Les prestataires de services d’identification et de confiance voient leur développement porté à la fois par la dématérialisation et la volonté de l’UE de développer un portefeuille européen d’identité numérique.
La dématérialisation des services, accélérée par la crise sanitaire, l’essor des accès distants aux données d’entreprise, la numérisation des échanges et le télétravail accélèrent le besoin d’authentification et de vérification d’identité à distance. Les organisations font face à plusieurs besoins à arbitrer : offrir une expérience utilisateur fluide, efficace, simple et rapide, être en conformité avec la réglementation, sécuriser les opérations et lutter contre la cybercriminalité et la fraude. Les pertes liées à la fraude aux paiements en ligne dépasseront 206 milliards de dollars cumulés de 2021 à 2025, selon une étude de Juniper Research, qui souligne que la hausse est poussée par l’usurpation d’identité.
Un marché qui croît de 20 % par an
D’après une étude de Marketsandmarkets, le marché mondial des solutions d’identité numérique est en forte croissance. Il est estimé à 27,9 Md$ en 2022 et devrait atteindre 70,7 Md$ en 2027 (+20,4% en moyenne par an). La plupart des solutions techniques reposent sur des certificats numériques reposant sur la technologie mature PKI (Public Key Infrastructure, infrastructure à clé publique, qui regroupe plusieurs éléments pour créer, gérer, stocker, distribuer et révoquer les certificats). Les technologies blockchain, plus récentes, peuvent aussi être utilisées.
Les cas d’usage sont variés, à la fois dans les échanges B2B ou en B2C, et entre citoyens ou entreprises et administrations : ouverture de comptes bancaires en ligne, échanges commerciaux internationaux ou nationaux, commerce à forte valeur ajoutée, protection des accès aux documents et leur signature, accès à des services publics en ligne, vérification de l’âge ou d’un autre attribut d’identité, par exemple pour les plateformes de jeux en ligne.
Identité numérique citoyenne
Depuis juin 2021, chaque Monégasque et résident peut s’il le souhaite, activer une identité numérique associée à son nouveau titre d’identité. Elle permet une authentification à la fois sécurisée et simplifiée : aucun justificatif additionnel n’est nécessaire pour accéder aux différentes procédures que l’administré souhaite engager avec les services de l’État ou ses partenaires privés. La plateforme sous-jacente, MConnect, développée par IN Group, repose sur une maîtrise de bout en bout de la sécurisation des identités et des droits. Dans l’Hexagone, France Identité est en version beta : elle est le prolongement numérique sur smartphone de la carte d’identité.
Olivier Dussutour, PDG de Nexus, filiale spécialisée dans la gestion des identités professionnelles du français IN Group, remarque : « la tendance est à la mobilité. La solution mobile d’identité numérique d’IN Group, IN Wallet, permet de numériser et stocker des justificatifs d’identité et de créer son identité numérique. »
Les entreprises, un marché mature
Le marché de l’identité numérique en entreprise est mature. Il facilite le quotidien administratif des sociétés. Une de leurs attentes est d’avoir des solutions d’identification qui permettent d’avoir une identité professionnelle forte et universelle, à la fois dans le monde physique et virtuel. L’éditeur luxembourgeois RCDevs fournit des solutions de gestion des identités physique et virtuelle autour de l’authentification forte. Sa suite d’authentification OpenOTP propose, en option, la biométrie vocale comme méthode d’authentification forte. RCDEvs compte 750 organisations clientes pour 750 000 utilisateurs. Parmi ses clients en authentification multifacteurs (MFA) et gestion des identités et des accès (Identity and Access Management, IAM), il y a Oracle, Orange, Verizon, la Banque Européenne d’Investissement et des banques européennes.
