Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014

Diapositive 1

Signature lectronique 3.0 Le futur est dj prsent

Petit-djeuner dbat du 29 janvier 2014

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 1

Introduction

Contexte Le dploiement

Enjeux Les nouvelles formes de signature

Dfi La conformit


PLAN

1. Etat des lieux, par Dimitri

Mouton, Socit Demaeter

2. Choisir la bonne signature si cest possible

3. Dployer sans risque sous rserve de lapprciation souveraine des tribunaux


1. Etat des lieux, Dimitri Mouton, Demaeter

1. Un beau fouillis

2. Les fondamentaux

3. Les tendances


1.1 LE FOUILLIS


PKI

Signature lectronique

Authentification

Clef prive

Clef publique

Engagement

IGC

RSA

2048 bits

RGS

Certificat

AC

Classe 3+

2 toiles

Prsomption de fiabilit

Tablette

Signature scurise Signature avance

Certificat qualifi

Convention de preuve

Code PIN

Authentification forte

SMS

Usurpation didentit

CRL

Horodatage

OCSP

X.509 V3

Autorit dEnregistrement

PSCE

PSCO

RFC 3161

COFRAC

ANSSI

Politique de Signature Electronique

PAdES

PDF /A

XAdES

PKCS#7

PKCS#12

Loi du 13 mars 2000

Dcret du 30 mars 2001

Rglement europen

CMS

Signature dtache

Applet java

Propre au signataire

Contrle exclusif

SSCD

Rvocation

SHA256

Dlgation

Parapheur

A la vole

OTP

Intgrit

Non-rpudiation

Garantie de provenance

Traabilit

Prestataire qualifi

Force probante

Alice et Bob


Mais les usages sont l


Marchs publics

Contrats B to B

Immatriculations

Dclarations sociales

Commerce en ligne

Contrats grand public en agence

Actes notaris

PV lectroniques

Attestations de conformit

Diplmes Actes - Contrle de lgalit

Dlibrations

Hlios - Comptabilit publique

Dclarations de travaux

Rseaux et canalisations

Banque en ligne

Dmarches administratives

Rseau Priv Virtuel des Avocats

Rseau Priv Virtuel de la Justice

Tribunal de Commerce lectronique

Actes authentiques

Expertise comptable Chronotachygraphe

Contrats de travail

Emargements

Feuille de soins lectronique

Factures

Dlgation de pouvoirs bancaires

Lettre recommande lectronique

Vote lectronique


Les typologies

Signature scanne

Signature manuscrite sur tablette

Signature lectronique la vole


Avec ou sans

accrditation

Avec ou sans legal opinion

Avec ou sans toiles


Les composantes dun service dmatrialis

Dont la signature lectronique


1.2 LES FONDAMENTAUX


La signature lectronique :

Dfinition pratique

La signature lectronique est une signature

Qui porte sur un document de nature lectronique.

Lencre marque le papier La cryptographie garantit un lien entre le signataire et le document


A quoi sert un certificat

Le certificat est une carte

didentit dlivre par une

Autorit de Certification

ou Prestataire de Services

de Certification

lectronique

Il peut servir :

sauthentifier (contrle daccs)

signer (signature lectronique, cachet, horodatage)

chiffrer (confidentialit)


La PKI

PKI (Public Key Infrastructure), aussi appele Infrastructure clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) :

Lensemble des moyens techniques et humains mis en uvre pour la dlivrance de certificats

Autorit de Certification (AC) : responsable de la PKI dicte les rgles (Politique de Certification) Est garante de leur respect

Autorit dEnregistrement (AE) : procde lenregistrement des porteurs

Oprateur de Certification (OC) : exploite les machines

Autorit de Rvocation, Autorit de Validation : rles complmentaires.


Le cycle de vie du certificat


Calcul technique :

Empreinte du document

Scellement par la clef prive

Ajout dlments complmentaires :

Le certificat du signataire et la chane de certification correspondante

Un jeton dhorodatage

Une preuve de validit du certificat (LCR ou OCSP)

Cinmatique de la signature


Cinmatique de la vrification

Calcul technique :

Empreinte du document

Epreinte initialement scelle

Comparaison des deux valeurs


Validit du certificat

Le document a bien t sign par le porteur du certificat

Mais qui est-ce ?

