La vérification d’identité est une mesure de sécurité prise pour valider l’identité en s’assurant que l’identité revendiquée par l’utilisateur correspond bien à son identité réelle. Pour cela, on procède à un contrôle initial de l’identité réelle, puis on l’utilise pour authentifier l’identité revendiquée lors de transactions ultérieures.
| Identité revendiquée | Identité réelle |
| Données fournies par un utilisateur, mais non validées et non vérifiées (autrement dit, la personne que l’utilisateur prétend être) | Données validées et vérifiées, prouvant l’authenticité de l’identité d’un utilisateur (c’est-à-dire validées afin de confirmer que l’utilisateur est bien celui qu’il prétend être) |
On procède généralement à une vérification d’identité au moment où une relation est nouée. Par exemple, lorsqu’un nouvel embauché prend ses fonctions ou lorsqu’un client ouvre un compte bancaire.
Pourquoi la vérification d’identité est importante
Sans conteste, la vérification d’identité est importante pour protéger les informations personnelles et les informations sensibles. Voici des détails souvent cités pour souligner l’importance de la vérification d’identité.
L’un des cas d’usage les plus courants donnant lieu à la vérification d’identité est le faisceau de lois et de réglementations de lutte contre le blanchiment d’argent (AML) visant à empêcher que de l’argent provenant de pratiques illégales n’entre dans le circuit financier. Un aspect essentiel de cette démarche concerne l’obligation faite aux institutions financières de connaître leurs clients. La vérification d’identité sert à assurer la conformité avec les lois et réglementations AML et avec la règle de la connaissance du client (en anglais, « know your customers » – KYC).
Voici d’autres cas d’usage donnant lieu à la vérification d’identité :
- Les enregistrements sur des sites de commerce électronique
- La détection de la fraude
- La protection générale contre les menaces de sécurité
- Le renforcement de la confiance des clients
- Transactions en ligne
- Les services d’accès à distance aux comptes
- Les comptes de logiciels-services (SaaS)
La mise en œuvre d’une vérification d’identité efficace
La première étape de la vérification d’identité consiste à déterminer le niveau à appliquer. Aux États-Unis, un cadre rudimentaire est présenté dans les orientations établies par le National Institute of Standards and Technology (NIST, institut national des normes et de la technologie) qui donne des orientations aux agences fédérales.
Pour le NIST, la garantie de l’identité se fait à trois niveaux. Les systèmes de vérification d’identité correspondants peuvent être choisis et mis en œuvre en fonction du niveau à appliquer.
- Niveau 1 d’assurance identité du NIST
La vérification de l’identité n’est pas requise. Par exemple, elle n’est pas nécessaire lors de l’inscription à un compte fidélité ou à une lettre d’information. - Niveau 2 de garantie d’identité du NIST
Une vérification limitée de l’identité est requise. Par exemple, lorsqu’il est nécessaire de donner des renseignements en personne ou à distance sur son identité, ainsi qu’une preuve de validité de l’adresse (par exemple, en téléchargeant la photo d’un permis de conduire). Sans être obligatoire, le niveau 2 peut inclure des contrôles biométriques (par exemple, empreintes digitales ou rétiniennes). - Niveau 3 de garantie d’identité du NIST
Pour le niveau le plus poussé de vérification de l’identité, une vérification en personne ou à distance sous surveillance, une vérification d’adresse et des contrôles biométriques sont nécessaires.
Lorsque l’on réfléchit aux systèmes et processus de vérification d’identité à utiliser, il est important de veiller à ce qu’ils soient d’un abord facile et s’intègrent parfaitement aux structures opérationnelles de l’entreprise. Voici une description de certaines des méthodes de vérification d’identité à la disposition des entreprises.
Méthodes de vérification d’identité
En fonction du niveau de garantie d’identité requis, différentes méthodes de vérification d’identité peuvent être utilisées. Ces méthodes vont des informations autodéclarées à la vérification à l’aide d’éléments physiques.
