2014
Mémoire de Recherche
La signature électronique
M2 MQSE-PSI CFA UTEC - UNIVERSITÉ PARIS EST MARNE LA VALÉE
Mémoire M2 MQSE - PSI
La signature électronique
Résumé L'augmentation conséquente des échanges via internet dans les années 2000 a rapidement nécessité un moyen permettant d'identifier et de donner une valeur légale à un document numérique de la même manière que les documents papiers utilisés jusqu’à présent. La signature électronique a été créée afin de répondre à cette problématique en garantissant l’identité du signataire, la non-répudiation par le signataire du document signé ainsi que l’intégrité du document signé et son absence de modification. Les enjeux de la signature électronique se concentrent principalement sur les avantages de ce procédé mais aussi sur les risques qu’il peut entraîner. C’est un moyen fiable et reconnu par la loi depuis le 13 mars 2000 en France. Aujourd’hui la signature électronique à la même valeur juridique que la signature manuscrite à condition d’utiliser un certificat ainsi qu’un outil fiable de signature électronique. Le procédé de signature électronique est un processus qui fait intervenir plusieurs acteurs, du signataire à l’Etat en passant par les Tiers de confiance. Elle repose sur l’utilisation de clés publiques et privées et des procédés cryptographiques complexes afin de garantir un niveau de sécurité et une confiance maximale de l’utilisateur. Une signature électronique est constituée d’un ensemble d’éléments standards obligatoires auquel il est possible d’ajouter des informations complémentaires afin d’ajouter une valeur à la signature comme l’horodatage. Il existe différentes manières de signer un document qui dépendent du contexte d’utilisation, du niveau de sécurité exigé et de l’architecture de signature mise en place. En fonction de ces critères, l’utilisateur devra se fournir de différents éléments de signature et/ou outils afin de procéder à la signature. Cependant la tendance des entreprises va à la simplification de l’utilisation de la signature électronique afin de la faire accepter au grand public et il est de plus en plus d’usage de minimiser les éléments dont doit s’équiper le signataire pour s’orienter vers une intégration totale du procédé de signature électronique dans les processus métiers. Bien que sécurisé, le procédé de signature électronique présente tout de même des risques qui sont les mêmes que ceux de la carte bancaire. Sur le plan juridique, lorsqu’une loi existe sur un sujet, les acteurs, les entreprises sont obligés de s’y conformer. Le cadre juridique est donc primordial pour instaurer la confiance de ces utilisateurs, clients. En ce qui concerne la signature électronique, un décret Européen a vu le jour dès 1999. Il définit la signature électronique au même titre que la signature manuscrite. Ce décret étant un décret international, tous les pays membres de l’Union Européenne doit s’y conformer y compris la France. La loi française s’est donc s’adaptée, au mois de mars 2000, pour intégrer la preuve juridique aux nouvelles technologies et reconnaître la signature électronique. Depuis, plusieurs lois se sont succédé pour permettre un meilleur encadrement juridique de la signature électronique et avoir une meilleure confiance dans ce système de la part des utilisateurs. Aujourd’hui, les labels français existent autour de la signature électronique. Cependant, ces labels nationaux empêchent les acteurs de conquérir un marché européen. Le mandat M460, toujours en préparation, devrait résoudre ce problème.
1
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Abstract The important augmentation of exchanges through internet in the 2000s quickly need a way to identify and give a legal value to a digital document, in the same way the written documents are used until now. The electronic signature have been created in order to answer this problematic by ensure the identity of the signer, his non-repudiation of the signed document, its integrity and its lack of modification. The challenges of electronic signature are mainly concentrated on the advantages of the process but also on the risks it could cause. It’s a reliable way and recognized by the law in France since 13 March 2000. Today, the electronic signature has the same legal value as the handwritten signature provided you are using a certificate and a reliable tool of electronic signature. The process of electronic signature involves several stakeholders, from the signer to the State passing through the Escrow Services. It lays on the use of private and public keys, and also on complex cryptographic methods in order to guarantee a high level of security and a maximal confidence of the user. An electronic signature is formed by a set of mandatory standard elements to which it is possible to subjoin additional informations in order to add a value to the signature as timestamp. There are differents ways to sign a document which depend of the context of use, the level of security required and the structure of the signature implemented. According to those standards, the user will have to provide different signature elements and/or tools in order to sign. Nevertheless, companies’s trend is based on simplifying the use of electronic signature in order to gain acceptance of the general public. It is more and more customary to minimize the elements the signer has to tool up to move towards a full integration of electronic signature in the business processes. Despite it is secure, the process of electronic signature still presents risks, the same as the credit card. Legally, when there is a law on a subject, the stakeholders and the companies have to comply. The legal framework is therefore essential to have the confidence of its users. Regarding electronic signature, an European decree was born in 1999. It defines the electronic signature the same way as the handwritten signature. That decree being an international decree, every country which is a member of the European Union have to comply, including France. The French law therefore adapt itself on March 2000 to incorporate legal proof to new technologies to enable the recognition of electronic signature. Since then, several laws have followed to have a better legal framework for the electronic signature in order to have a better confidence of the users in this system. Today, there is French labels around electronic signature. Yet, those national labels prevent stakeholders to conquer an European market. The mandate M460, still in preparation, should resolve this problem.
2
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Sommaire Résumé ...................................................................................................................................................................................... 1 Abstract ..................................................................................................................................................................................... 2 Introduction ............................................................................................................................................................................... 5 Définitions ................................................................................................................................................................................. 6 I. Les enjeux de la signature électronique............................................................................................................................ 7 A. B. C. D. E.
Historique............................................................................................................................................................... 7 Besoin .................................................................................................................................................................... 7 La confiance dans la signature électronique ........................................................................................................... 8 Qu’est-ce que la cryptographie ? .......................................................................................................................... 10 Quelques cas d’utilisation : .................................................................................................................................. 10 1. 2. 3. 4.
F. G. II.
La signature électronique et les particuliers ......................................................................................................... 12 La vulnérabilité et les risques de la SE ................................................................................................................. 13
La signature électronique en détail................................................................................................................................. 15 A.
Les acteurs de la signature électronique ............................................................................................................... 15 1. 2. 3.
B.
C. D.
Une vision utilisateur .................................................................................................................................... 24 L’exemple de la signature électronique dans le processus de souscription d’assurance emprunteur ............. 24
Le cadre juridique .......................................................................................................................................................... 27 A.
La première directive européenne ........................................................................................................................ 27 1.
B.
Une initiative européenne ............................................................................................................................. 28 La loi française..................................................................................................................................................... 28
1. 2. 3. 4. 5. 6. 7. 8. 9.
Le décret 2001-272 ....................................................................................................................................... 29 Le dispositif sécurisé de création de signature électronique .......................................................................... 29 L’ANSSI....................................................................................................................................................... 30 Le COFRAC ................................................................................................................................................. 30 Les prestataires de services de certification électronique .............................................................................. 31 La vérification juridique ............................................................................................................................... 33 L’European Telecommunications Standards Institute ................................................................................... 34 Le Référentiel Général de Sécurité ............................................................................................................... 35 L’avenir de la confiance européenne : le mandat M460................................................................................ 37 A l’étranger .......................................................................................................................................................... 39
C. 1. 2.
En Belgique .................................................................................................................................................. 39 Les États-Unis .............................................................................................................................................. 40
Conclusion ..................................................................................................................................................................... 41 Bibliographie ................................................................................................................................................................. 42 Annexes ......................................................................................................................................................................... 43 A. B.
3
Les éléments de la signature électronique ..................................................................................................... 16 Les certificats................................................................................................................................................ 17 La génération des certificats, le schéma de la confiance ............................................................................... 18 La valeur des certificats ................................................................................................................................ 19 Le fonctionnement : point de vue technique ................................................................................................. 19 Le fonctionnement : point de vue fonctionnel ............................................................................................... 21 Les architectures de mise en œuvre .............................................................................................................. 22 Les besoins connexes à la signature électronique ......................................................................................... 23 Les risques de la signature électronique ............................................................................................................... 23 L’utilisation de la signature électronique aujourd’hui .......................................................................................... 24
1. 2. III.
Le signataire ................................................................................................................................................. 15 Le tiers de confiance ..................................................................................................................................... 15 L’Etat............................................................................................................................................................ 16 Le fonctionnement de la signature électronique ................................................................................................... 16
1. 2. 3. 4. 5. 6. 7. 8.
IV. V. VI.
Clientèle sur internet et contractualisation .................................................................................................... 10 La signature de contrat en ligne avec un certificat temporaire ...................................................................... 10 La transmission de documents professionnels .............................................................................................. 11 La signature électronique sur tablette ........................................................................................................... 11
Questionnaire envoyé aux acteurs de la signature électronique ............................................................................ 43 Questionnaire envoyé aux utilisateurs de la signature électronique ...................................................................... 44
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Figure 1 – Différences entre la signature électronique et manuscrite ................................................... 17 Figure 2 – Le schéma de certification .................................................................................................. 19 Figure 3 –Les étapes de la signature...................................................................................................... 20 Figure 4 – Architectures de mise en œuvre ........................................................................................... 22 Figure 5 – Fonctionnement de la signature électronique à la CNP ....................................................... 25 Figure 6 – Schéma de la chaine de confiance........................................................................................ 32 Figure 7 – Vu d’ensemble des lois européennes ................................................................................... 37 Figure 9 – Avertissement légal sur un site de signature électronique belge .......................................... 40
4
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Introduction Les notions d’authentification d’un document lors de sa transmission d’une personne à une autre ainsi que le souci de l’intégrité de ce même document sont des notions viellent comme le monde. 3000 ans avant J-C en Mésopotamie, l’utilisation de signes de validation des écrits juridiques par des sceaux cylindriques que l’on déroule pour marquer une empreinte sur une tablette d’argile était utilisé. Au moyen âge, l’utilisation de marque graphique de validation tels que les seings (cachet, empreinte), les sceaux ou encore les souscriptions avec ruches firent leurs apparition. Au fur et à mesure du temps les manières de procéder pour répondre à ces mêmes besoins ont changé en fonction des évolutions technologique. Aujourd’hui, en particulier dans le monde professionnel, nous communiquons énormément via des mails. Mais nous transmettons aussi des documents. Ces documents doivent être signé et authentifié afin de garder une valeur réelle dans leur intégrité. La signature électronique intervient donc à ce niveau afin de permettre d’établir une certaine confiance numérique. Techniquement, la signature électronique a été inventée en 1976 par Rivest, Shamir et Adleman. Mais elle n’a été définie que le 13 décembre 1999 par le droit européen et en mars 2000 par la France. C’est un domaine qui, techniquement, est fiable et mûr depuis longtemps mais dont le cadre juridique a été un frein à son déploiement. La signature électronique est aujourd’hui de plus en plus présente dans notre quotidien aussi bien dans le monde professionnel qu’en tant que particulier. Nous achetons sur internet, nous souscrivons des contrats sur internet par exemple pour un forfait téléphonique, nous transmettons des documents important nécessitant une garantie particulière lors de la réception de ces mêmes documents. Nous allons pouvoir, dans cette étude, nous intéresser à différents aspect de la signature électronique. Nous traiterons des enjeux de celle-ci en nous attardant sur les origines, les besoins mais aussi les risques de ce procédé qui est au cœur de la confiance numérique. Nous zoomerons sur l’aspect technique et le fonctionnement de la signature électronique pour bien comprendre son domaine d’application et sa nécessité dans le monde d’aujourd’hui. Enfin nous étudierons un aspect qui s’avère extrêmement important dans le domaine de la signature électronique, celui-ci étant l’aspect juridique qui a longtemps été un frein dans la « propagation » de cette technique.
5
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Définitions La signature électronique La signature électronique est à un document numérique, ce que la signature manuscrite est à un document papier. Tout comme une signature papier, une signature électronique a pour seul objectif de démontrer à un tiers que le document a été́ approuvé par une personne identifiée. Il s’agit d’un mécanisme d’engagement fiable faisant appel à des techniques cryptographiques. Aujourd’hui, l'écrit sous forme électronique est admis comme preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. La législation (et notamment l’article 1316 du code civil) définit la signature électronique comme « l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache ». Pour plus d’information sur ce sujet, vous pouvez consulter ce billet.
