Fraudes en matière d’allocations sociales en faveur des plus démunis, explosion du phénomène de salariés fantômes dans la fonction publique… Autant de crimes financiers et économiques qui minent l’économie de plusieurs pays africains. Pour y remédier, Atos propose sa plateforme modulaire MOSIP, qui promet des solutions globales d’identité numérique. Francis Meston, Directeur Atos Afrique, Moyen Orient, Turquie, nous livre les enjeux.
Propos recueillis par Mohamadou DIALLO
CIO Mag : Quelle est l’approche d’Atos en matière d’identité numérique ?
Francis Meston : Atos a construit une approche et une solution complète adaptée à l’Afrique autour de MOSIP (Modular Open Source Identity Platform), permettant de construire et de sécuriser une plateforme de gestion de l’identité numérique. MOSIP est une plateforme modulaire en logiciel libre (open source) offrant aux gouvernements à l’échelle du pays la possibilité d’assurer la gestion de l’identité numérique de l’ensemble des citoyens. La solution a été développée en Inde par l’Institut technologique de Bengalore.
L’approche d’Atos consiste à enrichir les fonctionnalités de MOSIP en l’intégrant à des frameworks, des solutions provenant du monde de l’open source et à des solutions de cybersécurité du portefeuille de produits du groupe Atos.
La solution développée par Atos couvre l’ensemble des grandes fonctionnalités de l’identité numérique comme le service d’inscription, le service d’authentification fondé sur une identification biométrique, soit à partir des empreintes digitales, de l’Iris ou de la reconnaissance faciale, les services d’accès pour les citoyens à partir d’un portail.
Compte tenu des enjeux liés à la criticité de l’identité, comment accroître la sécurité des documents d’identité ?
Il est nécessaire de développer et de mettre en œuvre des processus d’identification, d’estimation, d’évaluation et de traitement des risques de sécurité ainsi que de gestion des fraudes pour toute solution de gestion de l’identité numérique. Et ce, sur la base d’un cadre de gestion des risques.
La sécurité est la clé, dès la conception d’un système de gestion de l’identité numérique. En effet, il faut mettre en place des mécanismes permettant de sécuriser le système contre les vols ou les falsifications des données. Nous utilisons pour cela plusieurs techniques et plusieurs produits du groupe Atos comme un HSM (Hardware Security Module) ou encore un système de cryptage basé sur une « Public Key Infrastructure » (PKI) ou enfin un système de gestion des accès (Identity Access Management).
Par ailleurs, une fois le système en production, il est nécessaire d’opérer un centre de sécurité opérationnel (SOC) muni d’outillage et de processus spécifiques, et destiné à anticiper et contrer toute attaque de sécurité ou manipulation indésirable de données. Enfin, il est nécessaire de prévoir, dans le cadre d’une solution de gestion de l’identité numérique, un module spécifique destiné à la gestion de la fraude. Ce module est muni d’un moteur dans lequel sont implémentés des “algorithmes prédictifs”, dont le but est d’attribuer des scores de risque aux transactions. Ainsi, il est possible de mesurer la probabilité que la transaction en cours soit frauduleuse sur la base de modèles historiques ou de données de transaction en cours.
C’est aussi un outil d’inclusion sociale, économique et de la relation entre les citoyens et l’Etat ?
Une identité numérique ou « Digital ID » permet à un individu de s’authentifier de manière non ambiguë via un canal numérique. Cette identification permet l’accès à différents types de services, tels que des services bancaires, les services publics ou les services sociaux. L’identité numérique est donc bien la clé de voûte de la modernisation des relations entre administrations et citoyens.
Des projets d’identité numérique ont été déployés par plusieurs gouvernements nationaux et entreprises privées. Certains avec des taux d’identification surpassant 90% de la population nationale (exemple de l’Inde avec le système ADHAR ou l’Estonie). Les programmes qui ont été conçus de façon judicieuse ont démontré des bénéfices importants en termes d’inclusion financière et sociale. L’identité numérique permet une création de valeur en favorisant une inclusion accrue avec l’ouverture de l’accès aux services numériques, renforce la formalisation, ce qui contribue à réduire la fraude et enfin protège les droits des citoyens et augmente la transparence.
On estime qu’une bonne utilisation de l’identité numérique pourrait avoir un impact sur le PIB de plus de 3% pour les économies matures et de plus de 6% pour les économies émergentes. Plusieurs cas d’usage de l’identité numérique sont possibles, chaque cas apporte une valeur à la fois à l’individu et à l’institution/service public offrant le service. Il existe plusieurs cas d’usage parmi les plus impactant dans le contexte africain. On peut citer l’accès aux services de santé, les inscriptions dans les écoles et universités, l’accès aux services e-Gov, les systèmes de télédéclaration, télépaiement et téléprélèvement des impôts, ou encore la fiabilisation des données de l’état civil.
Lorsqu’un Etat ne dispose pas d’une administration en charge de la gestion des identités, cela pose aussi un enjeu de souveraineté ?
Effectivement, la gestion de l’identité numérique est un enjeu de souveraineté nationale. Sa gestion relève des missions régaliennes de l’Etat. De ce fait, l’enjeu pour tout Etat est donc de protéger son autonomie et sa marge de manœuvre en évitant de se retrouver dépourvu face à un fournisseur de solutions d’identité numérique, ce que l’on appelle couramment le « vendor lock in ». Il y a à mon sens aujourd’hui deux grandes familles de solutions :
- Les solutions open source, avec comme fer de lance le MOSIP.
- Les solutions basées sur le projet OSIA développé en Europe par des fournisseurs de solutions d’identité numérique, regroupés dans la « Secure Identity Alliance ». Le projet OSIAest construit sur la base de modules fonctionnels fondés sur des API ouverts. Sa conception modulaire permet d’augmenter par construction la concurrence sur chacune des briques de l’écosystème de l’identité numérique.
Au-delà du choix technologique permettant d’éviter le « vendor lock in », les administrations doivent se doter des compétences clés pour assurer la maîtrise du système d’identité numérique : maîtrise d’ouvrage, architecture fonctionnelle, architecture technique et maîtrise des grands processus administratifs s’appuyant sur l’identité numérique.
Paru dans CIO Mag N°63 Mars-Avril 2020 en téléchargement gratuit