Certifications

iProov prend très au sérieux la conformité et respecte un large éventail de normes industrielles.

Alliance FIDO

iProov Dynamic Liveness® est le la première solution au monde certifiée FIDO pour la vérification faciale à distance, accrédité par Ingenium Biometrics.

Qu'est-ce que la certification FIDO Face Verification ?
La certification FIDO Face Verification est le programme d'évaluation le plus rigoureux qui évalue la fiabilité, la facilité d'utilisation et la sécurité de la systèmes de vérification d'identité .

Pourquoi la vérification faciale FIDO est-elle importante ?
Dynamic Liveness a fait l'objet d'une évaluation approfondie de ses capacités de reconnaissance faciale et de détection de la vitalité, conformément aux normes ISO 19795 et ISO 30107. La technologie a bloqué tous les types d' attaque par présentation, telles que les photos, les masques, les morphings faciaux, les vidéos et les deepfakes présentés.

La certification FIDO atteste de la robustesse de la solution, confirmant sa capacité de défense inégalée contre les menaces en constante évolution tout au long du cycle de vie de l'identité. Elle établit une norme de qualité et met en avant la capacité des fournisseurs à protéger les consommateurs contre les attaques par présentation et les deepfakes présentés, en remplaçant les allégations propriétaires relatives à l'atténuation des attaques par des indicateurs de performance vérifiés de manière indépendante pour le taux de correspondance de présentation des attaques par usurpation (IAPMR) et le taux de faux rejets (FRR).

iBeta

ISO 30107-3 testé par iBeta

Les technologies Dynamic Liveness et Express Liveness® d'iProov sont conformes à la norme ISO/IEC 30107-3:2017 pour les tests de détection des attaques de présentation (PAD) de niveaux 1 et 2.

Qu'est-ce que les tests iBeta selon la norme ISO/IEC 30107-3 ?
iBeta est un laboratoire d'essais biométriques accrédité par le NIST NVLAP (code de laboratoire d'essais NVLAP 200962-0). Le service d'assurance qualité d'iBeta a réalisé des tests PAD conformément à la norme ISO/IEC 30107-3. La norme ISO/IEC 30107-3:2017 définit :

• Principes et méthodes d'évaluation des performances des mécanismes de détection des attaques de présentation ;
• Rapport sur les résultats des tests d'évaluation des mécanismes de détection des attaques de présentation ;
• Classification des types d'attaques connus

Pourquoi la certification iBeta est-elle importante ?
Depuis 2012, iBeta réalise des tests biométriques en tant que laboratoire tiers indépendant. Lors de ses tests de la technologie d'iProov, iBeta n'a pas réussi à obtenir un accès non autorisé à l'aide d'attaques par présentation (PA), ce qui a donné un taux de réussite global des PA de 0 %, ce qui équivaut à un taux global combiné de correspondance de présentation lors d'attaques par usurpation d'identité (IAMPR) de 0 %. Cela fournit une preuve de référence, prête pour un audit, que le système est capable de distinguer les utilisateurs réels des photos, vidéos et masques de haute qualité. Ces tests indépendants renforcent la sécurité des solutions d'assurance d'iProov.

ISO/IEC 19795-1:2006

La technologie iProov est conforme à la norme ISO/IEC 19795-1:2006 et est contrôlée par le Laboratoire national de physique (NPL) du Royaume-Uni.

Qu'est-ce que la norme ISO/IEC 19795-1:2006 ?
Le NPL développe et améliore des méthodologies d'évaluation des performances des systèmes biométriques, en menant des évaluations et en fournissant des conseils techniques sur les performances de ces systèmes, afin de parvenir à une reconnaissance plus robuste et plus précise. La méthodologie d'iProov pour tester les performances de vérification biométrique est conforme aux exigences pertinentes de la norme ISO/IEC 19795-1:2006, et ces méthodologies de test de la détection des attaques par présentation sont conformes à la norme ISO/IEC 30107-3:2017.

