article

FranceConnect se décline également pour les agents de la fonction publique

Le Ministère de l’Intérieur et la DINSIC conduisent une expérimentation autour d’un FranceConnect Agent. Par rapport à FranceConnect particulier, le futur dispositif introduit une nouvelle dimension : la notion de rôle et d’habilitation des agents.

La problématique de la gestion des identifiants et des mots de passe pour accéder aux services publics en ligne n’est pas la panacée de l’internaute particulier. Elle concerne également les agents des services publics. En l’occurrence tous ceux qui doivent s’authentifier dans le cadre de leur mission auprès de multiples applications dont la gestion ne relève pas de leur administration d’appartenance. Or la gestion de ces différentes identités numériques complexifie grandement le parcours numérique des agents.

C’est dans ce contexte que la DINSIC et le Ministère de l’Intérieur étudient en ce moment la faisabilité d’une déclinaison de l’actuel FranceConnect en un FranceConnect Agent. Son but : garantir aux agents un mode d’accès unique (basé sur l’identifiant et le mot de passe utilisé au sein de leur administration) à l’ensemble des applications et services opérés à l’extérieur de leur administration d’appartenance.

Des openslab, et une expérimentation  

Après une phase d’étude ponctuée par 5 openlab, qui ont mis en évidence les principaux irritants et ont permis d’envisager une architecture cible, les deux partenaires conduiront en fin d’année un POC autour de FranceConnect Agent. Passage en revue des différents composants du dispositif.

Une étude financée par le PIA et réalisé dans le cadre du programme DcANT

 

FranceConnect Agents est un projet porté par le ministère de l'Intérieur, dans le cadre du PIA (Plan d’Investissement d’Avenir). Il fait néanmoins l’objet d’un suivi particulier de la DINISC à deux titres. D’une part il s’inscrit bien entendu dans l’écosystème Etat Plateforme & FranceConnect. D’autre part il constitue l’un des chantiers majeurs de la recommandation 1 du programme DcANT (programme de développement concerté de l’administration numérique territoriale) porté par la DINSIC).

 Le POC permettra d’évaluer la faisabilité technique de la solution proposée. Il débutera à l’autonome 2016 pour une intégration et une expérimentation de FranceConnect Agent en fin d’année.

Plusieurs partenaires sont candidats au POC (collectivité et État) : E-Bourgogne, le Sictiam, le Conseil Départemental de la Côte d'Or (CD21), le Ministère de l’Intérieur, le Ministère de et la Justice.

Principal enjeu : la gestion des habilitations

Si les deux FranceConnect  visent à identifier et à authentifier des personnes physiques, FranceConnect Agent comporte une dimension supplémentaire : la notion d’habilitation, grâce à laquelle un agent est autorisé ou non à accéder aux services. Cette composante est sûrement le volet le plus délicat de FranceConnect Agent. Elle en conditionne d’ailleurs son architecture.

UNE GESTION PROPRE À CHAQUE ADMINISTRATION

En premier lieu, la gestion des droits et des habilitations est propre à chaque organisation publique.  Elle implique différents volet, notamment des règles d’ordre politique (qui accède à quoi, qui autorise qui et dans quel cadre,…), sémantique (notions de rôles, profils, métiers,  fonctions,…) ou technique (annuaires centralisés ou multiples…). Au final, la gestion des droits n’a jamais fait l’objet d’une normalisation entre organismes publics.

Autre difficulté : la notion même de rôle est parfois protéiforme. A l’image d’un agent au service de l’Etat qui serait également maire élu de sa commune, une personne peut cumuler plusieurs rôles. Sans compter enfin que ces rôles évoluent dans le temps (mutation ou délégation temporaire d’une nouvelle fonction de l’agent) entraînant une source de vulnérabilité des systèmes. En cause : la non désactivation ou suppression systématique des comptes des agents lorsque ceux-ci ne disposent plus d’accréditations.

Une gestion des habilitations au plus près de l’agent

Dans ce contexte, FranceConnect Agent introduit un nouveau type d’acteur : le fournisseur d’habilitation (FH). Ce dernier est situé au plus près de l’agent, c’est à dire au sein de son administration (ou opérateur de mutualisation dans les territoires). Généralement, il est couplé au FI (fournisseur d’identité), une fonction là aussi assurée par l’administration de l’agent. D’ailleurs, même si ces fonctions (FH et FI) sont distinctes, celles-ci partagent souvent la même infrastructure technique. Cette proximité avec l’agent garantit au couple FI / FH d’être perpétuellement à jour des mouvements et changement d’affectation des agents. 

Mais quel est le rôle exact de ce couple FI/FH ? Il communique les caractéristiques de l’agent au FS qui lui permettront, sur la base de sa propre politique d’accès, de vérifier que cet agent est bien autorisé à solliciter son service. Cet échange entre FH et FS sera réalisé par le biais de FCA qui agit ici comme un tiers de confiance.

Autre caractéristique primordiale sans laquelle le fournisseur de service ne saurait interpréter les données reçues : tous les FH partie-prenante dans FranceConnect Agent se seront au préalable alignés sur une norme technique d’échange rendant interopérables les caractéristiques de l’agent entre FI/FH et FS. Cette norme, ou grammaire commune, sera élaborée au cours du projet FCA qui suivra le POC.

Développer un cercle de confiance entre fournisseurs d’habilitation et de services

On l’aura compris, France Connect Agent ne se substitue pas au système de gestion des droits des fournisseurs de services qui restent maîtres de leur politique d’accès. En revanche, il garantit un cercle de confiance entre les agents, leur administration et les services externes sur lesquels ils cherchent à se connecter.

Il permet surtout à ces mêmes administrations de simplifier la gestion des comptes d’agents externes à leur organisation. Coté utilisateur, la promesse est bien la même que celle de FranceConnect particulier : faciliter drastiquement la connexion aux services externes en s’affranchissant du foisonnement d’identifiants et de mots de passe à retenir.

Cinématique de FranceConnect Agent en expérimentation

 

1) l’agent se rend sur une application d’un autre organisme public

2) il clique sur FranceConnect Agent (FCA)

3) Il choisit son FI dans une liste de FI partenaires à FCA (ministères, organisme public, collectivité, opérateur de mutualisation dans les territoires)

4) FranceConnect Agent sollicite le FI concerné

5) l’agent s’authentifie auprès de son FI

6) le FI / FH renvoie à FCA l’identité et les caractéristiques de l’agent

7) Au besoin, selon les attributs de l’agent, FCA sollicite un fournisseur d’habilitation transverse pour compléter les données nécessaires à l’habilitation finale par le FS.

8) le FS récupère ces données de FCA et autorise ou non l’agent à accéder à son service.