IDnomic : "L’identité numérique est aujourd’hui un pilier de la cybersécurité" (Interview)

À l'heure où la dématérialisation des démarches administratives deviendra totale d'ici 2022 et que la carte d'identité numérique se profile, la société française IDnomic, récemment rachetée par Atos, est pionnière en matière d'identité numérique, avec 300 millions de citoyens couverts par ses solutions, notamment à destination des passeports biométriques. Clubic a interrogé sa directrice générale, Coralie Héritier, pour détailler le contour des activités de l'entreprise.

La société française IDnomic, née en 2016 et rachetée le 1er octobre 2019 par le géant français de la transformation digitale Atos, est un pionnier de l'identité numérique et de ce que l'on appelle la PKI, ou « Infrastructure à clés publiques », une technologie qui permet d'émettre des certificats d'identité numérique à destination des personnes, mais aussi pour des objets, des documents et des transactions. Avec le temps, l'entreprise a étendu son champ à d'autres objets, parfois plus petits, comme des capteurs, qui ont besoin de s'authentifier auprès des serveurs, pour avoir la certitude que l'on a affaire à une entité de confiance et non à quelque chose de malveillant qui pourrait s'introduire dans le système de production.

Où retrouve-t-on des traces d'IDnomic dans la vie de tous les jours ? Dans des voitures, trains ou avions par exemple. Mais la société est surtout connue pour la sécurisation des données contenues dans les 20 millions de passeports biométriques français en circulation. IDnomic protège les fichiers qui contiennent les données biométriques et intervient aussi dans la sécurisation du processus d'émission du passeport, outre une utilisation de sa technologie pour la vérification du document de voyage.



Pour en savoir plus sur l'importance de la sécurisation de l'identité numérique, revenir sur le rachat par Atos et discuter également de la 5G, du Cloud Act ou encore du RGPD, nous sommes allés à la rencontre de Coralie Héritier, directrice générale d'IDnomic, à l'occasion des Assises de la sécurité 2019.

Construire une identité numérique de confiance

Est-il indispensable aujourd'hui de disposer de sa propre identité numérique, alors que la dématérialisation totale des démarches administratives doit intervenir d'ici 2022 ?

L'identité numérique est, aujourd'hui, un vrai pilier de la cybersécurité. C'est une sorte de sésame pour naviguer en confiance dans tous les systèmes, que ce soit les organisations, dans son travail ou dans son quotidien. Cela concerne aussi les réseaux sur lesquels un citoyen va naviguer, notamment pour accéder à un service public. Il est fondamental d'avoir une identité numérique dans laquelle on peut avoir confiance.

La carte nationale d'identité électronique est censée répondre aux exigences d'un règlement européen qui est en vigueur depuis avril 2019, qui prévoit que les pays qui n'ont pas aujourd'hui de CNI sécurisée doivent s'équiper, pour produire les premières cartes nouvelle génération mi-2021. Dans la forme, elles doivent être des cartes à puce qui répondent à des normes. Ce sera une opportunité pour déployer de l'identité de niveau élevé, parmi les citoyens.

« Les identités numériques vont se retrouver dans les objets du quotidien »

Il faut aussi proposer aux citoyens des identités numériques autres qui puissent représenter une alternative, pour accéder à des services avec une certaine criticité, à des identifiants comme des logins ou des mots de passe.

Pour aller un peu plus loin... avoir une véritable identité numérique est-il indispensable pour s'épanouir dans une smart city, comme est en train de le devenir la ville de Dijon par exemple ?

Il n'y aura pas une identité mais des identités numériques, peut-être de niveaux différents, en fonction de la criticité des applications auxquelles on a besoin d'accéder. Ce qui compte, c'est qu'elles soient rassemblées et dérivées d'une identité pivot qui devrait être cette future carte nationale d'identité électronique. Cela arrivera. Les identités numériques vont se retrouver dans les objets du quotidien, c'est déjà le cas par exemple avec les voitures connectées.

Dans la smart city, tout ce qui sera interconnecté (véhicules, infrastructures, feux tricolores, circulation...) sera empreint d'identités numériques pour protéger et créer ce fameux réseau de confiance.

« La 5G va requérir plus de sécurisation et plus d'identité numérique »

Aujourd'hui, les villes ont toutes des systèmes d'informations. Les attaques se sont multipliées, avec plus d'une vingtaine de cyberattaques contre des villes américaines notamment, ou en France comme à Sarrebourg, qui ont bloqué des services comme la facturation, les cantines ou les centres de loisirs. Il faut protéger les systèmes d'informations de ces villes.


Quel va être le rôle de la 5G dans le développement de l'identité numérique ?

