Identité numérique : comment se préparer aux exigences eIDAS 2.0 contre la fraude ?

Depuis près de dix ans, le règlement eIDAS constitue le socle de la confiance numérique en Europe. En encadrant l’identification électronique, l’authentification et les services de confiance (signature électronique, cachet, horodatage, etc.), il a permis l’essor de transactions numériques juridiquement reconnues à l’échelle européenne.
Mais le contexte a profondément évolué. La digitalisation massive des parcours clients et l’essor de technologies comme l’intelligence artificielle ont fait émerger une nouvelle génération de fraudes à l’identité. Deepfakes, identités synthétiques, attaques automatisées : les menaces sont plus sophistiquées, plus rapides et plus difficiles à détecter.

C’est dans ce contexte que le règlement eIDAS 2.0 et ses actes d’exécution renforcent significativement les exigences en matière de lutte contre la fraude. L’objectif est clair : garantir un haut niveau de sécurité et de fiabilité de l’identité numérique, à la hauteur des risques actuels.

Comprendre la fraude à l’identité numérique : une menace en pleine mutation

La fraude à l'identité n'est plus l'œuvre d'amateurs isolés. Elle s'est industrialisée. Aujourd'hui, les entreprises font face à des attaques hybrides combinant ingénierie sociale et technologies de pointe.

Parmi les principaux types de fraude, on retrouve notamment :

• Les attaques par présentation, consistant à tromper un système biométrique avec une photo, une vidéo ou un masque.
• Les attaques par injection, où un flux vidéo manipulé (deepfake, replay, caméra virtuelle) est injecté directement dans le système.
• Les identités synthétiques, combinant de vraies et de fausses données pour créer des profils crédibles mais inexistants.
• La fraude automatisée, facilitée par l’IA, permettant de mener des attaques à grande échelle.

Les chiffres illustrent l’ampleur du phénomène. Selon plusieurs études européennes, les tentatives de fraude à l’identité ont augmenté de plus de 30 % ces dernières années, avec une explosion des usages de deepfakes dans les parcours à distance. Gartner estime même qu’à l’horizon 2028, une part significative des interactions numériques sensibles sera confrontée à des tentatives de fraude basées sur l’IA.

Ces évolutions rendent obsolètes de nombreux dispositifs de contrôle traditionnels, conçus pour des menaces beaucoup plus simples.

Les exigences clés d’eIDAS 2.0 face à la fraude

Face à cette réalité, eIDAS 2.0 introduit une approche beaucoup plus exigeante de la lutte contre la fraude à l’identité, en particulier pour les parcours à fort enjeu.

Une preuve d’identité à distance plus robuste

Les actes d’exécution imposent des processus d’identification renforcés, capables de garantir que la personne à distance est bien celle qu’elle prétend être. Cela implique :

• des contrôles documentaires fiables
• une vérification du lien entre l’utilisateur et son identité (holder binding)
• des mécanismes avancés de détection du vivant

La simple collecte de documents ou l’authentification basique ne suffisent plus. Les solutions doivent démontrer leur résistance aux attaques les plus sophistiquées.

Les niveaux d’assurance : faible, substantiel, élevé

eIDAS repose sur une logique de niveaux d’assurance :

• Faible : adapté aux usages à risque limité.
• Substantiel : pour des parcours nécessitant un niveau de sécurité renforcé.
• Élevé (High) : requis pour les cas d’usage les plus sensibles.

Atteindre le niveau élevé implique des contrôles techniques et organisationnels stricts, des preuves solides et une capacité démontrée à résister aux fraudes avancées, notamment biométriques. Pour les parcours critiques (signature qualifiée, services de confiance), ce niveau devient une nécessité.

Des exigences accrues pour les prestataires et fournisseurs de solutions

eIDAS 2.0 renforce également les obligations pesant sur :

• les Prestataires de Services de Confiance (QTSP),
• les fournisseurs de solutions d’identité.

Les technologies utilisées devront être certifiées, auditées et conformes à des standards reconnus (ISO, CEN, ETSI). La conformité ne sera plus déclarative : elle devra être démontrée, documentée et vérifiable.

Le rôle clé de la biométrie faciale certifiée ISO et CEN

Dans le cadre d’eIDAS 2.0, la biométrie faciale s’impose progressivement comme un pilier central de la lutte contre la fraude à l’identité, en particulier pour les parcours à distance. Mais toutes les solutions biométriques ne se valent pas : la réglementation européenne met désormais l’accent sur des technologies certifiées, capables de démontrer objectivement leur niveau de sécurité.

C’est précisément le rôle des standards internationaux et européens :

• ISO/IEC 30107-3 : ce standard définit les exigences et méthodes de test pour la détection des attaques par présentation (PAD), comme l’utilisation de photos, vidéos ou masques.
• CEN/TS 18099 : ce standard européen cible la détection des attaques par injection (IAD), incluant les deepfakes, les flux vidéo injectés ou les replays numériques.

Dans la logique d’eIDAS 2.0 et des spécifications techniques associées (notamment ETSI 119 461), l’atteinte du niveau d’assurance “High” implique le recours à des solutions biométriques robustes et certifiées. Les actes d’exécution renforcent ainsi une tendance de fond : la sécurité biométrique ne peut plus reposer sur des promesses technologiques, mais sur des preuves de conformité mesurables.

Pour les prestataires de services de confiance et les acteurs de l’identité numérique, intégrer des solutions biométriques certifiées ISO et CEN devient donc un levier essentiel de conformité, mais aussi un moyen de renforcer durablement la confiance des utilisateurs et des régulateurs.

Conclusion : 

eIDAS 2.0 marque un tournant dans la lutte contre la fraude à l’identité numérique en Europe. Dans un contexte où les attaques deviennent plus intelligentes et plus difficiles à détecter, la confiance ne peut plus reposer sur des mécanismes obsolètes.

Se préparer dès aujourd’hui, c’est sécuriser ses parcours, protéger ses utilisateurs et garantir sa conformité future. Plus qu’une contrainte réglementaire, eIDAS 2.0 doit être vu comme une opportunité de renforcer durablement la confiance numérique.

‍