Top 5 des prévisions relatives à l’identité et aux signatures électroniques pour 2023

Share

1. « Les vecteurs d’attaque » : les nouveaux venus

 

2023 sera l’année où les entreprises de taille moyenne vont se rendre compte que la cyber-sécurité est une priorité absolue et une préoccupation première. Il ne s’agira plus d’une discipline réservée aux directeurs informatiques et aux RSSI, mais tous les comités de direction devront apprendre ce que sont les « vecteurs d’attaque » et consacrer beaucoup de temps aux discussions portant sur les principaux changements à apporter à l’organisation, aux processus et aux produits pour combler rapidement les failles dans la sécurité informatique. Ces failles constituent des risques majeurs pour la réputation, le chiffre d’affaires et la conformité. 

Cela se traduira aussi dans le management. La commission américaine des opérations boursières (SEC) a proposé cette année de rendre obligatoires les tests de cyber-sécurité jusqu’aux conseils d’administration des entreprises publiques, et l’on peut s’attendre à ce que l’UE prenne des dispositions similaires.

Ainsi, ZealiD s’attend à ce que les entreprises se tournent vers des services de confiance réglementés ayant des bases solides en termes de normes (via les normes ETSI). Cela garantira non seulement la sécurité des informations organisationnelles et procédurales, mais aussi la sécurité technique, la surveillance publique et la responsabilité.

 

2. Les États membres de l’UE définissent les critères requis pour l’identification à distance 

 

Bien que la réglementation eIDAS soit intégrée aux lois nationales de tous les États membres, on observera en 2023 que différents pays de l’UE continueront à faire passer des législations nationales pour renforcer cette réglementation eIDAS. 

Jusqu’à mi-2021, la loi allemande « VDG » était, au sein de l’UE, la législation la plus aboutie sur l’identification à distance pour répondre aux normes en matière de certificats et de signatures qualifiés. En 2021, en France, l’ANSSI a publié son référentiel d’exigences applicables auxprestataires de vérification de l’identité à distance (PVID) qui, non seulement porte ces normes à un niveau supérieur, mais qui définit aussi de tout nouveaux critères de pointe. Pour la première fois, nous avons une législation qui définit les méthodes de LCB-FT-KYC (lutte contre le blanchiment et connaissance des clients), l’identification avec certificat qualifié et l’identification électronique pour les niveaux de garantie « substantiel » et « élevé ».

Les États membres vont augmenter leurs activités nationales d’identification électronique, en renforcer le cadre et les exigences. Ils vont ainsi se conformer aux nouvelles normes ETSI sur l’identification à distance et ZealiD anticipe que tout va converger d’ici 4 à 5 ans.

 

3. Le secteur public est mis au défi par les citoyens en 2023

 

Dans de nombreux États membres de l’UE, le secteur public accuse des retards et n’est pas bien organisé s’agissant du règlement eIDAS – malgré le fait qu’il s’applique à lui. En raison d’un manque de systèmes d’identité en ligne à disposition des citoyens de l’UE, le secteur public ne subit pas beaucoup de pressions pour vraiment mettre en place une authentification de type eIDAS et les e-signatures.

En Suède, par exemple, il a fallu à l’autorité d’immatriculation des entreprises (Bolagsverket) 6 ans après l’entrée en vigueur d’eIDAS, pour que ses services permettent à quelqu’un de charger un PDF signé d’une signature qualifiée. Et, même ainsi, une pièce d’identité électronique reste nécessaire pour le login et doit être téléchargée, ce qui va à l’encontre de l’objectif de la norme PAdES et de la signature qualifiée. Un nombre incalculable d’avocats et d’administrateurs n’ont pas encore saisi qu’eIDAS et les services de confiance de l’UE sont sans doute l’outil le plus puissant à leur disposition. 

En 2023, les citoyens et les entreprises privées vont commencer à mettre la pression sur le secteur public et à le challenger sur son niveau de service et d’ergonomie. Ils vont commencer à lui envoyer des documents signés de signatures qualifiées.

 

4. L’identification par les machines est l’avenir – si elle est faite manuellement

 

Les exigences PVID, très abouties, étant lancées en France, nous observons trois tendances importantes qui vont faire évoluer la façon dont le secteur de l’identification fonctionne : 

L’identification à distance est désormais officiellement réglementée. Oubliez toutes les boîtes noires. Misez sur eIDAS et ETSI, rien d’autre. 

Il n’est pas autorisé de procéder à une identification faite uniquement par des machines. Le régulateur ne fait pas confiance aux machines pour émettre des certificats qualifiés ou des identités électroniques. Le fait que cela soit actuellement partiellement autorisé dans le cadre des dispositions prises par la Bundesnetzagentur allemande, connues sous le terme de « méthodes innovantes » d’auto-identification, ne devrait pas être considéré comme autre chose qu’une exception locale et certainement pas comme une norme. 

En France, seule l’agence gouvernementale est habilitée à faire des certifications, ce qui est une approche très nouvelle. Dans le cadre du PVID, les tests des paramètres biométriques d’identification sont effectués par la Police Nationale et la Gendarmerie, considérées comme des prestataires de confiance.

 

5. La confusion sur le portefeuille de l’UE se poursuit

 

Lors du dernier forum « ENISA » sur les services de confiance, à Berlin (22 octobre 2022), une prise de conscience a émergé sur les conséquences précises qu’aurait une décentralisation du portefeuille de l’UE. L’idée que les citoyens transportent leurs données physiques dans leur téléphone a rappelé aux participants ZealiD l’époque des cartes à puces et des lecteurs. 

Ce qui est perturbant compte-tenu du fait que tant de services de confiance eIDAS sont centrés sur les AC (autorité de certification), avec des normes de création de signature qualifiée visant des certificats centralisés côté serveur. 

Lors de ses discussions avec le bureau législatif suédois chargé d’eIDAS, ZealiD a appris que « les politiciens ne s’intéressent pas à l’identité ». Et qu’ils ont bien conscience du grave problème que pose le fait que la Suède et de nombreux autres pays de l’UE n’aient pas de modèles d’identification électronique que l’on puisse qualifier de niveau « élevé » - alors que c’est l’une des exigences essentielles du portefeuille européen.

Ajoutons à cette confusion sur le portefeuille le fait que de nombreux pays n’autorisent pas l’onboarding à distance pour un niveau de garantie (LOA) « élevé » - bien que le PVID l’autorise. Ainsi, les citoyens devraient d’abord obtenir une identité électronique (eID) en se rendant physiquement dans un poste de police. 

Le secteur public accusant tant de retard, et les bases du portefeuille européen reposant sur les modèles nationaux d’eID manquant de normes (aucune norme ETSI après le modèle suédois et aucune législation pour définir l’identification à distance comme VDG ou PVID), et avec une interdiction commune dans les schémas nationaux d’identification électronique à distance pour un niveau de garantie « élevé », ZealiD s’attend à ce qu’un gros crash survienne en 2023 – car plus de 95% de la population européenne ne possède pas d’eID avec un niveau de garantie « élevé » et ce alors même que l’on essaie d’avoir un portefeuille européen décliné au niveau local.

 

En savoir plus