Votre feuille de route vers la réduction des risques !

Publication spéciale NIST 800-63A

Ces lignes directrices définissent les exigences techniques pour les agences fédérales mettant en œuvre des services d'identité numérique et ne visent pas à restreindre l'élaboration ou l'utilisation de normes en dehors de ce cadre. Elles portent sur l'enregistrement et la vérification d'une identité en vue de son utilisation pour l'authentification numérique. Au cœur de ce processus se trouve la validation d'identité, au cours de laquelle un demandeur fournit à un fournisseur de services d'authentification (FSA) des preuves de son identité, permettant ainsi au FSA de garantir cette identité à un niveau d'assurance approprié. Ce document définit les exigences techniques pour chacun des trois niveaux d'assurance d'identité. Cette publication remplace les sections correspondantes de la publication spéciale (SP) 800-63-2 du NIST.

Les modules comprennent:

• Publication spéciale NIST 800-63A

Exigences de conformité NIST 800-63A

La conformité à la norme NIST SP 800-63A est une documentation centrée sur le processus de vérification d'identité et la fiabilité d'une identité numérique. Il existe trois niveaux de garantie d'identité : le premier, très basique, ne requiert aucune preuve matérielle. Le deuxième niveau requiert des documents d'identification utilisés pour la vérification d'identité à distance ou en personne. Le troisième niveau, le plus élevé, est la vérification d'identité en personne, grâce à la biométrie physique, pour une garantie maximale.

La norme NIST SP 800-63A propose un guide sur l'identité numérique avec des niveaux de preuve d'identité appropriés. En bref, il s'agit d'un cadre garantissant des interactions en ligne fiables et sécurisées pour les identités numériques. 

Services d'audit et d'évaluation avec NIST 800-63A

Le processus d'audit et d'évaluation commence par une évaluation globale des risques liés à la gestion des identités numériques par l'organisation. Le processus de vérification d'identité et les méthodes d'authentification sont examinés.

La manière dont l'organisation partage les informations entre différents systèmes est évaluée, ainsi que les contrôles de sécurité visant à protéger les données sensibles. Enfin, l'organisation est auditée pour vérifier la conformité de ses politiques et procédures aux exigences de la norme NIST SP 800-63A.

Le fait de procéder à un audit et à une évaluation contribue à la posture de cybersécurité de l'organisation, renforce la confiance entre les clients et garantit que vous êtes en conformité avec ces réglementations concernant le processus de vérification d'identité.

QFP

Qu'attendez-vous?

Vous n’êtes qu’à une conversation de mettre la puissance de Continuum GRC à votre service. 

Contactez-nous en utilisant le formulaire ci-dessous ou en nous appelant au 1-888-896-6207 pour une assistance immédiate.

À propos de la norme

La publication spéciale NIST 800-63A, qui fait partie des directives NIST SP 800-63 sur l'identité numérique, porte sur l'inscription et la vérification d'identité pour l'authentification numérique. Elle fournit des exigences techniques aux agences fédérales mettant en œuvre des services d'identité numérique, mais est également largement adoptée volontairement par les organisations non gouvernementales. Ces directives privilégient une approche de la vérification d'identité basée sur les risques, garantissant que les personnes sont bien celles qu'elles prétendent être pour un accès sécurisé aux systèmes. Vous trouverez ci-dessous un aperçu de la conformité basé sur la dernière révision (SP 800-63A-4, publiée en juillet 2025), mettant l'accent sur les exigences et considérations clés.

But et portée

• ObjectifLa norme SP 800-63A décrit les processus de vérification et d'inscription d'identité afin d'établir une identité fiable pour l'authentification numérique. Elle définit les exigences techniques pour trois niveaux d'assurance d'identité (IAL) afin d'équilibrer sécurité, confidentialité et convivialité.
• ApplicabilitéPrincipalement destiné aux agences fédérales en vertu de la loi fédérale de modernisation de la sécurité de l'information (FISMA) de 2014, mais facultatif pour les entités non fédérales. Il ne limite pas l'élaboration de normes externes.
• Focus: Vérification d'identité, où un demandeur fournit des preuves à un fournisseur de services d'identification (CSP) pour vérifier son identité, permettant au CSP d'affirmer l'identification à un niveau d'assurance spécifié.

