Qu’est-ce que le référentiel PVID ?
Dans le cadre de la lutte contre la fraude identitaire, l’Agence nationale de la sécurité des systèmes d'information a mis en place ce que l’on appelle le référentiel PVID (Prestataires de Vérification d'Identité à Distance) qui permet d’encadrer les dispositifs de vérification d’identité à distance. En effet, la lutte contre l’usurpation d’identité est plus que jamais au cœur des préoccupations de l’État qui souhaite aider les entreprises à proposer des systèmes d’identification plus sûrs à leurs usagers. La mise en place de ce référentiel est donc une véritable aubaine pour les entreprises qui souhaitent opérer de manière plus sécurisée, et ce, à différents niveaux.
Pourquoi mettre en place ce référentiel ?
Le référentiel PVID répond à une demande qui se fait de plus en plus croissante ces dernières années et dont le besoin s’est fait d’autant plus présent avec l’arrivée du Covid et des opérations à distance, soit avoir la possibilité de vérifier de manière plus sûre l’identité de son interlocuteur à distance. En effet, qu’il s’agisse d’envoyer une lettre recommandée en ligne, un document sécurisé, de faire signer un contrat à un client à distance ou autre, la vérification d’identité est de mise. Elle permet tout d’abord d’éviter les erreurs de destinataire, mais aussi, et surtout de lutter contre la fraude.
Les escroqueries en ligne sont de plus en plus nombreuses. Elles concernent les particuliers avec notamment les méthodes de phishing qui sont désormais bien connues du grand public, mais aussi les entreprises qui peuvent faire face à du vol d’argent ou de documents par exemple. L’usurpation d’identité et la fraude peuvent avoir de graves conséquences et se répercuter à différents niveaux c’est pourquoi les entreprises se doivent de proposer un système d’identification en ligne suffisamment performant pour se protéger et protéger leurs usagers. De là se pose la question de savoir quelles sont les caractéristiques d’un système d’identification efficace et c’est justement à cela que répond le référentiel PVID proposé par l’Agence nationale de la sécurité des systèmes d'information.
Que trouve-t-on dans ce texte ?
Le référentiel PVID est un texte de référence proposé par l’Agence nationale de la sécurité des systèmes d'information afin d’encadrer les services d’identification d’identité à distance. Il a pour objectif premier de permettre l’identification des prestataires fournissant un service de vérification d’identité à distance disposant d’un niveau de garantie substantiel ou élevé.
Deux versions proposées au public
Si le référentiel PVID est désormais suffisamment abouti pour être appliqué et proposer aux entreprises d’être certifiées par l’Agence nationale de la sécurité des systèmes d'information après avoir soumis leur dossier pour évaluation, le texte est en fait tout récent. La crise sanitaire et surtout le confinement ont accéléré les choses puisque de nombreuses entreprises ont adapté leurs services pour pouvoir rester actives même à distance. La signature électronique ou encore l’envoi de documents sont donc devenus des outils beaucoup plus fréquemment utilisés et qu’il a donc fallu encadrer au plus vite. Ainsi, une première version du référentiel PVID assortie d’un appel à commentaires est sortie en novembre 2020. Désormais, on peut trouver une première version définitive du référentiel PVID datant du 1er mars 2021.
Un processus précis à respecter
Dans ce référentiel, ce sont différentes informations qui sont listées et qui ont pour objectif de permettre la certification et la mise en conformité de différents services d’identification à distance. Le document officiel mis à disposition par l’Agence nationale de la sécurité des systèmes d'information détaille ainsi :
- La description générale du service de vérification d’identité à distance
- L’évaluation des prestataires de vérification d’identité à distance
- Les exigences à respecter par le prestataire (appréciation et traitements des risques, politiques et pratiques de vérification d’identité à distance, activités du service de vérification à distance, protection de l’information, organisation du prestataire et gouvernance, qualité et niveau de service).
Les entreprises et autres prestataires de service proposant un dispositif d’identification d’identité peuvent donc se référer au référentiel PVID pour connaitre toutes les recommandations suggérées par l’Agence nationale de la sécurité des systèmes d'information.
Deux niveaux de garantie selon le besoin
Le référentiel PVID permet la mise en place de deux niveaux de garanties différentes du règlement eIDAS : le niveau substantiel et le niveau élevé.
Le niveau de garantie substantiel permet de réduire substantiellement le risque d’usurpation ou d’altération d’identité. Le service concerné se doit alors de garantir une équivalence en termes de fiabilité avec un face à face physique qui serait réalisé dans le cadre de l’accès à un service public ou privé avec présentation d’une preuve d’identité. En d’autres termes, le service doit résister à une attaque à potentiel modéré.
Le niveau de garantie élevé permet d’empêcher tout risque d’usurpation ou d’altération d’identité. Le service concerné se doit alors de garantir une équivalence en termes de fiabilité avec un face à face physique qui serait réalisé dans le cadre d’une délivrance d’un titre d’identité. En d’autres termes, il doit résister à une attaque à potentiel élevé.
Comment mettre en application le référentiel PVID ?
La mise en application du référentiel PVID dépend avant tout de la volonté de l’entreprise à suivre les recommandations de l’Agence nationale de la sécurité des systèmes d'information et à proposer un service de qualité et sécurisée aussi bien pour ses collaborateurs que ses clients. Si le référentiel PVID décrit donc les différentes étapes permettant de parvenir à un niveau de sécurité suffisant, l’Agence nationale de la sécurité des systèmes d'information propose aussi la certification des prestataires de service.
L’entreprise a en effet la possibilité d’envoyer une demande d’évaluation à l’Agence nationale de la sécurité des systèmes d'information qui va ensuite effectuer différentes vérifications pour s’assurer de la conformité de l’entreprise. Elle peut alors délivrer une forme de certification qui permet ainsi à l’entreprise de s’assurer qu’elle dispose d’un système sécurisé, mais aussi de faire savoir à sa clientèle que les outils qu’elle emploie permettent de lutter plus efficacement contre la fraude identitaire.
Pourquoi se conformer au référentiel PVID ?
La mise en conformité au référentiel PVID et la certification des entreprises vont non seulement permettre de lutter contre la fraude identitaire et ainsi de limiter les risques de vols par exemple, mais aussi de gagner en confiance auprès de sa clientèle. Une entreprise peut donc choisir de mettre en place des outils conformes au référentiel PVID, mais elle peut aussi faire appel à un prestataire de service qui dispose des compétences nécessaires pour fournir un système d’identification d’identité conforme au référentiel PVID. Cela permet aux entreprises même avec de faibles ressources financières et/ou techniques de bénéficier d’un système d’identification d’identité sécurisé.
Chez Archipels, nous entendons bien mettre à disposition des professionnels des outils d’identification et de lutte contre la fraude identitaire qui soient efficaces et bien entendu conformes au référentiel PVID. Nos partenaires peuvent ainsi bénéficier de notre expertise et garantir à leurs clients l’utilisation de services à distance qui répondent aux normes mises en place par l’Agence nationale de la sécurité des systèmes d'information.