Pour reprendre là où nous nous sommes arrêtés (voir Qu’est-ce que l’identité numérique – Partie 3), examinons d’autres facteurs qui influencent l’adoption des justificatifs numériques, au-delà de la vie privée et de la protection des renseignements personnels. Pour que les avantages des justificatifs numériques se concrétisent pleinement, leur utilisation doit être plus étendue. À l’instar du slogan de Visa «accepté partout», pour que les différentes formes de justificatifs numériques soient reconnues partout, il faut d’abord atteindre un niveau d’adoption suffisant. L’adoption repose sur des caractéristiques clés que nous attendons de la technologie dans nos interactions quotidiennes :
- Fiabilité
- Accessibilité
- Responsabilité
- Interopérabilité
- Convivialité
En outre, l’adoption repose sur la confiance. Par exemple, les titulaires et les vérificateurs doivent avoir confiance que l’émetteur délivre un justificatif légitime et le vérificateur doit avoir confiance que le titulaire est le détenteur légitime d’un justificatif numérique. Pour que l’adoption soit répandue, nous devons disposer de niveaux d’assurance (NdA) appropriés que chaque partie est digne de confiance, qu’elle est légitime. Nous allons approfondir cette question et traiter du risque, des niveaux d’assurance, des niveaux de préjudice et de la façon dont ils sont liés aux cadres de niveaux d’assurance utilisés au Canada et dans le monde.
Facteurs influençant l’adoption des justificatifs numériques
La fiabilité est une caractéristique clé qui affecte directement la confiance et l’adoption des utilisateurs. Voici quelques exemples de fiabilité que les utilisateurs s’attendent à retrouver :
- Service fiable – Le service fonctionne-t-il de manière uniforme et sans erreur?
- Conception de service fiable – Le justificatif numérique reflète-t-il les meilleures pratiques de conception?
- Protection fiable de la vie privée – Pouvez-vous faire confiance à ce service de justificatifs numériques pour protéger votre vie privée?
- Processus fiable – Les processus opérationnels entourant l’utilisation du justificatif numérique présentent-ils le même niveau de fiabilité que le reste du système? Comme une chaîne, l’ensemble du cycle de vie du justificatif numérique ne peut être plus solide que son maillon le plus faible.
La fiabilité éprouvée du justificatif numérique lui-même favorise la confiance. En définitive, les justificatifs numériques et les systèmes qui les soutiennent doivent répondre uniformément aux attentes de ceux qui les utilisent et qui dépendent de leurs performances. Sinon, les gens ne pourront pas se fier au service et ne l’utiliseront pas.
L’accessibilité est l’un des principaux piliers des justificatifs numériques. Toute personne susceptible d’obtenir un justificatif numérique particulier et souhaitant l’utiliser devrait pouvoir y accéder. Il faut pour cela adopter une approche où «personne n’est laissé pour compte», qui tient compte des besoins des utilisateurs potentiels susceptibles de rencontrer des obstacles physiques, cognitifs, socio-économiques ou linguistiques lors de l’utilisation des justificatifs numériques.
Par exemple, un pourcentage important du public présente des handicaps, comme des problèmes de mobilité ou des problèmes sensoriels (p. ex., une mauvaise vue). S’assurer que les solutions de justificatifs numériques sont conformes aux Règles pour l’accessibilité des contenus Web est une première étape importante. D’autres considérations relatives à la conception consistent notamment à s’assurer qu’un justificatif numérique soit accessible sur n’importe quel appareil, à rechercher les biais technologiques susceptibles d’entraîner des expériences différentes entre les utilisateurs (par exemple, les biais dans la vérification faciale ont été bien documentés), à fournir une assistance pour l’accès à l’internet à ceux qui en ont besoin, et à réduire ou éliminer les frais associés au processus de délivrance du justificatif numérique. Tout service qui dépend de justificatifs numériques doit être conçu pour l’ensemble de son groupe d’utilisateurs potentiels. En résumé, les questions suivantes doivent être prises en compte lors de l’évaluation de l’accessibilité :
- Comment vous assurez-vous que tout le monde est en mesure de suivre le processus avec la même facilité? et
- Comment vous assurez-vous que vos technologies tiennent compte de l’accès aux appareils numériques et de la littératie numérique de votre groupe d’utilisateurs, et qu’elles sont conçues en conséquence?
La responsabilité est un autre élément clé pour favoriser la confiance nécessaire à une adoption plus large des justificatifs numériques. La responsabilité implique une ligne de responsabilité claire et identifiable entre les fonctions requises dans un écosystème d’identité numérique et les personnes chargées de les réaliser. Une responsabilité démontrée fournit une base pour une confiance continue dans le service offert. En outre, les standards et les lois qui entourent l’utilisation des justificatifs numériques doivent clairement mettre en avant la protection de la vie privée de l’utilisateur, la sécurité, la facilité d’utilisation et l’accès équitable. La responsabilité comporte de nombreux éléments, dont les suivants:
- Politiques et procédures bien communiquées – Qui est chargé de s’assurer que mon justificatif numérique fonctionne? Où dois-je me diriger si je rencontre un problème? Quels sont les mécanismes permettant de contester une politique ou une procédure?
