Niveaux d'assurance (eidas) pour les Fournisseurs d'Identité
Pour en savoir plus sur la norme eIDAS à ProConnect, nous avons rédigé une ressource commune aux Fournisseurs d'Identité et Fournisseurs de Service disponible ici → Norme eIDAS. Elle expliquera en détails avec des exemples les différents éléments de la norme.
Les niveaux d'assurance (ACR)
ProConnect communique le niveau de confiance d'une authentification via l'attribut acr. Chaque niveau est défini selon trois axes :
- Identité : quelle est la qualité de preuve de l'identité de l'utilisateur ?
- Authentification : comment l'utilisateur s'est-il authentifié ?
- Organisation : quel est le lien entre l'utilisateur et son organisation ?
Valeur acr | Identité | Authentification | Organisation |
|---|---|---|---|
eidas0 | Faible ou déclarative | Simple (mot de passe) | Modération ou déclaratif |
eidas0-mfa | Faible ou déclarative | MFA (auto-géré) | Modération ou déclaratif |
eidas1 | Faible | Simple (mot de passe) | Modération ou plus |
eidas1-mfa | Faible | MFA (auto-géré) | Modération ou plus |
eidas2 | Substantielle | MFA (géré par l'organisation) | Lien certifié par une source officielle |
eidas3 | Élevée | MFA matérielle (géré par l'organisation) | Lien certifié par une source officielle |
Ce que cela signifie pour un FI
En tant que Fournisseur d'Identité, vous maîtrisez les trois piliers : l'identité de vos agents est vérifiée à l'embarquement, et leur rattachement à l'organisation est certifié par vos processus RH. Ces deux piliers sont donc toujours au niveau maximum pour les niveaux eidas1, eidas2 et eidas3.
En pratique, le niveau que vous retournez est déterminé par la méthode d'authentification que vous proposez :
| Méthode d'authentification | Niveau retourné | Exemples |
|---|---|---|
| Simple (mot de passe) | eidas1 | Mot de passe seul |
| MFA auto-géré par l'agent | eidas1-mfa | TOTP configuré par l'agent sur son téléphone |
| MFA géré par l'organisation | eidas2 | TOTP distribué par les RH, SMS OTP, push notification |
| MFA matérielle géré par l'organisation | eidas3 | Carte à puce + PIN, clé FIDO2 matérielle (YubiKey) |
Pour le détail des méthodes MFA qui atteignent eidas2 ou eidas3 (et pourquoi certaines n'atteignent pas eidas3), voir Norme eIDAS — La méthode d'authentification.
Pour implémenter la MFA côté FI, voir Authentification multi-facteur.
La distinction eidas1-mfa / eidas2
La frontière ne porte pas sur la robustesse technique du second facteur, mais sur qui contrôle son cycle de vie (distribution, association, révocation) :
| Niveau | Contrôle du second facteur | Exemple |
|---|---|---|
eidas1-mfa | L'agent gère lui-même (peut le changer, le transférer) | TOTP configuré par l'agent dans son application, transféré sur plusieurs téléphones |
eidas2 | L'organisation maîtrise l'intégralité du cycle de vie | YubiKey distribuée par les RH, association faite par l'admin |