Que signifie la conformité à la norme ISO/IEC 19795-1:2006 ?
Cette certification atteste que les principes et méthodes d'iProov garantissent l'efficacité de ses mécanismes de détection des attaques par présentation, qui sont conformes à la norme ISO/IEC 19795-1:2006.

ISO/IEC 19795-1:2006

La technologie iProov est conforme à la norme ISO/IEC 19795-1:2006 et est contrôlée par le Laboratoire national de physique (NPL) du Royaume-Uni.

Qu'est-ce que la norme ISO/IEC 19795-1:2006 ?
Le NPL développe et améliore des méthodologies d'évaluation des performances des systèmes biométriques, en menant des évaluations et en fournissant des conseils techniques sur les performances de ces systèmes, afin de parvenir à une reconnaissance plus robuste et plus précise. La méthodologie d'iProov pour tester les performances de vérification biométrique est conforme aux exigences pertinentes de la norme ISO/IEC 19795-1:2006, et ces méthodologies de test de la détection des attaques par présentation sont conformes à la norme ISO/IEC 30107-3:2017.

Que signifie la conformité à la norme ISO/IEC 19795-1:2006 ?
Cette certification atteste que les principes et les méthodes d'iProov garantissent l'efficacité de ses mécanismes de détection des attaques par présentation, qui sont conformes à la norme ISO/IEC 19795-1:2006.

eIDAS

eIDAS EN 319-401, ainsi que des certifications modulaires ;signature électronique (eSig) de niveau « qualifié » et assurance eID de niveau « élevé ». En raison des audits eIDAS annuels, également conforme à l'article 24, paragraphe 1, point d), de la 5e directive sur le blanchiment de capitaux (AMLD5). Pour cette exigence, notredéclaration de pratiques en matière de services de confianceest accessible au public.

Qu'est-ce que l'eIDAS ?
L'eIDAS (services d'identification, d'authentification et de confiance électroniques) est un règlement de l'Union européenne relatif à l'identification électronique et aux services de confiance pour les transactions électroniques au sein du marché unique européen. L'évaluation de la conformité indépendante relève du règlement (UE) n° 910/2014, tel que modifié par le règlement (UE) n° 2024/1183 (eIDAS 2), qui introduit le cadredu portefeuille d'identité numérique européen(EUDI Wallet).

Pourquoi la conformité à l'eIDAS est-elle importante ?
Les solutions basées sur iProov sont conformes aux normes ETSI EN 319 401 et ETSI EN 319 411-1/2, et ont été certifiées par des auditeurs indépendants, notamment TÜV Austria CERT GmbH et Ernst & Young, pour leur conformité à la clause 23 (d) de l'eIDAS. De plus, la certification modulaire d'iProov a été auditée au niveau « Qualified » pour l'eSig et au niveau d'assurance « High » pour l'eID. iProov est également conforme à l'article 24 (1) d de la directive AMLD5. Ces audits rigoureux garantissent la fiabilité et la solidité des solutions, réduisent les frais généraux opérationnels des organisations liés à des processus d'audit distincts et accélèrent la mise sur le marché.

DIATF (Gamma) du Royaume-Uni

iProov estcertifié au titre du cadre britannique « Digital Identity and Attributes Trust Framework » (DIATF), version 0.4 gamma, après avoir été évalué par Kantara, l'organisme d'évaluation de la conformité. Le certificat de conformité a été délivré le 16 octobre 2025 et est valable jusqu'au 16 octobre 2028. Pour plus d'informations,consultez notre page gov.uk consacrée auxservices d'identité numérique et d'attributs ici.

Qu'est-ce que le DIATF britannique ?
Le DIATF est le cadre mis en place par le gouvernement britanniquequi définit les règles relatives aux services d'identité numérique et d'attributs sécurisés et fiables. La certification est délivrée à l'issue d'une évaluation indépendante réalisée par un organisme d'évaluation de la conformité accrédité et est publiée dans le registre officiel sur le site gov.uk.

