Les promesses autour des identités numériques sont nombreuses pour sécuriser les échanges, qu’ils concernent les citoyens ou les entreprises. Cependant, la confiance annoncée reste à bâtir, tant autour des solutions qu’au sein des organisations.
À travers le monde, la fraude à l’identité s’élève à près de 112 milliards d’euros. Un montant qui a doublé entre 2000 et 2021. “Du fait de la digitalisation, nous perdons la certitude de la personne à qui on serre la main”, souligne Frédéric Dufaux, directeur général adjoint chez Docaposte. Ce nouveau paradigme, lié à la numérisation des identités, a d’ores et déjà eu un impact au sein de la société, notamment pour les personnes physiques. “Pour une personne morale ou professionnelle, c’est assez nouveau”, ajoute Stéphane Gasch, vice-président de la Fédération des Tiers de Confiance du numérique (FnTC).
Pour les entreprises, une organisation à tenir
Une nouvelle confiance est ainsi à construire entre les différents acteurs, grâce à de nouveaux systèmes d’authentification et de nouveaux outils partagés. “Les banques vont devoir reconnaître les solutions d’identité numérique comme source de confiance forte pour les paiements”, estime Pierre Bienvenu, directeur de la division cashless et moyens de paiement chez Banque de France. En effet, ce secteur n’est pas exempt de fraudes malgré les authentifications fortes et parfois rigides utilisées sur leurs interfaces. “Le risque ne passe pas par la banque ou le moyen de paiement mais par le consommateur”, poursuit-il, en expliquant que l’identité numérique pourrait ainsi pallier cette problématique.
Une différence existe entre les identités numériques des personnes physiques et celles des entreprises. Dans le second cas, quel collaborateur se cache derrière l’identité numérique ? “Il faut bien définir le rôle de chacun et à qui est rattaché l’outil. Ce sont des sujets liés aux process”, prévient Frédéric Dufaux, directeur général adjoint chez Docaposte. Ce travail d’organisation est nécessaire pour définir des délégations de tâches. “Cette notion est mal maîtrisée”, estime Stéphane Gasch de la FnTC. “Une délégation ne se suppose pas, elle doit être clairement définie pour partager les droits et mandats uniquement avec les personnes autorisées.”
Une confiance à gagner
Les identités numériques ont pour objectif d’amener plus de confiance entre les différents acteurs, par rapport aux processus actuels, comme la signature électronique ou, chez les particuliers, le duo identifiant et mot de passe. Mais comment garantir cette confiance ? “Il faut une robustesse de l’application ou de l’interface web qui permet l’identification, en vérifiant l’ensemble des connexions”, répond le directeur général adjoint de Docaposte. Au-delà de l’outil, plusieurs aspects doivent également être auditables. Selon Frédéric Dufaux, l’hébergement des données au minimum en Europe, les processus organisationnels humains, la scalabilité de la plateforme et sa robustesse sur le plan cyber sont des éléments clés pour garantir la confiance.
“Il serait désastreux que les identités soient statiques, avec des collaborateurs qui ne sont plus dans l’entreprise mais qui auraient encore des droits”, ajoute Stéphane Gasch, vice-président de la FnTC. “Il faut qu’elles soient dynamiques avec une vérification des droits en temps réel.” Les agences liées à l’État peuvent être garantes de cette confiance à travers des audits et des certifications. L’Anssi (Agence nationale de sécurité des systèmes d’information) en fait partie. “Nous travaillons sur un schéma d’audit qui va permettre de définir le niveau de sécurité des identités numériques”, indique Elyes Lehtihet, responsable du segment identité et confiance numérique au sein de l’agence.
L’harmonisation, gage de confiance
Plusieurs solutions existent aujourd’hui, et d’autres devraient encore arriver sur le marché. Mais une grande quantité de plateformes pourrait troubler la confiance et complexifier leur utilisation. “Tout se joue autour de l’harmonisation des standards pour viser une interopérabilité des identités numériques”, estime Elyes Lehtihet. “C’est un défi technologique, lié à la protection des données jusqu’aux composants utilisés”, poursuit-il, avant de préciser l’importance de l’influence des entreprises au niveau européen : “Il faut que les entreprises françaises défendent leurs contraintes face à certains pays qui ne sont pas toujours bien équipés.” Ce dernier regrette le manque d’implication des industriels français dans les enquêtes publiques européennes.
Cette interopérabilité pourrait permettre une flexibilité dans le choix des solutions, notamment selon leur utilisation. Dans le domaine bancaire, où le risque est important, les plus hauts niveaux de confiance devraient être requis. “Il est nécessaire de recourir à des identités certifiées”, précise Pierre Bienvenu de la Banque de France, qui prend l’exemple d’une ouverture de compte : “Dans ce cas, il faut une identité numérique qui nous permette de concilier fluidité et sécurité.” Selon lui, dans son secteur, une identité régalienne serait la bienvenue, tandis que, dans certains domaines, des plateformes privées moins certifiées pourraient suffire. Le portefeuille d’identité numérique européen (EUDI – EU Digital Identity – wallet) pourrait apporter un niveau de confiance nécessaire aux entreprises, mais il est encore en construction. “Il faut le meubler”, indique Stéphane Gasch, vice-président de la FnTC, qui lance un nouvel appel aux entreprises et aux pouvoirs publics pour influencer son contenu, alors qu’il doit entrer en vigueur en 2026-2027.