Référentiel ANSSI PVID ? Dans cet épisode du podcast NoLimitSecu, vous allez découvrir le nouveau référentiel de l’ANSSI relatif à la qualification des « Prestataires de Vérification d’Identité à Distance« .
Pour commencer, voici le lien pour accéder au podcast NoLimitSecu n°326 du 28 juin 2021.
Ensuite, voici le lien pour accéder au référentiel ANSSI « PVID » v1.10 du 1er mars 2021.
Attention : les quelques lignes qui suivent ne sont pas une reprise des propos des invités du podcast NoLimitSecu, mais des explications complémentaires principalement à destinations des juristes qui souhaiteraient mieux comprendre le sujet et disposer d’un peu de mise en perspective.
PS : au plus grand soulagement (non avoué mais perceptible) des invités de l’ANSSI, les problématiques RGPD ne seront pas évoquées, ni dans le podcast, ni dans le présent post. Pour celles et ceux qui souhaiteraient mettre à jour leurs connaissances sur l’actualité législative et jurisprudentielle autour du RGPD et de e-Privacy, cliquez sur le lien pour consulter ma présentation détaillée à jour au 25 juin 2021…
Référentiel ANSSI PVID : les invités du podcast NoLimitSecu du 28 juin 2021
Référentiel ANSSI PVID : les contributeurs du podcast NoLimitSecu du 28 juin 2021
PVID = norme ANSSI de qualification des "Prestataires de Vérification d'Identité à Distance"
Les Directive UE relatives à la lutte contre le blanchiment et le financement du terroriste (LCB/FT) imposent à un grand nombre d’opérateurs économiques de vérifier l’identité de leurs clients, de manière plus ou moins régulière.
Voici le lien pour accéder à la (5ème) Directive UE n°2018/843 du 30 mai 2018 « modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme« .
Commençons par le commencement et faisons d’abord la distinction entre « identification » [mis à jour le 28/06/2021] au sens de la législation « lutte contre le blanchiment / financement du terrorisme » (pour répondre aux remarques de Boris MOTYLEWSKI et de Marc JOUVE sur LinkedIn) et « authentification« .
IDENTIFICATION (d'un personne) vs AUTHENTIFICATION (d'un terminal)
Le concept d’identification est lié à la personne humaine.
Il s’agit de savoir si l’identité d’une personne, par exemple attestée par un document officiel (carte d’identité, passeport, permis de conduire, etc.) correspond effectivement à cette personne.
Pour le dire autrement, il s’agit de vérifier que le détenteur d’une carte d’identité est bien son titulaire légitime.
L’authentification est un concept de sécurité des système d’information qui tend à permettre (ou non) à un terminal d’accéder à un système d’information.
Vous trouverez ci-dessous quelques slides illustrant ces deux concepts, ainsi que les articles de référence du Code monétaire et financier français actuellement en vigueur et relatif à l’obligation pour les établissement financiers de vérifier ponctuellement l’identité de leurs clients.
Chez les « banquiers », ça s’appelle le « KYC » pour « Know Your Customer« .
Cette partie de la présentation est entièrement illustrée avec les 8 tomes de « Sur les terres d’Horus » édités chez Delcourt.
Référentiel ANSSI PVID : pourquoi c'est important ?
Au moment de la publication (1er mars 2021) de la version 1.10 du référentiel PVID et de l’enregistrement de ce podcast, aucun des invités et des contributeurs ne pouvait savoir officiellement que l’Union Européenne était en train de s’emparer du sujet !
Souhaitons la bienvenue à la réforme du Règlement UE « eIDAS » dont le premier projet a été publié le 3 juin 2021:
« La Commission a proposé aujourd’hui un cadre européen relatif à une identité numérique qui sera accessible à tous les citoyens, résidents et entreprises de l’UE.
Les citoyens pourront, prouver leur identité et partager des documents électroniques à partir de leur portefeuille européen d’identité numérique en cliquant sur un bouton sur leur smartphone. Ils pourront accéder à des services en ligne grâce à leur identification numérique nationale, qui sera reconnue dans toute l’Europe.
Les très grandes plateformes seront tenues d’accepter l’utilisation de portefeuilles européens d’identité numérique sur demande de l’utilisateur, par exemple pour lui permettre de prouver son âge. L’utilisation du portefeuille d’identités numériques européennes sera toujours laissée à l’appréciation de l’utilisateur. »
Je souhaite sincèrement bon courage à celles et ceux qui tenteront de comprendre le texte de cette réforme du Règlement eIDAS.
Vous trouverez ci-dessous en 1 slide un résumé des points à retenir.