L’identité numérique au cœur de la lutte contre la fraude en ligne

Face à l’essor des cyberattaques en France, les institutions publiques comme les acteurs privés multiplient les initiatives. Le phishing, désormais omniprésent, agit comme une porte d’entrée vers des attaques de plus en plus sophistiquées. Au cœur du réacteur : l’identité numérique, dont la gestion devient un enjeu stratégique.

Les cybermalveillances sont de plus en plus variées et volumineuses. Tel est le constat que dresse Denis Boyer, Chargé de mission sensibilisation au sein de Cybermalveillance.gouv.fr. « La plateforme Cybermalveillance.gouv.fr a enregistré en 2024 plus de 420 000 demandes d’assistance, un record qui illustre l’ampleur du phénomène. Nous avons catégorisé 51 types différents de cybermalveillances, depuis le spam jusqu’au rançongiciel », explique-t-il lors d’une table ronde organisée dans le cadre de l’édition 2025 du Forum INCYBER.

Quelle que soit la famille de victimes (particuliers, entreprises, collectivités), le phishing reste en tête des incidents signalés, en progression de 22 % entre 2023 et 2024. Au-delà des traditionnels courriers électroniques frauduleux, il infiltre désormais les smartphones via des SMS usurpant les identités d’administrations ou d’entreprises connues, ce qui brouille encore davantage les pistes.

Le phishing constitue la porte d’entrée dans un système donné. Il ouvre la voie aux piratages de comptes, aux rançongiciels, aux faux ordres de virement et aux violations de données. « En 2024, la violation de données a progressé de 82 % pour les particuliers et de 72 % de manière globale. Cela correspond aux nombreux incidents qui ont eu lieu l’an dernier, notamment ceux ayant touché les opérateurs de tiers payant Viamedis et Almerys, mais aussi Free », complète-t-il.

Pour renforcer la lutte contre ces cyberattaques, un nouveau dispositif a été déployé fin 2024 : le service 17cyber (17cyber.gouv.fr). Fruit d’une collaboration entre Cybermalveillance.gouv.fr et le ministère de l’Intérieur, ce portail vise à simplifier le signalement d’incidents et à orienter les victimes vers les bons interlocuteurs. « Nous souhaitons que le 17cyber devienne le réflexe numérique de tous, comme l’est le 17 pour les forces de l’ordre« , souligne le Colonel David Flotat, Chef de division au sein de l’Unité Nationale Cyber de la Gendarmerie nationale.

Industrialiser le déploiement des projets liés à la gestion des identités

Au cœur même de toutes les cyberattaques précédemment décrites figure un dénominateur commun : l’identité (et son usurpation). « Sur le terrain de l’identité, les entreprises ont des besoins très hétérogènes. Et même si certaines ont pris de l’avance, du fait notamment de la réglementation, elles ne couvrent pas tout le périmètre qui est le leur. Une des principales attentes du marché est la fourniture de solutions industrialisées permettant d’aller à la fois dans le détail de la personnalisation, mais aussi dans le respect des contraintes propres à la conformité », note Nolwenn Le Ster, Directrice des opérations d’Almond, acteur français indépendant de la cybersécurité, du cloud et des systèmes d’information.

Autre caractéristique à prendre en considération : la complexité des projets liés à l’identité. Le marché regorge en effet de solutions, plus ou moins matures, qui ne répondent pas toujours aux exigences attendues, qu’elles soient fonctionnelles ou organisationnelles. « La bonne nouvelle est que des solutions émergent, plus faciles à mettre en œuvre et plus interopérables avec leur écosystème », complète Nolwenn Le Ster.

Parmi ces solutions figure la société Memority. Cet éditeur en mode SaaS propose un IDaaS (Identity-as-a-Service) qui permet de personnaliser les accès en fonction des besoins de l’entreprise. « Gérer l’identité d’un fournisseur ou celle d’un collaborateur travaillant en usine ou dans un bureau présente des caractéristiques particulières. Nous gérons ces spécificités soit directement dans nos interfaces graphiques, soit en mode API à travers des applications métiers », déclare Francis Grégoire, Directeur général adjoint de Memority.

L’enjeu de la souveraineté est très présent dans l’offre de Memority. « Nous sommes une société française, développée, opérée et hébergée en France. Nous avons deux types de cloud providers. Le premier est S3NS, un des futurs clouds de confiance qualifiés SecNumCloud, issu du partenariat entre Thales et Google Cloud. Le deuxième est AWS, qui n’est pas souverain, mais qui permet de répondre aux enjeux mondiaux de certains de nos clients grands comptes », note Francis Grégoire.

Cinq grands groupes bancaires français lancent B.Connect

Enfin, en lien étroit avec Memority (qui a fourni la plateforme technologique du projet), l’initiative B.Connect a été évoquée pendant la table ronde. Ce service d’authentification a été lancé par cinq grands groupes bancaires français (BNP Paribas, Groupe BPCE, Crédit Agricole, Crédit Mutuel et Société Générale). Il s’agit d’une solution permettant aux e-commerçants de garantir à leurs clients l’accès à leur compte sans mot de passe (dans 80 % des cas).

« 42 millions de Français ont déjà B.Connect dans leur poche sans le savoir. À la rentrée prochaine, ils pourront créer en quelques secondes leur compte B.Connect depuis leur application bancaire. Cela leur permettra de se connecter sur des milliers de sites grâce au bouton B.Connect, sans utiliser le moindre mot de passe. Pour rappel, en France, les mots de passe représentent chaque année entre 50 et 60 milliards de saisies, ce qui constitue un véritable calvaire au sein du parcours utilisateur et une vraie faille de sécurité », commente Pierre Chassigneux, CEO de B.Connect.

Le service sera gratuit pour les internautes, mais payant pour les sites utilisant le bouton B.Connect. Quand on sait que 25 % des abandons de paniers sont liés à des mots de passe oubliés et 15 % au processus d’authentification lors du paiement, il y a fort à parier que les sites e-commerce y trouveront un intérêt économique.