Passer au contenu principal
US flag Un site web officiel du gouvernement des États-Unis

Les principes du guide de mise en œuvre de l'identité

Axé sur les besoins des utilisateurs

  • Identifier vos auditoires potentiels
  • Comprendre les expériences de connexion et identifier les besoins de vos auditoires
  • Mener des recherches avant de bâtir ou de mettre en œuvre un système
  • Tester votre produit pour identifier les points morts ou les domaines qui nécessitent une amélioration
  • Lorsque les meilleures pratiques actuelles ne sont pas assez bonnes pour vos utilisateurs, testez de nouvelles solutions et aidez à guider l'adoption.

Résoudre des problèmes réels pour les utilisateurs potentiels doit être l’objectif principal de tout système et est doublement important dans la construction d’un système de gestion d’identité. Tout au long de ce guide, vous constaterez à quel point les besoins des utilisateurs constituent un principe directeur pour chaque prise de décision.

Une des premières étapes que vous devez effectuer est d’identifier vos utilisateurs principaux. Pour login.gov, nous avons identifié deux groupes comme étant nos utilisateurs principaux: le public et les experts en technologie faisant partie des agences gouvernementales. L’objectif pour le système en soi est de fournir de l’assistance et de répondre aux besoins du public. En bref, nous souhaitons nous assurer que notre système rend les gens à l’aise avec la connexion aux services gouvernementaux. Le public doit avoir confiance que login.gov se comporte comme prévu et qu’il ne les décevra pas. Le système doit aussi aborder l’expérience entière des utilisateurs alors qu’ils tentent d’accomplir leurs objectifs. Parce que la vérification de l’identité et l’authentification sont technologiquement complexes, il est probable que même les personnes les plus aguérries en ce qui a trait aux technologies peuvent rester piégées si leur téléphone est perdu ou si un système comporte des erreurs. Alors, en soutien à la mission de chaque agence, les architectes et les concepteurs des systèmes de gestion de l’identité doivent anticiper les points probables de friction afin que les utilisateurs ne perdent pas leur accès aux services et aux avantages.

Les agences doivent identifier la portion du public qu’elles desservent et comment les services peuvent être bâtis pour répondre spécifiquement à leurs besoins. Ceci aidera les équipes d’intégration des agences à comprendre ce dont ils ont besoin si elles décident de mettre en œuvre la plate-forme login.gov ou tout autre système de gestion d’identité du consommateur.

Enfin, vous devez constamment tester les designs et outils au moment où ils sont prêts à être partagés et ensuite ajuster votre projet en fonction de ce que vous avez appris. Dans certains cas, nous apprenons que les meilleures pratiques actuelles ne sont pas adéquates. Et dans ces cas, nous sommes poussés à essayer de nouvelles façons de donner aux utilisateurs la meilleure expérience possible. Ce processus implique plus de tests, l’éducation des utilisateurs et une volonté à itérer.

Il existe un nombre de méthodes de conception spécifiques que nous mettons en pratique pour demeurer axés sur l’utilisateur et vous pouvez lire au sujet de tous ces processus et les utiliser en passant en revue le 18F Design Methods.

Être transparent sur le fonctionnement

  • Impliquez des experts, des intervenants et le public tôt et souvent
  • Expliquez comment et pourquoi vous recueillez, partagez et stockez des données
  • Créez une politique de confidentialité à laquelle tous peuvent accéder et que tous peuvent comprendre
  • Créez une politique de confidentialité inclusive et informative

Travailler de façon transparente et créer un système transparent devrait être la façon dont toute agence travaille pour bâtir ou mettre en œuvre un système de gestion d’identité. Pour exécuter ce principe avec login.gov, nous bâtissons la plate-forme de manière à ce que les parties intéressées puisse nous conseiller sur les meilleures pratiques afin que nous demeurions responsables envers le public et envers nos partenaires de toutes les agences gouvernementales. De plus, cela signifie qu’un système qui indique aux utilisateurs ce qu’il fait de leur information dans le but de créer une responsabilisation et établir une confiance. Nous impliquons les utilisateurs et autres parties intéressées par le biais de notre référentiel GitHub et travaillons à la création de forums publics où les utilisateurs peuvent discuter de notre travail.

Afin de rendre un système de gestion d’identité transparent pour les utilisateurs finaux, le système doit inclure des fonctionnalités qui éduquent les gens sur la façon dont le système fonctionne, pourquoi il fonctionne de cette façon et de quelle manière ils peuvent contrôler ce qui advient de leurs données. Vous devriez aussi informer les utilisateurs de l’information qui est requise par une agence pour la connexion à un service. Il est aussi important d’informer les utilisateurs de quelle information vos systèmes stockeront et si toute donnée est partagée avec les autres agences. Si les gens qui utilisent le système ne sont pas à l’aise avec le partage d’information, ils ne doivent pas être obligés de participer.

login.gov travaille pour mettre en œuvre toutes ces fonctionnalités ayant pour but d’améliorer la transparence. De plus, pour aider les gens à comprendre tout le processus, nous créons une politique de confidentialité qui explique comment les données sont partagées et ce que signifie de choisir l’option de retrait.

