Identité et authentification numériques : que devrait faire l'administration Biden ?

Scott Clements, mars 8, 2021

L'identité numérique est devenue une question urgente. La pandémie a entraîné une utilisation beaucoup plus importante des canaux et outils numériques. Elle a également révélé l'ampleur de l'usurpation d'identité, de la fraude à l'identité synthétique, de la fraude à l'aide COVID et des demandes de chômage frauduleuses, ce qui a mis en évidence la nécessité de pouvoir faire confiance à l'identité numérique des personnes avec lesquelles nous interagissons et effectuons des transactions en ligne.

Aider les institutions financières et autres organisations à protéger l'identité numérique de leurs clients et à sécuriser leurs transactions numériques est au cœur de notre travail chez OneSpan. Lorsque la Better Identity Coalition m'a invité à participer à un panel pour partager mon point de vue lors du forum virtuel sur la politique en matière d'identité, d'authentification et d'avenir, j'ai pu constater une fois de plus à quel point cette question est devenue importante. Organisé par la Better Identity Coalition, la FIDO Alliance et l'ID Theft Resource Center (ITRC), cet événement de deux jours a attiré un grand nombre de participants, avec plus de 1 000 inscrits, et est arrivé à point nommé alors que l'administration Biden et le 117e Congrès s'installent.

Michael Mosier, directeur adjoint et responsable de l'innovation numérique au sein du Financial Crimes Enforcement Network (FinCen) du Trésor américain, a ouvert le forum politique par un discours liminaire qui a affirmé sans ambages :

"L'identité est une question de sécurité nationale, et il faudra le pouvoir intellectuel et la créativité de chacun d'entre nous pour trouver comment sécuriser les identités et mettre les gens à l'abri du danger."

Je suis d'accord avec le directeur adjoint Mosier. Toutefois, j'ajouterais que la question de l'identité numérique devrait être traitée comme un projet d'infrastructure nationale et que les décideurs politiques ne devraient pas adopter une approche fragmentaire en essayant de résoudre des problèmes spécifiques, comme la fraude aux demandes d'allocations de chômage, sans s'occuper correctement des questions d'identité liées à l'enseignement à distance et aux soins de santé, pour n'en citer que quelques-uns. Ils ont tous besoin d'identités numériques fiables

Si la pandémie et l'économie sont à juste titre au premier plan des initiatives politiques du gouvernement américain, remédier à l'absence d'une infrastructure d'identité numérique a un impact direct sur notre redressement et est fondamental pour la santé économique future du pays. De nombreux pays, dont l'Australie, le Canada, l'Union européenne et le Royaume-Uni, en sont à divers stades de déploiement, tandis que les États-Unis sont à la traîne.

Tout au long de l'événement, des éléments clés du rapport de la Better Identity Coalition, Better Identity in America : A Blueprint for Policymakers, ont été évoqués. Parmi les points saillants, citons la priorité accordée au développement de la prochaine génération de systèmes de preuve et de vérification d'identité à distance. Les agences gouvernementales fédérales et étatiques, telles que l'administration de la sécurité sociale et les départements des véhicules à moteur (DMV) des États, ont un rôle important à jouer dans la vérification des attributs d'identité lorsqu'une personne demande un compte bancaire, ouvre un compte de services publics ou prend un premier rendez-vous de télésanté. Ce rapport souligne également la nécessité de renoncer aux mots de passe et de promouvoir et privilégier l'authentification forte.

Lors de cet événement, les membres du Congrès Bill Foster (D-IL) et John Katko (R-NY) ont prononcé les discours d'ouverture et ont tous deux indiqué qu'ils prévoyaient de réintroduire la loi bipartisane Improving Digital Identity Act dans les semaines à venir. Il y a également un mouvement au Sénat pour introduire un projet de loi similaire. Lors de ses remarques, le membre du Congrès Foster a noté que "la crise de COVID vient de mettre à nu de nombreuses insuffisances dans le système d'identité aux États-Unis, en particulier alors que notre économie devient plus dépendante de l'espace numérique dans nos efforts pour combattre l'épidémie et dans nos vies ordinaires."

