L'authentification forte

L'identification renforcée

Les systèmes d'information qui traitent de données à caractère personnel relatifs notamment aux élèves (base élèves, livret personnel de compétences, etc.) nécessitent, pour y accéder, que l’utilisateur dispose d’un outil d’authentification forte, et ce qu’elle se situe dans un contexte d’hébergement académique ou national.

Les utilisateurs se voient donc progressivement dotés d’un système d’authentification forte et ce depuis le mois de novembre 2008.

Le tout premier objectif fut que l'ensemble des directeurs d’école de l'académie ainsi que les mairies soient équipés pour permettre l'accès au système d'information « Base Elèves 1er Degré ».

Depuis 2010, ce même dispositif est déployé dans le cadre de la mise en oeuvre « Livret Personnel de Compétence » dans tous les collèges et lycées professionnels dispensant un enseignement à des élèves de 3ème.

L'OTP ou mot de passe à usage unique

Clé OTP

L'OTP (One Time Password) que l'on traduit par « Mot de passe à usage unique» prend ici la forme d'une clef de sécurité personnelle. L’identification se fait de façon nominative et individuelle à l'inverse de l’identification fonctionnelle, c'est à dire, non liée à l’utilisateur lui-même.

L’OTP est donc une réponse au besoin d’authentification forte exprimé à l’égard des applications de l’Éducation Nationale donnant accès à des données nominatives en général. Dans cette optique, il est donc nécessaire d’identifier précisément l’utilisateur qui se connecte à l’application, afin d’une part de le responsabiliser au maximum quant à l’usage qu’il fait de cette application, et d’autre part de rendre possible la nécessaire traçabilité des actions effectuées.

Le caractère personnel de la clé de sécurité est également motivé par la distinction fonctionnelle claire qu’a voulu introduire le ministère entre les notions fondamentales que sont d’un côté l’identification de l’utilisateur (« qui je suis ») et son habilitation (« ce que j’ai le droit de faire »), notions qui étaient souvent amalgamées.

Le recours à un login individuel associé à une politique d’habilitation permet ainsi une gestion beaucoup plus souple de l’accès des utilisateurs aux applications et aux données dont ils ont besoin dans leurs missions. Cela permet à l’utilisateur de conserver la même identification/authentification quelle que soit son affectation, celle-ci déterminant en revanche la nature de ses habilitations sur les applications liées à sa fonction.

Les principes fonctionnels

Une clé remise en main propre

La clé de sécurité est remise en main propre par le chargé de Remise de la Clé (RC), l'inspecteur de l'Éducation Nationale chargé de circonscription. L’étape de la remise de la clé en main propre à son porteur constitue le maillon fondamental de la chaîne de confiance garantissant un niveau d’authentification élevé.

Un code qui change toutes les minutes

La clé de sécurité, à ne pas confondre avec une clé USB, fonctionne de façon complètement autonome : aucune connexion à l'ordinateur. Elle génère un code à 6 chiffres toutes les minutes, le « code de clé ». Ce code, ajouté au code secret (appelé aussi code PIN) que l'utilisateur a choisi, constitue le mot de passe d'accès à l'application BE1D, ou « PASSCODE ». Le «décompteur de temps » indique le temps dont dispose l’utilisateur pour saisir le code affiché sur la clé. Lorsque le temps s’est écoulé, un nouveau code s’affiche.

Restitution

Au moment de son départ définitif, de sa cessation de fonction de directeur, d'une longue période d'absence ou à l'expiration de la validité de la clé de sécurité, le détenteur restitue la clé de sécurité à l'inspecteur de l'Éducation nationale et signe le bordereau de restitution.