Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RGPD : authentification en ligne, biométrie et conformité

mai 2018 par Brett McDowell, Directeur Exécutif de l’Alliance FIDO

Le Règlement Général sur la Protection des Données (RGPD) entre en vigueur ce vendredi 25 mai 2018. Il ne concerne pas seulement les entreprises situées au sein de l’Union Européenne (UE) puisque toutes les organisations au niveau mondial doivent en effet s’y conformer, dès lors qu’elles ont à faire à des citoyens basés dans cette zone.

Pour Brett McDowell, Directeur Exécutif de l’Alliance FIDO, le RGPD est indéniablement la mise à jour la plus importante de la législation européenne sur la protection des données, et les enjeux pour les entreprises sont majeurs.

« Le montant des amendes peut en effet atteindre 20 millions d’euros ou 4 % du chiffre d’affaires global. De nombreux facteurs sont à prendre en compte dans le cadre de ce nouveau règlement ; parmi eux l’authentification, pour laquelle les mots de passe ne sont plus adaptés. Un fait mis en évidence dans de nombreuses études qui imputent leur compromission à la grande majorité des violations de données survenues ces dernières années. Des solutions alternatives existent aujourd’hui, telles que la biométrie, qui exploitent la technologie à portée de main pour améliorer considérablement la sécurité, tout en simplifiant l’expérience client.

Toutefois, comme le reconnaît le RGPD, les informations telles que les marqueurs biométriques sont très sensibles, et il est fortement déconseillé de les stocker et de les gérer dans des bases de données centrales, où elles seraient plus vulnérables à une exposition massive. Une violation de cette nature aurait en effet de graves conséquences, à la fois pour les utilisateurs et les entreprises.

Les standards FIDO ont été conçus en tenant compte de la confidentialité des entreprises leaders dans le domaine de la sécurité, des paiements et des services en ligne, et interdisent strictement que des données biométriques, ou similaires, soient stockées et centralisées sur des serveurs. Nous préconisons plutôt une approche moderne et décentralisée de l’authentification, selon laquelle les utilisateurs s’authentifient avec une clé privée sur leur smartphone, ordinateur ou autre appareil personnel, qui est utilisée pour générer une signature cryptographique vérifiée par le serveur du fournisseur de service. Si la biométrie est utilisée dans le modèle FIDO, c’est dans le but de s’assurer que le bon individu autorise l’emploi de la clé privée. Les informations sensibles ne quittent donc jamais l’appareil de l’utilisateur, et les coûts de gestion des données biométriques pour être conforme au RGPD ne sont par conséquent pas un problème. »




Voir les articles précédents

    

Voir les articles suivants