Authentification forte
Authentification forte
L’authentification forte, également appelée authentification à deux facteurs ou authentification multifacteur, désigne un mécanisme de sécurité ayant pour objectif de garantir l’identité d’un utilisateur lors de l’accès à un service ou une ressource sensible, notamment dans les domaines de la Fonction publique et des services en ligne. Elle constitue un volet essentiel de la Sécurité informatique et des politiques de Protection des données personnelles, en particulier dans le contexte de la Règlement général sur la protection des données et des réglementations telles que la directive (UE) 2016/1148 dite NIS.
Définition et principes
L’authentification forte se distingue de l’authentification classique, qui repose le plus souvent sur un seul facteur, généralement un Mot de passe, par l’utilisation d’au moins deux éléments distincts parmi les trois types suivants :
- Ce que l’utilisateur possède (carte à puce, clé USB de sécurité, smartphone) ;
- Ce que l’utilisateur sait (mot de passe, code PIN) ;
- Ce que l’utilisateur est (données biométriques : empreinte digitale, reconnaissance faciale).
La combinaison de ces facteurs vise à limiter les risques de fraudes, d’Usurpation d’identité, et de Cyberattaques.
Contexte réglementaire
L’authentification forte est devenue une exigence dans de nombreux cadres réglementaires en France et dans l’Union européenne :
- Règlement général sur la protection des données
- Imposant aux organismes publics (tels que les Collectivités territoriales) et privés de mettre en œuvre des Mesures de sécurité adaptées pour la protection des données personnelles.
- Référentiel général de sécurité
- Elaboré par l’Agence nationale de la sécurité des systèmes d’information, il définit les niveaux d’authentification requis pour les Services publics numériques (tels que Service-public.fr ou FranceConnect).
- Directive sur les services de paiement (DSP2)
- Rend l’authentification forte obligatoire pour les opérations de paiement en ligne et l’accès aux comptes bancaires numériques.
Technologies et méthodes
Diverses technologies sont associées à la mise en œuvre de l’authentification forte :
Exemples de facteurs d’authentification
| Type de facteur | Exemple concret |
|---|---|
| Possession | carte bancaire, clé OTP, Application mobile d’authentification (Google Authenticator, Microsoft Authenticator) |
| Connaissance | mot de passe, code confidentiel, question personnelle |
| Inhérence (biométrie) | empreinte digitale, Reconnaissance faciale, Reconnaissance vocale |
Solutions déployées en France
- FranceConnect : Plateforme nationale d’identification permettant une authentification forte pour accéder à de nombreux services publics numériques via l’Identité numérique.
- Certificats électroniques, type Certificat RGS, pour l’accès à des systèmes sensibles dans la Fonction publique d’État ou les Collectivités territoriales.
- Systèmes d’authentification à deux facteurs déployés par des banques utilisant SMS, application mobile ou Token physique (type Digipass).
Processus classique
- Saisie du identifiant (nom d’utilisateur, courriel)
- Saisie du mot de passe ou code secret (connaissance)
- Validation par second facteur : entrée d’un code à usage unique (OTP) reçu via SMS, e-mail, ou généré sur une application mobile, ou captation d’une donnée biométrique
Applications et cas d’usage
L’authentification forte est fortement recommandée ou obligatoire dans de nombreux contextes relatifs à la Fonction publique, à la Santé, à l’Éducation nationale, et au secteur bancaire. Exemples :
- Accès aux compiles de Téléservices administratifs (ENSAP, Chorus Pro, Civis FPT)
- Demande de Télétravail ou d’accès à des systèmes internes sensibles dans une Collectivité territoriale
- Connexions aux portails de direction générale des services
- Vote électronique lors des élections professionnelles de la fonction publique
Avantages et limites
L’authentification forte :
- Renforce la sécurité des systèmes d’information en réduisant les risques de hameçonnage et de Fuite de données ;
- Soutient la confiance des usagers dans les Services numériques publics;
- Répond aux prescriptions règlementaires.
Ses limites résident dans :
- La complexité de mise en œuvre et la nécessité de gestion (perte de second facteur, support technique) ;
- L’accessibilité pour les personnes éloignées du numérique ;
- Les attaques sophistiquées (SIM swap, Malware) ciblant les dispositifs d’authentification.
Perspectives et évolutions
Avec la généralisation de l’Identité numérique de service public, l’essor du Cloud computing dans l’administration, et le développement de l’Intelligence artificielle en cybersécurité, de nouvelles solutions émergent, telles que :
- L’authentification biométrique renforcée ;
- L’authentification sans mot de passe (protocole FIDO2, WebAuthn) ;
- La dématérialisation des justificatifs d’identité (France Identité).
- L’intégration avec les portails européens d’identification (eIDAS).
Références principales
- Agence nationale de la sécurité des systèmes d’information
- Commission nationale de l’informatique et des libertés
- Service-public.fr
- Ministère de la Transformation et de la Fonction publiques