potentiel élevé).

Un référentiel rigoureux encadré par un processus de certification strict

L’attribution de la certification PVID n’est pas automatique : il revient aux prestataires spécialisés dans les services de contrôle de l’identité numérique de déposer une demande d’évaluation auprès de l’ANSSI. Un certain nombre d’organismes ont d’ores et déjà été habilités pour qualifier des prestataires au titre du référentiel général de sécurité (RGS), la liste étant disponible sur le site de l’ANSSI.

Le référentiel PVID relatif à l’identité numérique se décline en trois axes :

  1. Les activités associées à un service de vérification d’identité à distance.
  2. Les méthodes d’évaluation de la qualification des prestataires.
  3. Les exigences à respecter par le prestataire pour recevoir la certification PVID.

De façon plus concrète, la certification proposée par l’ANSSI consiste à évaluer la robustesse des solutions de contrôle de l’identité numérique portées par les prestataires. Cette évaluation passe par l’analyse de la conformité, puis par l’organisation de tests « grandeur nature » de résistance aux tentatives d’usurpation d’identité : détection de faux documents (titres d’identité contrefaits ou falsifiés), reconnaissance faciale, masques physiques, etc. Certains de ces tests sont menés en collaboration avec le ministère de l’Intérieur, notamment ceux qui touchent à la validité des documents.

Quels sont les usages du référentiel PVID ?

Le référentiel mis en place par l’ANSSI a pour but principal de lutter contre la fraude à l’identité numérique et, ce faisant, de protéger les personnes qui ont recours à des services publics et privés en ligne qui nécessitent la vérification de leur identité.

Ces services recouvrent les procédures de création d’une identité numérique (comme un certificat électronique), les ouvertures de comptes clients à distance auprès d’opérateurs bancaires ou assurantiels, les envois de courriers recommandés en ligne, ou encore la signature électronique. Sans compter ceux qui verront le jour dans les années à venir.

Au regard des risques cyber (chaque jour plus nombreux et plus sophistiqués), la sécurité est l’incontournable pilier sur lequel va se bâtir la démocratisation progressive de ces services. Or, à mesure que la demande grandit sur le marché, les problématiques de confiance deviennent toujours plus aiguës et complexes, ce qui confère aux prestataires de vérification de l’identité numérique un rôle essentiel… et désormais validé par la certification PVID.

Contactez-nous

 

L'équipe certeurope

L'équipe certeurope

Commander un certificat

User
Certificat électronique de personne physique
Corporate
Certificat électronique pour serveur
(authentification, chiffrement, cachet)