Lorsque l’on parle d’identité numérique, on utilise souvent des termes comme identification, authentification et autorisation. Mais on peut imaginer que pour des entreprises à la recherche d’une solution permettant d’identifier leurs clients par voie numérique, la différence entre ces termes n’est pas toujours évidente.
C’est pour cette raison que nous prenons la peine de vous expliquer en détail ce que chacun de ces termes signifie réellement et de préciser comment ils se différencient, entre autres, sur le plan de leur signification ou de la sécurité. Cela étant dit, entrons dans le vif du sujet !
Identification
Le premier de ces termes est le plus simple à comprendre. L’identification numérique permet à un individu de se présenter en tant que personne physique. Elle se fait principalement en saisissant un nom d’utilisateur ou une adresse e-mail, en lisant une carte d’identité électronique, une carte bancaire ou une carte à puce, ou par le biais de tout autre élément permettant d’identifier un individu de manière unique. Sur le plan de la sécurité de l’information, il est possible en quelque sorte de la comparer à la saisie d’un nom d’utilisateur ou d’informations personnelles telles que le nom et la date de naissance, car cela indique qui vous êtes (ou prétendez être).
À ce stade, il n’est PAS nécessaire de saisir un mot de passe ou un code PIN, car ces moyens servent à vérifier que vous êtes bien la personne que vous prétendez être, ce qui constitue l’étape suivante sur notre liste. Le processus d’identification se déroule souvent en face à face dans des endroits tels que des banques ou des hôpitaux nécessitant vos données d’identification. Il suffit d’insérer votre carte d’identité électronique pour permettre la lecture des informations enregistrées sur la puce. Aucun mot de passe n’est demandé durant ce processus.
Authentification
Comme nous l’avons mentionné ci-dessus, ce terme désigne le processus de vérification de votre identité. Si vous prétendez être une personne en particulier en saisissant un nom d’utilisateur, en remplissant un champ de nom ou par toute autre méthode, l’étape suivante du processus consiste à prouver que vous êtes réellement la personne qui tente d’obtenir l’accès. Il s’agit de l’authentification qui peut se faire à différents niveaux.
Quelque chose que vous connaissez
La plupart des systèmes basent leur authentification sur « quelque chose que vous connaissez », comme un mot de passe ou un code PIN. Il s’agit essentiellement d’un secret entre vous et le système, qui permettra de vous authentifier comme la personne que vous prétendez être si vous parvenez à saisir correctement le mot de passe ou le code PIN.
Quelque chose que vous possédez
Une autre forme d’authentification consiste à présenter « quelque chose que vous possédez ». Il peut s’agir d’une carte à puce, d’un permis de conduire ou d’un jeton USB par exemple. Une carte à puce est en fait une combinaison des deux : elle est munie d’une puce et d’un ou de plusieurs certificats (quelque chose que vous possédez), mais elle nécessite souvent un code PIN (quelque chose que vous connaissez) pour achever le processus. C’est ce que nous appelons l’authentification multifacteur et que nous expliquons plus en détail ci-dessous.
Quelque chose que vous êtes
La dernière forme d’authentification consiste à présenter « quelque chose que vous êtes ». Cela peut sembler étrange, mais c’est pourtant l’un des moyens d’authentification les plus courants dans la vie quotidienne d’un consommateur. Comment débloquez-vous votre téléphone ? À notre avis, 95 % des personnes qui lisent cet article débloquent leur téléphone avec leur empreinte digitale ou un dispositif de reconnaissance faciale. C’est de cela qu’il s’agit ! Ce « quelque chose que vous êtes », comme l’empreinte de votre pouce, l’image de votre rétine, les traits de votre visage et bien d’autres choses encore, constitue la base de la biométrie. Cela permet d’authentifier des utilisateurs en faisant correspondre un élément physique de la personne à la valeur connue enregistrée dans le système.
Authentification multifacteur
On parle d’authentification multifacteur lorsque plusieurs facteurs d’authentification sont utilisés. Prenons l’exemple d’un organisme de recherche top secret où il faut présenter sa carte d’identité, saisir un code PIN, puis faire scanner son empreinte digitale pour obtenir un accès (quelque chose que vous possédez + quelque chose que vous savez + quelque chose que vous êtes) : cet organisme a déployé un système d’authentification multifacteur.
Maintenant que nous avons réussi à nous identifier et à nous authentifier, deux choses se sont produites : nous avons prétendu être quelqu’un et nous avons réussi à prouver que cette affirmation était vraie. Il ne reste plus qu’une seule chose à déterminer pour le système : que sommes-nous autorisés à faire ?
Autorisation
L’autorisation constitue souvent la dernière étape du processus. Une fois qu’une personne a été identifiée et authentifiée, cette étape détermine ce qu’elle est autorisée à faire dans le système.
Il est également important de savoir qu’il n’y a pas d’autorisation distincte sans identification et authentification. Supposons par exemple que tout le monde tente de se connecter avec le même compte, vous pouvez soit accorder certains droits à tout le monde, soit refuser certains droits à tout le monde. Si plusieurs personnes utilisent le même compte, il n’y a aucun moyen de différencier les utilisateurs.
Si différents utilisateurs sont authentifiés avec différents comptes, il est alors possible de leur accorder différents niveaux d’accès ou possibilités en fonction de leur identité. Un administrateur de système a plus de droits et un accès plus étendu au système qu’un utilisateur ordinaire, par exemple.
Connective propose plusieurs moyens d’identification, d’authentification et d’autorisation avec ses solutions eSignatures et Identity Hub. Pour toute question concernant les possibilités offertes dans nos solutions, n’hésitez pas à nous contacter ! Nous serons ravis de vous présenter les nombreuses options à votre disposition.