6
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
I.
La signature électronique
Les enjeux de la signature électronique A. Historique
La signature électronique reste au jour d’aujourd’hui un concept récent. Seulement quelques dates clés sont à retenir sur l’histoire et l’évolution de la signature électronique en France : - 2000 : loi du 13 mars 2000 qui introduit l’écrit électronique dans le code civil - 2004 : Loi sur la confiance dans l’économie numérique (LCEN) autorisant les écrits sous forme électronique pour la validité d’un acte. - 2006 : Instruction fiscale relative au contrôle des comptabilités informatisées. - 2007 : Instruction fiscale relative à la conservation sous forme électronique des copies de factures produites sur support papier. - 2009 : Loi autorisant la dématérialisation du bulletin de paie et arrêté du 04/12/2009 rendant réglementaire pour l’archivage électronique des collectivités la norme AFNOR NF Z42-013. - 2010 : Marchés publics : obligation de publication en ligne pour les acheteurs et obligation de réponse électronique pour les entreprises candidates à des marchés informatiques.
B. Besoin La signature électronique offre principalement : la possibilité de signer un document sans l’imprimer (économie de papier) la possibilité d’envoyer le document par e-mail (économie de timbre) la possibilité de signer un document sans se rencontrer (réduction des déplacements) la possibilité de conserver le document au format numérique (simplification et suppression de l’archivage papier) etc. La signature électronique se différencie de la signature écrite par le fait qu'elle n'est pas visuelle mais correspond à un nombre ou une suite de nombres. En effet, l'opération de signature s'applique à un fichier et produit une information binaire appelée communément signature électronique ou cryptographique. Celle-ci sera non seulement liée à ce fichier mais également liée à la personne qui a fait l'acte de signer. Cela dit, un certain nombre de logiciels et notamment Adobe Reader vérifient automatiquement chaque signature à l'ouverture du document et affichent un message visuel de validation, ce qui permet tout de même de matérialiser la signature électronique. La signature électronique permet, pour un document numérique, de garantir : l’identité du signataire la non-répudiation par le signataire du document signé l’intégrité du document signé, c’est-à-dire son absence de modification Les réseaux informatiques ouverts tels que l’internet ont été techniquement optimisés pour assurer le transport de données. Dans cette optique les aspects liés à la sécurité n’étaient pas une priorité essentielle. Or, Internet ayant vocation à devenir la plateforme universelle d’échange de produits et de services, la sécurité devient primordial. Dans cette perspective, il est indispensable d’organiser les échanges électroniques par la mise en place de garanties spécifiques à la fois sur le plan technique et sur le plan juridique, ces deux aspects étant indissociablement liés.
7
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
La reconnaissance juridique de la signature électronique constitue la pierre angulaire pour assurer la sécurité et la fiabilité des échanges en ligne. Concrètement, lors de la réalisation d’un échange dématérialisé les garanties de sécurité suivante doivent pouvoir être apportées : Identification du terminal à l’origine de la requête, Authentification de l’auteur de l’acte, Intégrité du message : il ne doit pas avoir été altéré pendant son transport, Confidentialité du message : il ne doit être compréhensible que par son destinataire ou les personnes dûment autorisées, Non répudiation de l’acte afin d’éviter une remise en cause du contenu du message par son destinataire. Certains services supplémentaires peuvent être également proposés par des tiers de confiance, comme les services d’horodatation (certification de la date et de l’heure de réception du message) qui garantit avec exactitude et certitude le moment où l’acte est réalisé.
C. La confiance dans la signature électronique Grâce à la signature électronique, l’émetteur d’un document a une garantie de sécurité sur la propriété de l’intégrité de ses données. Cet acte, au-delà de sa portée juridique, qui est toujours présente, permet de donner du poids, de formaliser, de se rassurer. Tout ce que l’on fait par mail en se demandant si cela vaut quelque chose, tout ce que l’on ne fait pas par mail de peur que ça ne vaille rien, tous les envois que l’on n’ose pas faire sur internet de peur de se faire spolier, tous ces actes sont facilités par la signature électronique qui permet la traçabilité des actions et l’intangibilité des documents. Ces échanges deviennent possibles, non par l’apparition d’un nouveau procédé technique, mais par la disparition d’un frein psychologique. Les exemples sont nombreux en B to B : courriers recommandés, preuves et accusés de réception signés, factures, propositions commerciales, bons à tirer… L’entreprise signe ces actes pour les formaliser et ainsi les rendre dématérialisables. De même, au sein de l’entreprise, la signature des demandes de congés ou des demandes d’achat permet une responsabilisation des individus et fluidifie les processus internes. La dématérialisation des marchés publics est la possibilité de conclure des marchés par voie électronique, soit par l’utilisation de la messagerie électronique, soit par l’emploi d’une plateforme en ligne sur internet. Son rapide développement nécessite l’instauration d’une forte relation de confiance entre les acheteurs et les entreprises, d’où l’enjeu juridique et technique de la signature électronique. Signature électronique et signature manuscrite ont la même valeur juridique. La signature a pour fonction d’identifier la personne qui l’appose et de manifester son accord. Pour signer électroniquement, il est nécessaire de disposer d’un certificat électronique et d'une application numérique pour signer. Apposer une signature engage le signataire. Aussi les certificats de signature électroniques sont-ils nominatifs et délivrés à une seule personne (comme une carte bancaire). Le titulaire d’un certificat de signature qui signe un document est personnellement engagé par sa signature et est seul à pouvoir l’utiliser. La signature électronique permet de surcroît de garantir l’intégrité de l’acte signé. Avec le développement de la dématérialisation, les plateformes de marchés publics proposent gratuitement un logiciel de signature aux opérateurs qui en sont dépourvus. La signature électronique permet d’apporter une réelle confiance aux échanges "virtuels". Elle s’impose de fait lorsque des règlementations impliquent une traçabilité et une conservation des données pouvant constituer des justificatifs et des preuves. Elle constitue un des éléments
8
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
indispensables pour le développement des échanges tels que le commerce électronique, la banque en ligne ou les processus dématérialisés des entreprises (en interne ou avec leurs partenaires). Les échanges électroniques constituent un moteur de croissance en dépit du contexte économique morose. Or, comme le relève le rapport du CLUSIF (Club de la Sécurité de l’Information Français) de juin 2012, le développement du commerce électronique ou de l’administration électronique est confronté aux problématiques de piratage et de fraude. Pour contrer ces problématiques, la signature électronique constitue une réelle solution, encadrée juridiquement depuis la loi sur la signature électronique du 13 mars 2000 et adoptée progressivement par les différents acteurs économiques. Ainsi les professions règlementées du droit et du Chiffre (Huissiers, Notaires, Expert-Comptable, Avocats) utilisent la signature électronique depuis de nombreuses années. Par exemple, les 17 000 avocats membres du barreau de Paris sont équipés de certificats qui leur permettent d’échanger avec le Greffe du TGI de Paris ou avec la CARPA (Caisse des Règlements Pécuniaire des Avocats), et de signer électroniquement des demandes d’audience, bordereaux de dépôt ou autres dossiers. Dans un tout autre domaine, le chronotachygraphe remplace depuis 2006, l’appareil analogique équipé de disques sur lesquels étaient "tracés" les temps de parcours, distances et temps de conduite des chauffeurs routiers ou transporteurs de voyageurs. Ces données sont donc désormais enregistrées sous forme électronique et signées électroniquement par le conducteur. La société de transport peut ainsi récupérer ces données avant le retour du chauffeur et gagne ainsi un temps précieux, synonyme de plus de rentabilité. Dès à présent, tout comme l’on signe des documents avec un stylo, il est possible de signer avec une signature électronique.
9
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
D. Qu’est-ce que la cryptographie ? L’objectif de confidentialité constitue de plus en plus un impératif essentiel pour les utilisateurs de service en ligne. Historiquement, cette fonction était assurée et contrôlée par la puissance publique. Si l’exigence du contrôle demeure une priorité pour les Etats, notamment en vue de lutter efficacement contre la criminalité, la prestation de services de cryptologie peut être exercée par des prestataires privés. La cryptologie est une science qui s’appuie sur l’utilisation d’un ensemble de moyens tant logiciels que matériels pour rendre une information non compréhensible pour les tiers, mais accessible et restituable dans son état d’origine pour son auteur et son destinataire. La cryptologie a essentiellement deux objectifs : - Assurer l’identification de l’auteur de l’acte, - Garantir l’intégrité et la confidentialité des données transmises.
E. Quelques cas d’utilisation : 1. Clientèle sur internet et contractualisation Un groupe, spécialiste de crédit à la consommation, a entièrement dématérialisé son processus d’acquisition de clientèle : grâce à un enregistrement en ligne disponible 24h/24 le particulier peut remplir un formulaire, envoyer des copies de ses documents d’identité et obtenir après validation par un agent un certificat lui permettant d’apposer sa signature électronique sur son contrat d’adhésion. Les gains de productivité d’un tel processus sont évidents : le client n’a pas besoin de se déplacer ni d’envoyer ses documents, tout se fait en ligne, sans attente, et la valeur juridique du contrat demeure identique à celle d’un contrat papier. 2. La signature de contrat en ligne avec un certificat temporaire Les banques offrent à leurs clients sur internet une offre grandissante de produits et services bancaires. Pour souscrire à certains de ces services, par exemple, pour un crédit à la consommation, la signature d’un contrat est légalement obligatoire. Une quinzaine d’établissements financiers proposent aujourd’hui à leurs clients particuliers de signer ces contrats en ligne. Ce service est assuré 24h/24 par un opérateur agréé qui délivre des certificats temporaire selon les informations fournies par les banques. Ceci permet au client internaute de procéder à la signature de son contrat de crédit alors qu’il n’était pas en possession préalable d’un certificat ; cette procédure ne nécessite donc aucun équipement pour le client. Cette application ouvre l’usage de la signature de contrat en ligne à tous les clients internautes des banques ou organismes de crédit à la consommation.
10
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
3. La transmission de documents professionnels Une jeune entreprise de conseil en marketing a développé le concept de « ConsoRéalité » : elle filme les consommateurs chez eux ou dans les magasins, analyse leurs comportements et transmet ces études à ses clients, grand nom du secteur agro-alimentaire. Pour une telle structure, l’usage de la signature électronique doit être avant tout simple, tant pour l’émetteur des données que pour le destinataire. La signature ne fait pas partie à proprement parler du processus métier. En revanche, elle permet à une jeune entreprise innovante de se sécuriser par rapport à sa clientèle en garantissant l’intégrité du travail fourni et en protégeant l’originalité de la méthode de travail. Elle offre également l’occasion de donner de l’entreprise une image « de pointe », de dynamisme au sein des nouvelles technologies. Enfin, non intrusive, elle permet au client de conserver la liberté de copie, d’impression, d’exploitation des études commanditées. 4. La signature électronique sur tablette L’ajout de la signature électronique à un projet de mobilité sur tablette amplifie encore considérablement ces bénéfices. La signature électronique est en effet la dernière pièce à l’édifice d’une solution de vente sur tablette. Elle vient parachever un projet de ce type en permettant d’aller au bout de la démarche de dématérialisation avec comme objectif de supprimer toute présence de papier. Il en découle, dans le processus d’acquisition client, une continuité à tous les niveaux. Avec à la clé des gains considérables et de sérieuses économies. Dans un premier temps, la signature électronique sur tablette crée une absence de rupture dans le processus de vente. La présentation commerciale se déroule sur la tablette et se conclut par une signature sur la tablette. Le chargé de vente n’interrompt pas sa séquence numérique pour sortir un bon de commande papier, qu’il doit renseigner à la hâte en faisant patienter le client. Si son application mobile est bien faite, elle lui permet de générer un document avec un certain nombre de champs pré renseignés, qu’il ne lui reste plus qu’à compléter pour finaliser le document à signer. La tablette devient le pivot de la démonstration commerciale autour duquel les différentes étapes du rendez-vous s’enchaînent naturellement. La signature électronique est également porteuse de continuité au niveau administratif : de retour au bureau, vos commerciaux n’ont plus à transmettre les documents signés à votre propre équipe d’administration des ventes, qui traditionnellement avait en charge de les vérifier, de ressaisir les informations dans un progiciel, d’émettre les factures et d’assurer leur conservation dans le temps. Les documents signés électroniquement sont automatiquement rapatriés dans le système d’information de l’entreprise et poursuivent leur cycle de vie. Il en résulte une accélération mécanique de toute l’administration commerciale : les opérations de contrôle et d’ouverture de compte client vont plus vite, les factures sont envoyées plus rapidement, avec à la clé des règlements plus immédiats. Selon les situations, cette accélération du traitement des ventes peut avoir un impact non négligeable sur la trésorerie de l’entreprise.