Pourquoi la certification DIATF d'iProov est-elle importante ?
iProov ID est certifié en tant que service d'identité dans le rôle de « Holder », configuré comme service sous-jacent pour les produits partenaires. Il répond au profil d'identité M1C au niveau « Medium », avec une qualité « High » pour l'authentificateur et une qualité « Very High » pour la protection. Cela garantit une assurance d'identité conforme aux exigences gouvernementales, adaptée au secteur public britannique et aux cas d'utilisation réglementés, et facilite l'intégration avec d'autres écosystèmes d'identité britanniques de confiance.

iRAP

Certifié conforme au programme iRAP (Information Security Registered Assessor Program) en Australie. A obtenu le niveau IPD 3 (Identity Proofing Level 3), soit le niveau le plus élevé.

Qu'est-ce que l'iRAP ?

Le programme des évaluateurs agréés en sécurité de l'information permet aux clients du gouvernement australien de vérifier que des mesures de contrôle adéquates sont en place et de déterminer le modèle de responsabilité approprié pour répondre aux exigences du Manuel de sécurité du gouvernement australien (ISM), élaboré par le Centre australien de cybersécurité (ACSC).

Pourquoi l'iRAP est-il important ?
L'évaluation iRAP garantit que les contrôles, les personnes, les processus et les technologies sont suffisamment solides pour protéger le gouvernement australien contre les violations de données. iProov permet aux citoyens d'effectuer en toute sécurité un test de vérification de la présence physique (proof of liveness) au niveau trois de vérification d'identité (IP3), nécessaire pour accéder aux services publics. L'IP3 est le niveau d'assurance le plus élevé et est requis pour empêcher la création d'identités frauduleuses. Dans le cadre du dispositif d'identité numérique de confiance (TDIF) du gouvernement australien, l'IP3 exige un « haut niveau de confiance » dans l'identité déclarée et est destiné aux services présentant un risque de conséquences graves en cas de fraude.

NIST SP 800-63-4 Lignes directrices sur l'identité numérique

iProov est le premier et le seul fournisseur à avoir été validé de manière indépendante comme répondant aux exigences de vérification biométrique de la norme NIST SP 800-63-4. Cela inclut la réussite de tests accrédités ISO portant sur la détection des attaques par injection (IAD) contre les deepfakes et autres attaques générées par l'IA.

Qu'est-ce que la norme NIST SP 800-63-4 ?
La norme NIST SP 800-63-4 est une publication fédérale américaine qui définit les normes techniques et de sécurité applicables aux systèmes d'identité numérique. Elle précise la manière dont les organisations doivent vérifier l'identité d'une personne en ligne, en particulier dans le cadre de transactions à haut risque. La dernière mise à jour introduit des dispositions spécifiques visant à lutter contre les menaces émergentes telles que les deepfakes et autres attaques générées par l'IA, et impose une authentification résistante au phishing pour les scénarios à haut niveau de sécurité (AAL3).

Pourquoi la conformité à la norme NIST SP 800-63-4 est-elle importante ?
La conformité d'iProov est établie de manière indépendante grâce à la combinaison de la certification FIDO Face Verification (détection des attaques par présentation), de la norme CEN/TS 18099 avec Ingenium niveau 4 (détection des attaques par injection), de la conformité aux WCAG 2.2 AA en matière d'accessibilité, ainsi que de certifications complémentaires en matière de cybersécurité et de confidentialité. Ces directives sont largement reconnues à l'échelle mondiale comme une référence en matière de systèmes d'identité numérique sécurisés et fiables. Leur respect nécessite des tests rigoureux des systèmes biométriques en matière de précision, de résistance à l'usurpation, de facilité d'utilisation et d'équité, ce qui réduit les risques liés à l'identité et à la fraude et accélère la validation de la sécurité, de la conformité et de l'architecture.

CEN/TS 18099

iProov Dynamic Liveness est la première et unique solution biométrique à satisfaire à la fois à la spécification CEN/TS 18099 High et au niveau 4 d'Ingenium en matière de détection des attaques par injection, grâce à des tests indépendants accrédités ISO/IEC 17025, établissant ainsi une nouvelle référence dans le secteur en matière de résilience face aux deepfakes et aux attaques par injection.