Développement du Single Sign On
Philippe Bihel, directeur général France et directeur marketing chez RCDevs, fait remarquer : « Les entreprises doivent faire face aux risques cyber, et notamment avec l’essor du travail à distance, sécuriser les accès aux VPN. Aujourd’hui, les utilisateurs finaux ont compris et adopté le principe d’authentification multifactorielle. Le Single Sign On (SSO), avec une seule authentification pour accéder à plusieurs services ou applications est primordial pour limiter leurs contraintes et donc améliorer leur expérience. »
Efforts de standardisation
Thibault de Valroger est directeur du développement chez le tiers de confiance américain DocuSign, qui compte plus d’un million de clients : « si la signature électronique reste notre plus gros marché, nous nous développons sur le marché de l’identité numérique. Docusign Identify s’appuie sur notre cœur technologique “ID Verification”. Il s’agit pour nous de nous adapter à l’écosystème du client, s’il souhaite une solution clef en mains en ligne, s’il dispose déjà d’un système d’identification. Nous travaillons aussi avec d’autres tiers de confiance grâce à des connecteurs sur notre plateforme. Nous travaillons sur le wallet d’identité numérique. L’enjeu réside selon nous dans la convergence des efforts de standardisation européens et américains. »
Une diversité d’acteurs sur le marché
Une diversité d’acteurs est présente sur le marché. Ainsi, le français Docaposte compte poursuivre en 2023, selon Candice Dauge, directrice Digital identity and services, « le développement de son offre de produits et services (identification et authentification des personnes physiques et morales, transaction et archivage numérique) et de son expertise pour offrir une solution de gestion des identités de bout en bout. »
Il va également proposer en marque blanche l’identité numérique La Poste. Celle-ci compte déjà 2,2 millions d’utilisateurs. Elle sert à France Connect +, la version plus sécurisée de France Connect pour l’accès à des démarches sensibles (France Connect est la solution d’authentification de l’Etat qui permet d’accéder simplement à 1400 services en ligne).
Identité déclarée et identité réelle
L’éditeur américain Abbyy, propose, outre sa plateforme Vantage de traitement intelligent des documents avec reconnaissance OCR, une solution d’authentification. « Nous disposons de nombreux modèles prédéfinis (factures, commandes, bons de livraison, documents d’identité…), entraînés avec des millions de documents, explique Hervé Laurandin, directeur France Espagne et Portugal d’Abbyy. Notre solution Proof of Identity, basée sur la plateforme Vantage, établit une correspondance entre l’identité déclarée d’un utilisateur et l’identité réelle : capture et vérification de la pièce d’identité, reconnaissance faciale en mouvement. En cas de non-reconnaissance seulement, l’exception est remontée à un opérateur humain, pour gagner en efficacité opérationnelle grâce à l’automatisation de tâches répétitives. Elle est utilisée par des dizaines de clients dans le monde dans leur processus de Know Your Customer (KYC), notamment de grandes banques pour l’ouverture de compte courant. Des PoC sont aussi en cours dans l’assurance et l’énergie, et des demandes émergent pour le processus de vérification d’identité des nouveaux collaborateurs d’une entreprise. »
Gouvernance et agilité cryptographiques
Certains acteurs sont spécialisés dans l’émission et la gestion des certificats. L’américain Keyfactor fournit des solutions cryptographiques de protection des identités, dont une plateforme PKI open source (EJCBA Enterprise) qui permet d’émettre et de gérer des certificats numériques. Elle est notamment utilisée par des organismes publics français et des prestataires de signature électronique.
Pour Pierre Codis, directeur commercial France, Belgique, Luxembourg et Europe du Sud de Keyfactor, « les systèmes fondés sur l’authentification forte connaissent une accélération et une modernisation. L’enjeu pour les entreprises dans un proche avenir est d’assurer une gouvernance cryptographique de leurs différents systèmes, supports et actifs dématérialisés. Elles doivent se montrer cryptoagiles. Grâce aux solutions, récentes de gestion du cycle de vie des certificats, elles doivent gérer la durée de validité des certificats, leur renouvellement, leur révocation. » En 2023, Keyfactor souhaite accompagner la forte demande des entreprises de gouvernance centralisée des identités des personnes et des machines, et accompagner les prestataires de services confiance avec l’évolution prochaine du règlement eIDAS (lire encadré).
En route vers la cryptographie post-quantique
Autre acteur américain qui délivre des certificats, Digicert répond à de nombreuses demandes de services financiers, professions juridiques, pour les contrats interentreprises. Il propose en marque blanche ses services à des éditeurs, par exemple Adobe. Il se développe en 2023 sur la gestion du cycle de vie multicertificats, « compliquée à gérer pour le RSSI » selon Christophe Bodin, Chief revenue officer chez Digicert. Il prévoit aussi deux évolutions majeures à venir : « le futur e-wallet européen (NDLR cf. encadré p.20) représentera également des opportunités d’affaires côté entreprise, avec par exemple l’intégration de preuves d’identité professionnelles. La cryptographie post-quantique est nécessaire pour fonder la prochaine génération de la technologie PKI face aux risques de piratage avec des ordinateurs quantiques. »
Technologie de “preuve du vivant”
IDNow, entreprise allemande spécialiste de la vérification d’identité qui a acquis sa consœur française Ariadnext en 2021, offre une plateforme SaaS de vérification d’identité ainsi qu’une application mobile d’identité numérique, Yris. Celle-ci permet de créer son identité numérique, puis de la confirmer par une vérification d’identité à distance (pièce d’identité et reconnaissance faciale dynamique) :
« Pour sécuriser la vérification, la technologie de “preuve du vivant” ou “liveness” se développe, met en avant Cyril Patou, directeur commercial France chez IDNow. Ainsi, notre parcours d’identification à distance passe par une capture statique et dynamique du document d’identité (à faire bouger dans une vidéo) et une reconnaissance faciale dynamique (vidéo). Yris est le socle d’un futur e-wallet d’identité numérique, Le système permet d’avoir des parcours à la fois sécurisés et plus fluides. » Le service Yris est en attente de certification de niveau substantiel.
