Encore un nième papier sur la signature électronique ? Non ! En toute modestie, j’espère que vous verrez ici un article informatif et didactique sur ce que peut vous apporter l’ensemble des services de confiance.
Services de confiance : des services comme les autres ?
Introduction aux Services de confiance
Certes, le Règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS) a été adopté il y a un an. Au-delà de l’aspect réglementaire tout un chacun pourra y trouver une offre de dématérialisation, promesse de ROI. Des outils variés et complémentaires apportant simplicité et productivité.
Une transition s’est effectuée vers la démocratisation des services de confiance numérique. Car il s’agit bien d’un Service, désormais entré dans le périmètre de la DSI et plus uniquement réservé au RSSI. La vision projet, restrictive, a disparu au profit d’une mise à disposition générale puisque chacun pourra se servir des dispositifs appropriés selon ses besoins.
Signature et cachet
Le règlement Eidas, c’est surtout l’avènement de la signature électronique de la personne morale, aussi appelée cachet électronique.
Depuis longtemps, la signature numérique permet de garantir l’intégrité d’un document et d’en authentifier l’auteur. Grâce au cachet électronique, les organismes privés ou publics (entreprises, associations, administrations) sont désormais autorisés à signer des documents en leur nom. Ces documents numériques ont la même valeur probante que les documents papier. Par conséquent, ils sont recevables comme preuve en justice en cas de litige.
Ce principe, qui confère une véritable identité numérique, mérite d’être expliqué…
Le Cachet Serveur est un certificat électronique permettant la signature de documents dématérialisés, tels que factures ou contrats, au nom d’une personne morale.
L’apposition du cachet du serveur peut également servir d’accusé de réception de documents. Le certificat cachet serveur se présente sous forme logicielle ou sur support cryptographique stocké dans un boîtier HSM (module matériel de sécurité).
Le cachet serveur peut servir à de nombreux usages :
• Certifier la provenance des fichiers
• Sceller électroniquement le contenu des documents
• Sécuriser les échanges entre partenaires
• Etc.
Ce processus numérique s’approche de celui d’une signature électronique mais tous les deux diffèrent sur un point notable : l’apposition d’un cachet sur un document est réalisée non pas par une personne physique mais par un équipement informatique positionné côté serveur et portant l’identité de l’entité considérée. C’est pourquoi on parle de « cachet serveur ».
Selon l’annexe A1 du Référentiel Général de Sécurité, seule une personne physique peut signer électroniquement. En effet, le RGS définit la signature et le cachet comme des fonctions de sécurité apportant de la confiance dans les échanges dématérialisés mais précise que le terme cachet est utilisé par un service applicatif, se différenciant ainsi de la signature électronique.
Les deux mécanismes peuvent bien entendu coexister et se compléter selon les situations. On pourra ainsi imaginer la proposition d’un contrat certifié et scellé via un cachet serveur puis signé électroniquement par un client et enfin archivé sans contestation possible sur son intégrité.
Généralement, chaque cachet est accompagné d’un horodatage conforme aux normes en vigueur (qualification RGS, certification ETSITS).
Les autres services de confiance
Au-delà des fonctions de signature/cachet et d’horodatage, une plate-forme de confiance complète offre un ensemble de services de sécurité permettant aux clients de focaliser leurs efforts sur le développement des nouveaux services et applications métiers, et cela, indépendamment des contraintes techniques liées à l’intégration des services génériques de sécurité.
Cela ne vous apprendra peut-être rien, mais un rappel est quand même parfois utile…
• Le service d’archivage électronique prendra la forme d’un coffre-fort à valeur probante. Il permettra d’enregistrer les données utilisateurs ou du système d’information client afin de les sauvegarder et de les conserver.
• Le service d’horodatage se chargera de sceller (par un moyen cryptographique) l’empreinte d’une donnée ou d’une signature électronique en y rattachant une indication de temps sûre, et cela afin de lui conférer la capacité à être utilisée comme procédé de preuve d’antériorité.
• Le service de signature électronique permettra l’automatisation et la mutualisation des opérations de signatures électroniques entre divers clients applicatifs métiers d’un système d’information et les utilisateurs finaux.
• Le service de génération de preuve est un service de signature électronique qui permettra la dématérialisation des preuves électroniques selon les contextes d’utilisations ou d’usages métiers.
• Le service de validation de signature permettra la mutualisation du processus de validation de signatures électroniques dans l’infrastructure d’un système d’information afin de minimiser le déploiement de dispositifs de validation de signatures sur les équipements terminaux, serveurs locaux, postes utilisateurs, …
• Le service de validation de certificats, traitera les problèmes de validation pour les serveurs applicatifs et d’authentification.
Comme un annuaire ou une messagerie, les services de confiance sont omniprésents, mais ils sont différents par la criticité et la valeur juridique qu’ils sous-entendent. C’est pour cela que le cadre de leur utilisation se met en place de manière réconfortante pour donner la visibilité nécessaire au responsable au sein de l’entreprise.
Au quotidien
Signé, partagé, archivé, retrouvé. Le document devient lui-même le garant de la valeur de l’information et de sa finalité. De nombreuses solutions commerciales permettent de partager, de valider et de signer numériquement les documents sensibles et d’en garantir l’origine, le traitement et la conservation dans un contexte d’accès hautement sécurisé.
La (vieille) mode du zéro papier cumule aujourd’hui bel et bien tous les avantages ! Facilité, rentabilité, optimisation… Quel que soit le secteur d’activité concerné, la dématérialisation remplace efficacement les anciennes habitudes et offre de nouvelles fonctionnalités.
Soyons pragmatique, l’un des objectifs de la signature électronique n’est autre que celui d’augmenter et d’optimiser les ventes, puisque la signature est beaucoup plus rapide que le processus papier historique.
En outre, ce gain de productivité est nativement consolidé par la possibilité d’archivage légal et probant des documents numériques ainsi que par la traçabilité et la protection des données…
Ne pas oublier l’horodatage dont nous avons déjà souligné qu’il était un complément fréquent aux autres services de confiance pris individuellement. Celui-ci peut concerner les accès (physique, pour un bâtiment, logique pour un document) ou bien des opérations (telles des contrôles).
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.