Si elle est adoptée, la législation élèvera l'identité numérique au plus haut niveau de l'exécutif, aidera à rendre les données fédérales et étatiques disponibles pour la vérification de l'identité et augmentera l'engagement avec le secteur privé.

Débat sur l'identité et l'authentification

La table ronde à laquelle j'ai participé, intitulée What the Biden Administration Should Do on Identity and Authentication, a examiné les problèmes sous-jacents et présenté des solutions potentielles sur lesquelles les décideurs politiques pourraient agir. Carole House, responsable principale de la politique en matière de cybercriminalité et de technologies émergentes au sein du Financial Crimes Enforcement Network du département du Trésor des États-Unis, Dorin Methfessel, directeur par intérim de la gestion des identités et des accès à USPS, et John Miller, vice-président de la politique et conseiller principal du Conseil des technologies de l'industrie de l'information (ITI), se sont joints à moi. Ross Nodurft, de Venable, LLP a servi de modérateur.

Au cours de notre session, Dorin Methfessel a parlé d'un programme pilote passionnant. L'USPS s'est associé au FBI pour fournir des services de vérification d'identité en personne dans les bureaux de poste pour les personnes demandant une habilitation de sécurité du gouvernement américain, qui nécessite une vérification des antécédents. L'USPS saisit numériquement les empreintes digitales d'une personne et les transmet en toute sécurité au FBI. Ce processus a permis de réduire le délai de vérification des antécédents de 12 semaines à 48 heures. L'USPS cherche à étendre ce programme au sein du FBI et potentiellement à d'autres partenaires fédéraux. Bien que le programme soit utilisé pour la vérification des antécédents, il pourrait devenir un élément essentiel de la délivrance d'identités numériques et du renforcement de l'inclusion financière.

J'ai noté qu'une infrastructure d'identité numérique sûre et fiable peut avoir des avantages massifs et durables pour l'ensemble de l'économie. Elle améliorerait l'accès aux services numériques, tant publics que privés.

Les gens pensent souvent aux routes et aux ponts lorsqu'il est question d'infrastructures. En 2021, l'infrastructure doit également inclure la mise à disposition de l'identité numérique et de l'accès au haut débit pour tous les Américains. Nous devons être conscients des erreurs commises lors de la création des routes au début du 20e siècle. Nombre d'entre elles ont été développées par des sociétés privées, obligeant les automobilistes à payer des péages pour y accéder. Tout le monde ne pouvait pas se permettre de conduire sur les nouvelles routes. La situation a changé sous l'administration Eisenhower, avec la construction du réseau national interétatique et l'apparition des autoroutes, qui permettent à toute personne possédant une voiture de les utiliser. Il en va de même aujourd'hui. L'économie numérique doit s'accompagner d'une équité sociale. Les obstacles, tels que le coût ou l'expérience de l'utilisateur, doivent être éliminés pour permettre l'inclusion du plus grand nombre de personnes possible.

Aller de l'avant avec une infrastructure d'identité numérique

Si d'importants défis doivent encore être relevés, certaines des bases ont déjà été posées :

  • Le National Institute of Standards and Technology (NIST) met à jour son guide sur l'identité numérique (SP 800-63-3), dont bénéficieront non seulement les agences fédérales, mais aussi le secteur privé.
  • L'Office of Management and Budget a publié le mémorandum 19-17, qui met à jour et modernise la politique de gestion des titres d'identité et des accès (FICAM). La politique ne concerne pas seulement les employés fédéraux, mais se concentre également sur "l'amélioration des interactions numériques avec le public américain"
  • Le site login.gov de la GSA permet aux citoyens de se connecter de manière sécurisée et simplifiée aux sites Web du gouvernement. Cependant, l'adoption limitée par les agences est symptomatique de certains des défis et démontre la nécessité d'une approche de leadership, idéalement au niveau du bureau exécutif du président.
  • La National Strategy for Trusted Identities in Cyberspace (NSTIC) a été mise en œuvre "pour améliorer la confidentialité, la sécurité et la commodité des transactions en ligne sensibles grâce à des efforts de collaboration avec le secteur privé, les groupes de pression, les agences gouvernementales et d'autres organisations "1

Plus récemment, le plan de sauvetage américain du président Biden prévoyait un financement de la cybersécurité par le biais du fonds de modernisation des technologies et desservices de transformation des technologies(TTS) de laGSA. Ce dernier pilote actuellement des systèmes d'attributs d'identité avec l'USPS et le Département d'État pour vérifier, avec le consentement du consommateur, l'adresse postale actuelle et les données du passeport, à l'instar du service de vérification électronique du numéro de sécurité sociale basé sur le consentement(eCBSV) de la Social Security Administration.  

