ICAVI SECURE conçoit et intègre dans votre système d’information des solutions de signature électronique, de chiffrement et d’archivage légal, pour garantir l’identité du signataire et l’intégrité du document signé. Les documents signés électroniquement sont présumés fiables et disposent d’une valeur probante devant la justice.Au même titre que la signature manuscrite, la signature électronique, aussi appelée signature numérique, est un procédé permettant d’authentifier le signataire (personne physique ou morale) et de garantir l’intégrité des données. Elle repose sur un système de chiffrement à clé publique, autrement dit, de certificats numériques.
LES TROIS GRANDS TYPES D’ARCHITECTURES DE SIGNATURES ÉLECTRONIQUES ET LEURS USAGES
Il existe trois grands types de signatures électroniques qui dépendent de la manière dont sont stockés et utilisés les certificats numériques :
1 – La signature personnelle sur le poste client pour les collaborateurs
Comme son nom l’indique, la signature électronique personnelle permet aux collaborateurs de signer en leur nom et fonction. “Poste client” signifie que le certificat de signature électronique est intégré directement sur le poste de travail des collaborateurs ou plus généralement sur un token physique comme une carte à puce ou une clé USB dédiée au stockage de clés. Selon les cas d’usage et la réglementation, il est possible d’utiliser un token physique (token, carte à puce…) ou logiciel (PKCS12) pour effectuer la signature du document. Si seul l’ordinateur est utilisé pour l’authentification, il s’agit d’une signature simple. Pour un niveau de signature qualifiée, un device sécurisé (token ou jeton d’authentification contenant le certificat tel que ceux proposés par Yubiko) doit être fourni au collaborateur. Dans le cadre professionnel, la signature électronique personnelle est à réserver aux collaborateurs de l’entreprise, puisqu’elle est purement nominative.
Diagramme illustrant les étapes de la signature personnelle sur le poste client ( Authentification matérielle ou logicielle )
2 – La signature personnelle serveur pour les actes unitaires
Dans les cas d’un acte unitaire, comme recueillir le consentement d’une personne externe pour une contractualisation en ligne, la signature personnelle-serveur est la solution à déployer. Elle consiste à générer un certificat temporaire pour une durée limitée au nom de la personne qui doit signer. Cette dernière reçoit ensuite un mot de passe à usage unique d’une durée limitée (une session, par exemple) pour valider son consentement. Dans ce cas, l’infrastructure à clés publiques (PKI) de l’entreprise émet un certificat temporaire pour signer au nom des deux co-contractants : la personne qui signe et l’entreprise. Pour augmenter le niveau de sécurité, on peut intégrer une authentification forte à double facteur en amont du système de signature électronique. Les clés de sécurité peuvent être également protégées à l’aide d’un HSM (Hardware Security Module).
Diagramme illustrant les étapes de la signature sur serveur
Selon les cas d’usage et la réglementation, il est possible de mettre en place une politique de génération de certificat différente pour les signataires. Ainsi, le système peut générer :
- Des certificats “longue durée” et réutilisables pour le même signataire
- Un certificat éphémère (ou de courte durée)permettant de signer uniquement les documents du dossier en cours.
3 – La signature cachet-serveur : le tampon électronique de l’entreprise
Parfois appelé certificat cachet-serveur par abus de langage, il s’agit d’une signature à l’aide d’un certificat de serveur au même titre qu’un certificat SSL ou d’un certificat TLS est utilisé pour l’authentification serveur-client. Concrètement, la signature cachet-serveur est une opération cryptographique qui se base sur le certificat cachet-serveur pour garantir l’intégrité et l’authenticité de données au nom d’une personne morale. Autrement dit, on peut l’assimiler à un tampon électronique d’entreprise.
Conforme aux réglementations eIDAS (Electronic IDentification And Trust Services) et au RGS (Référentiel Général de Sécurité), la signature cachet-serveur permet de signer simultanément d’importants volumes de documents afin d’en garantir l’intégrité et l’authenticité. La clé peut être stockée sur HSM, et elle peut être associée à une authentification à double facteur pour une signature avancée ou qualifiée.
Dès lors, on peut l’intégrer à de nombreux systèmes de l’entreprise parmi lesquels les systèmes de gestion commerciale ou l’ERP pour la signature des devis par exemple, le SIRH pour la signature des contrats de travail, des congés et autres notes de frais, ou encore les applications métiers réalisée à partir de plateforme de Business Process Management (BPM).
Il est à noter que le dépôt d’offres pour les marchés publics utilise la signature cachet-serveur.
Diagramme illustrant Les étapes de la signature cachet-serveur
L’HORODATAGE DE LA SIGNATURE ÉLECTRONIQUE
Que la signature soit effectuée sur serveur ou sur poste client, la plupart des réglementations demandent d’inclure un horodatage, car il offre plusieurs garanties :
- L’existence d’une donnée à partir d’un instant donné
- La non-répudiation des données.
L’horodatage est également utile pour la pérennisation et l’archivage dans le temps des données. En effet, la signature électronique d’un document n’est valable que tant le certificat utilisé pour réaliser la signature est valable.
Dès lors, on peut l’intégrer à de nombreux systèmes de l’entreprise parmi lesquels les systèmes de gestion commerciale ou l’ERP pour la signature des devis par exemple, le SIRH pour la signature des contrats de travail, des congés et autres notes de frais, ou encore les applications métiers réalisée à partir de plateforme de Business Process Management (BPM).
Il est à noter que le dépôt d’offres pour les marchés publics utilise la signature cachet-serveur.
Diagramme illustrant des étapes d’horodatage