Dans un monde de plus en plus numérique, de quoi est réellement constituée notre identité ? En apparence le sujet peut paraître assez simple mais il engendre en fait de nombreuses questions cruciales, du point de vue de la sécurité, des données personnelles, du partage d’informations. Si le principe de l’identité physique est équivalent à des papiers, la définition même de l’identité numérique n’est pas un concept arrêté, une science exacte, puisqu’elle mêle dimensions politiques et géopolitiques, mais aussi philosophiques, sociologiques voire ethnologiques. Les points de vue divergent d’ailleurs que nous soyons d’un côté ou de l’autre de l’Atlantique. L’approche américaine et anglo-saxonne est plutôt globale et « big data », basée sur la totalité des données numériques publiées sur une personne afin de constituer une image d’un individu. Elle se veut donc un mélange entre analyse, reconnaissance faciale et comportementale. En revanche sur le Vieux Continent, la démarche est plus concise et pragmatique : l’identité numérique est un ensemble de données minimum, qui suffit à distinguer une personne d’une autre dans un contexte donné. Il s’agit d’une démarche plus proche de celle de l’identité administrative actuelle, basée notamment sur ce que l’on appelle les données pivot.
Un besoin crucial de standardisation
Par nature l’identité numérique est une notion protéiforme et induit fatalement des besoins forts d’interopérabilité pour en assurer l’authentification. Sur ce registre, les réseaux sociaux deviennent de plus en plus des sortes de référents. Facebook est un exemple significatif : en s’appuyant sur le protocole OAuth, le réseau social devient un véritable système de gestion des identités. Même si on peut le qualifier de bas niveau, il est déjà nécessaire ou optionnel lorsque vous souhaitez vous connecter à un service tiers sur le Web. Google+ ou LinkedIn font de plus en plus de même, le principe étant similaire : en choisissant de s’identifier via le compte d’un réseau social, l’utilisateur stipule en réalité que le réseau est garant de son identité. Cet exemple montre par ailleurs le besoin d’instaurer différents niveaux en matière d’authentification, mais aussi les besoins en matière de standardisation.
Instaurer des « niveaux de confiance »
L’illustration des réseaux sociaux est quant à elle d’autant plus symbolique que les jeunes générations ont une vie numérique intensément toujours plus développée. Et ce phénomène est voué à s’amplifier jusqu’à arriver à une identification qui ne sera plus que numérique. Qui dans ces digital natives s’offusquera de la disparition de la carte d’identité physique ? Probablement pas grand monde, si ce n’est personne.
Mais ce faisant, la nécessité de standardisation n’en est que plus pressante. De nombreux efforts ont déjà été réalisés en ce sens, mais malheureusement aucune philosophie commune ne tend encore à émerger entre les différentes initiatives comme la FIDO Alliance, Liberty Alliance ou encore OpenID. Si bien que chacun fonctionne avec ses propres outils ; en France en se basant sur le référentiel général de sécurité par exemple, sachant que près de deux tiers des pays du monde ont déjà lancé des programmes d’identité numérique.
L’idée qui se répand de plus en plus est désormais de créer des niveaux de garantie en matière d’authentification. En effet, la confiance à accorder n’est pas la même selon qu’il s’agisse de télécharger un document sans importance ou d’envoyer des informations personnelles et/ou confidentielles ! Le besoin d’améliorer la confiance est donc crucial, et notamment la traçabilité pour les aspects juridiques.
L’inévitable essor de l’identité numérique
Si de nombreux gouvernements se sont déjà penchés sur la problématique de l’identité numérique, les entreprises ont-elles aussi pris le pas depuis plusieurs années. Ce sont en partie les besoins de renforcement de la sécurité informatique qui ont fait éclore le phénomène, à mesure que les processus dématérialisés ont vu le jour.
La multiplication des points d’entrée dans les systèmes d’informations a fait naître par ailleurs les mécanismes d’authentification forte, de SSO (Single Sign On) et plus largement de tokens et de certificats. Pour le moment, on observe que la convergence physique-numérique est en marche, avec les mécanismes de preuves basés sur l’identification physique comme l’envoi de SMS sur un appareil qui appartient à la personne par exemple. En parallèle, l’identité digitale est aussi un moyen pour elles d’accumuler toujours plus d’informations sur la connaissance du client.
La problématique de l’identité numérique est déjà complexe mais ce serait oublier un autre phénomène : l’émergence des objets connectés. La notion de données personnelles et de leur sécurisation devient donc hautement importante. Car demain, les objets connectés seront autant de producteurs de données. Le véritable enjeu est donc de savoir qui aura accès à quelles données et comment ! Tous ces sujets sont sur la table depuis plusieurs mois. Les marchés de la sécurité digitale et de l’identification sont quant à eux en forte croissance. Car tout cela converge vers une seule et même destination : l’identité numérique deviendra assurément un enjeu majeur auquel il faut se préparer dès aujourd’hui.