11
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
F. La signature électronique et les particuliers Comme nous l’avons décrit précédemment la signature électronique n’est pas réservée au professionnel uniquement. En tant que particulier nous l’utilisons dans la vie de tous les jours ne serait-ce qu’en procédant à des formalités banquières ou avec notre assureur ou encore en procédant à des achats en ligne. Les détracteurs de la signature électronique ont soutenu que celle-ci présentait un danger pour les consommateurs au motif que ceux-ci seraient moins conscients de la portée de leur engagement lorsqu'il passe par l'intermédiaire de l'ordinateur que lorsqu'il est matérialisé par la main, le stylo, et le papier. Quoi de plus facile en effet que de cliquer sur une case pour passer une commande, après être passé à toute vitesse sur des conditions générales que l'on ne lit pas? Cet argument n'est pas faux s'agissant de transactions non sécurisées, pouvant être exécutées à l'aide de quelques clics de souris, et pouvant même être réalisées par n'importe qui ayant accès à l'ordinateur familial. Mais il en va tout autrement si l'on utilise une véritable signature électronique. La série d'étapes attachée à l'acquisition et à la mise en œuvre des "outils" permettant de signer électroniquement est de nature à renseigner suffisamment les personnes d'une part sur la sécurité attachée à la signature électronique, et d'autre part sur les engagements qu'elle traduit. Il est important de savoir bien choisir son certificat de signature électronique en maîtrisant ses risques. Le choix d'un fournisseur de certificats par un consommateur pourra prendre en compte les critères suivants : -
-
La clarté des explications fournies quant aux garanties de sécurité et aux garanties juridiques apportées, La méthode d'identification du signataire (la fiabilité du certificat sera d'autant plus grande que les modalités d'identification sont fiables. A cet égard, une identification par e-mail, ou par envoi postal de documents d'identité, présente des garanties nettement inférieures à une identification "face à face" au cours de laquelle le demandeur de certificat prouver votre identité, La limite des transactions pouvant être effectuées sur le certificat : elle permet d'adapter le certificat à l'usage projeté et présente une véritable garantie de sécurité, Le caractère acceptable du contrat d'abonnement, L'existence d'une couverture d'assurance.
Avant d'utiliser une signature électronique, un contrat d'abonnement doit être conclu avec le fournisseur du certificat. Le décret du 30 mars 2001 contient des dispositions précises au regard des mentions que doit contenir le contrat d'abonnement, et le fait pour un prestataire (même non qualifié) de les respecter est incontestablement un gage de qualité. Ces dispositions sont les suivantes, et doivent être communiquées par écrit : -
Les modalités et conditions d'utilisation du certificat, Le prestataire qualifié ou non, Les modalités de contestation et de règlement des litiges
S'agissant d'un contrat en général non modifiable, on s'assurera qu'il ne contient pas de clauses abusives. Ces clauses, visées par l'article L. 132-1 du Code de la Consommation, sont par exemple celles qui limitent à l'excès les droits du consommateur en cas d'inexécution de ses obligations par le professionnel, ou qui permettent au professionnel de modifier unilatéralement les termes d'un contrat. Si le certificat est amené à être utilisé pour les ordres et transactions avec une seule entreprise (assurance, par exemple), il n'est pas rare que celle-ci souhaite doubler le dispositif d'un contrat appelé "convention de preuve", dont la loi a reconnu la validité et qui règle les modalités d'administration de
12
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
la preuve entre les parties au-delà des dispositions légales. Par exemple, les conventions de preuve signées avec les établissements bancaires (et que nous sommes tous censés avoir lues et acceptées) stipulent que l'usage d'une carte magnétique et la composition concomitante d'un code confidentiel valent ordre de paiement. Ce type de convention a pour objet d'apporter des précisions sur l'utilisation des outils fournis et il est essentiel de les lire afin de comprendre dans quelles circonstances la responsabilité du porteur de certificat pourra être engagée. Au niveau des assurances : l'utilisation d'un certificat comprenant une garantie d'assurance est un véritable avantage car elle permet de régler rapidement les petits litiges. Les fournisseurs de certificats peuvent souscrire auprès d'assureurs spécialisés des assurances "dommage pour compte", qui permettent d'inclure dans chaque certificat délivré un capital d'assurance plafonné, dont le montant est adapté au niveau de confiance et de sécurité du dispositif. L'indemnisation est immédiate dès lors que le préjudice subi est quantifié, ce qui apporte une solution financière rapide aux sinistres isolés sans mise en cause de la technologie utilisée par l'Autorité de Certification ou des procédures de diffusion des certificats.
G. La vulnérabilité et les risques de la SE Premier risque: la remise en cause de l'acte signé électroniquement. Exemple : j'ai envoyé à ma banque un ordre de virement de 2.000 Euros le 31 mars pour couvrir un débit. La banque prétend ne jamais l'avoir reçu, bloque mes comptes et me facture des agios importants. Les textes sur le commerce à distance préconisent que les entreprises accusent rapidement réception des ordres passés par voie électronique, ce que font actuellement la plupart d'entre elles alors même que ce n'est pas encore obligatoire au regard des textes français. Dans un système utilisant la signature électronique, cet accusé de réception est signé par l'entreprise. Il convient d’accepter cet accusé de réception en n'omettant pas de suivre les étapes essentielles de la vérification d'une signature numérique, et si possible de garder une trace de l'accusé de réception envoyé par le prestataire, sur support informatique et/ou sur support papier. A condition de respecter ces précautions, un particulier est en mesure de faire valoir ses droits dans des conditions qui ne sont ni plus mauvaises ni meilleures que si sa preuve consiste en un fax avec accusé de réception "OK". Deuxième risque : la falsification de sa signature numérique Exemple : Vous constatez lors de la vérification de votre relevé de compte qu'un ordre de débit de 2.000 Euros a été passé au profit d'un tiers. Renseignements pris, cet ordre aurait été passé électroniquement en utilisant votre signature. Le maillon faible de la signature numérique est qu'elle peut effectivement être "imitée" dès lors qu'un tiers a la possibilité d'utiliser les moyens de création de signature d'une personne (avoir accès à son ordinateur ou à sa carte de signature, etc). Tout comme il est d'usage pour les moyens de paiement (carte bancaire, chéquier), il faut faire en sorte que ses moyens de signature ne puissent être détournés par un tiers. Si cela est le cas, et que le certificat de signature n'a pas été révoqué, il est à craindre que le préjudice reste à la charge du titulaire du certificat. Hors le détournement des outils de signature, la falsification de signature électronique sera en pratique très rare car considérablement plus compliquée à mettre en œuvre que s'agissant d'une signature manuscrite : c'est bien pour cette raison que les prestataires qui fournissent des moyens de signature électronique se voient obligés par les textes à des exigences sévères en matière de sécurité et de choix de leur personnel. Se fier à une signature électronique revêt une portée tout à fait différente de l'utilisation d'une signature électronique. Cela signifie tout d'abord se fier à un tiers de "confiance", qui a fourni au signataire de l'acte que l'on est censé accepter des moyens techniques pour apposer sa signature, et qui lui a délivré un certificat en s'étant préalablement assuré de son identité. C'est sur ce tiers que repose la confiance de ceux qui se fient à une signature électronique et c'est pour cette raison que les textes européens, et bientôt les textes français, mettent à sa charge une responsabilité aggravée.
13
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
S'agissant d'un particulier, les occasions les plus courantes qu'il aura d'être en position de se fier à une signature électronique seront : -
La vérification de l'accusé de réception envoyé par l'entreprise à laquelle il aura passé un ordre, ou une commande, La vérification de la qualité d'un interlocuteur, par exemple dans les cas d'accès à une profession réglementée (avocat, médecin, expert-comptable).
Compte tenu de l'impossibilité pour le récepteur d'un message signé de vérifier de façon détaillée la fiabilité du tiers qui a fourni les moyens de signature, il est vraisemblable qu'on le considérera comme dégagé de toute responsabilité s'il s'est fié à tort à un message signé dès lors qu'il a pris soin de respecter les étapes suivantes : -
Vérifier que le certificat électronique utilisé est en vigueur, et n'a pas été révoqué, Vérifier que les limites d'utilisation éventuellement portées sur le certificat ne sont pas dépassées.
Il n'est donc pas plus dangereux d'accepter un document signé numériquement qu'un document papier portant une signature manuscrite envoyée par courrier.
14
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
II.
La signature électronique
La signature électronique en détail A. Les acteurs de la signature électronique
Plusieurs acteurs sont nécessaires au bon fonctionnement de la signature électronique, que ce soit pour le processus de certification, pour la signature elle-même ou pour l’élaboration des standards de la signature. Parmi eux, les principaux sont le signataire, les tiers de confiance et l’Etat. 1. Le signataire Le signataire est la personne physique ou morale qui va accepter les termes du contrat en y apposant sa signature. Il est l’acteur principal de la signature électronique. 2. Le tiers de confiance Le Tiers de Confiance Numérique est un acteur du développement de la confiance dans le monde numérique. Il intervient dans la protection de l’identité, des documents, des transactions et de la mémoire numérique. Il engage sa responsabilité juridique dans les opérations qu’il effectue pour le compte de son client. Dans le processus de signature électronique, on identifie trois types de tiers de confiance : -
L’autorité de certification L’autorité d'enregistrement L’opérateur de certification
Les Autorités de Certification « Une autorité de certification est une société ou un service administratif chargé de créer, de délivrer et de gérer des certificats électroniques. L’autorité de certification est un prestataire qui produit des certificats pour le compte d'utilisateurs. Lorsque ce prestataire est une entreprise privée, il commercialise les certificats produits. Lorsque le prestataire est une autorité administrative, il les délivre à ses agents. L’autorité de certification signe le certificat (avec sa propre clé privée) garantissant ainsi l'intégrité du certificat et la véracité des informations contenues dans les certificats qu’elle émet. L’autorité de certification assure le lien entre l’utilisateur (le futur signataire) et le certificat qu’elle va émettre pour lui en s’assurant préalablement, par l’examen de pièces d’identité et le cas échéant, selon le niveau de sécurité, par une rencontre en face-à-face de la véracité des informations fournies par le demandeur du certificat. » Source : www.marche-public.fr Elle doit répondre à des procédures d’audit annuelles strictes définies par l’Etat pour avoir l’autorisation de délivrer des certificats. Les autorités d’enregistrement « Une autorité d’enregistrement représente le point de contact entre l’utilisateur et l’autorité de certification. Un utilisateur souhaitant obtenir un certificat se fait connaître et effectue sa demande auprès d’une autorité d’enregistrement. L’enregistrement d’un utilisateur n’a lieu qu’après la vérification d’informations propres au demandeur de certificat. Le type des informations vérifiées dépend de la politique de certification mise en œuvre. Ces informations peuvent être la preuve de l’identité du demandeur, la preuve de possession
15
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
de la clé privée correspondant à la clé publique à certifier, une autorisation de demande de certificat, une preuve de la fonction occupée par le demandeur, etc. Une fois ces informations vérifiées, l’enregistrement est effectué et seules les informations nécessaires à la certification sont communiquées à l’autorité de certification. » Source : www.securite-informatique.gouv.fr L’opérateur de certification L’opérateur de certification assure la gestion et la fourniture des certificats électroniques. Il doit mettre en place une plateforme technique sécurisée pour cela et être conforme aux exigences citées dans la politique de certification. La politique de certification est l’ensemble des règles qui définissent les exigences auxquelles se conforme l’autorité de certification dans le processus d’attribution des certificats. 3. L’Etat Dans le cadre de la signature électronique, l’Etat a pour rôle de s’assurer à travers des audits annuels que les Autorités de Certification respectent toutes les exigences requises pour délivrer des certificats.
