Signature électronique avancée - Obtenez un Certificat Qualifié Gratuit
Signatures électroniques simples
D’après l’eIDAS, au niveau le plus simple, une signature électronique peut se définir ainsi :
Données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer.
Nous interpréterions cette définition dans le sens où, pour signer un document, vous n’avez qu’à numériser votre signature ou à cocher numériquement une case dans un document. Techniquement, les données sont sous forme électronique et jointes à un fichier, mais ce modèle pose quelques problèmes que l’eIDAS tente de résoudre avec ce règlement.
Tout d’abord, il est impossible d’affirmer avec certitude que le fichier/document n’a pas été modifié et deuxièmement, il est impossible de connaître la véritable identité de la personne signataire du document. La classification suivante apporte une réponse à ces problématiques.
Dans l’eIDAS, quelle différence y a-t-il entre une signature avancée et une signature qualifiée ?
- June 06, 2017
- Nadim Farah
Dans nos deux derniers posts, nous avons rapidement évoqué le règlement européen N o 910/2014, mieux connu sous le nom d’eIDAS, avant de parler des signatures électroniques (sous un autre angle que celui de la conformité) et d’étudier comment choisir la signature la mieux adaptée à vos besoins.
Dans ce billet, je souhaiterais approfondir la classification des signatures électroniques établie par l’eIDAS en fonction de leur niveau de sécurité. Dans le cadre d’une démarche de mise en conformité, ce billet vous aidera à choisir le niveau de sécurité adéquat.
Signatures électroniques qualifiées
Une signature électronique qualifiée est :
Une signature électronique avancée créée par un dispositif de création de signatures qualifiées et qui repose sur un certificat qualifié pour signature électronique.
Regardons tout d’abord à quoi correspond un « dispositif de création de signatures qualifiées ».
- D’après les exigences de l’eIDAS :
- Le dispositif doit assurer la confidentialité des données de création de signatures électroniques.
- Les données de création de signatures électroniques utilisées pour créer une signature électronique ne peuvent pratiquement être utilisées qu’une fois.
- Les données de création de signatures électroniques utilisées pour créer une signature ne peuvent être dérivées et la signature est protégée contre toute falsification par les technologies actuellement disponibles.
- Les données de création de signatures électroniques utilisées pour créer une signature peuvent être protégées de manière fiable par le signataire légitime contre toute utilisation par un tiers.
- Le niveau de sécurité des jeux de données dupliqués doit être identique à celui des jeux de données d’origine.
- Le nombre de jeux de données dupliqués n’excédera pas le minimum requis pour assurer la continuité de service.
Derrière l’impression de flou de cette règle (qui permet probablement d’assurer la conformité avec les standards technologiques de demain), l’idée est la suivante : si vous utilisez une signature électronique qualifiée, vous devez stocker les données de création et de signature sur un dispositif extrêmement fiable et protégé.
Quel matériel offre un niveau de fiabilité suffisant ? Nous recommandons de stocker ces données sur un module HSM (Hardware Service Module) qui peut être conservé en lieu sûr dans votre organisation. Pour respecter l’ensemble des exigences de sécurité évoquées plus haut, votre module HSM doit, au moins, être conforme au niveau 3 de la norme FIPS 140-2 créé pour les modules cryptographiques comme les HSM.
Créer un document avec signature électronique - Guide complet
"Signature électronique - Nouvelle Frontière pour les Actes de Cautionnement"
La Signature Électronique - Guide Complet pour les Fournisseurs
La Clé de la Signature Électronique dans le Marché Public