- Une personne ou une organisation responsable de la surveillance de la protection de la vie privée et de la réception des préoccupations et des problèmes en la matière.
- Une capacité à surveiller et à rendre compte de la fiabilité technique de la solution.
L’interopérabilité entre les entités et les systèmes est cruciale pour un écosystème fonctionnel et durable qui soit convivial. Dans ce cas, l’interopérabilité est la capacité des solutions techniques à fonctionner les unes avec les autres, ou à se parler d’une manière uniforme et comprise. Prenons l’exemple d’un justificatif numérique délivré à un utilisateur par un émetteur de confiance et soumis ultérieurement à un vérificateur tiers. Prenons l’exemple de l’utilisation d’un relevé de notes électronique vérifiable délivré par une université d’une province à un employeur d’une autre province. Le justificatif numérique doit être interopérable tout au long de la chaîne du processus de vérification. C’est pourquoi l’interopérabilité est considérée comme une exigence absolue. Plusieurs initiatives sont en cours pour s’assurer de l’interopérabilité :
- Il existe de nombreux organismes qui élaborent des standards et des technologies pour aborder les différents aspects de l’interopérabilité technique. Ces travaux sont de plus en plus importants et continuent d’évoluer. Ces efforts doivent être développés en collaboration et fournir des guides sur les meilleures pratiques en matière de processus et de technologies interopérables.
- Les exigences procédurales communes dictées par la loi ou par la réglementation doivent être interprétées et appliquées uniformément. Les politiques élaborées dans un territoire (p. ex., le Canada, la province de la Colombie-Britannique) ou un secteur (p. ex., la santé, les services financiers) doivent prévoir l’alignement et l’interopérabilité à tous les niveaux de politique.
La convivialité est en partie influencée par la fiabilité, l’accessibilité et l’interopérabilité. La convivialité (ou facilité d’utilisation) est le degré d’effort requis pour interagir avec quelque chose afin d’atteindre un objectif donné. C’est une préoccupation majeure pour les utilisateurs finaux de tout processus qui dépend de la technologie. Cela commence par la conception des interfaces utilisateur selon les meilleures pratiques afin de s’assurer que :
- Les informations et les processus sont organisés de manière à être aussi simples que possible ;
- Les interfaces utilisateur sont exemptes d’erreurs et semblent crédibles ; et,
- L’interface utilisateur est adaptable à de nombreux types de dispositifs (p. ex., ordinateurs de bureau, appareils mobiles) et systèmes d’exploitation (p. ex., Android, iOS).
Il existe de nombreuses sources de lignes directrices sur les meilleures pratiques visant une bonne conception de l’expérience utilisateur. La convivialité est un domaine de pratique à part entière, souvent appelé «expérience utilisateur» (ou «EU»). Tout projet de justificatifs numériques comportant un composant d’interface utilisateur, qu’il s’agisse d’un utilisateur interne ou externe, doit faire appel à un professionnel de l’EU pour assurer une convivialité optimale.
Au-delà d’une conception visuelle et de processus efficaces, il existe d’autres considérations particulièrement applicables à l’utilisation des justificatifs numériques. Les processus qui dépendent des justificatifs numériques sont souvent sensibles aux questions de protection de la vie privée et de sécurité, et peuvent avoir un public cible commun avec des caractéristiques définies (par exemple, tous les utilisateurs potentiels sont susceptibles de travailler dans un cadre professionnel). De telles contraintes, le dispositif, la connectivité ou les exigences connexes doivent également être pris en considération lors de l’évaluation de la convivialité.
Risque et niveaux d’assurance (NdA)
Comme nous l’avons vu, il est important de surmonter les obstacles à l’adoption des justificatifs numériques pour pouvoir profiter pleinement de leurs avantages. Cela signifie généralement qu’il faut rendre l’accès à un justificatif numérique aussi facile que possible. Cela dit, il faut trouver un équilibre entre la sensibilité d’un justificatif et le niveau de sécurité, de vérification et de confiance globale dans une personne et une assertion. Cet équilibre se traduit généralement par des NdA (également appelés niveaux de confiance). Il s’agit du degré de confiance que l’on peut avoir dans le fait qu’une personne ou un justificatif est légitime. Dans le contexte de l’authentification des entités, l’Organisation internationale de normalisation (ISO/IEC 29115) définit un niveau d’assurance comme décrivant le degré de confiance dans les processus menant à, et incluant, l’authentification.
Le problème est que plus nous devons avoir confiance en une personne ou une assertion, plus il est difficile de délivrer un justificatif. Cela peut décourager l’adoption. Il est donc important de choisir avec soin la bonne formule pour le bon objectif.
Au Canada et ailleurs dans le monde, les politiques et les standards classent souvent les NdA dans un cadre défini. Le niveau d’assurance le plus bas d’un cadre implique une faible confiance dans les assertions et l’attente d’un préjudice minimal ou nul dans le cas d’une transaction compromise. Le niveau d’assurance le plus élevé est utilisé lorsqu’il y a un grand risque de préjudice, par exemple en cas d’atteinte importante à la vie privée ou à la sécurité.
