Maîtrisez la Signature Électronique Avancée avec un Certificat Qualifié
À quel niveau de sécurité dois-je me conformer ?
En vertu de l’Article 25 de l’eIDAS :
La valeur juridique et l’admissibilité d’une signature électronique au titre de preuve ne peuvent être refusées aux seuls motifs que sa forme est électronique ou qu’elle ne répond pas aux exigences des signatures électroniques qualifiées.
En clair : pour prouver la validité de votre document dans un contexte juridique, vous aurez besoin d’une signature avancée, ou d’un niveau de sécurité supérieur.
D’après l’eIDAS, les entreprises qui exigent des niveaux de confiance et de sécurité élevés devraient utiliser des signatures électroniques avancées ou qualifiées. Cette recommandation s’étend aux organismes du secteur financier, aux organismes publics et aux états membres de l’UE.
Si vous prévoyez d’utiliser des workflows documentaires pour vos transactions (avec des clients ou des entreprises tierces, ou d’une valeur juridique), sachez que la fiabilité des données/informations de vos documents n’a d’égale que le niveau de sécurité de vos procédures.
Enfin, même si l’utilisation de certificats numériques n’est pas précisée dans l’eIDAS pour les signatures avancées, leur utilisation est vivement recommandée — leur achat devant être, de préférence, effectué auprès d’une autorité de certification de confiance publique. La confiance publique est un élément phare pour que vos signatures soient automatiquement vérifiées et acceptées par les principaux logiciels documentaires, comme Adobe ou Microsoft. Ainsi, lorsque vous signez vos documents, non seulement vous respectez les exigences réglementaires, mais vous offrez également une expérience utilisateur transparente aux destinataires de vos documents.
Signatures électroniques avancées
En vertu de l’eIDAS, une signature électronique avancée doit satisfaire aux exigences suivantes :
- être liée de façon univoque au signataire ,
- permettre d’identifier le signataire ,
- être créée par des données de création de signatures électroniques que le signataire puisse, en toute confiance, garder sous son contrôle exclusif ,
- être liée aux données signées de sorte que toute modification ultérieure des données soit détectable.
Pour satisfaire à l’ensemble de ces conditions, vous pouvez utiliser des signatures numériques basées sur une PKI. Les signatures numériques sont appliquées à l’aide d’un certificat numérique — qui équivaut à la version électronique d’un passeport ou d’un permis de conduire. Ce certificat n’est délivré qu’après vérification exhaustive de votre identité par un tiers de confiance (appelé Autorité de certification ou AC). Propres à chacun et pratiquement impossibles à usurper, les certificats numériques et les signatures obtenues répondent aux deux premières exigences ci-dessus.
Le signataire étant le seul détenteur de la clé privée utilisée pour appliquer la signature (voir notre article sur les infrastructures à clé publique [PKI] pour comprendre le fonctionnement des paires de clés publiques/privées), vous aurez la certitude que le signataire est bien la personne qu’il ou elle affirme être. Enfin, une partie du processus de vérification des signatures — qui se déclenche automatiquement à l’ouverture du document par son destinataire — comprend la vérification d’éventuelles modifications apportées au document depuis sa signature.
Dans l’eIDAS, quelle différence y a-t-il entre une signature avancée et une signature qualifiée ?
- June 06, 2017
- Nadim Farah
Dans nos deux derniers posts, nous avons rapidement évoqué le règlement européen N o 910/2014, mieux connu sous le nom d’eIDAS, avant de parler des signatures électroniques (sous un autre angle que celui de la conformité) et d’étudier comment choisir la signature la mieux adaptée à vos besoins.
Dans ce billet, je souhaiterais approfondir la classification des signatures électroniques établie par l’eIDAS en fonction de leur niveau de sécurité. Dans le cadre d’une démarche de mise en conformité, ce billet vous aidera à choisir le niveau de sécurité adéquat.
Signatures électroniques qualifiées
Une signature électronique qualifiée est :
Une signature électronique avancée créée par un dispositif de création de signatures qualifiées et qui repose sur un certificat qualifié pour signature électronique.
Regardons tout d’abord à quoi correspond un « dispositif de création de signatures qualifiées ».
- D’après les exigences de l’eIDAS :
- Le dispositif doit assurer la confidentialité des données de création de signatures électroniques.
- Les données de création de signatures électroniques utilisées pour créer une signature électronique ne peuvent pratiquement être utilisées qu’une fois.
- Les données de création de signatures électroniques utilisées pour créer une signature ne peuvent être dérivées et la signature est protégée contre toute falsification par les technologies actuellement disponibles.
- Les données de création de signatures électroniques utilisées pour créer une signature peuvent être protégées de manière fiable par le signataire légitime contre toute utilisation par un tiers.
- Le niveau de sécurité des jeux de données dupliqués doit être identique à celui des jeux de données d’origine.
- Le nombre de jeux de données dupliqués n’excédera pas le minimum requis pour assurer la continuité de service.
Derrière l’impression de flou de cette règle (qui permet probablement d’assurer la conformité avec les standards technologiques de demain), l’idée est la suivante : si vous utilisez une signature électronique qualifiée, vous devez stocker les données de création et de signature sur un dispositif extrêmement fiable et protégé.
Quel matériel offre un niveau de fiabilité suffisant ? Nous recommandons de stocker ces données sur un module HSM (Hardware Service Module) qui peut être conservé en lieu sûr dans votre organisation. Pour respecter l’ensemble des exigences de sécurité évoquées plus haut, votre module HSM doit, au moins, être conforme au niveau 3 de la norme FIPS 140-2 créé pour les modules cryptographiques comme les HSM.
Signature électronique avancée - Obtenez un Certificat Qualifié Gratuit
Créer un document avec signature électronique - Guide complet
"Signature électronique - Nouvelle Frontière pour les Actes de Cautionnement"
La Signature Électronique - Guide Complet pour les Fournisseurs