Contrairement aux attaques par présentation, les attaques par injection ne sont pas physiquement présentées à la caméra de l'appareil ; elles sont plutôt injectées dans le flux de données. Les attaques par injection constituent une menace plus évolutive et plus dangereuse.

Cette évaluation confirme de manière indépendante notre résistance aux attaques par injection, offrant ainsi une garantie que de nombreuses autres solutions ne sont pas en mesure d'apporter.

Qu'est-ce que la norme CEN/TS 18099 ?
La norme CEN/TS 18099 est la première spécification technique officielle dédiée à l'évaluation de la résistance des systèmes biométriques aux attaques par injection, publiée par le Comité européen de normalisation. Ingenium Level 4 s'appuie sur la norme CEN/TS 18099 en prolongeant la durée des tests actifs et en incluant des types d'attaques complexes et fortement pondérées. Cette certification remplace les déclarations des fournisseurs ou leurs cadres d'assurance propriétaires.

Pourquoi la norme CEN/TS 18099 avec Ingenium Level 4 est-elle importante ?
Au cours de plus de 40 jours de tests indépendants menés par les laboratoires biométriques Ingenium, accrédités ISO/IEC 17025, aucune méthode d'attaque par injection n'a pu être mise au point avec succès contre la technologie iProov Dynamic Liveness. Le taux d'erreur de classification de présentation authentique (BPCER), c'est-à-dire le taux de rejet des utilisateurs légitimes, s'élevait à 1,3 %, soit un résultat douze fois supérieur au maximum requis de 15 %. La norme CEN/TS 18099 comble une lacune critique au-delà des tests d'attaques par présentation en validant la résilience aux attaques par injection avant le déploiement, évitant ainsi des mesures correctives coûteuses.

SOC 2 Type II
iProov est certifié SOC 2 Type II.

Qu'est-ce que la norme SOC 2 Type II ?

La certification SOC 2 repose sur un ensemble de critères appelés « principes des services de confiance », à savoir : la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée au sein du système du prestataire de services. Les rapports SOC 2 de type II sont les plus complets des « trois SOC ». Cette certification garantit que le système du prestataire de services est conçu avec des contrôles organisationnels adaptés afin d'assurer la sécurité des informations sensibles dans le cloud.

Pourquoi la certification SOC 2 Type II est-elle importante ?
La certification SOC 2 fournit des informations détaillées et une assurance quant aux contrôles mis en place par iProov concernant la sécurité, la disponibilité et l'intégrité du traitement des systèmes que nous utilisons pour traiter les données des utilisateurs, ainsi que la confidentialité et la protection des informations traitées par ces systèmes.

ISO/IEC 27001:2022

iProov met en œuvre un système de gestion de la sécurité de l'information (SGSI) certifié, conforme à la norme ISO/IEC 27001:2022, la norme internationale en matière de sécurité de l'information.

Qu'est-ce que la norme ISO/IEC 27001:2022 ?
La norme ISO/IEC27001 est la principale norme internationale en matière de gestion de la sécurité de l'information. La certification atteste qu'une organisation met en œuvre un système de gestion de la sécurité de l'information (SGSI) documenté et faisant l'objet d'audits réguliers, qui couvre les personnes, les processus et les technologies, et qui est conforme aux meilleures pratiques internationales.

Pourquoi la certification ISO/IEC 27001:2022 est-elle importante ?
La certification indépendante réduit les risques liés à la sécurité des fournisseurs grâce à une gouvernance de la sécurité à l'échelle du système, ce qui permet d'accélérer la diligence raisonnable en matière de sécurité à l'aide d'un cadre de contrôle reconnu à l'échelle mondiale.

CSA STAR (niveau 2)

iProov détient Certification CSA STAR de niveau 2 pour la gestion de la sécurité dans le cloud.