B. Le fonctionnement de la signature électronique 1. Les éléments de la signature électronique Pour pouvoir signer un document électroniquement, des éléments sont indispensables pour attester de l’intégrité du document. D’autres sont quant à eux facultatifs, mais apportent des informations supplémentaires. Leur intégration dans la signature dépend de l’utilisation et de l’obligation légale en fonction du contexte. Les éléments de base Bien que la technologie une nouveauté dans le processus de signature, on s’aperçoit que les éléments pour réaliser une signature électroniquement sont les mêmes que pour une signature manuscrite : -
Un signataire qui va marquer son engagement sur les termes du document à signer, Un document à signer, Un instrument pour réaliser la signature, Un secret connu uniquement du signataire pour réaliser la signature.
16
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Figure 1 – Différences entre la signature électronique et manuscrite
Les éléments facultatifs Des éléments complémentaires peuvent être apportés dans chaque signature : -
La chaîne de confiance complète du certificat qui permet de remonter jusqu’à l’identité qui a certifié le signataire, Le jeton d’horodatage qui précise la date et l’heure de réalisation du certificat, Une preuve de validité du certificat qui garantit que le certificat n’est pas périmé.
En fonction du contexte, il peut être intéressant, voire nécessaire, d’ajouter des éléments complémentaires à la signature. Par exemple, dans le cas d’une création graphique ou intellectuelle, il peut être judicieux d’y ajouter un jeton d’horodatage dans le cas de devis ou propositions commerciales. Pour tout ce qui concerne les échanges inter administrations ou entre administrations et usagers, il est obligatoire d’y ajouter un horodatage. 2. Les certificats Afin de répondre à différentes attentes du marché Français, le RGS a défini plusieurs degrés de sécurité dans la création de certificats. Le contexte définira le certificat à utiliser. La notation a été faite en attribuant un nombre d’étoiles pour symboliser le degré de sécurité allant de zéro à trois étoiles.
17
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Le tableau ci-dessous résume les différents certificats possibles et leurs conditions d’attribution.
Certificats de personnes physiques 0 Signature simple
certificat remis dans des conditions définies par son producteur
* Signature simple
Certificat remis sans face à face, mais sur la base d’un dossier d’enregistrement contenant une pièce d’identité
** Signature électronique sécurisée Certificat remis après un face a face avant ou lors de la remise
Certificat de personne morale *** Signature électronique présumée fiable Certificat remis avec face à face sur un matériel certifié conforme au décret 2001272
Signature électronique personne morale Certificat « cachet serveur » remis au représentant de l’organisation
3. La génération des certificats, le schéma de la confiance La signature électronique est au cœur de la confiance numérique. C’est elle qui a la charge de garantir la notion de confiance dans les échanges numériques en garantissant l’intégrité de la personne qui signe le document. Pour établir cette confiance, un processus strict définit comment les certificats doivent être générés et délivrés. On appelle ce processus la chaîne de confiance. Dans ce processus, les acteurs qui ont un rôle majeur sont le signataire, l’Autorité de certification et l’Etat. Si l’on part du document signé, celui-ci est garanti fiable par la signature apposée par le signataire. Le signataire est lui-même fiable de par son certificat qui lui a été délivré par une Autorité de Certification. L’Autorité de certification, rappelons-le, est le tiers de confiance qui a généré le certificat en le signant avec sa propre clé privée pour garantir l’intégrité du certificat et la véracité des informations qu’elle contient. Enfin l’Autorité de certification est soumise à des audits annuels mis en place et contrôlés par l’organisme de contrôle : l’Etat. C’est donc finalement l’Etat qui se porte garant de l’identité numérique à travers la chaîne de confiance. L’ajout d’une convention de preuve au processus de signature ajoute un niveau supplémentaire en termes de confiance.
18
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Figure 2 – Le schéma de certification
4. La valeur des certificats Le certificat généré va dépendre de l’identité de la personne qui demande à être certifiée et dans chaque cas l’engagement qui sera porté par l’apposition de la signature variera. On trouve trois situations pour lesquelles la portée de l’engagement changera : -
-
-
La demande est faite par une personne physique : ce cas est le plus simple car le certificat généré n’engagera que la personne qui en fait la demande. Seules les informations la concernant sont demandées. La demande est faite par une personne physique dans le cadre professionnel : dans cette situation, l’apposition du certificat engage la personne physique dans le cadre de ses activités professionnelles qui par ce biais engage également la personne morale qui lui est rattachée. Dans ce cas de figure, les informations sur la personne physique ou morale sont demandées. La demande est faite pour une personne morale : le certificat engage la personne morale lorsque la signature sera apposée. Néanmoins, il faudra également que la personne physique signe le document avec sa signature en même temps qu’elle apposera la signature de la personne morale. Les informations demandées pour la génération de ce certificat sont celles de la personne morale. 5. Le fonctionnement : point de vue technique
La Signature Electronique : un système asymétrique Afin de garantir un fonctionnement sécurisé, la signature électronique repose sur un système dit asymétrique, fonctionnant avec une clé publique et privée dont chacune à un usage à sens unique. Le jeu de clé publique et privée est généré à l’aide d’un logiciel de cryptographie qui va utiliser un nombre aléatoire pour créer le jeu de clés. La personne ayant généré ces clés va donc pouvoir diffuser la clé publique aux personnes externes et conservera précieusement sa clé privée. Il est possible d’utiliser ces clés de deux manières possibles. La première est pour encrypter un message. L’émetteur du message désire que seul le destinataire du message puisse décrypter le message. Dans ce cas, l’émetteur va encrypter le message avec la clé publique du destinataire et lui transmettre afin qu’il le décrypte avec sa clé privée. Dans ce cas, il n’y a que le destinataire, seul détenteur de la clé privée, qui pourra lire le message.
19
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Le cas qui concerne la signature électronique est le deuxième, celui qui permet de vérifier un message. L’émetteur du message désire que l’intégrité de son message soit conservée et que tous ses destinataires puissent la vérifier. Dans ce cas il va encrypter le message avec sa clé privée et va distribuer sa clé publique avec son message pour que le destinataire puisse le décrypter, ce qui assure au destinataire l’intégrité de la personne ayant émis le message. Dans le cas de la signature électronique on ne va pas encrypter le document directement mais un condensé de celui-ci comme expliqué dans la partie ci-après. L’étape de signature Les étapes réalisées lorsque le signataire clique sur le bouton « signer » : -
Le document à signer est haché pour obtenir un condensé, Le résultat obtenu est utilisé avec la clé privée pour obtenir la signature via un calcul mathématique (RSA), La signature obtenue est jointe au document avec le certificat pour permettre sa vérification.
Figure 3 –Les étapes de la signature
L’étape de vérification Les étapes de vérification d’un document sont : -
Le document est séparé de la signature qui lui est liée, La clé publique est extraite du certificat pour effectuer le calcul RSA inverse pour obtenir le condensé initialement signé, Il effectue le calcul du condensé du document initial, Il compare les deux condensés obtenus pour vérifier qu’ils sont bien identiques.
Les formats de signature On compte trois différents formats majeurs de signature électronique :
-
XAdES (XML Advanced Electronic Signature), CAdES (CMS Advanced Electronic Signature), PAdES (PDF Advanced Electronic Signature).
Le format XAdES est un format de stockage des signatures électroniques. Celui-ci peut être indépendant des documents signés et dans ce cas il fera l’objet d’un fichier XML qui sera joint séparément du document.
20
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
L’avantage de ce format est que le document signé peut être de n’importe quel format et dans le cas où il s’agit d’un document XML, il peut être inclus dans le document signé. En revanche, aucun élément graphique ne permet de voir s’il y a la présence d’une signature. Pour le format CadES, il est possible de créer des signatures dites « détachées », c’est-à-dire qu’elle sera transmise séparément du document signé, tout comme le format XadES. Il faudra, dans ce cas envoyer simultanément la signature et le document qui pourra être lu nativement par n’importe quel logiciel associé. Ou bien de créer des signatures dites « opaques » et dans ce cas seule une « enveloppe » contenant le document signé et la signature sera envoyée en une fois. L’inconvénient de cette solution est que sans outil pour extraire le document de « l’enveloppe », celui-ci ne peut pas être lu directement. L’avantage de ce format est qu’il est possible de signer le document par plusieurs signataires, on parlera alors de co-signature. Mais tout comme le format XadES, aucun élément graphique ne permet de voir la présence d’une signature. Enfin, le format PadES est un format qui étend le format CadES puisqu’il a la particularité de pouvoir également signer plusieurs fois le document à la différence qu’à chaque nouvelle signature, on va également signer les signatures précédentes, il s’agit alors de contre-signature. C’est le format qui est utilisé pour signer les documents PDF. Il existe d’autres formats de signatures comme le PKCS #7, CMS, S/MIME, XML-Dsig et le PDF signature mais ils sont moins utilisés que les trois premiers et ne seront pas détaillés dans le cadre de ce mémoire. Il n’y a donc pas un format plus répandu qu’un autre ou à préférer. Le choix du format de signature va dépendre de son contexte d’utilisation. Il dépendra du contexte métier dans lequel est produit la signature, du type de données à signer selon que le document est structuré comme un XML ou comme un PDF. Mais aussi du type et de l’équipement du destinataire car il doit pouvoir vérifier la signature avec l’équipement dont il dispose. 6. Le fonctionnement : point de vue fonctionnel Il existe différentes manières de signer un document. Tout dépend des éléments que le signataire a en sa possession et des moyens dont il dispose pour signer. De manière autonome Le signataire qui désire signer un document de manière autonome doit avoir en sa possession tous les éléments nécessaires à sa réalisation. Pour commencer il devra disposer de son certificat ainsi que du document à signer. A l’aide d’un outil de signature qu’il aura au préalable installé sur la machine utilisateur, il pourra procéder à la signature du document. Ce document, une fois signé, sera envoyé au destinataire souhaité. Via une applet Dans ce cas de figure, le signataire n’a besoin d’avoir en sa possession que de son certificat et le document à signer. Il utilisera un service de signature mis à disposition d’un tiers pour signer son document. Dit « a la volée » Le signataire ne dispose d’aucun élément, il va donc utiliser un service tiers pour signer le document.
21
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Ce même tiers va générer à la volée un certificat à usage unique qui sera utilisé pour signer le document. Un moyen d’authentification fiabilisé doit cependant être mis en place pour identifier de manière fiable le signataire afin de prouver son identité comme la saisie d’un code reçu sur son numéro de téléphone portable par exemple. Par carte à puce virtuelle Pour signer un document via carte à puce virtuelle, le procédé est le même que pour la signature « à la volée », le signataire ne dispose d’aucun élément autre que son document et va utiliser le service tiers pour le signer. La seule différence réside dans la création du certificat. Celui-ci ne sera pas dans ce cas généré à la volée mais en amont du processus de signature et sera stocké sur un serveur. 7. Les architectures de mise en œuvre Le fait de pouvoir signer de différentes manières un document entraine des architectures différentes en fonction des situations dont en voici la liste :
Figure 4 – Architectures de mise en œuvre
22
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
8. Les besoins connexes à la signature électronique L’objectif de la signature électronique est d’une part de pouvoir vérifier l’intégrité d’une personne sur un document mais aussi de faire perdurer cette validité. Pour cela des besoins liés à la signature électronique existent comme le besoin de conservation, rendus possible via l’archivage électronique (cf. Mémoire « G, les coffres forts numériques (cf. Mémoire « Le coffre-fort numérique »). L’autre besoin est la notion d’horodatage, la signature d’un document peut être suffisante mais horodater le moment de la signature peut être judicieux, voire obligatoire, ne serait-ce que pour faire référence aux textes et normes qui s’appliquent au document au moment de la signature. Enfin le dernier besoin, qui lui est plus évident, est de disposer d’outils de vérification de la signature d’un document aujourd’hui mais doit également tenir une rétrocompatibilité sur l’ensemble des formats ayant existé et cela est valable aujourd’hui mais également dans le futur.