Elle va être un facteur d'accélération de tous ces services numériques. Cela va aussi permettre de remonter plus de données plus rapidement. Mais qui dit plus de données, dit plus d'IoT, dit aussi plus de points sensibles et de surfaces potentielles de cyberattaque.

La 5G va requérir plus de sécurisation et plus d'identité numérique. Chez IDnomic, nous allons devoir nous adapter à ce nouveau réseau de communication. Et il y aura aussi une coexistence d'autres réseaux de type Wi-Fi. Notre technologie a évolué dans le sens où elle s'interconnecte avec un nombre incroyable de protocoles et d'environnements.

Coralie Héritier (© Alexandre Boero)

Avec le rachat par Atos, IDnomic va pouvoir déployer sa stratégie

Atos a officialisé l'acquisition d'IDnomic le 1er octobre 2019. Qu'est-ce que ce rachat va changer au sein de votre société, et ce dernier va-t-il avoir une incidence sur votre stratégie ?

Nous avons un peu plus d'une centaine de salariés, qui conservent tous leur emploi. Je suis très fière de rejoindre le groupe Atos. Cette acquisition signifie qu'IDnomic a une grande valeur pour lui, valeur que nous avons pu faire évoluer au fil des années, pour rajouter plusieurs cordes à l'arc cybersécurité Atos, qui renforce sa position dans cet univers-là. Tous les nouveaux usages que nous portons vont enrichir le portefeuille d'activités d'Atos.

« Avec la capacité d'Atos, les synergies vont être fortes »

C'est aussi un moyen d'assurer la pérennité d'IDnomic ?

C'est un moyen de déployer notre stratégie. Nous savons que nous avons une technologie pouvant être déployée à l'international. Sauf qu'en tant que petite entreprise et sans moyens financiers particuliers, c'était plus difficile. Là, nous bénéficierons de toute la force de vente d'Atos, ce qui est extraordinaire pour nous.

Notre stratégie IoT demandait aussi de l'investissement et de l'innovation, ce qu'Atos va nous apporter. Il y a aussi le sujet du cloud, pour lequel de plus en plus de clients nous sollicitent, de façon à opérer pour eux leur service de certification électronique.


Nous sommes, depuis le début de l'année, dans une démarche SecNumCloud, le référentiel de l'Anssi sorti il y a plus d'un an, qui définit tous les critères d'un acteur de cloud de confiance. Avec la capacité de cloud d'Atos, les synergies vont être fortes.

« Les Gafa sont eux-mêmes bien embêtés par le Cloud Act, qui les prive de certains arguments commerciaux auprès d'industries sensibles »

Puisque vous parlez du cloud, transition toute trouvée, vous avez, on l'imagine, suivi ce que souhaite faire Bruno Le Maire, à savoir bâtir un cloud souverain européen, pour lutter contre le Cloud Act américain, qui contrecarre le RGPD. Qu'en pensez-vous ?

Ce n'est pas une idée nouvelle. Ce que j'espère, c'est que cette volonté va aboutir. Il y a eu des tentatives avortées dans le passé. Mais créer un acteur européen fort n'est pas la seule manière de contrecarrer le Cloud Act. Je pense que nous n'irons par contre les Gafa, qui sont eux-mêmes bien embêtés par le Cloud Act, qui les prive de certains arguments commerciaux auprès d'industries sensibles. Nous pouvons proposer des alternatives à leurs propres solutions de sécurité pour mettre les utilisateurs de ces clouds en confiance. C'est le rôle que l'on peut jouer au niveau européen.

Est-ce possible, dans le sens où on aurait pu agir en amont, plutôt qu'en réaction ?

Bien entendu que c'est possible. Avoir une politique volontariste en la matière est une bonne chose. On voit bien qu'il y a une prise de conscience quant à la nécessité d'une souveraineté numérique française et européenne. C'est fondamental pour compter dans le paysage numérique international.

Un an et demi après la mise en place du RGPD, où en est-on selon vous ? A-t-il trouvé son efficacité ?

Le RGPD a une vertu fondamentale, c'est qu'il a permis une sorte de pédagogie. Ce fut un bon soutien pour les RSSI par exemple. Il y a plus de respect des données personnelles et de ce qui compte pour les internautes.

La justice française a récemment rendu une décision via laquelle elle a débouté une société canadienne qui réclamait auprès de l'opérateur Orange de l'aider à identifier des individus s'étant prétendument livrés à des téléchargements illégaux, après avoir récupéré les adresses IP des internautes. Que pensez-vous de cette décision ?

Je trouve cela plutôt rassurant. Lors d'une conférence récente, Google France s'exprimait sur sa politique cloud et a précisé ne communiquer des informations à personne. Je me suis permise de leur faire remarquer qu'ils pouvaient y être contraints par le Cloud Act.