Au moment de la rédaction de cet article, le plan de sauvetage américain de 1 900 milliards de dollars a été adopté par la Chambre des représentants.Cependant, le financement de la demande de 10 milliards de dollars pour une "infrastructure informatique sécurisée" pour l'Agence de cybersécurité et de sécurité (CISA), qui comprenait les services de transformation technologique (TTS) de la GSA, a été supprimé du projet de loi de la Chambre au cours des négociations.Les démocrates du Sénat travaillent actuellement sur l'amendement de substitution au projet de loi de la Chambre qui rétablirait une partie du financement supprimé par la Chambre.  

Les mesures prises par les démocrates du Sénat ont peut-être été influencées par une lettre d'une association multisectorielle adressée aux dirigeants de la Chambre et du Sénat.Dans ce document, ils demandent instamment que ces initiatives soient correctement financées, en soulignant notamment la nécessité d'"investir directement dans des services partagés de cybersécurité que les agences gouvernementales et/ou les propriétaires et exploitants d'infrastructures critiques peuvent exploiter pour renforcer leurs défenses, notamment pour une infrastructure d'identité numérique plus robuste"

Une infrastructure d'identité numérique ne sera pas fiable sans une législation sur la protection de la vie privée et des données, comme cela s'est déjà produit dans d'autres parties du monde. Il est essentiel de donner aux gens le contrôle de leurs informations. L'Europe a été un chef de file dans ce domaine avec le règlement général sur la protection des données (RGPD) et le règlement sur l'identification électronique, l'authentification et les services de confiance (eIDAS), tandis que le Canada procède actuellement à un test alpha de son cadre de confiance pancanadien, dont le lancement est prévu en 2022.

Réflexions finales sur l'identité numérique

Un succès substantiel des services d'identité numérique nécessite un effort concerté et soutenu au niveau national. Toutefois, ces efforts n'auront qu'un succès limité si la question de la vie privée et de la capacité des citoyens à contrôler l'utilisation de leurs propres données au niveau des attributs n'est pas clarifiée. Avec l'accent mis par l'administration Biden sur la cybersécurité et l'identité, combiné au soutien du Congrès et des normes, nous pourrions enfin être à l'aube d'une infrastructure d'identité numérique complète aux États-Unis.

Grâce à sa participation active à la Better Identity Coalition, à la FIDO Alliance, au Digital Identity and Authentication Council of Canada (DIACC), à teckUK, à la Decentralized Identity Foundation et à l'Electronic Signature and Records Association, OneSpan est à l'avant-garde de l'avancement et de la protection des écosystèmes d'identité numérique dans le monde.

Rapport sur le règlement financier mondial OneSpan
Rapport

Rapport sur le règlement financier mondial OneSpan

Téléchargez ce rapport 2022 pour vous tenir au courant des derniers changements réglementaires et législatifs dans le monde - concernant la signature électronique, l'identité numérique, la cybersécurité, etc.

Télécharger

1. https://en.wikipedia.org/wiki/National_Strategy_for_Trusted_Identities_in_Cyberspace# :
~:text=The%20National%20Strategy%20for%20Trusted,government%20agencies%2C%20and%20other%20organizations
.

Scott M. Clements est chef de la direction et président de OneSpan. Scott possède une vaste expérience en leadership dans les secteurs de la sécurité et de la technologie, en élaborant des stratégies de transformation qui mettent à profit les innovations technologiques pour tirer parti d'actifs concurrentiels.

OneSpan Global Financial Regulations Report

Download this 2020 report to keep current on the latest regulatory and legislative changes around the world – relative to e-signature, digital identity, cybersecurity, and more.

Download Now