C. Les risques de la signature électronique Bien que la signature électronique soit un procédé bien plus fiable que la signature manuscrite, il n’en réside pas moins des risques à prendre en compte. Au même titre que la carte bleue, dès lors que l’on met en jeu l’intégrité d’une personne, que le procédé soit portatif ou reproductible, on s’expose à des risques d’usurpation d’identité (cf. Mémoire « Usurpation d’identité »). Le premier risque est lié au vol ou la copie du moyen du certificat de signature. Une personne ayant dérobé le certificat d’autrui peut s’en servir de la même manière que son détenteur légitime et peut signer des documents en engageant son identité. Toujours pour faire un lien avec la carte bleue, il est possible de déclarer son certificat volé. Le second point concerne la falsification de certificat. Ce risque qui reste assez faible grâce à la complexité pour produire un certificat, est tout de même possible dès lors que l’on possède le procédé de création du certificat ainsi que la chaîne ayant servi de base pour le produire. Ce risque est réduit par le fait que les certificats sont générés par des autorités sous contrôle comme expliqué précédemment. De plus, un certificat n’a pas une durée de validité illimitée dans le temps, la durée légale étant de deux ans pour un certificat. Le but de cette limite de validité est d’éviter les risques de perte de certificat ou de vol lié à une négligence de sécurisation. Pour plus de détails concernant l’usurpation d’identité, se référer à la partie traitant de l’usurpation d’identité (cf. Mémoire « Usurpation d’identité »).
23
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
D. L’utilisation de la signature électronique aujourd’hui 1. Une vision utilisateur La notion de confiance dans le procédé de signature électronique est un sujet sensible car le succès de la démocratisation de celle-ci dépend entièrement de l’adhésion de l’utilisateur. Le frein à sa mise en place le plus flagrant vient du fait que l’on passe d’un élément visible, tactile, à un élément dématérialisé, intangible. On ajoute donc de plus en plus dans les procédés de signature électronique un élément graphique au document, que l’utilisateur pourra voir s’il imprime son document comme une signature graphique ou un texte indiquant que le document a été signé. Néanmoins cet élément n’apporte aucune valeur à la signature du document, il n’est là que pour rassurer l’utilisateur, lui faire accepter le fait que la signature électronique est aussi sécurisée et possède la même valeur que la signature manuscrite. On observe également chez les organismes ayant mis en place la signature électronique, que ce soit dans l’administration, dans le domaine de l’assurance, etc… que la tendance va à la simplification du processus pour l’utilisateur. On désire faire adhérer l’utilisateur au processus, lui simplifier son utilisation. Pour cela une politique d’intégration de la signature électronique au processus métier est de plus en plus présente et son importance n’est pas négligée. Une première bonne pratique consiste donc de la part des organisations à intégrer de manière automatique les informations signées dans le SI. Cela bénéficie d’une part à leurs systèmes d’informations qui pourront améliorer leur gestion et d’autre part aux utilisateurs qui n’ont plus forcément besoin de réécrire leurs informations. Une seconde bonne pratique consiste à éviter au maximum aux utilisateurs de devoir ajouter des outils supplémentaires, qu’ils soient gratuits ou non, pour lire et visualiser le document et leur signature. Les outils tels qu’Adobe Reader, les suites bureautiques ou boites mails doivent suffire. 2. L’exemple de la signature électronique dans le processus de souscription d’assurance emprunteur Bruno Queste et Marc Menget, respectivement chef de projet et technicien sur le projet d’intégration de la signature électronique dans le processus d’assurance emprunteur ont décrit comment la signature électronique a été mise en place au sein de CNP Assurances. La CNP est la première à avoir intégré la signature dans l’assurance emprunteur.
24
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Point de vue fonctionnel
Figure 5 – Fonctionnement de la signature électronique à la CNP
Pour la CNP, le mode de fonctionnement qui a été adopté pour la génération des certificats est celui par carte à puce pour la signature car le certificat est stocké sur un serveur, et on fait appel au service du tiers de confiance pour signer le document. De plus, il utilise le système « à la volée » pour la signature côté client. Le tiers de confiance va donc générer un certificat éphémère pour apposer la signature client. Les éléments complémentaires Pour valider un document d’assurance emprunteur, il a été obligatoire d’y ajouter un élément complémentaire : la convention de preuve. Cette convention de preuve contient le parcours utilisateur afin de retracer le chemin qui a été fait sur la plateforme de souscription afin de valider que l’utilisateur a bien accepté tous les termes du contrat qui lui a été présenté. Le tiers de confiance, un gage de confiance Dans ce processus de souscription, un tiers de confiance est appelé pour réaliser l’apposition de signature. On voit bien que le document, une fois signé par l’assureur et affiché à l’écran de l’utilisateur, ne peut être interféré par l’assureur car le service du tiers signataire est directement appelé depuis l’écran du navigateur de l’assuré.
25
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Ce procédé est certes, d’une part une obligation légale, mais vise d’autre part à rassurer et renforcer la notion de confiance de l’utilisateur par l’intervention d’un tiers neutre dans le processus de souscription. Le format de signature Les documents à signer étant des fichiers PDF, il a été évident d’utiliser le format PadES qui est adapté à la signature de documents PDF. De plus, dans le cadre de l’assurance emprunteur, il y a une double signature : celle de l’assureur et celle de l’assuré. Le principe de contre signature a donc été appliqué : la signature de l’assureur dans un premier temps et celle de l’assuré ensuite. Effectuer la signature dans ce sens, renforce la confiance de l’utilisateur qui visualise un document déjà signé par l’assureur, avant de donner son accord pour apposer la sienne. La simplification pour l’utilisateur Les principes décrits précédemment visant à simplifier l’adoption de la signature par l’utilisateur sont bien présents. L’utilisateur n’a pas à se préoccuper de générer de certificat pour signer son document puisqu’il est généré « à la volée ». De plus, tout le processus utilise les données qu’a rempli précédemment l’utilisateur, que ce soit sur la plateforme internet de la CNP ou sur celle d’un des partenaires utilisé au préalable, pas besoin de remplir plusieurs fois les mêmes données. Enfin, les outils pour visualiser le document sont directement intégrés sur la plateforme, ici il s’agit d’un plugin mis à disposition par Adobe. Même si l’utilisateur ne dispose d’aucun outil de visualisation, il pourra quand même finaliser sa souscription. En revanche, un outil sera nécessaire s’il désire visualiser ses documents une fois téléchargés.
26
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
III.
La signature électronique
Le cadre juridique
Le cadre juridique est le meilleur moyen pour rétablir la confiance. En effet, sans lois pour réglementer un sujet, les personnes, les dirigeants, n'ont pas de limite et peuvent faire ce qu'ils veulent au péril des utilisateurs. Le système juridique est organisé selon la hiérarchie des normes créée par Hans Kelsen. Ce système peut être schématisé par une pyramide. Les lois inférieures doivent être cohérentes avec les lois supérieures. En bas de cette pyramide, ce sont les lois des Etats (pour les Etats unitaires tel que la France par exemple) ou les lois des états fédérés (pour les Etats fédéraux comme les Etats-Unis d'Amérique). En haut de cette pyramide, les traités internationaux règlementent le droit au niveau international. Au milieu de cette pyramide, et pour l'Europe uniquement, on y retrouvera les lois européennes votées par le Parlement Européen.
A. La première directive européenne Une directive européenne est un acte pris par les institutions de l’Union européenne afin de donner des objectifs à atteindre pour chaque pays membre. Il existe un délai pour permettre aux états membres de s’adapter. La différence entre une directive et un règlement communautaire est que le règlement communautaire s’applique totalement soit à une date précise ou à défaut dans les 20 jours après sa publication au journal officiel. Le texte fondateur concernant la signature électronique est la directive européenne du 13 décembre 1999. Elle y définit le cadre juridique au niveau européen. Il est donc à la charge de chaque Etat de la transposer en droit national. Concernant cette directive, les états membres avaient jusqu’au 19 juillet 2001 pour se conformer à celle-ci. L’objectif de cette directive est défini à l’article 1 et indique qu’elle permet de “faciliter l’utilisation de la signature électronique et de contribuer à sa reconnaissance juridique”. Elle permet donc de définir un premier cadre juridique, de confiance, pour les signatures électroniques. Deux types de signatures sont ainsi reconnus : -
La signature électronique La signature électronique avancée
Une définition des deux types de signatures est donnée dans l’article 2 de la directive européenne. Une signature électronique telle qu’elle est définie, pourra être reconnue devant un tribunal mais elle ne peut prétendre au même niveau de reconnaissance qu’une signature manuscrite. La signature électronique avancée sera reconnu au même titre que la signature manuscrite si et seulement si, elle remplit les trois conditions suivantes : Elle répond à la définition de l’article 2 : -
-
“Signature électronique avancée", une signature électronique qui satisfait aux exigences suivantes: a) être liée uniquement au signataire; b) permettre d'identifier le signataire; c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable; Elle utilise un dispositif sécurisé de création de la signature certifiée conforme Elle utilise un certificat qualifié (qui satisfait aux exigences)
27
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
L’Europe, à travers cette directive du 13 décembre 1999, a décrit le cadre communautaire sur la signature électronique. Celle-ci servira de base pour les pays membres de l’Union Européenne pour y définir localement la signature électronique. 1. Une initiative européenne Peu de temps après la directive du 13 décembre 1999, la commission européenne a lancé un groupe de travail pour une initiative de normalisation : EESSI (European Electronic Signature Standardization Initiative). Le but de cette initiative était de mettre en forme des documents techniques normatifs. Deux organismes européens ont fait partie du groupe : -
Le CEN : Le Comité Européen de normalisation L’ETSI : l’European Telecommunications Standards Institute
Dans un communiqué fait le 19 juin 2001, Erkki LIIKANEN, membre de la commission européenne, indique que le risque principal est la fragmentation du marché entre le secteur publique et le secteur privé. Le but est donc d’implémenter le cadre légal en s’appuyant au maximum sur les solutions existantes de manière efficiente et rentable. Il est à noter que depuis le mois d’octobre 2004, ce groupe de travail n’existe plus après la publication de leurs spécifications. Cependant, l’ETSI et le CEN travaillent toujours en coopération pour produire des normes dans le domaine des télécommunications (cf. Chapitre « L’European Telecommunications Standards Institute »).
B. La loi française Comme dit précédemment, les directives européennes laissent du temps aux états membres afin de transposer le droit européen dans le droit national. Dans le cadre de cette directive, c’est la date du 19 juillet 2001 qui a été arrêtée. Cependant, trois mois après la directive européenne, la France vote un décret pour déterminer la législation française sur la signature électronique. Ce texte de loi portant le numéro 2000-230 et daté du 13 mars 2000, adapte le droit français à propos de la preuve juridique, aux technologies du numérique et notamment en ce qui concerne la signature électronique. Par la même occasion, le code civil est modifié : toutes les signatures électroniques sont recevables en justice à partir du moment où elles assurent l’identification du signataire et l’intégrité du document. La loi du 13 mars 2000 reconnaît deux types de signatures électroniques, conformément à la directive européenne :
-
La signature électronique simple, La signature électronique “présumée fiable”.
La première dispose d’un niveau de reconnaissance juridique faible. C'est-à-dire qu’elle ne peut pas être refusée devant la justice au titre de preuve mais contrairement à la seconde, elle ne met pas en place un dispositif sécurisé défini dans la loi. La signature électronique « présumée fiable » s’appelle ainsi car, la fiabilité du procédé est « présumée fiable » jusqu’à preuve du contraire devant la justice à condition que la signature électronique soit créée, que l’identité du signataire et du document signé soi assurée. Depuis cette loi du mois de mars 2000, différents décrets ont vu le jour. Voici la liste de ces différents textes : -
le décret n°2001-272 du 30 mars 2001 le décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information
28
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
-
-
La signature électronique
le décret n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique qui précise le régime de responsabilité des prestataires de services de certification électronique délivrant des certificats électroniques qualifiés l’arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation.
