Règlement eIDAS et niveaux de garantie
Qu'est ce que le règlement eIDAS ? #
Le règlement n° 910/2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS », est un règlement européen qui a été adopté le 23 juillet 2014 par le Parlement européen et le Conseil de l'Union Européenne. L'objectif de ce règlement est de mettre en place un cadre juridique propre à susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur.
Le règlement eIDAS s'applique à l’identification électronique et aux services de confiance [...]. Il accorde également un effet juridique aux documents électroniques.
Source : FAQ eIDAS de l'ANSSI
FranceConnect+ est concerné uniquement par le volet identification électronique du règlement.
Que sont les niveaux de garantie eIDAS ? #
Les niveaux de garantie eIDAS permettent d'apporter une garantie sur l'identité qui est fournie au fournisseur de service. Le règlement eIDAS définit trois niveaux avec des exigences différentes :
- Faible : l’objectif est simplement de réduire le risque d’utilisation abusive ou d’altération de l’identité ;
- Substantiel : l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité ;
- Élevé : l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.
Source : Présentation du règlement eIDAS par l'ANSSI
Le détail des exigences est défini par le règlement d’exécution n°2015/1502 du 8 septembre 2015
Quels sont les niveaux de garantie eIDAS des identités délivrées par FranceConnect et FranceConnect+ ? #
FranceConnect #
FranceConnect délivre des identités de niveau faible aux fournisseurs de service, quel que soit le fournisseur d'identité utilisé.
Parmi la liste des fournisseurs d'identité disponibles via FranceConnect, certains sont susceptibles de délivrer des identités avec des niveaux de garantie substantiel ou élevé. Cependant, celles-ci seront transmises au fournisseur de service avec un niveau de garantie faible. Pour pouvoir délivrer des identités avec des niveaux de garantie de niveau substantiel ou élevé, il faut que l'ensemble de la chaîne d'authentification, c'est-à-dire le fournisseur d'identité et FranceConnect, soit qualifié pour ces niveaux.
FranceConnect n'étant pas qualifié pour délivrer des identités avec des niveaux de garantie substantiel et élevé, les identités délivrés sont rabaissées à un niveaux de garantie faible.
FranceConnect+ #
FranceConnect+ est qualifié par l'ANSSI au niveau de garantie élevé en tant que moyen d'identité électronique, c'est-à-dire que FranceConnect+ répond aux exigences pour permettre d'apporter un niveau de garantie élevé en tant que moyen d'identification électronique. A ce titre, FranceConnect+ apparaît dans la Liste des produits/services qualifiés par l'ANSSI dans la section moyen d'identification électronique.
Cependant, pour délivrer des identités avec un certain niveau de garantie, il est nécessaire que les fournisseurs d'identité soient également qualifiés pour ce même niveau. Actuellement, FranceConnect+ dispose de deux fournisseurs d'identité :
- L'Identité Numérique La Poste, qualifié au niveau substantiel par l'ANSSI ;
- France Identité, qualifié au niveau élevé par l'ANSSI.
Ainsi, la plateforme FranceConnect+ est en mesure de délivrer des identités avec des niveaux de garantie substantiel ou élevé, en fonction des exigences du fournisseur de service.
Le tableau ci-dessous récapitule les niveaux supportés par les deux plateformes FranceConnect et FranceConnect+.
| Niveau de garantie | FranceConnect | FranceConnect+ |
|---|---|---|
| faible | Oui | Non |
| substantiel | Non | Oui |
| élevé | Non | Oui |
En bref
-
Les niveaux de garantie eIDAS permettent de définir le niveau de sécurité associé à une identité numérique : faible, substantiel ou élevé.
-
Seul FranceConnect+ permet de délivrer des identités de niveau substantiel ou élevé.