Qu'est-ce que CSA STAR ?
CSA STAR(Security, Trust, Assurance, and Risk) est un programme de certification indépendant mis en place par la Cloud Security Alliance. Le niveau 2 atteste, à l'issue d'une évaluation réalisée par un organisme tiers, que la gestion de la sécurité du cloud est conforme à la matrice des contrôles de sécurité du cloud (CSA Cloud Controls Matrix).

Pourquoi le niveau 2 de CSA STAR est-il important ?
CSA STAR offre une assurance spécifique au cloud qui va au-delà des certifications de sécurité génériques. Il simplifie l'évaluation des risques liés au cloud en s'alignant directement sur les attentes en matière de sécurité du cloud, facilitant ainsi les processus d'audit pour les équipes chargées des achats et de la sécurité.

Cyber Essentials

iProov est certifié Cyber Essentials, la norme de référence en matière de cybersécurité soutenue par le gouvernement britannique.

Qu'est-ce que Cyber Essentials ?
Cyber Essentials est un programme de certification du gouvernement britannique qui atteste qu'une organisation a mis en place des mesures de sécurité techniques de base pour se prémunir contre les cyberattaques les plus courantes, automatisées et menées via Internet.

Que signifie la certification Cyber Essentials ?
La certification Cyber Essentials atteste que les mesures de cybersécurité de base sont en place, ce qui réduit l'exposition aux menaces évitables. Elle répond aux exigences en matière de marchés publics du secteur public britannique et des PME, tout en minimisant les coûts liés aux contrôles de sécurité.

Enregistré auprès de la FSQS

iProov est enregistrée auprès du Système de certification des services financiers (FSQS).

Qu'est-ce que le FSQS ?
Le FSQS est une communauté d'établissements financiers britanniques qui collaborent dans le domaine de la qualification des fournisseurs. L'inscription atteste qu'un fournisseur satisfait aux critères de préqualification portant sur les risques, la conformité et les aspects opérationnels liés aux services financiers.

Pourquoi l'inscription au FSQS est-elle importante ?
L'inscription au FSQS accélère la mise en place de relations avec les clients du secteur des services financiers en s'appuyant sur une plateforme de vérification préalable des fournisseurs reconnue dans l'ensemble du secteur, ce qui réduit le recours à des questionnaires sur mesure destinés aux fournisseurs.

ISO 9001:2015

iProov met en œuvre un système de gestion de la qualité (SGQ) certifié, conforme à la norme ISO 9001:2015.

Qu'est-ce que la norme ISO 9001:2015 ?
La norme ISO 9001 est la norme internationale relative aux systèmes de management de la qualité. La certification atteste qu'une organisation dispose de processus efficaces pour assurer la fourniture constante de services, le contrôle et l'amélioration continue.

Que signifie la certification ISO 9001:2015 ?
La norme ISO 9001 améliore la prévisibilité des résultats en matière de livraison et de service à grande échelle. Elle garantit aux clients que les problèmes sont systématiquement gérés, examinés et corrigés.

W3C WCAG 2.2 AA, Section 508 et Loi européenne sur l'accessibilité (EAA)

Les solutions iProov sont conformes aux directives WCAG 2.2 AA du W3C, à la section 508 de la législation américaine et à la loi européenne sur l'accessibilité (EAA).

Que sont les WCAG 2.2 AA, la section 508 et l'EAA ?
Les directives WCAG 2.2 AA (Web Content Accessibility Guidelines) constituent un ensemble de recommandations visant à rendre le contenu Web plus accessible, principalement pour les personnes en situation de handicap. La section 508 de la loi américaine a été promulguée afin d'éliminer les obstacles dans le domaine des technologies de l'information, d'offrir de nouvelles opportunités aux personnes handicapées et d'encourager le développement de technologies contribuant à la réalisation de ces objectifs. La loi européenne sur l'accessibilité (EAA), qui entrera en vigueur en juin 2025, harmonise les exigences en matière d'accessibilité dans les États membres de l'UE pour les produits et services, y compris l'identité numérique.

