Une initiative pour veiller à l'évolution du label Idenum

Les nouveaux usages d'internet se répandent à une vitesse inégalée. Le commerce électronique, les services bancaires, les démarches administratives en ligne et les réseaux sociaux font partie de notre vie courante. Près de neuf internautes sur dix ont déjà effectué une démarche administrative sur le net ; plus de 80 % ont déjà acheté en ligne ; plus de quatre internautes français sur cinq visitent régulièrement les réseaux sociaux et 21 millions de concitoyens possèdent un compte Facebook.

Les États face à des piratages de plus en plus fréquents

Ces usages ne prospéreront véritablement qu'au sein d'un espace numérique de confiance. Cette exigence a été rappelée lors du forum e-G8 qui a rassemblé, en mai dernier, les grands acteurs mondiaux de l'écosystème numérique. Car les enjeux de la sécurité concernent tout autant les Etats, les entreprises et les citoyens.Les Etats, tout d'abord, sont de plus en plus défiés dans leurs responsabilités régaliennes. Les attaques informatiques du printemps contre l'armée norvégienne ou l'intrusion subie en France par le ministère de l'Economie et des Finances montrent que la sécurité reste un enjeu décisif de souveraineté et de croissance.Les entreprises, ensuite, sont menacées dans la protection de leurs données internes et dans la préservation de leur notoriété. En témoigne l'interruption de plusieurs semaines qu'a subie Sony, en avril, suite à une intrusion malveillante dans son réseau informatique dédié au jeu en ligne. Les données personnelles de près de 100 millions d'internautes, y compris des coordonnées bancaires, ont alors été dérobées. Le coût du préjudice est immense, plus de 700 millions d'euros, sans parler des pertes ultérieures de recette que pourrait entraîner la dégradation de l'image de marque de l'entreprise.Cette menace concerne enfin directement les individus eux-mêmes. Les pirates informatiques cherchent de plus en plus à dérober nos données personnelles, à subtiliser nos identifiants bancaires et à usurper notre identité.

Renforcer la sécurité dans le numérique

Ce dernier type d'attaque sur les réseaux sociaux a été multiplié par dix au cours de l'année écoulée. Elle représente désormais 85 % de toutes les usurpations d'identité numérique. Lutter contre ces menaces est une préoccupation fondamentale du gouvernement. Nous avons déjà adopté de nombreuses mesures pour renforcer la sécurité dans le numérique. Concernant celle de l'Etat, une Agence nationale de cyber-défense a été créée en février dernier. En cas d'attaque sur les réseaux nationaux, elle sera en mesure d'agir directement auprès des administrations, des fournisseurs d'accès à internet ou des opérateurs de télécommunications, afin de la neutraliser dans les meilleurs délais. Le Premier ministre a également annoncé fin mai, lors d'un Conseil des ministres, que le dispositif national de sécurité et de défense des systèmes d'information allait monter en puissance. Une “ carte agent ” sera déployée, afin de limiter les risques d'accès illégitimes ou frauduleux aux réseaux de l'administration, ainsi que les attaques informatiques internes ou externes.Pour conforter la sécurité de nos concitoyens, nous souhaitons à la fois renforcer et unifier les offres en matière de protection contre l'usurpation d'identité numérique. De nombreux services en ligne requièrent désormais que l'internaute s'identifie, qu'il prouve son identité dans le cyberespace. C'est le cas lorsqu'il accède à son compte bancaire, qu'il consulte ses factures dématérialisées de téléphonie mobile et le crédit de ses cartes de fidélité, ou qu'il paie ses impôts en ligne.Ces services restent souvent protégés par des moyens de sécurité faibles, tels que de simples mots de passe. Quelques solutions alternatives, comme des codes à usage unique ou des générateurs de mots de passe, ont également été mises en œuvre. Ces solutions ne sont toutefois pas coordonnées entre elles : l'utilisateur doit recourir à de multiples identités numériques et mémoriser plusieurs codes secrets.En moyenne, un internaute français dispose ainsi de 12 comptes numériques distincts sur internet, dont deux adresses de messagerie électronique, deux comptes de réseaux sociaux et quatre sur des sites d'e-commerce.C'est pourquoi se répandent des solutions plus universelles et plus souples, qui permettent de se connecter sur de nombreux sites avec son seul identifiant de réseau social, Facebook Connect ou Twitter Sign In. Je reconnais la valeur ajoutée de ces services. Mais je ne veux pas que les identités numériques des internautes français dépendent d'acteurs privés qui collectent des données personnelles à des fins commerciales et qui sont susceptibles de les transmettre à des acteurs tiers dans des conditions de sécurité parfois insuffisantes.

