Dans son quatrième article de la série BEST OF TRUSTECH Guy de FELCOURT revient sur la question de l’importance des standards, ce qu’ils signifient aujourd’hui et sur les perspectives ouvertes pour les gouvernements par les nouveaux standards sur l’interopérabilité des systèmes de gestion des identités numériques présentés par OSIA.
L'article fait notamment référence à la conférence intitulée "Open Standards for Trusted and Universal ID Systems" presentée le 27 Novembre 2019 par Debora Comparin, Présidente du groupe de travail OSIA auprès de Secure Identity Alliance .
Les standards ouverts pour des identités numériques de confiance progressent
Les normes se sont beaucoup développées au cours de ces dernières décennies dans la sphère du numérique. Elles sont le symbole à la fois d’une globalisation plus forte et d’une maturité croissante des usages. Plus récemment nous assistons à la mise en place de nouveaux standards ouverts pour les identités numériques de confiance pour les systèmes gouvernementaux.
Progression de la normalisation autour de l’identité
La normalisation joue un rôle de plus en plus décisif dans l’impulsion du monde numérique et dans l’établissement d’un cadre de sécurité et d’interopérabilité. Nous le constatons dans les domaines des télécommunications, des objets connectés, de la sécurité des systèmes d’information, de l’open banking et de la gestion de l’identité.
Dans la sphère de l’identité numérique des personnes nous connaissons déjà bien des standards. Ceux qui portent sur la carte (ex ISO 7810) sur les documents de voyage (ex ICAO 9303), sur la biométrie (ISO, NIST), sur les signatures (ETSI/CEN/ ITU/OASIS), figurent parmi les classiques. Il existe aussi les standards visant les échanges de données d’identité sur la Toile ou en fédération comme Open ID Connect et SAML. Les travaux de trois groupes de travail à l’ISO sont régulièrement suivis : le GT 17 sur les cartes et dispositifs de sécurité pour l’identification des personnes, le GT 27 sur la sécurité de l’information, cybersécurité et protection de la vie privée ; enfin le GT 37 sur la biométrie. Nous pourrions aussi mentionner comme standards les niveaux de confiance spécifiés par le NIST, l’ISO ou le règlement eIDAS autour de la vérification d’identité et de l’authentification, voir les nouvelles solutions d’authentification poussées par l’alliance FIDO.
Pourtant ce qui est nouveau et qui a été présenté lors de la dernière édition de Trustech c’est à travers l’initiative OSIA [1]une opportunité de normaliser des systèmes de gestion des identités numériques pour les gouvernements. En quoi consistent ces nouveaux standards ? Quels sont leurs bénéfices concrets ? quelle est leur portée réelle pour les gouvernements ?
Des standards ouverts pour les gouvernements
Techniquement ces nouveaux standards visent à renforcer la modularité des systèmes de gestions et leur interopérabilité, en créant des interfaces entièrement standardisées. Autrement dit les composantes des systèmes de gestion sont définies par un canevas commun et leurs interfaces spécifiées. Cela permet de créer un cadre pour l’interconnexion et l’articulation des principales composantes des systèmes d’identité : registres fondationels, registres fonctionnels, enrôlement, biométrie, titres, etc.
Cette modularisation obtenue grâce à la standardisation des interfaces, va apporter plusieurs bénéfices pour les gouvernements :
Le plus immédiat est une facilité accrue dans la conception des systèmes, et une mesure plus aisée de leur performance en mode test ou en production. La gestion du processus d’appel d’offre et la mise en place des solutions est aussi simplifiée.
D’autres bénéfices plus importants encore sont la flexibilité et la pérennité. En effet la possibilité existe grâce aux interfaces (API) standardisés de faire communiquer les différentes pièces du puzzle des systèmes de gestion de l’identité ou d’en rajouter de nouvelles ! Désormais, quel que soit le fournisseur des solutions du moment et à partir du moment où celui-ci s’engage à respecter les standards OSIA, les solutions deviennent compatibles entre elles. En conséquence les gouvernements qui adoptent ces standards pourront remplacer une solution modulaire par une autre de manière indépendante (vendor agnostic selon l’expression du marché) et mieux faire jouer la concurrence.
Des avantages surprenants
Mais il existe encore d’autres avantages plus surprenants encore. Comme nous l’a révélé Debora Comparin lors de Trustech : « Il faut bien réaliser que la situation la plus courante dans les pays est que plusieurs administrations gèrent pour des finalités différentes des registres, des titres et de la biométrie avec des systèmes de générations et versions peu compatibles, par exemple les registres électoraux ou la sécurité sociale ». Jusqu’à présent ces systèmes avaient souvent le plus grand mal à communiquer entre eux, leur compatibilité était restreinte, la duplication de plusieurs systèmes en conséquence était souvent la seule solution possible, lorsque l’on souhaitait remplacer l’un des modules. Aujourd’hui, dans le respect du consentement des citoyens pour l’utilisation de leurs données, le partage et l’optimisation des ressources (par exemple ABIS ou Enrôlement) va être plus pratique avec les interfaces standardisées. Il deviendra plus facile de faire cohabiter plusieurs générations de systèmes, et des administrations distinctes pourront parfois mieux utiliser les ressources y compris lorsqu’elles sont nativement hétérogènes.
Nous voyons se dessiner ainsi des écosystèmes nationaux conciliant plus aisément les principes de souveraineté et d’interopérabilité et dans lesquels les données seront mieux irriguées entre les registres fondationnels et les services d’administration. Tout ceci œuvrant en faveur de l’accès à d’avantage de services de qualité par les populations.
Pour approfondir ou aller plus loin :
- Lien pour la nomenclature de la norme ISO/IEC 24760-1 (2019) — « IT Security & Privacy : A framework for identity management » https://www.iso.org/obp/ui/#iso:std:iso-iec:24760:-1:ed-2:v1:en et standards sur la biométrie https://www.iso.org/committee/313770/x/catalogue/
- Catalogue des normes techniques pour les systèmes d’identification numérique publié par la Banque Mondiale : http://documents.banquemondiale.org/curated/fr/669471547045930961/pdf/129743-French-ID4D-Standards-Catalog-2018.pdf
- Initiative OSIA https://secureidentityalliance.org/osia-about et les spécifications les plus récentes sur les interfaces standardisées https://osia.readthedocs.io/en/latest/
Présentation TRUSTECH 2019 : "Open Standards for Trusted and Universal ID Systems"
Par Debora Comparin, Présidente du groupe de travail OSIA auprès de Secure Identity Alliance
Vous souhaitez prendre la parole à TRUSTECH 2021?
Vous êtes expert dans les domaines de l’Identification, du Paiement ou de la Sécurité et souhaitez intervenir à TRUSTECH ?
Contactez nous : [email protected]