Que signifient ces normes d'accessibilité ?
Le système iProov ne nécessite pas de « test de fonction cognitive » : il n'y a pas d'instructions complexes à lire, à comprendre ou à exécuter pour l'utilisateur – il suffit à celui-ci de regarder l'appareil pour s'authentifier. La conception centrée sur l'utilisateur maximise l'inclusivité, offrant la possibilité d'intégrer ou d'authentifier les utilisateurs plus rapidement, grâce à un processus simple et sécurisé. Cela réduit les risques juridiques, réglementaires et de réputation liés à la conformité en matière d'accessibilité et améliore les taux de réussite en garantissant que les utilisateurs en situation de handicap (généralement 16 % de la base d'utilisateurs) puissent mener à bien leurs parcours numériques. Un modèle de déclaration volontaire d'accessibilité des produits ou une déclaration d'accessibilité de l'UE est disponible sur demande. En savoir plus sur les WCAG 2.2.

eID

iProov est certifié eID. La déclaration eID d'iProov est disponible au format électronique ci-dessous.

Cliquez ici pour consulter notre certification eID

FAQ sur les certifications

Quelle est la différence entre la détection des attaques par présentation (PAD) et la détection des attaques par injection (IAD) ?
La PAD évalue si un système biométrique est capable de détecter les usurpations présentées physiquement à une caméra, telles que des photos, des masques ou des vidéos de relecture, et est régie par la norme ISO/IEC 30107-3. L'IAD évalue la résilience face aux attaques injectées directement dans le flux de données, y compris les deepfakes générés par l'IA qui contournent entièrement la caméra, et est régie par la norme CEN/TS 18099. Un fournisseur peut détenir la certification PAD sans pour autant disposer d'une résilience validée face aux attaques par injection, ce qui n'est pas suffisant dans le paysage des menaces.

Pourquoi la norme CEN/TS 18099 est-elle importante pour la vérification biométrique ?
La norme CEN/TS 18099 fournit le premier référentiel vérifiable de manière indépendante en matière de résilience face aux attaquespar injection , y compris les deepfakes. En l'absence de tests conformes à la norme CEN/TS 18099, les fournisseurs s'appuient sur leur documentation interne ou sur des cadres propriétaires plutôt que sur une évaluation par un tiers conforme aux normes. Cette norme est mentionnée dans la spécification NIST SP 800-63-4 et servira de référence pour la future norme internationale ISO 25456.

Quelle est la différence entre la norme ISO/IEC 27001 et la certification SOC 2 Type II ?
La norme ISO/IEC 27001 certifie qu’une organisation met en œuvre un système de gestion de la sécurité de l’information (SGSI) documenté, conforme à un référentiel de contrôle international. La norme SOC 2 Type II évalue si les contrôles de sécurité, de disponibilité et de confidentialité fonctionnent de manière cohérente sur une période d'audit prolongée, en se concentrant sur les modalités spécifiques de mise en œuvre de ces contrôles. La détention de ces deux certifications démontre un engagement au niveau de la gouvernance et apporte la preuve opérationnelle de l'efficacité des contrôles.

Quelles certifications la norme NIST SP 800-63-4 exige-t-elle pour la vérification biométrique ?
La norme NIST SP 800-63-4 n'exige pas de certification spécifique, mais requiert des preuves en matière de résistance à l'usurpation, de précision, de facilité d'utilisation et d'équité. iProov démontre sa conformité grâce à la certification FIDO Face Verification (PAD), à la norme CEN/TS 18099 avec Ingenium niveau 4 (IAD), à la conformité aux WCAG 2.2 AA en matière d'accessibilité, ainsi qu'à des audits de cybersécurité et de confidentialité.

Conditions générales d'utilisation

Les conditions générales d'utilisation d'iProov sont disponibles ici.

Pour les partenaires ou clients potentiels, les termes et conditions sont inclus dans notre accord de service pour les partenaires, disponible sur demande.

Politique de confidentialité d'iProov

Politique de confidentialité d'iProov La politique de confidentialité peut être consultée ici

Vous pouvez en savoir plus sur le sujet de la conformité biométrique et des tests ici.