Les 10 recommandations de CertEurope pour établir l’e-Confiance en 2011

Pour l’organisme certificateur, opérateur de Services de e-Confiance qui a fêté en fin d’année 2010 ses 10 ans, les règles des échanges numériques doivent être établies pour permettre aux entreprises de développer en toute sécurité la dématérialisation des échanges administratifs, commerciaux, citoyens. Résultat de cette réflexion, dix recommandations à faire aux entreprises et aux institutions pour éviter toute erreur de mise en place.

Chaque année en France, plus de 210 000 personnes sont victimes d'une usurpation d'identité (source Credoc). L’usurpation d’identité est une menace pour les individus mais également pour les entreprises, dont la maîtrise de l’image et de la réputation est essentielle à leur survie, alors que les usages croissants des réseaux sociaux ont démultiplié ce risque. Les solutions pour se prémunir existent: l’authentification forte constitue l’une des parades. Le secteur bancaire, par exemple, propose d’ores et déjà ce service aux clients entreprises, et sont aujourd’hui en réflexion, poussées par les recommandations de l’Etat, pour déployer ce même service vers les particuliers. CertEurope se veut donc naturellement le tiers de confiance indispensable à la mise en place de cette certification et a délivré plus de 500 000 certificats sur le sujet.

76% des internautes effectuent leurs démarches administratives en ligne (TNS 2008). L’eCommerce est toujours en croissance, soit +26% selon la fédération du e-commerce et de la vente à distance (Fevad) cette année. Pour favoriser le développement des échanges électroniques, avec tous les avantages que cela apporte, il faut pouvoir assurer la même fiabilité que les échanges traditionnels, en validant de façon certaine l’identité d’une personne ou d’une société et en garantissant l’intégrité des données échangées. Les technologies de signatures et de certificats électroniques répondent à cette problématique de manière fiable depuis maintenant 10 ans (loi du 13 mars 2000). En outre, dans cette même logique, le gouvernement a récemment lancé le label IDéNum, qui vise à favoriser le déploiement pour le plus grand nombre, de solutions déjà éprouvées : les certificats électroniques, afin d’offrir aux internautes des accès plus sûrs aux différents services Internet.

La signature électronique a la même valeur que la signature manuscrite. Un émail signé électroniquement a valeur de preuve, ce qui peut s’avérer essentiel dans les échanges interentreprises mais également entre les citoyens et l’administration par exemple. La loi n°2000-230 du 13 mars 2000 porte adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique. Cette loi a modifié les règles de preuves du Code civil. Dorénavant, l'article 1316-1 du Code civil reconnaît que "l'écrit sur support électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont l'écrit émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité". D'autre part, l'article 1316-4 du Code civil reconnaît que la signature électronique a la même valeur juridique que la signature manuscrite, sous réserve que le procédé de signature électronique soit fiable. L'article 1316-4 du Code civil prévoit également le principe d'une présomption légale de fiabilité du procédé de signature électronique; les conditions permettant de bénéficier de cette présomption étant détaillées dans le Décret n°2001-272 du 30 mars 2001.

De plus en plus nombreuses à adopter le mode «Service à la demande», les entreprises sont parvenues à optimiser les coûts, à accélérer les déploiements, à réaliser une meilleure répartition budgétaire et à renforcer la mobilité et le nomadisme, via des accès distants, à partir d’un simple navigateur ou de terminaux mobiles. Mais les aspects de géo-localisation, de sécurité des échanges (authentification des accès ou archivage en regard des législations en vigueur), d’authentification unique (SSO), sont au cœur de l’informatique à la demande et constituent les facteurs clés de la dématérialisation des échanges dans des environnements applicatifs en Cloud.

On ne compte plus le nombre de mots de passe et code d’accès qu’un individu doit retenir, tant pour ses usages privés que professionnels. Les entreprises ont ouvert leur périmètre et leur système d’information à de nombreux acteurs externes (partenaires, clients, fournisseurs), qui peuvent accéder aux systèmes via des login et mot de passe. Outre le fait qu’il devient difficile de mémoriser une moyenne de 10 mots de passe, la sécurité basée sur le login / mot de passe n’est plus adaptée aujourd’hui. En effet, nos ordinateurs ne sont pas à l’abri des programmes malveillants de type Keyloggers (enregistreur de frappe) capables de capter ce qu’un utilisateur saisi sur son clavier. Leur usage s’est largement multiplié et il n’est pas nécessaire d’être informaticien pour utiliser ce type de programme. On les trouve en effet prêt à l’emploi sur Internet ! La parade, une nouvelle fois, c’est le certificat électronique. Logiciel ou sur un support cryptographique, le certificat électronique garantit la sécurité des connections.

Le certificat électronique peut être adopté par tous aujourd’hui comme garantie d’une sécurité fiable des différents échanges Internet et email, et ce afin de se prémunir contre les risques d’usurpation, de détournement et de malversation. Plusieurs niveaux de sécurité peuvent être opérés avec le certificat, en fonction des exigences de sécurité :
classe 1 : adresse électronique du demandeur requise
classe 2 : preuve de l'identité requise (photocopie de carte d'identité par exemple)
classe 3 : présentation physique du demandeur obligatoire
classe 3+ : identique à la classe 3, mais le certificat est stocké sur un support physique cryptographique (clé USB à puce, ou carte à puce et remis en main propre)

Tout comme il est possible de se fier au cachet de la poste pour dater un courrier, le cachet faisant foi, il est possible d’attester la date d’un document électronique. Les technologies d’horodatage permettent d’émettre un jeton, une sorte de tampon électronique, qui certifie la date du document, et garantit son intégrité. L’horodatage est une garantie supplémentaire de non altérité d’un document. La réponse aux appels d’offres publics en ligne est l’un des exemples illustrant les bénéfices de l’horodatage : il permettra ici d’attester qu’une entreprise a répondu à une date précise et les documents ainsi horodatés seront inaltérables.

Les entreprises dématérialisent de plus en plus, aussi ce sont de nombreux documents qu’il s’agit de conserver, d’archiver, parfois de manière probante. Pour cela, il est recommandé de s’appuyer sur un Tiers Archiveur, également Tiers de Confiance, et disposant des infrastructures sécurisées qui permettent de garantir l’intégrité des données déposées ainsi que leur haute disponibilité et leur restitution dans le temps.

La dématérialisation favorise la croissance en simplifiant les échanges et en accélérant les processus. C’est un fait acquis pour les entreprises, qui la placent d’ailleurs dans le top 3 de leurs priorités. Elle permet des réductions de coûts notable, l’exemple de la facture électronique parle de lui-même : une facture papier coute jusqu’à dix fois plus cher qu’une facture électronique. En tant qu’individu, la dématérialisation est également un vecteur de gain de temps, de simplification de processus. En effet, elle est de plus en plus présente dans nos relations avec l’administration (impôts, amende, cantine, etc), avec les banques, et les e-services aux citoyens sont en fort développement.

Un tiers de confiance est un organisme habilité à mettre en œuvre - notamment - des signatures électroniques reposant sur des architectures d'infrastructure à clés publiques ou PKI (Public Key Infrastructure).