|
||
Biométrie multimodale : sécuriser l’identification, limiter les rejets |
||
La
personne qui se présente est-elle bien celle qu’elle prétend
être ? Une question à laquelle doivent répondre
quotidiennement les responsables de sécurité qu’ils aient en
charge le contrôle de la frontière d’un état, les grilles d’une
société, l’accès au poste de travail ou… au restaurant
d’entreprise ! Des solutions biométriques performantes existent, mais
les entreprises qui les utilisent doivent montrer, sous l’œil vigilant
de la CNIL, qu’elles en ont un usage approprié tout en respectant les
libertés individuelles. |
||
Comment
véritablement sécuriser l’accès qu’il soit physique ou logique ? Les
clés se reproduisent, les badges s’échangent et les mots de passe se
mémorisent ! Partant de ce constat, de nombreuses technologies dites
biométriques reposant sur les caractères morphologiques ou
comportementaux uniques des individus ont vu le jour : Lecteur
d’empreintes digitales, du volume de main, ou du réseau veineux, frappe
du clavier, reconnaissance de l’iris… Ces techniques de biométrie sont
globalement sûres, mais on peut améliorer la fiabilité et la rapidité
des réponses en les combinant entre elles, (biométrie multimodale). |
||
Diminuer les problèmes à l’enrôlement et à la lecture |
||
À
l’heure actuelle, en entreprise, seule la biométrie qui associe lecture
des empreintes digitales et du réseau veineux est disponible sur le
marché français. Deux lecteurs dominent le marché, le Morpho Smart
Finger du géant Morpho (groupe Safran) qui par a ailleurs fourni le
logiciel du fichier d’automatisation des empreintes digitales de la
police, et Le vein ® de Be Metrics petite entreprise nancéenne. Le
principe des deux lecteurs est similaire comme l’explique Rémi
Toussaint directeur commercial chez Be Metrics : « La technologie de
lecture de l’empreinte est associée à celles de reconnaissance du
réseau veineux. L’intérêt est de diminuer les problèmes à
l’enrôlement et à la lecture : dans les cas où une donnée est peu
lisible, elle est compensée par l’autre. À l’usage, l’authentification
de l’utilisateur est beaucoup plus rapide, avec un taux d’erreurs
infime. » |
||
Des œuvres d’art aux patients d’un hôpital, des applications variées de la multimodalité |
||
Un
argument qui a su convaincre cette prestigieuse maison de ventes aux
enchères située sur les Champs-Elysées qui fait figure de précurseur
dans le domaine de la biométrie « Cela fait 10 ans que nous utilisons
le biométrique pour le contrôle d’accès de notre personnel ! explique
le responsable. Nous avons récemment changé pour une solution bimodale
(empreintes et veines) associée à une clé, ce qui nous permet une
triple vérification. Compte-tenu des valeurs inestimables qui
transitent dans nos locaux, les impératifs de sécurité sont
prioritaires dans le choix d’une solution de contrôle. » Authentifier
avec certitude, c’est aussi une préoccupation majeure des centres
hospitaliers : l’erreur de patient, même rarissime, peut avoir des
conséquences dramatiques. Le centre Oscar Lambret est actuellement en
phase d’évaluation d’un système bimodal dans son service de
radiothérapie (voir encadré). Une expérimentation suivie de près par de
nombreux services (chirurgie, chimiothérapie…) et qui si elle est
concluante devrait s’étendre à d’autres hôpitaux. |
||
Pour en finir avec les cartes, perdues, volées et démagnétisées… |
||
Si l’argument sécuritaire arrive
en tête, dans le choix d’un système bimodal, il n’est pas le seul ! En
effet, comme le souligne Rémi Toussaint, « le système empreintes +
veines, sous réserve d’une demande d’autorisation fondée, est acceptée
par la CNIL, sans obligation d’une carte. » En effet, pour des raisons de protections des données personnelles, les dispositifs d’empreintes seules en France, doivent être couplés à l’utilisation d’une carte conservée par l’utilisateur qui contient la donnée biométrique. Elle devra être présentée en même temps que le doigt ou la paume pour authentification. Aussi, ne plus avoir à gérer de cartes, bien souvent motive le passage à une solution biométrique bimodale. |
||
« Sécuriser l’information : la biométrie peut être la solution » Benoit Tanguy, Directeur de l’innovation digitale chez Solucom et intervenant au Clusif.x |
||
Il
y a 10 ans déjà, le Club de la sécurité de l’information française
(CLUSIF) qui regroupe 285 entreprises de tout secteur économique
sensibilisées à la sécurisation de l’information, se penchait les
différentes technologies biométriques pour le contrôle d’accès logique
et physique. Une question toujours suivie de près par le groupement.
