Passer au contenu principal
US flag Un site web officiel du gouvernement des États-Unis

Mise en œuvre d'un système de gestion d'identité

Que protégez-vous?

Il vaut la peine d'évaluer ce dont vous avez réellement besoin avant de commencer la mise en œuvre. Toute l'information ne requiert pas un système d'identité pour gérer l'accès. Vous pouvez protéger la confidentialité des utilisateurs et réduire les risques liés à la sécurité pour vos systèmes en évitant la cueillette non nécessaire de renseignements permettant d'identifier une personne; ceci inclut même les coordonnées.

Vous pourriez ne pas avoir à mettre en œuvre un système d'identité si :

  • Vous n'avez pas à avoir une relation continue avec les utilisateurs.
  • Les transactions ne dépendent pas de l'exactitude de l'information personnelle.
  • Vous pouvez vous fier à d'autres formes de sécurité.

Pour répondre à ceci, demandez

  • De quelles transactions auront besoin les utilisateurs?

    Est-ce que les transactions seront continues, comme dans les cas où les utilisateurs prennent en note les avantages sociaux ou des demandes de subvention pour les remplir plus tard, puis reviennent de façon répétée pour vérifier le statut de leur demande? Ou seront-elles uniques ou non fréquentes, comme dans les cas où les utilisateurs téléchargent des dossiers médicaux ou financiers?

  • De quel type d'information avez-vous besoin pour protéger vos clients?

    Avez-vous besoin d'un nom complet et autre information personnelle afin que les utilisateurs puissent accéder à de l'information privée? Ou avez-vous seulement besoin de vérifier si l'utilisateur correspond à certaines catégories, comme la catégorie des vétérans ou celle des personnes âgées?

  • Quel type de crime l'accès à cette information peut-il rendre possible?

    L'information qui semble innocente en soi peut quand-même avoir une valeur pour les fraudeurs et autres criminels lorsqu'elle est combinée avec d'autres renseignements facilement accessibles.

  • Quels autres moyens de sécurité sont disponibles?

    Les numéros de suivi postaux, par exemple, ne sont pas secrets parce que le colis sera livré seulement à une adresse spécifique. La sécurité de la livraison repose sur la sécurité de l'édifice et sur la conduite de l'employé(e) de livraison et non sur l'aspect secret du numéro lui-même.

Quels types de ressources avez-vous déjà pour identifier les clients?

Votre agence peut déjà posséder de l'information et des ressources spécifiques à la mission et qui peuvent être utilisées pour identifier les clients. En intégrant les ressources que vous connaissez et en lesquelles vous avez confiance, vous pouvez augmenter la fiabilité de l'identification.

Pour répondre à ceci, demandez

  • Quelles ressources sont uniques à votre agence?

    Les interactions confidentielles des individus avec les agences gouvernementales peuvent générer des pistes de métadonnées. Utilisées soigneusement, ces métadonnées peuvent faciliter la vérification d'identité basée sur les connaissances de ces activités. D'autres organisations gouvernementales servent de référentiels de données biométriques qui font autorité et qui sont disponibles pour usage interne. Certaines agences peuvent avoir des lieux physiques que les clients peuvent visiter.

Qu'est-ce qu'un système de gestion de l'identité des consommateurs?

Lorsque vous êtes à la maison et que quelqu'un frappe à la porte, c'est assez facile de décider si vous répondez ou non. Selon votre connaissance de qui se trouve à l'extérieur, vous pouvez décider si vous ouvrez la porte ou non. Est-ce que la personne qui se trouve à l'extérieur est un(e) ami(e)? Un facteur ou autre fournisseur de service attendu? Un complet étranger? En ligne, il est beaucoup plus difficile de répondre à la question « Qui frappe à la porte. Les systèmes de gestion d'identité des consommateurs facilitent la tâche aux administrateurs système et les aident à décider s'ils ouvrent la porte ou non et à déterminer la mesure de l'ouverture de cette porte, le cas échéant.

Qu'est-ce qu'une identité?

dans le monde de la sécurité, « identité » a une signification technique très spécifique qui diffère de la signification française pure. Une « identité » en terme technique est un type de dossier : c'est un regroupement de différents types de données qui décrivent un seul utilisateur du système [NIST 800-63-3]. Ces données peuvent inclure des références à des dossiers gouvernementaux officiels comme les numéros de permis de conduire et les dates de naissance enregistrées de même que des données mutables comme des adresses courriel et des noms d'utilisateurs. Des attributs physiques comme les empreintes digitales et l'ADN peuvent aussi faire partie d'un dossier d'identité.

Comment fonctionnent l'identité et la gestion de l'accès?

Les administrateurs système attribuent des privilèges d'accès à chaque dossier d'identité. Ces privilèges autorisent certaines activités et en interdisent d'autres. Pour « ouvrir la porte » de façon sécuritaire, toutefois, les administrateurs doivent avoir la certitude que les utilisateurs qui frappent à la porte sont bien qui ils affirment être.

Pour donner au système et à ses administrateurs confiance en leurs identités, les utilisateurs doivent prouver leurs identités par le biais d'une activité appelée authentification. Les utilisateurs s'authentifient en présentant une preuve qui les lie aux dossiers. Pour ce faire, les utilisateurs aident d'abord le système à valider leur dossier; par exemple, en saisissant un nom d'utilisateur. Puis, les utilisateurs fournissent la preuve, souvent des mots de passe ou autre information que seule la vraie personne peut connaître.

Qu'est-ce que le fait d'avoir un dossier d'identité active-t-il??

Les systèmes d'identité ne sont pas qu'à l'avantage des administrateurs système. Les utilisateurs peuvent effectuer des actions très pratiques avec une identité numérique authentifiée. En voici une petite liste :

  • Remplir au préalable des formulaires en ligne avec de l'information vérifiée accélère le traitement de la demande. Il y a moins d'efforts redondants et les utilisateurs n'ont pas à se soucier des erreurs de base.
  • Les utilisateurs authentifiés peuvent accéder à des données que le système détient sur eux et les télécharger, comme l'activité du compte. Avec une identité juridique vérifiée, l'utilisateur peut accéder à des dossiers médicaux ou financiers très sensibles et même les télécharger.
  • Les systèmes d'identité peuvent protéger votre confidentialité. Si vous devez avoir 21 ans ou plus pour accéder au service, vous pouvez autoriser un système d'identité à confirmer votre âge sans partager votre date de naissance exacte.

Mise en œuvre

Ressources