> Sécurité > Services de confiance : des services comme les autres ?

Services de confiance : des services comme les autres ?

Sécurité - Par Arnaud Lorgeron - Publié le 01 décembre 2015
email

Encore un nième papier sur la signature électronique ? Non ! En toute modestie, j’espère que vous verrez ici un article informatif et didactique sur ce que peut vous apporter l’ensemble des services de confiance.

Services de confiance : des services comme les autres ?

Introduction aux Services de confiance

Certes, le Règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS) a été adopté il y a un an. Au-delà de l’aspect réglementaire tout un chacun pourra y trouver une offre de dématérialisation, promesse de ROI. Des outils variés et complémentaires apportant simplicité et productivité.

Une transition s’est effectuée vers la démocratisation des services de confiance numérique. Car il s’agit bien d’un Service, désormais entré dans le périmètre de la DSI et plus uniquement réservé au RSSI. La vision projet, restrictive, a disparu au profit d’une mise à disposition générale puisque chacun pourra se servir des dispositifs appropriés selon ses besoins.

Signature et cachet

Le règlement Eidas, c’est surtout l’avènement de la signature électronique de la personne morale, aussi appelée cachet électronique.

Depuis longtemps, la signature numérique permet de garantir l’intégrité d’un document et d’en authentifier l’auteur. Grâce au cachet électronique, les organismes privés ou publics (entreprises, associations, administrations) sont désormais autorisés à signer des documents en leur nom. Ces documents numériques ont la même valeur probante que les documents papier. Par conséquent, ils sont recevables comme preuve en justice en cas de litige.

Ce principe, qui confère une véritable identité numérique, mérite d’être expliqué…
Le Cachet Serveur est un certificat électronique permettant la signature de documents dématérialisés, tels que factures ou contrats, au nom d’une personne morale.
L’apposition du cachet du serveur peut également servir d’accusé de réception de documents. Le certificat cachet serveur se présente sous forme logicielle ou sur support cryptographique stocké dans un boîtier HSM (module matériel de sécurité).

Le cachet serveur peut servir à de nombreux usages :
• Certifier la provenance des fichiers
• Sceller électroniquement le contenu des documents
• Sécuriser les échanges entre partenaires
• Etc.

Ce processus numérique s’approche de celui d’une signature électronique mais tous les deux diffèrent sur un point notable : l’apposition d’un cachet sur un document est réalisée non pas par une personne physique mais par un équipement informatique positionné côté serveur et portant l’identité de l’entité considérée. C’est pourquoi on parle de « cachet serveur ».

Selon l’annexe A1 du Référentiel Général de Sécurité, seule une personne physique peut signer électroniquement. En effet, le RGS définit la signature et le cachet comme des fonctions de sécurité apportant de la confiance dans les échanges dématérialisés mais précise que le terme cachet est utilisé par un service applicatif, se différenciant ainsi de la signature électronique.

Les deux mécanismes peuvent bien entendu coexister et se compléter selon les situations. On pourra ainsi imaginer la proposition d’un contrat certifié et scellé via un cachet serveur puis signé électroniquement par un client et enfin archivé sans contestation possible sur son intégrité.

Généralement, chaque cachet est accompagné d’un horodatage conforme aux normes en vigueur (qualification RGS, certification ETSITS).

Les autres services de confiance

Au-delà des fonctions de signature/cachet et d’horodatage, une plate-forme de confiance complète offre un ensemble de services de sécurité permettant aux clients de focaliser leurs efforts sur le développement des nouveaux services et applications métiers, et cela, indépendamment des contraintes techniques liées à l’intégration des services génériques de sécurité.

Cela ne vous apprendra peut-être rien, mais un rappel est quand même parfois utile…

• Le service d’archivage électronique prendra la forme d’un coffre-fort à valeur probante. Il permettra d’enregistrer les données utilisateurs ou du système d’information client afin de les sauvegarder et de les conserver.

• Le service d’horodatage se chargera de sceller (par un moyen cryptographique) l’empreinte d’une donnée ou d’une signature électronique en y rattachant une indication de temps sûre, et cela afin de lui conférer la capacité à être utilisée comme procédé de preuve d’antériorité.

• Le service de signature électronique permettra l’automatisation et la mutualisation des opérations de signatures électroniques entre divers clients applicatifs métiers d’un système d’information et les utilisateurs finaux.

• Le service de génération de preuve est un service de signature électronique qui permettra la dématérialisation des preuves électroniques selon les contextes d’utilisations ou d’usages métiers.

• Le service de validation de signature permettra la mutualisation du processus de validation de signatures électroniques dans l’infrastructure d’un système d’information afin de minimiser le déploiement de dispositifs de validation de signatures sur les équipements terminaux, serveurs locaux, postes utilisateurs, …

• Le service de validation de certificats, traitera les problèmes de validation pour les serveurs applicatifs et d’authentification.

Comme un annuaire ou une messagerie, les services de confiance sont omniprésents, mais ils sont différents par la criticité et la valeur juridique qu’ils sous-entendent. C’est pour cela que le cadre de leur utilisation se met en place de manière réconfortante pour donner la visibilité nécessaire au responsable au sein de l’entreprise.

Au quotidien

Signé, partagé, archivé, retrouvé. Le document devient lui-même le garant de la valeur de l’information et de sa finalité. De nombreuses solutions commerciales permettent de partager, de valider et de signer numériquement les documents sensibles et d’en garantir l’origine, le traitement et la conservation dans un contexte d’accès hautement sécurisé.

La (vieille) mode du zéro papier cumule aujourd’hui bel et bien tous les avantages ! Facilité, rentabilité, optimisation… Quel que soit le secteur d’activité concerné, la dématérialisation remplace efficacement les anciennes habitudes et offre de nouvelles fonctionnalités.

Soyons pragmatique, l’un des objectifs de la signature électronique n’est autre que celui d’augmenter et d’optimiser les ventes, puisque la signature est beaucoup plus rapide que le processus papier historique.

En outre, ce gain de productivité est nativement consolidé par la possibilité d’archivage légal et probant des documents numériques ainsi que par la traçabilité et la protection des données…

Ne pas oublier l’horodatage dont nous avons déjà souligné qu’il était un complément fréquent aux autres services de confiance pris individuellement. Celui-ci peut concerner les accès (physique, pour un bâtiment, logique pour un document) ou bien des opérations (telles des contrôles).

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Sécurité - Par Arnaud Lorgeron - Publié le 01 décembre 2015