Bâtir un produit flexible

  • Développer le produit en sprints et évaluer son efficacité après chaque sprint
  • Communiquer continuellement avec les parties prenantes et les experts afin d'évaluer les besoins et les mesures de succès
  • Tester votre produit auprès des utilisateurs de façon continuelle au fur et à mesure que vous ajoutez de nouvelles fonctionnalités et raffinez les fonctionnalités existantes
  • Définir ce qu'un produit minimal viable est pour vos besoins de gestion d'identité
  • Planifier une évolution basée sur une technologie et des normes changeantes

La technologie et les normes pour de la vérification d’identité peuvent changer rapidement. La gestion de l’identité du consommateur doit s’adapter rapidement aux normes changeantes et réagir aux nouvelles menaces à la sécurité. Afin de rendre l’adaptation aux nouvelles politiques et aux capacités possible, il s’agit d’une bonne pratique de bâtir des produits en utilisant des méthodes agiles qui tiennent compte des versions changeantes. En d’autres termes, planifier les modifications pour aider votre service d’identité à être aussi à jour et conforme que possible aux normes et politiques actuelles.

Nous adhérons à ce principe pour chaque aspect des projets qui construisent login.gov.

Lisez ce guide des principes et pratiques agiles élaborés par l’équipe 18F pour en savoir plus sur ce que signifie de travailler de façon agile.

Utiliser des pratiques de confidentialité modernes

  • Stockez aussi peu de renseignements permettant d'identifier une personne que possible
  • Donnez au utilisateurs les moyens d'atteindre leurs objectifs
  • Donnez aux utilisateurs le contrôle de leurs données

Les systèmes de gestion d’identité stockent l’information personnelle sur les utilisateurs afin que les gens n’aient pas à répéter sans cesse les processus de vérification et d’authentification. Toutefois, recueillir et stocker de l’information personnelle sou;ève des questions éthiques et légales que les concepteurs de systèmes et les développeurs doivent considérer. Souvent, ce qui vient d’abord à l’esprit sont les questions techniques sur la sécurité : la protection de l’information contre les usages non autorisés et illégaux. Toutefois, nous devons aussi nous préoccuper des usages autorisés et légaux de l’information personnelle qui violent les attentes des utilisateurs en matière de confidentialité. Les utilisateurs de login.gov doivent être assurés que nous gérons leur information personnelle de façon respectueuse et appropriée.

La première étape est de recueillir seulement l’information dont vous avez absolument besoin. Et c’est ce que fait login.gov. La vérification d’identité à assurance élevée pour les tâches sensibles requiert une collecte d’information exhaustive. Cependant, de nombreuses activités ne requièrent pas des niveaux élevés d’assurance (NEA) et login.gov prend en charge différents LOA afin que les agences puissent clairement délimiter leurs utilisateurs qui ont besoin d’un niveau de sécurité plus bas de ceux qui ont des besoins plus sensibles tout en assurant l’utilisabilité et la sécurité des données. Minimiser la quantité d’information recueillie et stockée ne réduit pas seulement les risques liés à la sécurité; cela réduit aussi pour les utilisateurs les craintes liées à la réutilisation et la divulgation.

La prochaine étape est de donner aux utilisateurs autant de contrôle que possible sur l’information qui est partagée. Nous croyons fermement que les gens possèdent leurs propres données, pas nous, et nous agirons toujours en conséquence. Si les utilisateurs ne sont pas à l’aise avec les demandes de données pour l’utilisation du système, ils doivent savoir qu’ils n’ont pas à s’inscrire et qu’il existe d’autres moyens d’atteindre leurs objectifs.

Au fur et à mesure que nous faisons la conception de login.gov, nous travaillons également à éduquer les utilisateurs pour les aider à sécuriser leurs propres données. Nous souhaitons que les gens comprennent pourquoi nous devons demander certains types d’information, comme les numéros de sécurité sociale, et comment nous les utilisons.

Créer des systèmes de sécurité réactifs

  • Identifier les meilleures pratiques de l'industrie et s'y conformer
  • Se conformer aux règlementations fédérales comme FISMA et FedRamp
  • Mettre en place des systèmes pour effectuer une surveillance et une détection de la fraude
  • Utiliser des techniques modernes de chiffrement dans toute la pile technologique
  • Stocker seulement la quantité minimale nécessaire de données
  • Aider les utilisateurs à comprendre les mesures de sécurité qu'ils doivent effectuer

Comprendre qui essaie d’accéder à l’information personnelle et s’assurer que seuls utilisateurs autorisés obtiennent l’accès à cette information sont les clés de la gestion d’identité du consommateur. Les systèmes comme ceci existent pour sécuriser l’identité de l’utilisateur contre ceux qui cherchent à commettre du vol ou de la fraude.

Être délibéré à propos de la sécurité signifie de concentrer notre attention sur ce qui doit être protégé. Cela signifie de réfléchir attentivement aux moyens possibles pour équilibrer protection et accessibilité. Y parvenir avec succès comprend d’éduquer les utilisateurs sur les moyens qu’ils peuvent utiliser pour se protéger ou mitiger les effets du crime.

Dans le cas de login.gov, par exemple, nous devons décider exactement quelles données nous stockons et pour combien de temps. Nous devons aussi décider quelles étapes les utilisateurs doivent suivre pour accéder à leur information. Toutes ces décisions nécessitent une délibération attentive afin de déterminer la meilleure option pour les utilisateurs autant que pour les agences et assurer une fonctionnalité maximale.

Pour la construction de login.gov, nous adhérons aux normes mises de l’avant par le National Institute of Standards and Technology (NIST 800-63-2) nous adapterons les nouveaux projets de normes (NIST 800-63-3) au fur et à mesure qu’elles deviennent finales. Les projets de normes adoptent une approche très différente de l’authentification et de la vérification de l’identité (comment une personne se connecte-t-elle et comment vérifie-t-elle son identité) de celle de la version actuelle. De plus, nous adhérons aux meilleures pratiques du gouvernement incluant FedRAMP, en bâtissant dans la transparence et en menant des évaluations de sécurité rigoureuses et routinières en plus d’assurer la conformité au Federal Information Security Management Act (FISMA).