Composantes clés de la conformité

1. Niveaux d'assurance d'identité (IAL): La norme SP 800-63A définit trois IAL en fonction de la confiance requise dans l'identité d'un individu :
   • IAL1:Aucune vérification d'identité requise ; convient aux scénarios à faible risque où la vérification d'identité n'est pas critique.
   • IAL2:Nécessite une vérification à distance ou en personne avec vérification des preuves d'identité (par exemple, permis de conduire, passeport).
   • IAL3: Nécessite une vérification en personne avec comparaison biométrique physique (par exemple, empreintes digitales, reconnaissance faciale) pour les scénarios à haut risque. La conformité implique de sélectionner l'IAL approprié en fonction d'une évaluation des risques du système ou du service.
2. Processus de vérification d'identité:
   • Résolution:Collecte des attributs d'identité (par exemple, nom, date de naissance) pour identifier de manière unique un individu.
   • Validation : Vérifie l’authenticité des preuves d’identité à l’aide de sources fiables (par exemple, des bases de données gouvernementales).
   • Vérification:Confirme que la preuve appartient au demandeur (par exemple, via des données biométriques ou des questions basées sur les connaissances).
   • Les CSP doivent garantir que les processus sont robustes, sécurisés et protègent la confidentialité des utilisateurs.
3. Exigences en matière de preuve:
   • La force des preuves varie selon l’IAL :
     • IAL1:Aucune preuve n'est requise.
     • IAL2: Nécessite au moins une preuve solide (par exemple, une pièce d’identité délivrée par le gouvernement) ou deux preuves valables.
     • IAL3:Nécessite des preuves supérieures (par exemple, un passeport vérifié biométriquement) ou une combinaison de preuves solides et équitables.
   • Les organisations doivent valider les preuves par rapport à des sources faisant autorité et s’assurer qu’elles ne sont pas frauduleuses.
4. Considérations relatives à la sécurité et à la confidentialité:
   • Sécurité:Les CSP doivent protéger les données d’identité contre tout accès non autorisé, en utilisant le cryptage et des protocoles sécurisés.
   • ConfidentialitéLe consentement explicite de l'utilisateur est requis pour le traitement des attributs d'identité. Les lignes directrices mettent l'accent sur la minimisation de la collecte de données et la garantie de transparence.
   • Atténuation de la fraude:La révision 4 comprend des conseils élargis sur la détection et la prévention de la fraude, comme la détection des deepfakes et la gestion des risques de vol d’identité.
5. Facilité d'utilisation et expérience client:
   • La conformité nécessite d’équilibrer la sécurité et la convivialité pour éviter les solutions de contournement des utilisateurs qui compromettent la sécurité.
   • Les processus doivent être accessibles, avec des instructions claires et un support pour divers groupes d’utilisateurs.
   • La révision 4 supprime les références à « l’équité » (présentes dans les projets) mais met l’accent sur « l’expérience client » pour garantir que les solutions sont utilisables par toutes les populations.
6. Nouvelles technologies:
   • Prend en charge les méthodes modernes de vérification d'identité, telles que les permis de conduire mobiles (mDL) et les authentificateurs synchronisables (par exemple, les clés d'accès) pour la vérification en ligne.
   • Propose des alternatives à la biométrie pour répondre aux préoccupations en matière de confidentialité ou aux limitations technologiques.

