ETSI EN 319 401 : la référence européenne des services de confiance

Apporter un cadre de confiance dans un monde numérique au-delà de nos frontières passe par la création d’un cadre réglementaire européen qui permet d’apporter harmonisation et contrôle. Aussi, en 2014, le règlement eIDAS a-t-il permis de créer un environnement sécurisé pour les transactions électroniques. Preuve depuis de l’évolution du marché et des usages, l’extension eIDAS 2.0 est annoncée pour la fin d’année 2022 et vise notamment à intégrer les futurs portefeuilles d’identité numérique européenne (« EUDI Wallets »).

L’application des articles du règlement eIDAS se réalise à travers différentes normes européennes de l’organisme ETSI (European Telecommunications Standards Institute). Parmi ces normes, l’ETSI EN 319 401 est la norme « pivot » qui permet d’évaluer les pratiques de gestion et d’exploitation d’un PSCo (Prestataire de Services de Confiance).

En quoi consiste précisement cette norme et quel est son intérêt pour un acteur de la confiance numérique ? Décryptage avec Oppida, organisme validé par l'ANSSI pour l'évaluation des PSCo et Docaposte, filiale numérique du groupe La Poste, récemment reconnue conforme à cette norme.

« La norme ETSI EN 319 401 est structurée pour aborder des thèmes de sécurité transverses tels que :

• La maîtrise par le PSCo des compétences et de l’intégrité du personnel qui intervient sur les services de confiance ;
• La sécurité logique et la sécurité physique des équipements qui composent les services de confiance ;
• La gestion appropriée du cycle de vie des services de confiance (continuité de service, fin de vie du service) et des données à caractère personnel des utilisateurs.

Cette norme « pivot » couvre donc un spectre très large des bonnes pratiques de sécurité, avec l’approche légale et réglementaire par les risques (analyse de risque, traitement RGPD), les sujets de gouvernance et d’organisation et une approche technique sur la sécurité et la robustesse des systèmes d’informations relatifs aux services de confiance et aux secrets cryptographiques.

A l’instar de la norme ISO 27002, il existe des adhérences dans les exigences des deux normes comme sur les thèmes relatifs aux sous-traitants et aux fournisseurs, à la sécurité des ressources humaines, la gestion des actifs, le contrôle d’accès, les aspects liés à la cryptographie, la sécurité physique, réseau, d’exploitation ou encore la gestion des incidents de sécurité et la continuité de service.

Pour être conforme à la norme ETSI EN 319 401 le PSCo doit donc avoir une approche de la sécurité globale, afin de pouvoir démontrer à un organisme indépendant comme Oppida l’efficacité de son organisation humaine et technique et sa capacité à répondre en permanence aux exigences.

La conformité à la norme ETSI EN 319 401 relève de plusieurs enjeux significatifs pour les acteurs du marché du numérique. Par exemple, le respect de la norme par le PSCo permet aux utilisateurs finaux, personnes physiques ou morales, d’apporter davantage de confiance dans l’utilisation des services proposés. Cette confiance se traduit à la fois en termes de sécurité, puisque le service de confiance répond aux bonnes pratiques pour lutter contre une cyberattaque, en matière réglementaire avec notamment le respect du RGPD, et en termes d’intégrité du personnel qui exploite et qui administre le service.

L’expérience d’Oppida sur les normes ISO 27 002 et ETSI EN 319 401 indique que la seconde répond davantage aux besoins actuels des PSCo. L’effort de mise en conformité à la norme ETSI EN 319 401 demeure un jalon significatif pour un PSCo souhaitant rapidement aboutir à une certification ISO 27001 de son périmètre, ou bien pouvoir justifier le niveau de maturité de son organisation SSI auprès d’un client. »

« Plus le digital investit nos vies quotidiennes, plus la fraude numérique se développe. Or, un parcours numérique de confiance repose avant tout sur la garantie de l’identité de ses utilisateurs et de l’authenticité des informations transmises.

C’est pourquoi, s’assurer de l’identité des utilisateurs d’un service en ligne, quel qu’il soit (entrée en relation, signature d’un document, réception d’une lettre recommandée électronique…), permet de lutter contre la fraude identitaire et documentaire. La maîtrise de ce risque est d‘autant plus importante qu’elle peut même aller jusqu’à couvrir le blanchiment de capitaux et le financement du terrorisme et donc jouer un rôle essentiel pour la protection de tous les acteurs de la société, entreprises, services publics ou citoyens.

Etape clé des parcours clients en ligne, l’acte d’identification et d’authentification à distance implique de traiter des données sensibles (identité, données personnelles, et selon les cas, des données biométriques). 

En tant que référent de confiance numérique en France et expert de l’identité numérique, Docaposte s’est donc imposé le plus haut niveau d’exigence en matière de sécurité et de protection des données pour ce service d’identification/authentification, avec, comme élément central, la conformité ETSI EN 319 401.

De plus, notre plateforme d’identification à distance, ID360, a obtenu la conformité aux exigences de la norme ETSI EN 319 411-1 et -2, nous permettant ainsi d’être reconnus en qualité d’autorité d’enregistrement. 

Docaposte a concentré ses efforts sur la sécurité et la gestion des données personnelles en définissant un plan d’actions à la hauteur des enjeux intégrant notamment une analyse de risque métier, une analyse de risques SI basée sur la méthode EBIOS, un audit de code, des tests d’intrusions ou encore une analyse d’impact sur la vie privée.

ID360 va maintenant poursuivre sa démarche et mettre en œuvre sa feuille de route avec toujours plus de documents, toujours plus de fonctionnalités, toujours plus de modalités, mais aussi mettre l’accent sur 3 sujets majeurs pour Docaposte :

• L'inclusion, avec la conformité au RGAA (Référentiel général d’amélioration de l’accessibilité) ; les alternatives physiques aux parcours et aux dispositifs d’identification en s’appuyant sur le maillage territorial du groupe La Poste,
• La réduction de son empreinte carbone, en adaptant l’utilisation des ressources et la puissance de calcul à la demande ou en optimisant l’architecture et l’écriture du code pour maîtriser la consommation énergétique, 
• L’internationalisation, inhérente au monde numérique. »