« Certaines applications sont très intéressantes, mais on ne peut
pas dire qu’il y ait un déploiement massif, concède Benoit Tanguy,
directeur de l’innovation digitale chez Solucom et intervenant au
Clusif. Les freins sont nombreux, outre la manipulation des données
personnelles qui reste une question brûlante, le manque de standard
pour le matériel et la non-interopérabilité des systèmes sont
réellement problématiques. Dans les grandes entreprises du CLUSIF
quelques dispositifs ont été mis en place sur des populations
spécifiques : trader dans les banques, directeurs financiers
de filiales d’un grand groupe mondial habilités à faire des
paiements … les usages demeurent modestes. En revanche, avec le rachat
récent par Apple de fabricants de technologies biométriques, la donne
pourrait très vite changer. » - Les contrôles d’accès physiques par la biométrie / Guide téléchargeable en ligne sur le site du CLUSIF |
||
« Le multimodal ? Un temps d’identification très bref ! » Ilan Malet, Installateur de solutions de contrôle d’accès, M4S Sécurité |
||
« Nous
avons intégré les solutions biométriques à notre offre il y a
3 ans, et le bimodal Le Vein depuis un 1 an. La demande est
régulière et attire de plus en plus de clients qui, entre autres,
ne veulent plus avoir à gérer de badges. Nous connaissons
bien les mécanismes et les règles d’obtention des autorisations de la
CNIL qui ont été d’ailleurs été grandement simplifiées avec
l’autorisation unique. Nous apportons le soutien nécessaire, si le
client le souhaite, pour l’aider à remplir sa demande. Ce qui
nous a semblé intéressant dans le lecteur empreinte/veine c’est
le temps d’identification très bref, et le taux de faux rejet très
bas. C’est un produit fiable, ergonomique qui se développerait plus
rapidement, si les bureaux d’études le connaissaient mieux et
l’intégraient à leur projet. » |
||
3 questions à Serge Audebaud, Responsable biomédical, centre Oscar Lambret, Lille | ||
Pourquoi avoir choisi une authentification des patients par biométrie pour votre service de radiothérapie ? Nous traitons chaque année des milliers de patients dans le service de radiothérapie dirigé par le Professeur E. Lartigau. L’identification se fait comme dans tous les services, notamment par le questionnement du patient. Toutefois, sur le nombre, nous avons parfois des problèmes de langue, d’homonymie ou de personnes dont l’état de santé ne permet pas de recueillir l’information. Le Pr. Lartigau souhaitait un système qui permette de vérifier la concordance entre le patient entrant en salle de traitement et le patient identifié dans l’application qui paramètre et pilote la machine de radiothérapie. C’est pourquoi nous avons testé pendant plus d’un an avec l’accord de la CNIL, un système de reconnaissance par empreinte digitale. Pourquoi êtes-vous passé à un système bimodal (empreintes + veines) ? Pour le moment nous ne sommes qu’en phase d’évaluation. 5 % de nos patients ne sont pas reconnus par le système empreinte seule, essentiellement des personnes très âgées, des patients ayant suivi certaines chimiothérapies ou ayant eu des professions qui altéraient leurs mains (coiffeuses, maçons…) et dont les empreintes ne sont pas lisibles. Nous espérons donc que le système empreinte + veine va nous permettre de réduire ce pourcentage et augmenter la sensibilité du dispositif. Concrètement, comment se passe le contrôle ? Au début du traitement, la reconnaissance biométrique est proposée au patient et s’il est d’accord (plus de 93 % des patients le sont), il est alors enrôlé dans le système par enregistrement des 2 index. Par la suite, pendant plusieurs semaines, le patient s’identifie quotidiennement sur un premier lecteur à l’entrée du service pour annoncer son arrivée et rejoindre la salle d’attente. Le moment venu, le patient s’authentifie sur un second lecteur placé à l’entrée de la salle de traitement. Le manipulateur vérifie alors la concordance entre le patient entrant et le patient programmé sur l’accélérateur avant de lancer le traitement. À la fin des séances de traitement, les données biométriques sont automatiquement effacées du système |
||
Déclaration à la CNIL : obligatoire ! | ||
Tous les fabricants,
distributeurs et installateurs le reconnaissent : un certain
nombre d’utilisateurs finaux de systèmes biométriques négligent de
faire leur déclaration à la CNIL. Les raisons sont confuses : manque
de temps ou d’information ? Crainte d’un refus ? Lourdeur supposée