Stratégies de mise en œuvre pour la conformité

1. Approche fondée sur le risque:
   • Effectuez une évaluation de la gestion des risques liés à l’identité numérique (DIRM) pour déterminer l’IAL appropriée pour vos services.
   • Évaluez les risques tels que la fraude d’identité, les violations de données et l’accessibilité des utilisateurs.
2. Élaboration des politiques et des processus:
   • Élaborer des politiques claires en matière de vérification d’identité, de validation des preuves et de consentement des utilisateurs.
   • Alignez les processus sur les exigences du NIST tout en tenant compte d’autres cadres (par exemple, PCI DSS) qui peuvent avoir des règles contradictoires, telles que l’expiration du mot de passe.
3. Intégration de la technologie:
   • Utiliser des outils automatisés pour la validation des preuves (par exemple, vérifier les pièces d’identité par rapport aux dossiers DMV).
   • Mettre en œuvre un stockage et une transmission sécurisés des données d’identité.
   • Envisagez des plateformes comme Cyber Sierra pour le contrôle centralisé, la surveillance et la cartographie de la conformité.
4. Contrôle continu:
   • Adoptez des mesures d’évaluation continue pour évaluer les performances de la solution d’identité (par exemple, taux de réussite/d’échec, taux d’abandon des utilisateurs).
   • Auditer régulièrement les processus pour garantir une conformité continue.
5. Engagement des parties prenantes:
   • Sensibiliser les dirigeants et les utilisateurs à l’importance de la vérification de l’identité.
   • Former le personnel aux directives du NIST et aux techniques de détection de fraude.

Principales mises à jour de la norme SP 800-63A-4 (juillet 2025):

• DIRM amélioré:Un cadre plus robuste pour évaluer les risques liés à l’identité.
• Gestion de la fraude:Orientations élargies sur l’atténuation de la fraude, y compris la détection des deepfakes.
• Authentificateurs synchronisables:Conseils sur l’intégration des portefeuilles numériques et des clés d’accès.
• Focus sur l'expérience client: Passer de « l’équité » à la garantie que les solutions fonctionnent pour tous les utilisateurs, en abordant les problèmes d’utilisabilité tels que l’accessibilité et les frictions entre les utilisateurs.
• Taxonomie IAL affinée: Mis à jour pour s'adapter à diverses méthodes et technologies d'épreuvage.

Défis et considérations

• Équilibrage des cadres:Les organisations soumises à plusieurs normes (par exemple, PCI DSS) peuvent être confrontées à des conflits, notamment en matière de politiques de mots de passe. Le NIST recommande l'authentification multifacteur (MFA) pour réduire les risques liés aux mots de passe.
• Contraintes de ressourcesLes petites organisations peuvent avoir du mal à mettre en œuvre des processus de vérification rigoureux. L'utilisation d'outils automatisés et de fournisseurs de services cloud tiers peut s'avérer utile.
• Menaces en évolution:Les directives traitent des menaces émergentes telles que les deepfakes, mais les organisations doivent rester proactives avec une surveillance continue.
• Expérience utilisateurDes processus trop complexes peuvent entraîner l'abandon des utilisateurs ou des solutions de contournement non sécurisées. Testez les processus avec des groupes diversifiés pour garantir l'accessibilité.

Ressources pour la conformité

• Documents NIST SP 800-63-4: Disponible à https://csrc.nist.gov or https://nvlpubs.nist.gov.
• Critères de conformité:Le NIST fournit des critères spécifiques pour la conformité IAL (critères de conformité SP 800-63A).
• Manuel d'évaluation des risques liés à l'identité numérique (DIRA):Guide les processus d’évaluation des risques.
• FAQ et ressources de mise en œuvre du NIST: Disponible à https://www.nist.gov.
• Canal de rétroaction: Soumettre des commentaires à dig-comments@nist.gov pour des éclaircissements ou des mises à jour.

Conclusion

La conformité à la norme NIST SP 800-63A implique la mise en œuvre de processus robustes de vérification d'identité et d'inscription, adaptés à l'IAL concerné, en équilibrant sécurité, confidentialité et convivialité. Les organisations doivent évaluer les risques, valider les preuves d'identité, protéger les données et garantir des processus conviviaux. La révision 4 s'adapte aux technologies et aux menaces modernes, en mettant l'accent sur l'évaluation continue et l'expérience client. En se conformant à ces directives, les organisations peuvent renforcer la sécurité de l'identité numérique tout en respectant les exigences fédérales et en renforçant la confiance des utilisateurs.

Des avantages incroyables