Vrifier la validit technique du certificat.

Sil est invalide ALERTE !

Examiner lmetteur du certificat :

Si je nai pas confiance en cette AC

ALERTE !

Si jai confiance en cette AC :

Comparer la date de la signature aux dates de validit du certificat

Vrifier la Liste des Certificats Rvoqus

Si tout est bon : le nom contenu dans le certificat est celui du signataire.

Mais ce signataire avait-il le droit de signer ?

Le document sign est-il correct sur la forme ? Sur le fond ?

La vrification se poursuit sur le plan juridique ! 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 18

Exemple : affichage de signature par Adobe Reader


Les formats de signatures

AdES = Advanced Electronic Signature

3 formats : PAdES = format PDF

CAdES = format CMS / PKCS#7

XAdES = format XML

Le choix est faire en fonction des contraintes du projet

Tous permettent dinclure les mmes lments :


Les niveaux de certificats

Le niveau de scurit offert par un certificat dpend :

Des procdures denregistrement

Du support du certificat (matriel / logiciel)

Des engagements de lAutorit de Certification

Les niveaux du RGS rpondent des ralits juridiques :

* Enregistrement distance

Support logiciel


simple

** Enregistrement en face face

Support matriel


scurise

*** Enregistrement en face face

Support matriel scuris

Certificat qualifi


prsume fiable


Les principes de la confiance

La confiance est un sentiment de scurit

Elle doit saccompagner de la prudence !

Chane de confiance faible : Chane de confiance forte :


1.3 LES TENDANCES


La signature lectronique autonome

Le signataire a achet son certificat auprs dune AC du march

Il dispose sur son poste dun outil de signature lectronique

Il ralise ses signatures sur son poste, de manire autonome


La signature lectronique par applet

Le signataire a achet un certificat auprs dune AC du march

Loutil de signature est inclus dans le service appel

Le signataire ralise ses signatures sur son poste, dans le cadre du service


La signature lectronique la vole

Le signataire na pas de certificat, ni doutil de signature

lectronique

Le serveur lui prsente le contrat et

il donne son accord


Le serveur vrifie lidentit du signataire en lui envoyant un

dfi par SMS




Le serveur gnre une bi-clef de signature

Il gnre un certificat au nom du signataire

Il utilise la clef prive pour signer le document

Puis il dtruit la clef prive



Le document est sign sur le serveur !

A la prochaine signature, un

nouveau certificat

sera gnr


La carte puce virtuelle

Le signataire na pas doutil de signature lectronique

Son certificat est conserv sur le serveur dans un espace scuris (HSM)

Le serveur lui prsente le contrat et il donne son accord


Le serveur vrifie lidentit du signataire en lui

envoyant un dfi par

SMS




Le document est sign sur le serveur !

A la prochaine signature, le mme

certificat sera utilis


La signature sur tablette

En agence, le client visualise le contrat

Il appose sa signature manuscrite sur la tablette

Une signature lectronique la vole est ralise en plus de la signature manuscrite


Le cachet lectronique

Les documents sont produits dans un processus automatis et envoys au serveur

Le serveur dispose dun certificat, au nom de la personne morale

Le cachet lectronique est une signature lectronique de personne morale

Il peut tre appos automatiquement


La tendance des tendances la rematrialisation

Prnom Nom

Adresse

Facture de prestations

De lentreprise Tartempion

Valant justificatif de domicile

Prestations123

Prnom Nom Adresse Tartempion 123


Prnom Nom

Adresse

Facture de prestations

De lentreprise Tartempion

Valant justificatif de domicile

Prestations123

Exploitation du code 2D-DOC

Prnom Nom Adresse Tartempion 123

Vrification technique Vrification

visuelle


2. Quelle signature lectronique choisir ?

1. Le droit de la dmat

2. Labsence de choix

3. Le choix


2.1 LE DROIT DE LA DEMATERIALISATION


Les prrequis : Le droit de la dmat

Le papier sauf Le droit llectronique

Le papier sauf Lobligation de dmatrialiser

Le droit la

dmatrialisation

Loi du 13 mars

2000

Avant 2000 Loi du 21 juin 2004

(LCEN) Loi du 4 aot

2008 de

modernisation

de lconomie

Convention de

preuve

ad

probationem

LEtat soblige a recevoir les factures

dmatrialises

ad

validitatem

Ordonnance du 8

dcembre 2005

(e-administration)