Mise en place d'un consortium d'acteurs

J'ai donc décidé de poser les bases d'un consortium d'acteurs capables de mettre en œuvre le projet Idenum avant la fin de l'année. Un an après l'annonce de cette initiative, ce dernier rassemble plus de 70 partenaires potentiels : des émetteurs de certificats (établissements bancaires, opérateurs de télécommunications…), des sites de services en ligne accepteurs (commerce en ligne, assureurs, réseaux sociaux professionnels, etc.), ou encore des fournisseurs industriels de solutions logicielles ou matérielles.La Poste, SFR, France Télécom Orange et la Fédération bancaire française sont aujourd'hui prêts à proposer, avec l'aide de l'Etat, des offres commerciales dans les prochains mois et à déclencher ainsi une nouvelle phase du chantier Idenum. Nous avons lancé, fin mai, une étude de préfiguration pour établir les modalités de constitution du consortium. A l'image de celui dédié aux cartes bancaires, il serait chargé de promouvoir et de coordonner les actions des émetteurs de produits et des futurs sites accepteurs de ces solutions, ainsi que de veiller à la cohérence et à l'évolution concertée du label Idenum.Les services numériques concernés pourraient être très étendus. En termes d'e-administration, je pense par exemple à l'accès aux fiches d'état-civil, aux extraits d'actes judiciaires, à la récupération de son acte de naissance, ou encore à l'inscription en université ou à un concours. Cela concernerait également l'accès aux espaces notariaux dématérialisés ou aux greffes des tribunaux, au dossier médical personnel, à la dématérialisation du circuit des crédits à la consommation, ou à l'accès simplifié à un coffre-fort électronique.Cette étude de préfiguration fournira des préconisations quant au modèle économique associé à un déploiement à grande échelle. L'identité numérique grand public ne pourra en effet rencontrer de succès que si les frais associés sont faibles pour l'internaute, comme c'est le cas pour les solutions actuelles. Les coûts induits, estimés autour de 12 euros par an et par internaute, doivent donc être répartis convenablement entre les différents acteurs ? émetteurs de certificats, tiers de confiance, sites accepteurs, utilisateurs. L'étude devra déterminer la répartition et les modes de rémunération les plus adaptés.La Poste, SFR, France Télécom Orange et la Fédération bancaire française ont accepté d'être à l'avant-garde de cette étude et je salue leur engagement. L'ensemble des partenaires Idenum est concerné et aura vocation à y contribuer, notamment au travers des consultations qui seront menées. La concertation est au cœur de la démarche Idenum depuis son origine.

Une étude pour formaliser les bonnes pratiques

Cette étude sera réalisée par le cabinet McKinsey et son pilotage a été confié à la Caisse des dépôts. L'ensemble des partenaires, y compris l'Etat au travers du programme des investissements d'avenir, y contribue. Les premières conclusions seront rendues d'ici à trois mois et le rapport final à l'automne. Je précise que dans le dispositif Idenum, l'Etat ne se substitue pas aux acteurs privés et ne crée pas de base centralisée des authentifications ou des identités des utilisateurs. S'il accompagne cette démarche, c'est parce que je suis convaincu que ces outils libéreront de la croissance dans les services en ligne personnalisés. Je précise que le projet Idenum et la carte nationale d'identité électronique (CNIE), dont le projet de texte est en lecture au Sénat, sont parfaitement complémentaires. Tandis que la CNIE ne devrait être disponible que sous la forme de carte à puce, Idenum proposera des identités numériques pour des supports différents : clés USB, carte SIM, téléphone mobile…Nous développerons ainsi, au cours des prochains mois, les synergies qui existent entre la CNIE et Idenum. L'emploi de moyens Idenum restera totalement volontaire, à l'entière discrétion des utilisateurs. Chacun pourra d'ailleurs posséder plusieurs identités numériques Idenum s'il le souhaite, conformément à l'avis de la Commission nationale de l'informatique et des libertés (Cnil).(*) Extrait d'un discours prononcé le 31 mai 2011 à l'occasion du lancement de l'étude de préfiguration d'un consortium idenum.