L’ensemble de ces décrets permet donc de définir le cadre juridique autour de la signature électronique qui permet une meilleure confiance dans ce système. 1. Le décret 2001-272 Ce décret datant du 30 mars 2001 est très important car il suit la loi du 13 mars 2000 qui, pour rappel, ne fait qu’adapter le droit français à propos de la preuve juridique et notamment celle de la signature électronique. Il y définit notamment comment le procédé de signature électronique est présumé fiable. Pour que la signature électronique soit considérée comme sécurisée, il faut qu’elle : -
soit propre au signataire (tout comme la signature manuscrite), soit créée par des moyens que le signataire puisse garder sous son contrôle, garantisse que toute modification du document signé puisse être détectée.
Autre élément important, la signature électronique doit être faite grâce à un dispositif sécurisé de création de signature électronique. Ce dispositif de création de signature est règlementé par la loi et est certifié par des organismes. Enfin, un certificat « qualifié » doit être utilisé pour vérifier la signature électronique. Si toutes ces conditions sont réunies, alors la signature électronique est présumée fiable. C’est-à-dire qu’elle pourra prétendre au même niveau de reconnaissance qu’une signature manuscrite devant un tribunal. S’il y a contestation, c’est à la personne qui remet en cause la fiabilité du procédé d’apporter la preuve de non-fiabilité. 2. Le dispositif sécurisé de création de signature électronique La notion de dispositif sécurisé de création de signature électronique englobe à la fois le procédé de création du certificat (la clé publique et la clé privée) et la mise en œuvre technique de la signature du document. Les exigences pour ce dispositif sont définies dans l’annexe 3 de la directive européenne et sont aussi reprises dans le décret du 30 mars 2001. Les spécifications techniques sont produites par le CEN (Comité Européen de Normalisation) et sont présentes dans le document nommé CWA 14169 (CEN Workshop Agreements). Pour pouvoir bénéficier de la présomption de fiabilité du procédé de signature électronique, le dispositif de création de la signature électronique doit être certifié. La certification peut se faire de deux manières différentes : -
Par le 1er Ministre dans certaines conditions (règlementé par le décret n° 2002-535 du 18 avril 2002, Par un organisme désigné par les Etats membres.
Un dispositif sécurisé de création de signature électronique doit comporter au minimum : -
La génération de la clé publique et de la clé privée, La création de la signature électronique.
Ces fonctions font l’objet de l’obtention d’un certificat de conformité délivré par l’ANSSI.
29
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
3. L’ANSSI L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) a été créée par le décret n°2009-834 au mois de juillet 2009. Cette autorité est rattachée au Secrétaire Général de la Défense et de la Sécurité Nationale (SGDSN) qui lui-même est rattaché au Premier ministre. Actuellement, le directeur de l’ANSSI est Guillaume POUPARD qui a été nommé le 27 mars 2014. L’agence est le fruit de nombreuses fusions d’organismes chargés d’assurer la sécurité des informations sensibles de l’Etat. La création de l’ANSSI fait suite à la publication d’un livre blanc nommé « Livre blanc sur la défense et la sécurité nationale » qui a été publié le 17 juin 2008. Il y est indiqué notamment que « notre (l’Etat et ses services associés) dépendance aux processus informatiques croit sans cesse avec le développement de la société ». En conséquence, l’Etat se devait d’avoir une force de réaction aux attaques informatiques et d’en faire une priorité majeure dans la sécurité nationale. Cependant, la réaction aux attaques ne suffit pas. Il faut aussi disposer d’une capacité de détection de ces attaques. Elle est ainsi devenue l’autorité nationale la plus haute et la plus adaptée face à la sécurité et à la défense des systèmes d’informations. L’ANSSI a ainsi plusieurs missions dont : -
La détection et la réaction face à des attaques informatiques, Prévenir la menace en aidant au développement de services de confiance, Jouer un rôle de soutien et de soutien aux opérateurs d’importance vitale ainsi qu’aux administrations, Informer régulièrement le public sur les menaces.
Elle se définit ainsi comme « un réservoir de compétences destiné à apporter son expertise et son assistance technique ». L’ANSSI a donc dès le départ été pensée pour être une autorité de confiance face au public. C’est dans ce cadre que l’ANSSI délivre des habilitations aux prestataires de service de certification électronique (cf. Chapitre « Les prestataires de services de certification électronique »). 4. Le COFRAC Le COFRAC, ou Comité Français d’Accréditation, est l’unique organisme chargé de délivrer des accréditations aux organismes délivrant des évaluations de conformité. Il a été créé en 1994 à Paris sous le statut d’association loi 1901 à but non lucratif par les pouvoirs publics. Son but était de créer un système compatible aux pratiques européennes mais aussi internationales concernant les accréditations. Le COFRAC est donc le premier maillon dans la chaine de confiance. La principale mission de cette association est donc d’attester que les organismes accrédités sont compétents et impartiaux. Ils peuvent ainsi obtenir l’acceptation de leurs prestations au niveau mondial. Le COFRAC fait partie de l’organisation européenne EA (European Accreditation) qui ellemême fait partie de l’ILAC (International Laboratory Accreditation). Le COFRAC, ayant une portée mondiale, permet ainsi à ses clients de pouvoir bénéficier d’une reconnaissance mondiale. De plus, cette portée lui permet d’être digne de confiance, non pas juste en France ou en Europe, mais partout dans le monde. En France, les pouvoirs publics (à l’origine de sa création), les partenaires du COFRAC ou les clients ont tous une confiance totale dans cet organisme. D’ailleurs, le leitmotiv de ce dernier est : « Notre métier consiste à instaurer la confiance. Chaque jour, au COFRAC, nous œuvrons pour la mériter. » L’accréditation donne, qu’elle soit obligatoire (à cause d’une loi), ou volontaire, aux entreprises un avantage concurrentiel qui permettra ainsi un retour sur investissement plus important.
30
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
5. Les prestataires de services de certification électronique Les prestataires de services de certification, aussi appelés prestataires de services de confiance ou PSC, sont des entreprises mettant en place les infrastructures permettant de gérer les certificats électroniques. Dans le droit, les mots « prestataires de services de confiance » ou « prestataires de services de certifications » sont utilisés. Cependant, pour faire le parallèle avec ce qui a été dit plus haut, on les appelle aussi des tiers de confiance (cf. Chapitre « Le tiers de confiance »). Il est important de noter que la qualification d’un prestataire de services de confiance est un acte volontaire de sa part. Il peut permettre une augmentation du chiffre d’affaire grâce à la confiance que la qualification va générer. Cette qualification ne peut être effectuée que par un organisme accrédité par le COFRAC et habilité par l’ANSSI. Tout comme pour les audits des normes ISO, la qualification ne sera approuvée que si aucun écart majeur par rapport aux exigences n’aura été trouvé durant l’audit. Cette qualification sera valable pendant trois ans à condition qu’un suivi annuel soit réalisé. Encore une fois, tout est fait pour maintenir un niveau de confiance élevé dans le système de la signature électronique. Il existe trois niveaux de sécurité auxquels les prestataires de services de certifications électroniques doivent répondre : * (une étoile), ** (deux étoiles) et *** (trois étoiles). Les certificats de premier niveau (*) sont utilisés par des applications où les risques de tentative d’usurpation d’identité sont moyens. Pour les certificats de deuxième niveau (**), ils sont utilisés par des applications où les risques de tentative d’usurpation sont forts. Enfin, le dernier niveau de sécurité (**), les risques d’usurpation d’identité sont très forts. Une entité a la possibilité prendre un certificat de niveau supérieur à son besoin pour son application. Il est bien évident que cette solution aura un cout plus important. Cependant, cela peut aussi permettre à la société de vendre plus de « confiance » auprès de son client. Pour connaitre les risques concernant l’usurpation d’identité, se référer au mémoire « Usurpation d’identité ». Voici un tableau récapitulatif permettant de voir les différents certificats qu’un prestataire peut vendre avec son niveau de sécurité associé :
Prestations de services de confiances des PSCE
Niveau de sécurité
Certificats électroniques de chiffrement
*, **, ***
Certificats électroniques d’authentification
*, **, ***
Certificats électroniques de signature électronique
*, **, ***
Certificats électroniques d’authentification serveur
*, **, ***
Certificats électroniques de cachet
*, **, ***
Certificats électroniques d’authentification et de signature
31
Christopher GODARD, David SIVA, Sébastien BOUTON
*, **
Mémoire M2 MQSE - PSI
La signature électronique
Aujourd’hui, les prestataires de certification électronique jouent beaucoup sur la confiance. En effet, dans leurs slogans, ce mot et son contexte sont retrouvés régulièrement avec par exemple : -
Certinomis (groupe La Poste) et son slogan : « la confiance ça se prouve » ChamberSign France (CCI) et son slogan : « Echangez en toute sécurité » MediaCert (groupe Atos Origin) et son slogan : « Trusted & secured certificates »
Afin de ne pas redéfinir ce qui l’a déjà été, voici un schéma permettant de mieux comprendre comment fonctionne le système dans sa globalité :
Figure 6 – Schéma de la chaine de confiance
Dans cet organigramme présentant la hiérarchie de la confiance, on peut voir que le sommet est l’Europe. Elle y édite des lois, des règlements ou des directives. En dessous, on y retrouve les Etats membres. Ici, seule la France est représentée. Elle transpose le droit européen dans le cadre juridique français. Dans la chaine de confiance, se place ensuite le COFRAC, qui est l’organisme français permettant d’accréditer (*) des organismes de certifications. Ces organismes de certifications peuvent être habilités (*) par l’ANSSI. D’après un article datant du 29 mai 2013 sur le site de l’ANSSI, il n’y a qu’un seul organisme permettant de certifier un prestataire de services de confiance : la société LSTI. Cette qualification est accordée aux organismes de certifications pour une durée de trois ans. Les organismes de certifications vont donc certifier les prestataires de services de confiance, aussi appelé tiers de confiance. Ces derniers vont travailler directement avec les entreprises mettant en place la signature électronique. Finalement, on retrouvera le client final qui signera ses documents.
32
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
A travers cet organigramme, on peut voir qu’il existe une chaine de confiance. Dans les faits, toutes les démarches, les marches à suivre, les procédures sont normées et vérifiées par un organisme à un moment ou à un autre. L’Etat étant tout en haut de cette chaine de confiance, s’il n’existe pas de confiance dans le gouvernement, qui est quand même à la base des lois qui régissent le procédé de la signature électronique, alors aucune confiance ne peut être accordée au processus de fabrication. * : Afin de ne pas confondre « accréditation » et « habilitation », voici une petite explication. L’accréditation est un jugement sur la conformité d’un service. Ce jugement est fait par un organisme indépendant. L’habilitation est un acte pris généralement par un ministère (ici, ce sera l’ANSSI) qui va transformer l’accréditation en une disposition légale et/ou règlementaire. L’habilitation a donc une valeur juridique. Elle est plus digne de confiance qu’une accréditation qui est uniquement basée sur un jugement. 6. La vérification juridique Une étape importante est souvent oubliée lors de la mise en œuvre d’une vérification d’une signature électronique : la vérification juridique. Cette étape, bien que difficile à mettre en œuvre, dépend entièrement du contexte de l’application dans laquelle elle est employée. Sa difficulté réside dans le fait qu’une vérification juridique ne peut être faite automatiquement. Une personne physique, un humain doit réaliser cette étape manuellement. Il faut savoir qu’aujourd’hui dans certains cas, lorsqu’une société du secteur privée répond à un appel d’offre du secteur public, la signature électronique est obligatoire pour répondre à cet appel d’offre. Ceci s’inscrit dans le cadre de la dématérialisation voulue par l’administration électronique (cf. Mémoire « La dématérialisation » et « L’administration électronique ») La vérification juridique consiste donc à vérifier que : -
Le signataire fasse bien partie de l’entreprise, Le signataire soit habilité à engager l’entreprise (il peut figurer sur l’extrait K-Bis ou il a reçu un mandat de délégation de la part d’un responsable).
