Une session utilisateur authentifiée par un moyen d'identification électronique conforme au référentiel doit être fermée (ou demander une nouvelle identification électronique) a minima après un certain délai d'inactivité, du fait du risque d'exploitation de la session ouverte par un tiers.
Le référentiel d'identification électronique ne définit pas de durée maximale de session afin de laisser chaque responsable de service juger, en fonction du contexte et des contraintes portant sur son service, de la durée optimale. Il doit s'agir d'un compromis justifié associé à un risque résiduel jugé acceptable.
Le référentiel d'identification électronique ne définit pas de durée maximale de session afin de laisser chaque responsable de service juger, en fonction du contexte et des contraintes portant sur son service, de la durée optimale. Il doit s'agir d'un compromis justifié associé à un risque résiduel jugé acceptable.