Oui mais 3 hypothses

Le prmch

Ex : Bull. Paie ou DPI

Limpos Ex : LRe

Le libre pour linstant

40 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014

Et mme si cest possible Il ny a pas que 1316-4 dans la vie

Attendu que l'employeur fait grief l'arrt de dire le licenciement sans cause relle et srieuse,

alors, selon le moyen, que si une partie conteste l'authenticit d'un courrier lectronique, il appartient

au juge de vrifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil la validit de

l'crit ou de la signature lectroniques sont satisfaites ;

qu'en affirmant que le grant de la socit AGL finances est bien l'auteur et l'expditeur d'un

courrier lectronique dont l'authenticit tait conteste, aux motifs que l'employeur ne rapport (ait)

pas la preuve que l'adresse de l'expditeur mentionne sur le courriel soit errone ou que la bote

d'expdition de la messagerie de l'entreprise ait t dtourne et qu' en tout tat de cause, un tel

dtournement ne pourrait tre imput Mme X... , sans vrifier, comme elle y tait tenue, si ledit

courriel avait t tabli et conserv dans des conditions de nature en garantir l'intgrit et s'il

comportait une signature lectronique rsultant de l'usage d'un procd fiable d'identification, la cour

d'appel a priv sa dcision de base lgale au regard des articles 287 du code de procdure civile,

1316-1 et 1316-4 du code civil ;

Mais attendu que les dispositions invoques par le moyen ne sont pas applicables au courrier

lectronique produit pour faire la preuve d'un fait, dont l'existence peut tre tablie par tous moyens de

preuve, lesquels sont apprcis souverainement par les juges du fond ; que le moyen n'est pas

fond

Cass Soc 25 sept 2013


Mais rappelons demble que

Preuve dun droit ou preuve dun fait ?

Preuve libre ou preuve contrainte

La preuve contrainte = civile

La preuve libre +- tout le reste

Pnal, administratif, prud'homal


La question est donc

1. En ai-je besoin ? (gestion investissement)

2. Qui peut le plus peut le moins (gestion de risque)


2.2 LABSENCE DE CHOIX


Un exemple de non discussion

Pour que les procds de signature lectronique mis la

disposition des magistrats, des agents du greffe et des

personnes habilites en vertu de l'article R. 123-14 du code de

l'organisation judiciaire soient prsums fiables au sens

de l'article 2 du dcret du 30 mars 2001 susvis, ils doivent

respecter les exigences du rfrentiel gnral de scurit du

niveau trois toiles (***). En outre, la signature doit tre

scurise et tre cre par un dispositif scuris certifi dans

les conditions prvues l'article 3 du dcret prcit.

La procdure d'inscription et d'enregistrement des donnes

d'identification et d'habilitation de ces personnes est l'initiative

et sous la responsabilit du ministre de la justice.

Arrt du 18 octobre 2013 relatif la signature lectronique des dcisions de justice rendues en

matire civile par la Cour de cassation


Un autre exemple moins violent

Les actes des autorits administratives peuvent faire l'objet d'une signature lectronique. Celle-ci n'est valablement appose que par l'usage d'un procd, conforme aux rgles du rfrentiel gnral de scurit mentionn au I de l'article 9, qui permette l'identification du signataire, garantisse le lien de la signature avec l'acte auquel elle s'attache et assure l'intgrit de cet acte.

Ord. 2005-1516 du 8-12-2005 relative aux changes lectroniques entre les usagers et

les autorits administratives (Art 8)

Les certificats lectroniques dlivrs aux autorits administratives et leurs agents en

vue d'assurer leur identification dans le cadre d'un systme d'information font l'objet d'une

validation par l'Etat dans des conditions prcises par dcret.


