Cet article est le premier d’une série sur la cybersécurité à découvrir sur le site Evolucare.
Identification, authentification, autorisation : qu’est-ce que c’est ? comment ça marche ?
En tant qu’utilisateur d’un logiciel informatique, on est de plus en plus amené à se connecter, soit parce qu’on utilise un logiciel en ligne, soit parce que cette connexion permet d’assurer la traçabilité des actions réalisées dans le logiciel, ce qui, dans le domaine médical et médico-social, contribue au processus d’identitovigilance et à la protection des données.
Derrière cette connexion, on retrouve trois concepts qui sont la clé de cette série d’articles : l’identification, l’authentification, l’autorisation.
L’identification : qui suis-je ?
Avec l’identification, on démontre son identité. Cette définition peut paraître très circulaire, mais elle couvre des réalités variées.
Quand je montre ma carte d’identité au facteur en signant un recommandé, ou en récupérant un colis, je m’identifie.
Quand je décroche mon téléphone en disant mon nom, je m’identifie aussi.
Et on voit, dans ces deux exemples, que le niveau de certitude sur l’identité n’est pas la même. Le facteur dispose d’un moyen d’identification formelle, avec mon nom, mon prénom, qu’il peut comparer à son recommandé, et ma photo respectant un standard officiel, qu’il peut comparer à ma figure. Mon interlocuteur téléphonique, au contraire, doit se contenter de l’hypothèse que la personne qui lui répond est bien la personne dont il a le numéro de téléphone.
En informatique, c’est pareil. Le moyen le plus simple de s’identifier, c’est le “login” ou nom d’utilisateur, que nous avons créé ou qui a été créé pour nous pour accéder au logiciel. Dans bien des cas, la connaissance de ce nom d’utilisateur vaut identification. Dans d’autres, on demande plus de certitudes. Par exemple, pour la création de certains comptes en ligne, il peut être demandé non seulement une copie de la carte d’identité, mais également une photographie du porteur de la carte tenant sa carte en main, pour permettre au fournisseur du logiciel d’effectuer un contrôle presqu’équivalent à celui de mon facteur.
On appelle “moyen d’identification électronique” le dispositif matériel (par exemple une carte à puce) ou immatériel (par exemple un nom d’utilisateur) qui contient des données d’identification personnelles et qui est utilisé pour s’authentifier pour un service en ligne.
L’authentification : je suis qui je dis que je suis
L’authentification est indissociable de l’identification.
L’authentification, c’est ce qui prouve que je suis bien la personne que je prétends être. Quand je montre ma carte d’identité au facteur, je m’identifie : quand le facteur la lit, compare mon nom à celui sur la lettre, et ma photo à mon visage, il m’authentifie.
L’authentification peut se baser sur trois types d’éléments, appelés “facteurs” :
- ce que je connais : un mot de passe, un code PIN, un dessin spécifique…
- ce que je possède : une carte à puce, un numéro de téléphone (pour l’envoi de SMS avec des codes), un certificat électronique…
- ce que je suis : mon visage, mes empreintes digitales, mes empreintes rétiniennes…
En fonction de la sensibilité de ce qu’elle protège, l’authentification peut être dite “simple” ou “forte”.
L’authentification simple utilise un seul facteur d’authentification.
La connexion avec nom d’utilisateur et mot de passe que nous connaissons tous, c’est une authentification simple. Mon échange téléphonique avec quelqu’un qui s’est contenté de m’entendre répondre “Lauranne Peyron”, c’est également de l’authentification simple (je possède le téléphone dont il a composé le numéro).
L’authentification forte, aussi appelée “multi-facteurs”, utilise au moins deux facteurs d’authentification (et parfois trois).
Quand ma banque, lorsque je fais un virement en étant connectée avec nom d’utilisateur et mot de passe sur mon espace client, m’envoie une notification téléphonique pour que je valide le virement par l’application, c’est de l’authentification forte. Quand le facteur vérifie ma carte d’identité, c’est aussi de l’authentification forte (je possède ma carte d’identité et mon visage correspond à la photo).
L’autorisation : ce que j’ai le droit de faire
L’autorisation, c’est la dernière étape. On identifie et on authentifie les personnes pour leur donner le droit, l’autorisation, de réaliser des actions.
Le facteur me donne le droit de recevoir, et de consulter, ma lettre recommandée. Ma banque me donne le droit de faire un virement. Mon logiciel informatique me donne le droit d’accéder à mes dossiers.
Les autorisations peuvent être très larges (consultation de tous les dossiers) ou plus granulaires (consultation et modification de tous les dossiers du service “kinésithérapie” de l’établissement “Le Dolmen” de Kerbignac de Mournouf).
À suivre !
Retrouvez notre série Cyber sur notre site web :
- Maîtriser la Convergence Réglementaire en Mode SaaS (publié le 31 mai)
- Accompagnement des Établissements de Santé vers la Double Authentification (2FA) (publié le 2 juillet)
- Cybersécurité, épisode 1 : identification, authentification, autorisation ! (publié le 21 mai)
- Cybersécurité, épisode 2 : identification en santé, les référentiels (publié le 3 juin)
- Cybersécurité, épisode 3 : déployer les moyens d’identification sécurisée (publié le 9 juillet)
- Cybersécurité, épisode 4 : cadrage d’un projet d’authentification forte (publié le 2 août)