E-signature et certificat au cœur de la confiance

Comment l’entreprise peut-elle se forger et s’approprier une identité numérique pour s’en servir dans ses échanges distants dématérialisés ? Avec un certificat et une signature.

L’essor du Cloud et du télétravail, avec en toile de fond une économie mondialisée, pousse les organisations à adopter une gouvernance numérique. Mais rien n’est possible sans la légitimité d’une identité à travers laquelle l’entreprise peut revendiquer la conformité de ses activités et défendre ses intérêts en cas de litige. Pour adapter ces exigences au monde digital, la signature électronique se substitue à la signature manuscrite. Sauf dans de rares cas, elle ne suffit pas cependant à établir à elle seule une identité numérique. C’est le rôle du certificat électronique, produit par une autorité de certification, de garantir cette identité.

« La vente de nos certificats s’accompagne d’un engagement de mise à jour d’une liste de révocation qui permet de s’assurer que les certificats sont bien valides pour attester de la valeur des signatures »

Stéphane Gasch, Chambersign  

« Une signature électronique attache à un document électronique ou à un objet une identité qui porte l’expression de la volonté d’un acteur. On distingue donc la notion d’identité de cet acteur de celle de la signature », rappelle Stéphane Gasch, délégué général de Chambersign. Scénario le plus répandu, une autorité de certification fournit à une personne salariée dans l’entreprise une identité numérique sous forme de certificat délivré sur un support physique. Il s’agit souvent d’une carte à puce ou d’une clé USB contenant un certain nombre d’informations parmi lesquelles le nom du porteur, un numéro de série, des dates de validité et la signature de l’autorité de certification, chiffrée et associée à une paire de clés composée d’une clé publique et d’une clé privée. On parle de PKY, public key infrastructure. Dans cette approche, la publication des certificats (des clés publiques) est réalisée en utilisant des structures d’annuaire de type LDAP. Les certificats obsolètes sont regroupés dans des listes de révocation, des structures de données signées mises régulièrement à jour. Pour délivrer ses services, l’autorité de certification s’appuie sur une autorité d’enregistrement, qui traite les aspects organisationnels, et sur un opérateur qui produit les services. « Être à la fois opérateur et autorité de certification signifie que nous fabriquons nous-mêmes nos certificats dans nos propres infrastructures, des certificats pour personne physique et pour personne morale, et aussi pour des entités en entreprise de type site web ou serveur », souligne Yannick Leplard, CTO et directeur R&D de Certigna, filiale de Tessi.

« Les technologies sont arrivées à maturité, mais cela n’empêche pas les innovations, par exemple mettre à disposition les certificats en mode SaaS. »

Yannick Leplard, Certigna

Des certificats pour de multiples usages

Les certificats produits ne servent effectivement pas seulement à réaliser une signature électronique. On trouve par exemple des certificats SSL/TLS destinés à garantir la sécurité d’une connexion Internet et la protection de données sensibles transmises entre deux systèmes, des certificats ACES et ECA exploités par le gouvernement américain, des certificats IoTT utilisés par des périphériques qui ne sont pas des serveurs, des certificats S/MiME pour atténuer le piratage des e-mails ou encore les certificats Trust ID qui garantissent l’identité des individus et des entreprises dans des opérations de transaction. Tous répondent à la norme X.509. « Beaucoup d’entreprises ne savent pas qu’elles peuvent réutiliser les signatures électroniques associées aux certificats. Le certificat permet de signer à volonté. Il est souvent vu comme une contrainte alors qu’il n’est pas complexe à utiliser, c’est un couteau suisse qui permet de faire énormément de choses. Le certificat présente une forme d’universalité, mais cet aspect est peu mis en avant, de peur de perdre un utilisateur qui cherche une réponse à un besoin. De surcroît, comme la France est, avec le Royaume-Uni, le seul pays en Europe a ne pas encore avoir de carte d’identité électronique, la notion d’identité électronique n’existe toujours pas au niveau du grand public », souligne Stéphane Gasch. Ce retard a une incidence sur notre économie numérique. Août 2021 est la date butoir fixée par le règlement européen pour déployer en France la CNIe (carte nationale d’identité électronique). D’ici là, l’État devra trouver une complémentarité avec le service France Connect qui est opérationnel depuis une dizaine d’années mais n’est pas adapté à des procédures exigeant une authentification forte, et arbitrer sur le devenir de projets comme celui d’Alicem, le très controversé système d’authentification par reconnaissance faciale sur mobile conçu par l’ANTS, et dont le développement a été mis en suspens. Quel que soit le scénario retenu, la CNIe devra être généralisée en 2022 et favoriser la multiplication de services publics et privés à partir de la nouvelle carte à puce.