de la démarche ? La CNIL quant à elle reconnait qu’elle n’a pas
les moyens d’estimer les non-déclarations. L’installation d’un
dispositif biométrique, quel qu’il soit, est soumis à une demande
d’autorisation de la CNIL et le non-accomplissement des formalités,
s’il est avéré (souvent suite à une dénonciation), est théoriquement
sanctionné de 5 ans d’emprisonnement et 300 000 € d’amende. Qu’est-ce que l’autorisation unique ? Téléchargeable sur le site de la CNIL, l’autorisation unique est une démarche simplifiée qui permet aux entreprises de déclarer l’utilisation d’un système biométrique en conformité avec la loi. En principe, l’autorisation est délivrée automatiquement sous une semaine. pour en savoir plus : www.cnil.fr |
||
« La biométrie, sur la voie de la certification ? » André Delaforge, Marketing manager, Natural Security, Président de Biometrics Alliance Initiative |
||
« Comme tous les acteurs métier,
fabricants, installateurs et utilisateurs, nous sommes confrontés à une
multiplication de technologies biométriques d’origines diverses aux
performances très variables. Nous nous sommes donc regroupés pour
former la Biometrics Alliance Initiative (BAI), afin de mettre en place
un schéma de certification des technologies biométriques. Dans un
premier projet de référentiel qui sortira cet été, nous avons recensé
un certain nombre de critères qui nous semblaient pertinent pour
évaluer une technologie biométrique. Nous sommes en train de
définir des valeurs associées à différents cas d’usage, car les
critères ne sont pas forcément les mêmes pour faire un transfert
bancaire et pénétrer dans un laboratoire pharmaceutique ! Nous
avons également engagé une réflexion sur comment choisir la bonne
technologie, pour allier performance et sécurité. Notre vision est que
l’utilisation de la biométrie doit reposer sur un geste volontaire de
l’utilisateur, par exemple en présentant la paume de la main ou le
doigt. Ceci afin de respecter les règles des régulateurs dans
le domaine de la protection des données personnelles et de la vie
privée et donc créer la confiance. Avec l’explosion de la demande
de sécurisation des accès on peut s’attendre à une forte croissance de
la biométrie. À terme, on peut prédire que l’authentification reposant
sur un moyen unique permettra d’accéder aux locaux, au poste de
travail, de signer des documents. Comme tout cela bouge très
vite, il est essentiel d’agir maintenant pour normaliser les systèmes. » |
||
3 questions à Marie-Charlotte Bonnet-Roques Juriste-expert en nouvelles technologies, CNIL |
||
Quelle est votre position par rapport à la biométrie ? La biométrie a la particularité de pouvoir identifier un individu de manière permanente et inaliénable, puisqu’elle se base sur ses caractéristiques physiques. Notre rôle est de protéger le citoyen de l’utilisation malveillante qui pourrait être faite de ses données. Il faut donc être vigilant quant aux détournements possibles qui pourraient être faits à l’insu des personnes concernées, qui doivent conserver un contrôle effectif sur leurs données biométriques. Toutefois, nous sommes conscients que la biométrie peut être une solution tout à fait appropriée à l’impératif de contrôle d’accès physiques (à des locaux) ou logique (à des logiciels ou des applications) si elle apporte les garanties nécessaires. Dans quel cas autorisez-vous l’utilisation de la biométrie ? Nous avons autorisé la biométrie dans plus d’une centaine de cas pour l’accès à l’entreprise et à des locaux sensibles. En revanche, le contrôle des horaires par biométrie a été abandonné. Les auditions menées auprès des acteurs concernés (industriels et syndicats notamment) ont montré que cela créait une mauvaise ambiance de travail sans apporter de bénéfices par rapport à un pointage traditionnel ! Sur quels types de technologies vous êtes-vous prononcés ? Les empreintes digitales, le contour de la main, la reconnaissance vocale, le réseau veineux, l’iris et la frappe de clavier. En ce qui concerne la bimodalité, nous n’avons eu que 8 demandes jusqu’en 2012 et toutes ont été acceptées ! En 2013, 3 sont en cours d’instruction. Quelle que soit la technologie, la question à laquelle doit répondre la commission est toujours la même : la biométrie se justifie-t-elle au regard des finalités identifiées, des conditions techniques et organisationnelles de mise en œuvre du dispositif et des garanties apportées à l’utilisateur quant au respect de ses droits ? |