ANSSI : PUBLICATION DU RÉFÉRENTIEL D’EXIGENCES APPLICABLES AUX PRESTATAIRES DE VÉRIFICATION D’IDENTITÉ À DISTANCE (PVID)

Le besoin de disposer de services de vérification d’identité à distance s’est accru en France et en Europe au cours des dernières années et a été mis en lumière directement par la crise sanitaire (COVID-19). Aussi, l’ANSSI a élaboré un référentiel pour les prestataires de vérification d’identité à distance. Ce nouveau référentiel d’exigences, valorisé par un visa de sécurité ANSSI et qui a fait l’objet d’un appel à commentaires, permettra d’identifier les prestataires fournissant un service de vérification d’identité à distance attestant d’un niveau de garantie substantiel ou élevé.

QU’EST-CE QUE LA VÉRIFICATION D’IDENTITÉ À DISTANCE ?

Une vérification d’identité à distance possède la même finalité qu’une vérification d’identité en face-à-face physique. A ce titre, un service de vérification d’identité à distance permet de vérifier que le titre d’identité présenté par l’utilisateur est authentique et que l’utilisateur en est le détenteur légitime.

La principale menace lors d’une vérification d’identité, qu’elle ait lieu en face-à-face ou à distance, est l’usurpation d’identité. Un service de vérification d’identité à distance est ainsi exposé aux mêmes risques qu’une vérification d’identité en présentiel, mais également, de par sa nature, à des risques spécifiques (manipulation numérique des images (deepfakes), injection de données frauduleuses, tentatives répétées et massives d’usurpation, utilisation de masques…).

UNE PREMIÈRE VERSION DU RÉFÉRENTIEL PVID

Pour répondre à ces risques, l’ANSSI a élaboré un ensemble de règles et de recommandations rassemblées dans le référentiel PVID. Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d’identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs. Ce référentiel permet d’attester que la mise en œuvre des mesures de réduction de la fraude pertinente par les services certifiés selon deux niveaux de garantie : substantiel et élevé.

L’élaboration de ce référentiel s’inscrit dans le cadre de travaux menés en collaboration avec la direction générale du Trésor (DGT) pour la certification des services d’entrée en relation d’affaires à distance au titre du décret n° 2020-118. Au-delà de ce besoin sectoriel spécifique, ce référentiel constitue le fondement du schéma unifié d’évaluation des services de vérification d’identité à distance, quel que soit le niveau de garantie (substantiel et élevé) et quel que soit le cadre réglementaire. Les services de confiance et les moyens d’identification électronique recourant à une vérification d’identité à distance devront donc s’y conformer.

Ainsi, le présent référentiel a vocation à permettre :

– la certification au titre du décret n° 2020-118 des services d’entrée en relation d’affaires à distance lorsqu’ils sont mis en œuvre par des organismes assujettis à la lutte contre le blanchiment de capitaux et le financement du terrorisme ;

– la qualification au titre du règlement européen n° 910/2014 (eIDAS) des services de confiance recourant à une vérification d’identité à distance ;

– la certification au titre de l’article L102 du Code des postes et des communications électroniques des moyens d’identification électronique, pour les niveaux de garantie substantiel et élevé, recourant à une vérification d’identité à distance.
OUVERTURE PROCHAINE DU DISPOSITIF

Parfaitement consciente des attentes du secteur en la matière et de l’impact de cette nouvelle activité d’évaluation, l’ANSSI se prépare avec les centres d’évaluation candidats en vue de l’ouverture prochaine du dispositif.

Celui-ci pourra être considéré comme pleinement opérationnel dès le 1er avril 2021. En effet, en complément du présent référentiel, un ensemble de documents formant le schéma de certification est nécessaire à la prise en compte des demandes de certification. Une liste des centres d’évaluation et le processus à suivre par les candidats en vue d’une certification seront également publiés d’ici cette date.

S’appuyant sur les exigences du référentiel et sur l’arrêté qui sera publié au 1er avril 2021, ces documents (formulaires, procédures, etc.) permettront aux prestataires souhaitant soumettre leurs services une évaluation de la conformité de formaliser leurs demandes auprès de l’ANSSI. Enfin, l’ANSSI invite les organismes qui souhaiteraient procéder à l’évaluation de la conformité des prestataires de vérification d’identité à distance par rapport à ce référentiel d’exigences à la contacter par courriel à l’adresse suivante : commentaires-pvid [at] ssi.gouv.fr

https://www.ssi.gouv.fr/administration/actualite/publication-du-referentiel-dexigences-applicables-aux-prestataires-de-verification-didentite-a-distance-pvid/

p/o Virginie Gastine Menou
RISQUES ET VOUS
http://www.risquesetvous.fr/
https://www.linkedin.com/company/risques-et-vous

✍🏼 Proposer une offre de job : https://graces.community/recruteurs/

💈 Consulter les offres qui vous correspondent : https://job.graces.community/login

Partagez l’article sur les réseaux !

Articles récents :

fr_FRFrançais