2.3 LHEURE DU CHOIX !

47 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise

Une ralit complexe

4 concepts juridiques (Dcret du 30 mars 2001) Simple Scurise + Numrique Prsume fiable

des approches gographiques : Avance (Dir 1999/93/CE du 13 dcembre 1999) Scurise (Dcret du

30 mars 2001)

Digital signature / Electronic signature

3 ralits techniques au moins : RGS : une toile (*) RGS : deux toiles (**) RGS : trois toiles (***)

3 DEGRS DE FIABILIT

=

3 SIGNATURES


Lorsque le choix est possible

Clic


Signature lectronique scurise

Signature numrique

Signature lectronique prsume fiable


La mthode de base

Cration de la preuve

Un signataire / des signataires Un document / une succession de documents Mono canal / Multicanal Eloignement gographique

Administration de la preuve

Produire durgence (rfr) Produire dans des conditions particulires (pnal ; entits de contrle)

Gestion de la contestation

La SE prsume fiable Risque fort de remise en cause de la preuve Montant important et risque de sclrose du dossier Le montant nest pas llment dterminant (risque fort de remise en cause de contrat en masse de faible montant)

Attention aux faux espoirs - Expertise technique en perspective


Le choix dune solution cest aussi le choix dun prestataire

Pr-requis juridiques

Engagements contractuels

Dispositions

lgales cf LCEN

secteur

public/priv


Le choix dune solution cest aussi le choix.. dun prestataire

Dcision

Pr-requis

juridiques

& techniques

Engagements contractuels

Maintien de normes et

certifications

Couverture assurantielle


3. Scurisation juridique

1. La pierre angulaire

2. Scurisation amont

3. Scurisation en aval


3.1 LA PIERRE ANGULAIRE :

LA CONVENTION DE PREUVE


Approche lgale

Lorsque la loi n'a pas fix d'autres principes, et

dfaut de convention valable entre les parties,

le juge rgle les conflits de preuve littrale en

dterminant par tous moyens le titre le plus

vraisemblable, quel qu'en soit le support.

C. civ. art 1316-2


Gradation des pouvoirs

Loi

Convention

Juge


Notion de validit

Fond

Opposabilit

Accs

B to C

B to B

A to C


Une vraie organisation


Politique de traabilit

Politique dhorodatage

Politique de scurit

Politique de certification

Politique darchivage

Politique

XXX


Une autre question ...

Clause ?

Contrat ?


Organisation dune convention de preuve

Prambule

Article 1 Dfinitions

Article 2 Porte - Opposabilit

Article 3 Dure Prescription

Article 4 Objet

Article 5 Champ dapplication

Article 6 - Identification

Article 7 - Authentification

Article 8 - Intgrit

Article 9 Prennit

Article 10 Conservation

Article 11 - Horodatage

Article 12 Traabilit

Article 13 Signature

Article 14 Responsabilit

Article 15


La convention de preuve ne suffit pas, il faut

organiser la preuve et laccs la preuve

Dossier de preuve

Chemin de preuve


Vision mise

en situation

Justification

technique

Socle

juridique Fondement

Organisation

de la preuve

Accs la

preuve


3.2 LE BUILD JURIDIQUE

(SCURISATION AMONT)


Etude de faisabilit

(possible ou non)

Etude dimpact juridique

(Go no GO)

Socle juridique

(Secteur public Administration lectronique)

Audit juridique de conformit

(legal opinion)

Politique de gestion des documents

lectroniques

Conditions daccs plate-

forme

(on line)

Information du personnel

Cnil

Assurances


Un risque de bug juridique

Ne pas confondre


Convention de dmatrialisation


3.3 LE RUN JURIDIQUE

(SCURISATION EN AVAL)


Dlgation de signature

lectronique

Conditions dutilisation du

parapheur lectronique

Charte du SI (adaptation)

Audit interne (piste daudit fiable)

Gouvernance prestataire

Audit prestataires

Veille juridique

Cellule droit daccs

Gestion de crise


4. MAIS EST-CE SUFFISANT ?


Les fonctions de scurit de la

dmatrialisation


Gestion didentits

Certificats

Confidentialit

Archivage

Traabilit

Horodatage


La scurit : le rle de chacun

Les concepteurs dapplications doivent prendre en compte la scurit

Mais une vision globale simpose !