Un sous-équipement

Dans le secteur de la confiance numérique, les spécialistes se préparent à tirer parti de cette évolution de l’identité régalienne qui, espèrent-ils, touchera les entreprises et favorisera de nouveaux usages. Il faut rappeler qu’avec les factures, les bons de commande ou les contrats, on signe beaucoup plus dans le monde du BtoB que dans celui du BtoC, mais encore trop peu en termes de volume : il y aurait aujourd’hui entre 300 000 et 400 000 entreprises françaises équipées d’un certificat. En Italie, par exemple, la création d’une entreprise impose l’acquisition d’un certificat, si bien qu’on en dénombre aujourd’hui près de 6 millions. La marge de manœuvre est donc très large pour imaginer dans l’Hexagone l’identité numérique des entreprises de demain, sans pour autant bouleverser les fondamentaux à l’œuvre. « Le certificat n’est que le livrable d’une prestation qui vise à garantir l’identité d’une personne physique agissant au nom d’une personne morale ou à garantir qu’une application informatique est mise en œuvre sous la responsabilité juridique d’une personne morale. L’identité numérique d’une entreprise passe par l’intermédiaire des représentants ou des expressions de cette personne morale.

On construit l’identité numérique d’une entreprise en dotant son représentant légal d’un certificat tout comme les personnes qui sont mandatées pour réaliser telle ou telle tâche à l’intérieur de l’organisation, pour signer des appels d’offres s’il s’agit de la structure commerciale, des contrats s’il s’agit de la structure RH, des virements bancaires s’il s’agit de la structure financière. On déploie ainsi facilement au sein de l’entreprise des identités numériques qui correspondent aux différentes strates qui la composent », explique François Chassery, directeur général de Certinomis.

Vulgariser les notions technico juridiques de la signature

Certaines autorités de certification ne vendent que des certificats alors que d’autres proposent en plus leur solution de signature électronique. De leur côté, certains éditeurs de solutions de signature ne possèdent pas d’habilitation pour vendre des certificats. Mais tous ces acteurs cherchent à vulgariser des approches à la fois techniques et juridiques, en particulier la conformité au règlement européen eIDAS qui reconnaît 3 types de signature électronique – simple, avancée, qualifiée, cette dernière attribution étant la plus sécurisée – et la conformité à son équivalent français, le RGS ou règlement général de sécurité. La nature du certificat sur lequel s’appuie la signature déterminant la valeur juridique de celle-ci, les deux offres sont liées, mais c’est souvent la solution de signature qui est mise en avant. « L’utilisateur final recherche une expérience de signature digitale plus simple, plus rapide, plus sécurisée que son expérience de signature papier, même si l’enjeu est toujours de donner son engagement, son accord ou son approbation. Mais la notion de certificat n’apparaît pas pour lui. Au niveau de l’entreprise, commencer à s’équiper d’une solution de signature électronique consiste à transposer les usages vers le digital : si l’entreprise a l’habitude de faire signer des documents par ses employés, ses fournisseurs ou ses clients, il faut réfléchir à la manière dont ces usages sont portés par la signature électronique », souligne Frédéric Brousse, vice-président enterprise sales Europe du Sud de DocuSign. « Nous recommandons de commencer par un process simple, par exemple les contrats de travail. On peut par exemple signer une dizaine de documents par mois, valider et adopter l’approche, puis élargir ensuite à d’autres activités métiers de l’entreprise », préconise de son côté Antoine Louiset, co-fondateur de Yousign.