Les moyens d’identification électronique et leur certification
Les exigences de sécurité applicables à ces moyens d’identification électronique, qu’ils bénéficient de la présomption de fiabilité ou non, s’appuient sur les dispositions du règlement européen no 910/2014, dit règlement « eIDAS », et en particulier du règlement d’exécution no 2015/1502 associé.
Le décret n° 2022-1004 du 15 juillet 2022 fixe les modalités de certification, par l’ANSSI, des moyens d’identification électronique ainsi que le cahier des charges permettant d’établir la présomption de fiabilité de ces moyens.
À qui s’adresse cette réglementation ?
Les dispositions de l’article L. 102 et les textes en découlant s’adressent aux fournisseurs de moyens d’identification électronique souhaitant, sur une base volontaire, bénéficier d’une certification de leurs moyens d’identification électronique par l’ANSSI.
Que contient cette réglementation ?
1. La présomption de fiabilité
La présomption de fiabilité prévue par le III de l’article L. 102 du Code des postes et des communications électroniques entraîne, en cas de litige, un renversement de la charge de la preuve.
Ainsi toute personne physique ou morale invoquant l’usurpation ou l’altération d’une identité reposant sur l’utilisation d’un moyen d’identification électronique présumé fiable, devra apporter la preuve que ce moyen n’était en réalité pas fiable et présentait des failles ayant permis l’usurpation ou l’altération de cette identité.
Un moyen d’identification électronique est présumé fiable si et seulement si :
- il est conforme aux exigences d’un cahier des charges, établi par l’ANSSI et pris par décret en Conseil d’État;
- la conformité à ces exigences a été certifiée par l’ANSSI.
Le cahier des charges s’appuie sur les exigences du règlement d’exécution no 2015/1502 pour le niveau de garantie « élevé » auxquelles il ajoute des exigences particulières.
Le décret no 2022-1004 définit ce cahier des charges, codifié aux articles R. 54-16 à R. 54-27 du Code des postes et des communications électroniques.
2. Le référentiel d'exigences de sécurité pour les moyens d'identification électronique
Le référentiel d’exigences de sécurité pour les moyens d’identification électronique précise au niveau national les spécifications techniques et les procédures minimales définies dans le règlement d’exécution 2015/1502 pour les niveaux de garantie :
- Faible: l’objectif est de limiter le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : les moyens d’identification électronique reposant sur un identifiant / mot de passe ;
- Substantiel: l’objectif est de limiter substantiellement le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification ;
- Élevé: l’objectif est d’empêcher le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification dont l’un repose sur un composant cryptographique qualifié par l’ANSSI.
3. Les modalités de certification des moyens d'identification électronique
La certification est une décision, délivrée par l’ANSSI, permettant d’attester :
- pour les moyens d’identification électronique présumés fiables, de la conformité aux exigences du cahier des charges mentionné plus haut, conformément au III de l’article L.102 ;
- pour les moyens d’identification électronique autres que présumés fiables, de la conformité aux exigences du référentiel d’exigences pour le niveau choisi (substantiel ou élevé), conformément au IV de l’article L.
L’ANSSI ne délivre pas de décision de certification pour les moyens d’identification électronique visant le niveau de garantie faible.
La procédure de certification des moyens d’identification électronique est définie aux articles R. 54-5 à R. 54-15 du Code des postes et des communications électroniques et suivent le processus de l’ANSSI détaillé à ce lien.
La décision de certification a une durée de validité maximale de 2 ans. Pour maintenir la certification, le fournisseur de moyens d’identification électronique renouvelle le processus précédent, préalablement à l’expiration de la décision de certification.
En cas de manquement aux exigences applicables, aux conditions et réserves fixées par la décision de certification ou en cas de changement des circonstances de droit ou de fait ayant permis de prononcer la décision de certification, l’ANSSI peut décider d’abroger la décision de certification ou de l’assortir de conditions restrictives. Le respect du contradictoire permet au fournisseur de moyens d’identification de faire valoir ces arguments ou, au minimum, de présenter un plan d’action permettant d’adresser les manquements qui lui sont reprochés.
Quel est le rôle de l’ANSSI ?
L’ANSSI pilote, en lien avec les services concernés par la gestion de l’identité, l’élaboration du cahier des charges permettant d’établir la présomption de fiabilité des moyens d’identification.
L’ANSSI est en charge de la rédaction du référentiel d’exigences de sécurité pour les moyens d’identification électronique et de la publication de ce référentiel sur son site Internet.
L’ANSSI prend les décisions de certification des moyens d’identification électronique, assure le suivi des certifications délivrées et peut abroger les décisions de certification.
Pour aller plus loin
1. Références réglementaires
| Référence | Lien |
|---|---|
Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification |
|
Règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques |
|
Article L. 102 du Code des postes et des communications électroniques |
|
Décret no 2022-1004 du 15 juillet 2022 fixant les modalités de certification de moyens d’identification électronique |