Dans le cas où un mandat de délégation a été émis, il faut alors vérifier que celui-ci soit conforme au texte du marché car il peut être limité dans le temps mais aussi par un montant. Cette vérification n’est pas anodine car elle permet ainsi d’éviter l’usurpation d’identité (cf. Mémoire « Usurpation d’identité ») et permet d’avoir pleinement confiance dans la réponse à l’appel d’offre.
33
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
7. L’European Telecommunications Standards Institute Après avoir vu le référentiel français en matière de signature électronique, il faut savoir qu’il existe un autre référentiel, européen cette fois-ci. La principale difficulté pour un prestataire de service de confiance lorsqu’il est qualifié « RGS v1 » est de pouvoir être présent sur le marché européen. Le RGS étant un référentiel français, un pays tel que l’Allemagne disposera d’un autre cadre, un autre référentiel que le RGS. La confiance d’un référentiel national s’arrête donc aux frontières du pays qu’il représente. L’European Telecommunications Standards Institute (ETSI) est un organisme de normalisation européen présent dans le domaine des télécommunications qui a été créé à la suite de la directive européenne du 13 décembre 1999. Il est donc un élément important en ce qui concerne la dématérialisation des documents et tout ce qui va autour. C’est un organisme à but non lucratif dont le rôle est de créer des normes pour demain. Il est basée à Sophia Antipolis (France) et travaille en relation avec le CEN (Comité Européen de Normalisation) et le CENELEC (Comité Européen de Normalisation et ELectronique et en EleCtrotechnique). L’ETSI a réussi à réunir 688 membres issus de 55 pays du monde incluant aussi bien des opérateurs, des administrations des fournisseurs de services ou encore des centres de recherche. Les normes adoptées par l’ETSI (en rapport avec la signature électronique) sont : -
-
Certificats électroniques : o ETSI TS 102 042 : Définit les exigences de la politique pour les autorités de certification délivrant des certificats de clés publiques o ETSI TS 101 456 : Définit les exigences de la politique pour les autorités de certification délivrant des certificats qualifiés o ETSI TS 102 280 : Profil de certificat pour les certificats délivrés qu'à des personnes physiques Signatures électroniques : o ETSI TS 101 733 : Exigences pour le format de fichier CMS (Cryptographic Message Syntax) o ETSI TS 101 903 : Exigences pour le format de fichier XML o ETSI TS 102 778 : Exigences pour le format de fichier PDF
Il existe deux normes concernant l’horodatage : o o
ETSI TS 102 023 : Définit les exigences de la politique pour les autorités d'horodatage (PSHE) ETSI TS 101 861 : Profil de l’horodatage
Toutes ces spécifications permettent d’avoir un groupe de travail au niveau européen afin de générer de la confiance à un niveau supérieur à la France. La plupart de ces spécifications sont à la base des différents référentiels présents dans les pays membres de l’Union Européenne. Ainsi, le référentiel français (décrit ci-après) n’hésite pas à y faire des références.
34
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
8. Le Référentiel Général de Sécurité Le RGS et la fonction de sécurité « Signature » En pratique, n’importe quelle entité, physique ou morale, a la possibilité de créer des certificats pour les signatures électroniques. La question qui se pose alors, est : A qui faire confiance pour mon application de signature électronique ? Il faut savoir qu’en France, il n’existe pas un texte, une loi ou un référentiel qui règlemente la signature électronique, qui impose une façon de faire. En 2010, l’ANSII publie un référentiel : le Référentiel Général de Sécurité (le RGS). Ce document est un recueil de bonnes pratiques et n’est à la base pas destiné aux entreprises du secteur privée. Par contre, elle est une obligation pour les administrations de l’Etat français (cf. Mémoire « L’administration électronique »). Cependant, comme le RGS définit un cadre pour la signature électronique et que les entreprises n’aiment généralement pas le vide juridique (comment vendre de la confiance auprès de ces clients autrement ?), le RGS est finalement rapidement devenu la référence dans le secteur privé. Ainsi beaucoup de prestataires de services de confiance sont certifiés RGS v1. Une version 2 est aujourd’hui en cours de rédaction. Le club PSCO est une association loi de 1901 à but non lucratif qui regroupe plusieurs acteurs français intervenant dans le domaine des infrastructures PKI, de la signature électronique et de l’horodatage. Ce sont des prestataires de services de confiance qui sont membres de cette association. Un document a été écrit par cette dernière où il est indiqué qu’avant le label « RGS », il existait un autre label de confiance nommé « PRIS ». Ce label historique a été remplacé par le « RGS » en 2013. Cependant, aucune information n’a pu être trouvée concernant cet ancien label de confiance. L’annexe 3 du RGS contient toute une série de bonnes pratiques concernant la vérification de la signature électronique. Cette annexe rappelle notamment que la signature électronique est l’une des fonctions de sécurité permettant de la confiance dans les échanges dématérialisés. Il existe différents types de relations couvertes par la signature électronique qui sont indiquées dans cette annexe. Enfin, celle-ci rappelle qu’elle regroupe toutes les règles de sécurité applicables pour les différents « composants » nécessaire à la mise en œuvre de la signature électronique : -
Les bi-clés ainsi que le certificat électronique (qui sert à l’authentification), Le dispositif d’authentification, Le module de vérification d’authentification, L’application d’authentification.
Dans les administrations française, une des exigences est donc de se voir délivrer un certificat ainsi que les bi-clés par un prestataire de service de confiance qualifié RGS v1. Lors de la réception d’un certificat, il convient de vérifier qu’il contient une indication d’usage conforme à ce qui est attendu (les niveaux de sécurité *, ** et *** ne permettent pas d’utiliser la même application), qu’il soit valide et non révoqué et finalement qu’il a une chaine de certification qui est correcte à tous les niveaux. Ce dernier point n’est pas forcément facile à vérifier pour une société car elle n’en a souvent ni le temps ni les compétences (cf. Chapitre « La vérification juridique »). Le RGS étant à la base de la confiance, avant d’acheter un certificat, il est nécessaire de vérifier que le PSC est bien conforme au référentiel. Pour effectuer cette vérification, il faut se renseigner auprès de la société délivrant le certificat souhaité pour voir la qualification. Sinon, il existe une autre manière plus simple et plus rapide qui consiste à vérifier la liste des prestataires de service de confiance disponible sur le site de la seule société habilitée par l’ANSSI à qualifier des prestataires de services : http://www.lsti-certification.fr/images/liste_entreprise/RGS Il est à noter que la mise en œuvre d’un procédé de signature électronique qui respecte les exigences du niveau de sécurité *** permet de bénéficier de la présomption de fiabilité du procédé de signature telle que l’article 1316-4 du code civil le prévoit : 35 Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat. Pour bénéficier d’un niveau de confiance élevé, il est donc fortement recommandé d’utiliser un certificat dont le niveau de sécurité est ***. L’horodatage L’horodatage permet d’attester qu’une donnée existe à un instant donné. C’est bien souvent une option dans le système de signature électronique (cf. Chapitre « Les éléments facultatifs »). Elle ne revêt pas de caractère obligatoire vis-à-vis de la loi. Elle reste cependant règlementée. Le RGS a défini une annexe (RGS_A_12) correspondant à l’horodatage. Les prestataires de services d’horodatage électronique ou PSHE y sont définis. Mais son but second est aussi de renseigner les usagers et agents et promoteurs d’applications qu’une marque de temps peut être apposée sur des documents électroniques. Contrairement aux certificats électroniques qui sont composés de trois niveaux de sécurité (*, ** et ***), ici l’horodatage ne contient qu’un seul niveau de sécurité. Et de la même manière que pour les prestataires de services de certifications, la qualification se fait de manière volontaire. Elle est cependant fortement recommandée pour générer de la confiance et, encore une fois, avoir la possibilité d’augmenter son chiffre d’affaire. La marque de temps apposée sur le document signé est au format universel UTC (Coordinated Universal Time). C’est une échelle de temps que la plupart des pays du monde connait et utilise. Ce système permet donc à tous les pays d’avoir une même référence concernant la confiance dans le principe de l’horodatage. Les clés privées utilisées pour générer les marques de temps sont gérées par les Autorités d’horodatage et elles en sont entièrement responsables conformément aux exigences de l’annexe 12 du RGS. La confiance en l’horodatage se fait de deux manières. La première repose sur les éléments techniques tels qu’ils sont décrits dans l’annexe du RGS. La seconde manière concerne les règles de gestion qui sont présentées dans la politique d’horodatage des prestataires. Elle présente aux utilisateurs les engagements que prend l’autorité d’horodatage en ce qui concerne la sécurité mais aussi les moyens mis en œuvre pour tenir ces engagements. Ce document est très important puisqu’il incarne le niveau de confiance que peut atteindre le service d’horodatage. Avant de souscrire à ce service, il est donc important de lire ces engagements.
36
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
9. L’avenir de la confiance européenne : le mandat M460 Après la création de l’EESSI (cf. Chapitre « Une initiative européenne »), suite à la directive européenne, le travail pour une standardisation au niveau européen continue. La commission européenne a adopté en 2008, un plan d’action pour la signature électronique et « l’eIdentification » (l’identification électronique) qui consiste entre autre à : -
Disposer d’une liste de confiance (« Trusted List ») des prestataires de services de confiance au niveau européen, Fournir des conseils pour permettre une signature électronique interopérable.
L’objectif de ce mandat est donc de mettre à jour les standards existants à propos de la signature électronique. Cette mise à jour est importante dans la confiance que l’on peut avoir dans les acteurs de la signature électronique. En effet, cela montre qu’il y a une volonté de la part des instances gouvernementales de maintenir un cadre légal autour de la signature électronique. Ainsi, les lois évoluant, la confiance envers les acteurs de la signature électronique reste inchangée.
Figure 7 – Vu d’ensemble des lois européennes
Ce schéma montre la hiérarchie des lois. Tout en haut, se trouve la directive européenne du 13 décembre 1999. Toutes les lois découlent finalement de celle-ci. La décision « 2003/511/EC » n’a pas été évoquée ici car il s’agit d’un texte visant à encadrer la nomenclature des normes. Elle n’apporte finalement rien de concret concernant la confiance dans la signature électronique. Beaucoup de spécifications viennent directement soit du CEN soit de l’ETSI.
37
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Il existe différents formats de signature électronique (cf. Chapitre « Le format de signature »). Il est à noter que l’ETSI et l’ISO (l’organisation internationale de normalisation) ont travaillé ensemble pour établir une norme concernant les formats de signature électronique sous un standard ISO. Il existe un obstacle majeur dans la signature électronique : la durée de conservation. En effet, le document signé numériquement peut avoir un cycle de vie supérieur à la durée légale de conservation. Pour pallier à ce problème, ISO a fait deux normes : ISO 14533 (Processus, éléments d'informations et documents dans le commerce, l'industrie et l'administration – Profils de signature à long terme) -
ISO 14533-1:2012 définit un cadre pour le format CMS ISO 14533-2 :2012 définit un cadre pour le format XML
Ces deux chapitres de la norme fournissent un cadre pour permettre d’avoir une durée de conservation plus longue que la durée légale. Ainsi, une entreprise se certifiant ISO 14533 disposera d’un avantage concurrentiel plus important qu’une entreprise n’étant pas certifiée. De plus, pour permettre une confiance mondiale, les députés européens travaillant sur ce mandat sont pleinement conscients de l’importance de la place des organisations de normalisations internationales tels que l’ISO, OASIS (Organization for the Advancement of Structured Information Standards) ou encore le W3C (World Wide Web Consortium). D’ailleurs, afin d’assurer une interopérabilité mondiale, les normes CEI, UIT ou ISO sont utilisées. Ce mandat qui devrait être opérationnel au mois de juillet 2015 permettra à tous les acteurs des pays membres d’être présents sur le marché européen et en toute confiance.
