Techniques avancées de vérification et de validation d'identité

L’identité numérique est la représentation unique d’un sujet engagé dans une transaction en ligne. Le marché mondial de l’identité numérique devrait croître à un TCAC de 19,5 %. Cette croissance rapide est alimentée par la transformation numérique dans des secteurs tels que le gouvernement, la santé et la finance, associée à la conformité réglementaire et à l’évolution des normes de protection des données. Si l’identité numérique est propre à des services numériques spécifiques, l’accès à ces services ne garantit pas la connexion à l’identité réelle du sujet. L’authentification sur un réseau comporte des risques, comme l’usurpation d’identité ou les déclarations d’identité frauduleuses.

L’une des menaces les plus importantes pour l’identité numérique est la fraude à l’identité, aggravée par les outils de génération de faux documents alimentés par l’IA, tels que StyleGAN (Style Generative Adversarial Network), capables de créer des faux documents très réalistes, avec hologrammes, micro-impressions et autres caractéristiques de sécurité, ce qui rend les méthodes de vérification conventionnelles moins efficaces. Le National Institute of Standards and Technology (NIST) classe la garantie de l’identité d’un sujet et la solidité de l’authentification en niveaux d’assurance de l’identité (IAL) et niveaux d’assurance de l’authentificateur (AAL), expliqués ci-dessous :

Niveau d’assurance 1

Niveau d’assurance de l’identité 1 (IAL1) : Les attributs comme le nom ou l’adresse courriel fournis par le sujet sont auto-déclarés et ne sont ni validés ni vérifiés. Il n’y a aucune exigence de lier la personne à son identité réelle. L’IAL1 convient aux applications où l’impact est faible, comme les applications de divertissement ou de diffusion en continu.

Niveau d’assurance de l’authentificateur 1 (AAL1): Fournit une certaine assurance que le demandeur contrôle un authentificateur lié à son compte. Cela implique généralement une authentification à facteur unique.

Niveau d’assurance 2

Niveau d’assurance de l’identité 2 (IAL2): Les preuves doivent soutenir l’existence réelle de l’identité revendiquée, en vérifiant que la personne y est correctement associée. L’IAL2 confirme que les personnes ont une identité véritable, comme une pièce d’identité avec photo, tel qu’un permis de conduire ou l’Aadhar.

Niveau d’assurance de l’authentificateur 2 (AAL2): Ce niveau apporte une forte confiance dans le contrôle de l’authentificateur(s) par le demandeur. Deux facteurs d’authentification distincts sont requis via des protocoles sécurisés et des techniques cryptographiques.

Niveau d’assurance 3 :

Niveau d’assurance de l’identité 3 (IAL3): Les attributs d’identité doivent être vérifiés par un fournisseur de services d’identification accrédité et formé (CSP). L’IAL3 garantit un lien très fiable entre l’identité revendiquée de l’utilisateur et son identité réelle.

Niveau d’assurance de l’authentificateur 3 (AAL3): Fournit une très grande confiance dans l’authentification. Les demandeurs doivent prouver la possession de deux facteurs d’authentification distincts, en utilisant des authentificateurs matériels et des méthodes résistant à l’usurpation d’identifiant. Les techniques cryptographiques sont obligatoires.

Vérification vs. authentification

La vérification garantit que l'identité revendiquée d'une personne est valide et digne de confiance. Cela a généralement lieu au début d’une relation (par exemple, lors de l’onboarding). Elle permet de comparer l’identité à des sources de données fiables.

L’authentification confirme que l’individu qui accède à un compte est le même que celui précédemment vérifié. Il s’agit d’un processus continu tout au long du parcours utilisateur.

Les deux processus sont essentiels pour la sécurité de l’identité. Sans vérification rigoureuse, les systèmes restent vulnérables à la fraude et une authentification faible peut compromettre les identifiants légitimes.

Le rôle de la preuve d’identité

La preuve d’identité permet de s’assurer qu’un individu prétendant exister dans le monde réel est authentique. Ce processus prévient la fraude, renforce la sécurité et établit la confiance dans les transactions en ligne. Grâce à l’intégration de la preuve d’identité, les organisations peuvent s’assurer que seuls les individus autorisés peuvent accéder à des informations ou services sensibles.

Processus de preuve d’identité

Cas d’utilisation intégrés

Intégration des utilisateurs externes : Les populations externes d’utilisateurs, telles que les fournisseurs, les partenaires ou les sous-traitants, présentent souvent un risque de sécurité plus élevé lors de l’onboarding. Le flux de travail de la gestion et administration de l’identité (IGA) peut intégrer la preuve d’identité pour valider ces utilisateurs :
- Pendant l’intégration, le flux IGA fait appel à l’API du fournisseur de service de preuve d’identité avec des renseignements de base (nom d’utilisateur, courriel, numéro de téléphone, etc.).
- L’utilisateur reçoit un lien de session pour téléverser les documents requis et effectuer une vérification selfie/de vie.
- L’utilisateur lance la session et fournit les documents pour vérification.
- Le service de preuve d’identité valide l’utilisateur et confirme le statut d’identité.
- L’intégration se poursuit, octroyant les identifiants et l’accès aux systèmes informatiques.
Appels de réinitialisation de mot de passe, protection contre les attaques de manipulation sociale : Les services d’assistance sont vulnérables à la manipulation sociale, car des détails de base sur l’utilisateur (par exemple issus des réseaux sociaux) peuvent être utilisés pour usurper l’identité. Un processus robuste de vérification de l’identité lors des appels de réinitialisation peut prévenir l’accès non autorisé :
- L’utilisateur scanne sa pièce d’identité gouvernementale et la téléverse.
- La solution de preuve d’identité vérifie la pièce en s’intégrant aux services du gouvernement.
- Une vidéoconférence avec un représentant du service d’assistance peut aussi aider à confirmer l’identité de l’utilisateur avec une vérification de vie et une détection de deepfake.
- Après vérification réussie, le mot de passe est réinitialisé et la communication sécurisée est établie.

Conclusion

Avec l’augmentation des fraudes et des attaques liées à l’identité, la vérification et l’authentification de l’identité sont fondamentales pour instaurer la confiance dans les écosystèmes numériques. Les organisations doivent adopter des mesures avancées de preuve d’identité, les intégrer à leurs flux de travail (par exemple via des API) et assurer leur conformité aux normes sectorielles comme celles énoncées par le NIST. De telles mesures réduisent les risques, protègent les systèmes sensibles et permettent un environnement numérique plus sûr.

HCLTech joue un rôle clé dans la promotion des solutions d’identité numérique en aidant les organisations à mettre en œuvre des processus robustes de vérification d’identité, à intégrer des flux de gestion des identités et à renforcer les mécanismes d’authentification à l’aide d’outils alimentés par l’IA et de protocoles cryptographiques. En fournissant des solutions numériques d’identification adaptées, HCLTech permet aux entreprises de répondre aux exigences réglementaires, de lutter contre la fraude et d’assurer la sécurité du parcours utilisateur sur les plateformes numériques.

Etiquettes

Cybersécurité

Partager sur

Copier le lien

Combattre la fraude d’identité grâce à des techniques de vérification et de validation avancées

Related Contenu

VERITY Frontier AI Resilience: Securing Digital Transformation at AI Speed

Exercices de simulation de rançongiciels : Guide du professionnel en résilience pour la reprise des activités en entreprise

Avant que des agents IA gèrent votre entreprise : Réglez leur crise d'identité dès maintenant