Des services financiers jusqu’aux télécoms
IDNow compte plus de 900 clients dans différents secteurs notamment dans les services financiers, mais aussi les télécoms, qui font notamment face à de la fraude lors de la création d’abonnement, les loueurs de voiture ou de trottinette, le jeu en ligne, les assurances, la distribution ou les ressources humaines.
L’identité décentralisée grâce à la blockchain
Le laboratoire d’innovation de la Banque de France va tester la solution Connect d’Archipels pour gérer l’authentification des données critiques par les établissements de crédit. « L’identité numérique et sa gestion sont des enjeux majeurs en termes d’innovation et présentent des opportunités pour nos métiers, y compris pour nos travaux autour de la monnaie numérique de banque centrale, » explique Valérie Fasquelle, directrice générale adjointe à la DGSI de la Banque de France.
Si les solutions de gestion d’identité numérique fondée sur les PKI sont déjà anciennes et nombreuses, celles plus récentes fondées sur la blockchain viennent les concurrencer. Archipels, fondée fin 2020 à l’initiative de La Poste, la Caisse des Dépôts et Consignations , EDF et Engie propose un modèle de gestion de l’identité numérique basé sur la blockchain. C’est une technologie de stockage et de transmission d’informations transparente et sécurisée. Elle repose sur un registre distribué sur un réseau d’ordinateurs contenant chacun l’historique des transactions et assurant la résilience du système.
Certification de documents, identité auto-souveraine
Les solutions souveraines déjà commercialisées par Archipels répondent à différents cas d’usage : Archipels Certify est utilisé pour certifier des documents, notamment les factures EDF. Archipels Verify facilite le contrôle documentaire par les établissements bancaires et les bailleurs. La 3e solution, est actuellement en phase pilote et devrait être en production d’ici un an : Archipels Connect est fondée sur le concept de Self-Sovereign Identity. L’identité auto-souveraine est une approche de l’identité numérique qui donne aux individus le contrôle des informations qu’ils utilisent pour prouver qui ils sont sur les sites Internet, les services et les applications sur le Web, grâce au modèle d’identité décentralisée offert par les technologies blockchain. Un exemple de cas d’usage est “Know Your Supplier” afin de vérifier l’identité d’un fournisseur et sa conformité fiscale et sociale.
Hervé Bonazzi, PDG d’Archipels, souligne : « Nous sommes un outsider sur le marché de l’identité dominé par les acteurs qui proposent des solutions PKI. Ce marché fait face à des enjeux de sécurisation et de confiance dans les échanges en ligne, ainsi que de standardisation et d’adoption de solutions à l’échelle supranationale. Le modèle blockchain simplifie les échanges et est facile à déployer.
En termes de cas d’usage de gestion d’identité numérique déployés, la blockchain est à peine mature. Nous visons la traçabilité et la vérification documentaire dans le secteur bancaire, la certification des diplômes par les organismes de formation. »
Autre initiative basée sur une infrastructure blockchain, lancée en 2022, Agriconsent : les exploitants agricoles peuvent désormais lier leur identité à celle de leur exploitation afin de garantir la sécurité et la traçabilité des échanges de données. Ce système d’identité numérique décentralisée est développé par Agdatahub, Orange Business Services et IN Groupe.
Référentiel PVID et certifications à venir par l’ANSSI
Le référentiel pour les prestataires de vérification à distance (PVID) a été élaboré par l’ANSSI. A mi-février 2023, aucun prestataire n’était encore certifié PVID. De nombreux prestataires ont déposé leur dossier, les processus de certification attestant d’un niveau de garantie substantiel ou élevé sont en cours.