Au Canada, de nombreuses définitions des NdA sont similaires aux, ou sont basées sur les définitions officielles des NdA utilisées par le gouvernement fédéral :
- NdA 1 – Peu de confiance est requise quant au fait qu’un individu est bien celui qu’il prétend être. On peut raisonnablement s’attendre à ce que la compromission cause un préjudice nul ou minime. – L’une des façons de voir ceci est qu’il importe peu de savoir qui se trouve derrière l’ordinateur ou présente le justificatif, comme un compte de média social typique.
- NdA 2 – Il faut avoir une certaine assurance qu’un individu est bien celui qu’il prétend être. On peut raisonnablement s’attendre à ce que la compromission cause un préjudice minimal à modéré. – Dans ce cas, c’est un peu plus important et nous avons au moins besoin de savoir s’il s’agit d’une personne réelle, ou nous acceptons le risque que ce ne soit pas elle derrière l’ordinateur.
- NdA 3 – Niveau d’assurance élevé qu’un individu est bien celui qu’il prétend être. On peut raisonnablement s’attendre à ce que la compromission cause un préjudice modéré à grave. – Ici, il est important de savoir qu’il s’agit d’une personne réelle ET d’être tout à fait sûr qu’il s’agit de la BONNE personne derrière le dispositif.
- NdA 4 – Niveau d’assurance très élevé qu’un individu est bien celui qu’il prétend être. On peut raisonnablement s’attendre à ce que la compromission cause un préjudice grave à catastrophique. – Au niveau le plus élevé, il ne peut y avoir aucun doute que la personne est bien celle qu’elle prétend être et qu’elle est autorisée à effectuer la transaction.
Cette classification des NdA fournit un cadre important pour la gestion et l’utilisation des justificatifs numériques.
—
Prenons un exemple plus concret :
Steve vit à Calgary et travaille à l’obtention d’un diplôme. Il réalise qu’il aura besoin de prêts étudiants pour l’aider à financer ses études. Il s’est déjà inscrit pour obtenir une identité numérique MyAlberta (MADI, disponible en anglais seulement) et a suivi le processus pour s’assurer qu’elle était vérifiée. Pour ce faire, il a autorisé la province à accéder à ses renseignements sur le registre des conducteurs, ce qui lui a permis d’obtenir le NdA 2, et d’envoyer un NIP à une adresse valide inscrite au dossier, ce qui lui a permis d’obtenir le NdA 3. Cela confirme que la personne existe et que c’est la bonne personne qui s’authentifie, ce qui lui permet d’avoir accès à un plus grand nombre de services en ligne qui exigent un niveau d’assurance plus élevé.
Steve se rend sur le site internet de l’Alberta Student Aid, où il voit qu’il peut faire une demande en ligne après avoir créé un compte. Pour ce faire, il peut demander la création d’une nouvelle identité numérique et de nouveaux justificatifs, ou simplement utiliser son identité numérique MyAlberta (MADI) existante. Le programme MADI a élaboré des politiques et procédures exigeant un niveau d’assurance plus élevé et l’Alberta Student Aid s’appuie sur le justificatif MADI pour éviter à Steve de devoir créer un nouveau compte. Pendant ce temps, l’Alberta Student Aid a l’assurance qu’elle interagit réellement avec Steve, et non avec quelqu’un d’autre.
—
La dépendance croissante envers l’économie numérique et l’augmentation de la valeur des transactions signifient qu’il est plus important que jamais de rendre les nouvelles technologies, en particulier les justificatifs numériques, fiables, accessibles, responsables, interopérables et utilisables. Cela signifie également que l’exposition au risque et le potentiel de préjudice continueront de persister à mesure que l’économie numérique évolue. Nous devons continuer à évoluer et à mettre en place des cadres qui atténuent ces risques.
Pour que les justificatifs numériques soient aussi omniprésents que leurs équivalents papier actuels, leur adoption devra être étendue. L’intérêt et la demande d’un bout à l’autre devront être présents pour que les avantages soient pleinement optimisés. Pour y parvenir, il faudra rester vigilant et veiller à s’assurer que les justificatifs numériques protègent la vie privée, qu’ils sont sécurisés, faciles à utiliser, accessibles de manière équitable et, ultimement, qu’ils inspirent confiance.
Quelle est la suite?
Nous avons abordé les principaux facteurs qui influencent l’adoption de l’identité numérique. Dans la prochaine partie, nous allons décrire plusieurs techniques et éléments de conception qui sont utilisés. Bien que la liste ne soit pas exhaustive, nous allons explorer les composants importants des services liés aux justificatifs numériques. Nous aborderons notamment la notion des portefeuilles et des signatures numériques, des principes tels que la divulgation sélective et l’utilisation de la cryptographie dans les preuves à divulgation nulle de connaissance.
Nous aimerions recevoir vos commentaires et répondre à vos questions les plus fréquentes! Contactez IDLab!