38
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
C. A l’étranger A l’étranger et dans la plupart des pays étrangers, la signature électronique est reconnue d’un point de vue juridique au même titre qu’une signature manuscrite. 1. En Belgique La Belgique étant un pays faisant partie de l’Union européenne, a dû se conformer à la première directive européenne concernant la signature électronique. La première transposition du décret européen date du 29 septembre 2001 et définit les règles de la signature électronique. Il existe un arrêté royal datant du 6 décembre 2002 qui organise et contrôle l’accréditation des prestataires des services de certification qui délivrent des certificats qualifiés. Ce document est à la base du système actuel concernant la signature électronique. Le contrôle des prestataires de services de confiance est réalisé par le SPF Economie (le Service Public Fédéral Economie) qui peut à tout moment vérifier la conformité aux prescriptions légales. Le SPF Economie est le service public fédéral chargé d’administrer les aspects économiques du pays. Ce ministère est notamment chargé de la protection des consommateurs et va contrôler et accréditer les produits mis sur le marché. Sa mission de contrôle ne concerne que les prestataires de services de certifications. Il faut cependant savoir que l’accréditation n’est pas obligatoire. En effet, elle ne se fait que sur la base du volontariat en remplissant un simple formulaire. Cette accréditation n’apporte aucune valeur légale supplémentaire. Il n’existe qu’un seul organisme chargé d’accréditer les prestataires de services de confiance : BE.SIGN. Il faut savoir aussi que la Belgique est le premier pays à être passé à la carte d’identité électronique. Elle est disponible depuis 2002. Cette carte d’identité contient une puce qui elle-même contient bien évidement des données personnelles tel qu’une photo, le nom, le prénom, la signature, le numéro de carte, la profession, la composition de son ménage, …. Autant d’informations qu’il vaut mieux éviter de se faire voler (cf. Mémoire « Usurpation d’identité »). La carte d’identité permet notamment de signer des documents. Elle contient toutes les informations nécessaires pour pouvoir le faire. Il existe un service, mis en place par le gouvernement, permettant de : -
Signer un document, Vérifier une signature, Vérifier un certificat.
39
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
Figure 8 – Avertissement légal sur un site de signature électronique belge
Lorsque l’on souhaite signer un document, le site affiche un avertissement légal permettant de mettre en confiance l’utilisateur. Il y est indiqué que tout ce qui sera fait sur ce site est conforme aux lois en vigueur dans le pays belge. Un bouton « Test de compatibilité eID » (la carte d’identité électronique) permet de tester que le site peut communiquer avec l’eID. La signature électronique d’un document par ce service peut ainsi être vue comme un gage de confiance dû au fait que la carte d’identité de la personne est directement utilisée pour signer. Dans le cas où il s’agit d’une carte d’identité volée, la confiance n’existe plus. Mais il s’agit maintenant d’une usurpation d’identité et cela dépasse le cadre de ce mémoire (cf. Mémoire « Usurpation d’identité »). 2. Les États-Unis Aux États-Unis, la signature électronique est été rendue légale grâce à deux lois : UETA (1999) et l’ESIGN Act (2000). Bien que ces deux textes contiennent des informations communes, la plus grande différence réside dans la gouvernance. L’E-SIGN Act est une loi fédérale impliquant toutes les personnes faisant du commerce électronique dans les cinquante états fédéraux tandis que l’UETA a été adoptée état par état. Chaque état fédéral a la possibilité d’accepter ou de rejeter des lignes composant l’UETA. Cependant, en cas de conflit entre ces deux textes, ce sera la loi de l’Etat qui prévaudra (l’UETA). Toutefois, l’E-SIGN Act précise que même si les lois des Etats n’ont pas à se conformer exactement à la loi fédérale, ils doivent fournir une protection équivalente pour les contrats électroniques et les signatures. En 2011, l’UETA a été adoptée dans 47 états. Seuls les états de Washington, de l’Illinois et de New-York n’ont pas adopté ce texte. Cependant, ces états ne sont pas restés à l’âge de pierre et ont en fait adopté des textes différents en faveur de la signature électronique : -
Dans l’état de Washington, le texte de loi « Electronic Authentification Act » a été adopté en 1997, soit deux ans avant l’UETA. Dans l’Illinois, « l’Electronic Commerce Security Act » est entré en vigueur le 1er juillet. L’état de New-York a adopté une loi qui s’assure que les signatures électroniques sont toutes aussi juridiquement contraignantes que les signatures manuscrites. De plus, elle donne l’autorité au gouvernement d’archiver les documents électroniques. Ce texte de loi s’appelle « the Electronic Signatures and Records Act ».
L’E-SIGN Act a été un cadre légal concernant les signatures de contrats en ligne ou de documents pour éliminer « le fardeau du papier pour les consommateurs » (cf. Mémoire « La dématérialisation »). Ce document a été signé par le président Bill Clinton le 30 juin 2000. Avant ces différentes lois, les entreprises ont du mal avec la façon de traiter les transactions en ligne. Même si les entreprises acceptaient les signatures électroniques, beaucoup de questions étaient posées quant à la façon dont ces signatures feraient face à la justice. Même si les entreprises américaines utilisaient les signatures électroniques avant qu’une loi ne définisse leur cadre légale, ces entreprises n’avaient pas confiance. Les États-Unis ont eux aussi conscience des enjeux de la signature électronique dans le commerce et de la confiance que cela peut apporter aux transactions électroniques. L’état de Washington en a eu conscience deux ans plus tôt.
40
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
IV.
La signature électronique
Conclusion Malgré le fait que la signature électronique soit un concept relativement récent, elle s’impose de plus en plus chez les professionnels. La signature électronique n’est pas visuelle comme la signature manuscrite. Elle n’est qu’une suite de nombres appliqués à un document. C’est un m. Du premier coup d’œil, elle ne donne pas confiance. D’autant que, contrairement à la signature manuscrite, la signature électronique n’est pas utilisée par le plus grand nombre. Elle peine à s’installer dans les mœurs. Cependant, une première directive européenne encadre la signature électronique. Ce texte est à la base de tous les autres textes de lois. Il permet de redonner une confiance par la certification des acteurs à tous les niveaux. La signature électronique est au cœur de la confiance numérique. Les enjeux de la signature électronique sont importants pour la dématérialisation afin de restaurer la confiance auprès des utilisateurs. La signature électronique est un des éléments clés du coffre-fort numérique (cf. Mémoire « Le coffre-fort numérique »).
41
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
V.
La signature électronique
Bibliographie
Document pédagogique du Club PSCO : http://clubpsco.fr/wp-content/uploads/2012/07/GT-1-GTInterop-Document-pedagogique-signature-electronique-20120627.pdf La signature électronique : http://www.senat.fr/lc/lc67/lc671.html Fédération Nationale des Tiers de Confiance : http://www.fntc.org Utiliser la signature électronique à titre personnel : quels risques, quelles garanties? : http://www.journaldunet.com/juridique/juridique020618.shtml La dématérialisation, qu’est-ce qu’un certificat de signature électronique et comment s’en procurer un ? : http://www.boamp.fr/BOAMP/Comprendre-les-marches-publics/La-dematerialisation/9.-Qu-est-cequ-un-certificat-de-signature-electronique-et-comment-s-en-procurer-un L’ANSSI : http://www.ssi.gouv.fr/ Référentiel Général de Sécurité (RGS) v1 : http://www.ssi.gouv.fr/IMG/pdf/RGSv1-0.pdf Annexe 3 du RGS v1 sur la fonction de signature électronique : http://www.ssi.gouv.fr/IMG/pdf/RGS_fonction_de_securite_Signature_V2-3.pdf Annexe 12 du RGS v1 sur les politiques d’horodatages : http://references.modernisation.gouv.fr/sites/default/files/RGS_%20P%20Horodatage-Type_v2_3.pdf La société LSTI : http://www.lsti-certification.fr/ E-signature : http://www.e-signature.com/e-signature-law/ Docusign : https://www.docusign.com/electronic-signature-legality ElectronicSignature : -
E-SIGN Act : http://electronicsignature.com/esignact/
-
UETA : http://electronicsignature.com/ueta-uniform-electronic-transactions-act/
Certinomis : https://www.certinomis.fr/
42
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
VI.
La signature électronique
Annexes A. Questionnaire envoyé aux acteurs de la signature électronique Utilisez-vous la signature électronique au quotidien ? Et dans quel contexte ? …………………………………………………………………………………………………….…… Dans le cadre professionnel, avez-vous mis en place la signature électronique ? Si oui, de quelle(s) manière(s) et qui l’utilise ? …………………………………………………………………………………………………….…… Quel est votre rôle dans votre société et quel lien celui-ci a-t-il avec la signature électronique ? …………………………………………………………………………………………………….…… Dans le cas où votre métier aurait un lien avec la signature électronique : Quels sont les compétences que vous avez dû développer dans ce cadre ? …………………………………………………………………………………………………….…… Quel est votre cursus scolaire et professionnel ? …………………………………………………………………………………………………….…… Dans le cadre de la démocratisation de la signature électronique, pensez-vous que des formations spécialisées doivent voir le jour ? …………………………………………………………………………………………………….…… Quels sont les nouveaux métiers qui, selon vous, devront être créé autour de la signature électronique ? …………………………………………………………………………………………………….…… Comment arrivez-vous à convaincre vos partenaires que la signature électronique se substitue à la signature manuscrite et qu’elle renforce la sécurité du système d’information ? Quel est votre discours ? …………………………………………………………………………………………………….…… Dans la chaîne de confiance, l’état réalise des audits annuels pour certifier les tiers de confiance apte à délivrer des certificats. Pensez-vous que cela est suffisant pour établir une confiance internationale ou faudrait-il ajouter une entité supérieure en charge de vérifier la conformité des audits réalisés ? …………………………………………………………………………………………………….…… Il est dit que le niveau de sécurité se mesure grâce à la force de son maillon le plus faible. Selon vous, dans la chaîne de confiance, quel serait le maillon le plus faible ? …………………………………………………………………………………………………….…… Quels sont les risques apparaissant avec la signature électronique? …………………………………………………………………………………………………….…… L’instauration de la confiance par l’obtention de labels permet aux organisations de se vendre. Pensezvous que la création d’un label dédié à la signature électronique serait une valeur ajoutée pour l’organisation ? …………………………………………………………………………………………………….…… Avez-vous une vision sur la démocratisation de la signature électronique auprès des particuliers et organisations : dans combien de temps pensez-vous que la signature électronique sera utilisée quotidiennement pour chacun d’eux ? (par exemple, la fiche de paie dématérialisée) …………………………………………………………………………………………………….……
43
Christopher GODARD, David SIVA, Sébastien BOUTON
Mémoire M2 MQSE - PSI
La signature électronique
B. Questionnaire envoyé aux utilisateurs de la signature électronique Utilisez-vous au quotidien la signature électronique ? Pour quelle utilisation ? …………………………………………………………………………………………………….…… Depuis quand utilisez-vous la signature électronique ? …………………………………………………………………………………………………….…… A quelle fréquence l’utilisez-vous ? ☐Quotidiennement ☐Mensuellement ☐Usage unique ☐Autres (précisez) …………………………………………………………………………………………………….…… Avez-vous eu des appréhensions à l’utiliser ? Si oui, pour quelles raisons ? …………………………………………………………………………………………………….…… Quel(s) retour(s) positif(s) ou négatif(s) pouvez-vous faire par rapport à l’utilisation de la signature électronique ? …………………………………………………………………………………………………….…… La création d’un label pour les entreprises vous permettrait-elle de vous sentir plus en confiance vis-àvis des acteurs de la signature électronique ? …………………………………………………………………………………………………….…… Pour vous, existe-t-il des risques liés à l’utilisation de la signature électronique ? Si oui, quels sontils ? …………………………………………………………………………………………………….…… Avez-vous l’impression que la signature électronique est de plus en plus présente autour de vous ? Dans combien de temps pensez-vous qu’elle sera utilisée au quotidien ? …………………………………………………………………………………………………….……
44
Christopher GODARD, David SIVA, Sébastien BOUTON