Une implication et une attitude responsable de chacun des intervenants est indispensable lefficacit des mesures de scurit techniques et juridiques.


Pour en savoir plus


Prochain petit-djeuner dbat

Elus locaux:

Comment protger votre e-rputation

et le nom de votre collectivit

12 fvrier 2014

anim par:

Virginie Bensoussan-Brul & Claudine Salomon



Informations

Crdits Photos et illustrations NetworkingScott Maxwell-Fotolia.com informatique data room runion

binary streamMike Kiev-Fotolia.com

Emblme Franceillustrez-vous-Fotolia.com

Road to Success - Up ArrowiQoncept-Fotolia.com

Businessman entering the labyrinthScanrail-Fotolia.com

Dessins tirs de Scurit de la dmatrialisation Stphane Torossian http://graphiste-free-lance-sato.jimdo.com

Lexing est une marque dpose par Alain Bensoussan Selas Demaeter est une marque dpose par Demaeter Sarl

Me Eric Barbry

Directeur du Ple Droit du numrique

Tel 06 13 28 91 28

[email protected]

Me Polyanna Bigle

Directeur du Dpartement SSI & Dmatrialisation

Tel 06 42 32 16 09

[email protected]

M. Dimitri Mouton Demaeter Consultant expert en dmatrialisation & scurit

Tel 06 59 10 99 37

[email protected] www.demaeter.fr


Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014

de lentreprise

facture de

etat des lieux

autorit de

empreinte

politique

convention

la prochaine

Text of Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014

Renouveau Charismatique Catholique

Les APP, le renouveau pédagogique

La marche des beurs, le renouveau

L’INDUSTRIE ET LES RÉGIONS LE RENOUVEAU

Afrique du Sud : le renouveau - SidactionAfrique du Sud : le renouveau 16 La lutte du héros national 17 La décennie de la honte 18 Le renouveau politique 21 Améliorer l’avenir

FidLy 2013 - Pour un renouveau du marketing client

RENOUVEAU N°106

perte, deuil et renouveau · Perte, deuil et renouveau 3 3 Prologue 5 Perte, deuil et renouveau 8 Pertes, et deuil 13 Communauté scolaire 21 Soutenir des groupes d’âge spécifique

LE RENOUVEAU DE LA DISTRIBUTION D’ASSURANCE

Le renouveau du roman - Érudit

Le renouveau spirituel dans l'espace catholique romand

Plateau SIGNATURE

LA COMPTABILITE MATIERES DANS LE RENOUVEAU DES …

Faire campagne: joies et désillusions du renouveau

Catalogue SIGNATURE

Sandillon - Le Renouveau

L’opération Krysalean : une crise, opportunité d’un renouveau

LE RENOUVEAU DES TRACEURS OUBLIES: DE LA

LE RENOUVEAU DU PORT DE BASSENS

PROSPECTUS Covéa Renouveau - Covea Finance

Giennois • Puisaye • Berry Berry - Le Renouveau - Des

Yoga du printemps : Éveil, énergie et renouveau · Yoga du printemps : Éveil, énergie et renouveau

Vers un renouveau des projets territoriaux de

Bulletin BEAUNE PUISEAUX 115 - Le Renouveau

Renouveau digital pour PETZL

Ecole Hôtelière Renouveau...Ecole Hôtelière Renouveau ecole_hoteliere_renouveau @LyceeRenouveau Ecole Hôtelière Renouveau Allée Colcombet - 42530 Saint-Genest-Lerpt Un Repas

Oriflame Signature

Le renouveau du web - Mathieu Parisot

LE RENOUVEAU DU DISCOUNT EN FRANCE

Le renouveau du spectacle musical en France