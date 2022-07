juillet 2022 par Jean-Christophe Vitu, VP Solutions Engineer, chez CyberArk

Avec de plus en plus d’activités se déroulant en ligne, les identités digitales ne font que se développer. Entre le travail, les réseaux sociaux et l’e-commerce, chaque employé, d’après les dernières recherches CyberArk, en possède plus d’une trentaine en moyenne. Partant de ce constat, la Commission Européenne a donc mis en place le « Portefeuille européen d’identités numériques », qui devrait être déployé en 2024 pour permettre aux citoyens et aux entreprises européens de s’identifier facilement en ligne dans tous les Etats membres. Le dispositif offrira notamment la possibilité de partager des documents électroniques avec les autorités directement depuis son téléphone portable. D’après une étude de Thalès, 85 % des Français sont prêts à utiliser ce portefeuille, toutefois, la question de la sécurité demeure pour 65 % des européens. Or, ce service ne sera utilisé que si les citoyens ont confiance dans la protection de leurs informations.

Pour Jean-Christophe Vitu, VP Solutions Engineer, chez CyberArk, ce portefeuille apporte une grande praticité aux citoyens et aux entreprises, mais cela ne doit pas se faire aux dépens de la sécurité. Cette dernière doit être présente dès la réflexion du dispositif.

« L’identité, qu’elle soit physique ou numérique, doit être sécurisée. Et l’ensemble de la population européenne semble désormais en être conscient. Dans le déploiement du dispositif, il est prévu que chaque Etat fournisse la plateforme adéquate pour stocker et partager des documents sensibles en ligne. Pour que les données y soient effectivement protégées, il est essentiel de mettre en place une authentification forte pour les utilisateurs, telle que l’authentification multifactorielle (MFA), afin de s’assurer que la personne qui s’identifie à la plateforme est bien celle qu’elle prétend être. La MFA obligera les citoyens à se connecter, non pas grâce uniquement à un mot de passe, mais via deux facteurs de vérification ; dont la biométrie, par exemple, avec une empreinte digitale.

De plus, les équipes en charge de la sécurité doivent disposer de technologies innovantes, à même de gérer ces identités partout, à tout moment, et pour tous les types d’appareils. Il s’agit par exemple de recevoir des notifications automatiques à chaque activité inhabituelle sur un portefeuille. De manière plus empirique, ces employés doivent être soumis aux principes de Zero Trust. Selon cette stratégie de la cybersécurité, les privilèges ne sont plus fixes mais accordés une nouvelle fois à chaque action sur le réseau qui en requerrait. Ainsi, en cas de compromission, le cybercriminel rencontrera des difficultés à se déplacer au sein des serveurs, et par conséquent à obtenir les données sensibles des citoyens européens.

Par ailleurs, avec ce portefeuille, l’identité numérique de chaque individu est liée à celle qu’il possède hors connexion, ce qui pourrait entrainer des complications en cas d’usurpation d’identité. Comment une victime peut-elle reprendre le contrôle sur cette dernière si, par exemple, ses informations biométriques ont été modifiées et qu’il semble dès lors impossible de prouver la légitimité de son identité ? Il est donc nécessaire de prévoir un plan de remédiation pour de tels cas.

Mettre en place ce portefeuille d’identité numérique facilitera de nombreux processus en Europe, que ce soit pour les utilisateurs privés ou pour les entreprises. Toutefois, la sécurité du dispositif doit être pensée en amont du déploiement, en se basant sur le principe de "security by design". Ainsi, les équipes de sécurité pourront anticiper les cyber-risques et être parés à toute éventualité. »