De la restauration scolaire à une demande de logement social, les collectivités proposent de plus en plus de services en ligne à leurs administrés. Mais pour y accéder, ces derniers doivent s’identifier et donc mémoriser de nouveaux mots de passe, ce qui constitue souvent un frein et porte en germe de nouveaux risques, les usagers choisissant souvent un même mot de passe pour plusieurs sites.
Les systèmes d’identification sociale, qui permettent de se connecter grâce à son compte Facebook, LinkedIn ou Google, constituent une solution pratique. Mais, dans le cas de services publics, ce n’est pas suffisant car il faut établir sans ambiguïté que l’on a bien affaire à la bonne personne. Initié par la DINSIC1 au sein du SGMAP2, FranceConnect répond à cette problématique en adossant le principe de l’identification sociale à une identité numérique vérifiée. Dans ce dispositif, ce sont l’administration fiscale ou la sécurité sociale, dont les identifiants ont été délivrés sur la foi de preuves concrètes d’identité, qui constituent la source de référence.
Grâce à FranceConnect, un seul bouton va permettre de s’authentifier de façon simple et sûre, sans nouveaux identifiants. Proposée en priorité aux acteurs publics, la solution FranceConnect intéresse tout particulièrement les collectivités, qui ont besoin de cette identification vérifiée sans toujours disposer des ressources pour la mettre en œuvre. Pour le citoyen, FranceConnect est à la fois un facteur de commodité et un gage de sécurité.
Plus FranceConnect sera adopté, plus il gagnera ce statut de label de confiance avec, en perspective, la possibilité de le voir étendu au-delà de la sphère publique.
Capable en outre d’être une passerelle entre les administrations, il permet de développer de nouveaux services ou, si l’utilisateur y consent, d’échanger des informations.
FranceConnect propose un kit de développement mais, consciente des limites d’une approche manuelle, l’entité s’est entourée de partenaires pour faciliter le déploiement de sa solution. Il est possible de réaliser tout le travail d’interfaçage entre le site et FranceConnect avec un composant logiciel spécialisé, lequel doit présenter trois caractéristiques clés pour remplir pleinement sa mission.
Premièrement, cette « brique de compatibilité » ne doit pas être intrusive ni altérer l’interface utilisateur (le bouton de connexion doit s’intégrer au design) et les performances du site. Capable de s’adapter à des environnements cloud ou hybrides, elle ne doit nullement interférer avec la couche applicative ou les données. Cela facilite l’intégration, évite de perturber l’exploitation et renforce la sécurité : le composant ne peut servir de porte d’entrée à un individu malveillant. En revanche, la brique doit faire le lien avec le contrôle des accès et la personnalisation, de façon à ne donner accès à l’utilisateur qu’aux fonctionnalités qui le concernent.
Deuxièmement, cette brique doit être réalisée et maintenue par un spécialiste de la cybersécurité, qui intègre au quotidien les correctifs, les protocoles et les dernières normes en date. Ainsi, la collectivité aura la certitude que le lien entre son site et FranceConnect sera en permanence à l’état de l’art de la sécurité. Par exemple, la brique développée par Evidian, aujourd’hui conforme aux normes en vigueur (ANSSI3, e-IDAS), le sera demain, sans que la collectivité ait à s’en préoccuper, avec des normes supérieures, de nouvelles méthodes d’identification (biométrie, multi facteur…) ou de nouvelles réglementations comme la GDPR4, qui encadrera la gestion des données privées à partir de 2018.
Enfin, le composant doit avoir la capacité à monter en charge, au rythme des nouveaux services en ligne proposés par les collectivités : le contrôle d’identité ne doit pas constituer un frein mais, au contraire, permettre de passer à l’échelle supérieure.
Déployable en quelques jours, un module d’intégration tel que celui que propose Evidian démultiplie l’intérêt de FranceConnect pour les collectivités, qui peuvent à la fois simplifier et sécuriser l’accès à leurs services.
Déployable en quelques jours, Evidian Web Access Manager permet aux collectivités d’intégrer France Connect à leurs services en ligne, de manière non intrusive et sans en perturber l’exploitation. Nul besoin de modifier laborieusement les pages du site web, de risquer de dégrader le niveau de sécurité ou d’engager des dépenses dans un chantier de modification et dans un effort accru de maintenance. L’intérêt de France Connect est ainsi démultiplié pour les collectivités, qui peuvent à la fois simplifier et sécuriser l’accès à leurs services en ligne. Et par là même concentrer leurs efforts sur la fourniture des services eux-mêmes.
Thierry Winter, Directeur R&D Evidian
1 DINSIC : Direction interministérielle du Numérique et du Système d’information et de communication de l’Etat
2 SGMAP : Secrétariat général pour la Modernisation de l’action publique (service du Premier ministre)
3ANSSI : Agence nationale de la Sécurité des systèmes d’information, rattachée au Secrétaire général de la Défense et de la Sécurité nationale
4 GDPR : General Data Protection Regulation (Règlement général sur la protection des données)