La vérification biométrique
Parmi les options de vérification biométrique, citons :
- La reconnaissance faciale
- Les empreintes digitales
- La reconnaissance de l’iris
- Les empreintes vocales
La vérification de documents d’identité et à partir de ce que sait l’utilisateur
Cette méthode fait appel à des données d’identifté connues seulement de l’utilisateur, ou à un document officiel, par exemple :
- Le permis de conduire ou la carte d’identité nationale
- Le numéro de sécurité sociale (ou les quatre derniers chiffres du numéro)
- Le nom du grand-père maternel
- La marque et le modèle de la première voiture de l’utilisateur
- Le nom de l’école primaire fréquentée
Vérification hors réseau propre (également appelée « authentification hors bande »)
La vérification d’identité hors bande fait référence à un contrôle nécessitant plus d’une forme de vérification. L’authentification à deux facteurs et l’authentification multifactorielle sont des types de vérification d’identité hors bande.
Demandez le guide de mise en place de la sécurité des identités numériques
La vérification d’identité : comment ça marche
Le numéro hors-série 800-63 du National Institute of Standards and Technology (NIST), intitulé « Digital Identity Guidelines » (Orientations sur les identités numériques) donne des consignes complètes sur la manière de procéder à une vérification d’identité pour confirmer qu’un utilisateur est bien celui qu’il prétend être. Elle comprend trois grandes étapes.
- La résolution de l’identité
Il s’agit de déterminer sans le moindre doute possible l’identité d’une personne dans le cadre d’une population ou d’un système. - La validation de l’identité
Consiste à recueillir la preuve de l’identité de l’utilisateur (par exemple, son nom d’utilisateur, son mot de passe, et ses réponses aux questions de sécurité) et confirmer que tout est exact, authentique et valide. - Contrôle de l’identité
Consiste à confirmer que la personne est bien celle qu’elle prétend être.
Le gouvernement britannique propose une version légèrement différente de ce processus :
- Solidité
Obtenir une preuve d’identité à partir de documents officiels reconnus au niveau international et présentant des caractéristiques de sécurité considérées comme immuables. - Validité
Confirmer que le ou les documents produits sont légitimes et authentiques. - Activité
Vérifier l’existence de l’identité dans la durée à l’aide de relevés de compte ou d’autres documents. - Étude des usurpations d’identité
Évaluer le risque que l’identité soit usurpée en la comparant à une base de données gouvernementale ou à une autre base de données fiable sur les usurpations. - Vérification
Vérifier que l’identité appartient bien à la personne qui la revendique, en faisant appel à diverses méthodes. Par exemple des données biométriques, la vérification à partir de ce que sait l’utilisateur et la vérification hors bande.
Vérification d’identité versus authentification
La vérification et l’authentification de l’identité supposent toutes deux la validation de l’utilisateur. La principale différence entre la vérification de l’identité et l’authentification tient à la différence de moment auquel ces deux processus ont lieu.
| La vérification de l’identité | L’authentification |
| La vérification de l’identité a lieu dès le départ, au moment où une relation est nouée avec un utilisateur (par exemple, lors des contrôles liés à la règle de KYC imposant la connaissance du client). | L’authentification a lieu lorsqu’un utilisateur déjà inscrit demande l’accès et utilise les informations de base qui ont été recueillies et contrôlées lors de la vérification d’identité. |
Conséquences d’une vérification d’identité insuffisante
Comme pour toute défaillance de sécurité, une vérification d’identité insuffisante a de lourdes conséquences. Par exemple :
- La prise de contrôle d’un compte
- Des sanctions financières pour non-conformité aux mesures de lutte contre le blanchiment d’argent (AML)
- Une atteinte à la réputation
- Une falsification d’identité
- Une usurpation d’identité
- La perte de confiance des clients
- Des manœuvres de blanchiment d’argent
- Une fraude sur les transactions
La vérification de l’identité à des fins de conformité et de sécurité globale
Pour les institutions financières, la vérification d’identité est une composante essentielle de la conformité aux mesures de lutte contre le blanchiment d’argent, car elle est nécessaire pour être en règle avec les obligations imposées par la règle « Know your Client ». En outre, la vérification de l’identité est devenue partie intégrante du dispositif global de sécurité et des programmes de prévention de la fraude des entreprises, car elle renforce la sécurité et réduit la fraude, en limitant l’accès aux systèmes et aux applications aux seuls utilisateurs dont la validité de l’identité peut être prouvée.
Les cas d’usage qui donnent lieu à une vérification d’identité sont légion. Outre la finance, la vérification d’identité est appliquée dans les secteurs des (par exemple, la télémédecine), des opérations (par exemple, l’intégration des nouvelles recrues et l’affectation des utilisateurs) et dans les services cloud (par exemple, les contrôles d’accès aux comptes).