View
322
Download
5
Embed Size (px)
DESCRIPTION
Diapositive 1
Signature lectronique 3.0 Le futur est dj prsent
Petit-djeuner dbat du 29 janvier 2014
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 1
Introduction
Contexte Le dploiement
Enjeux Les nouvelles formes de signature
Dfi La conformit
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 2
PLAN
1. Etat des lieux, par Dimitri
Mouton, Socit Demaeter
2. Choisir la bonne signature si cest possible
3. Dployer sans risque sous rserve de lapprciation souveraine des tribunaux
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 3
1. Etat des lieux, Dimitri Mouton, Demaeter
1. Un beau fouillis
2. Les fondamentaux
3. Les tendances
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 4
1.1 LE FOUILLIS
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 5
PKI
Signature lectronique
Authentification
Clef prive
Clef publique
Engagement
IGC
RSA
2048 bits
RGS
Certificat
AC
Classe 3+
2 toiles
Prsomption de fiabilit
Tablette
Signature scurise Signature avance
Certificat qualifi
Convention de preuve
Code PIN
Authentification forte
SMS
Usurpation didentit
CRL
Horodatage
OCSP
X.509 V3
Autorit dEnregistrement
PSCE
PSCO
RFC 3161
COFRAC
ANSSI
Politique de Signature Electronique
PAdES
PDF /A
XAdES
PKCS#7
PKCS#12
Loi du 13 mars 2000
Dcret du 30 mars 2001
Rglement europen
CMS
Signature dtache
Applet java
Propre au signataire
Contrle exclusif
SSCD
Rvocation
SHA256
Dlgation
Parapheur
A la vole
OTP
Intgrit
Non-rpudiation
Garantie de provenance
Traabilit
Prestataire qualifi
Force probante
Alice et Bob
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 6
Mais les usages sont l
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 7
Marchs publics
Contrats B to B
Immatriculations
Dclarations sociales
Commerce en ligne
Contrats grand public en agence
Actes notaris
PV lectroniques
Attestations de conformit
Diplmes Actes - Contrle de lgalit
Dlibrations
Hlios - Comptabilit publique
Dclarations de travaux
Rseaux et canalisations
Banque en ligne
Dmarches administratives
Rseau Priv Virtuel des Avocats
Rseau Priv Virtuel de la Justice
Tribunal de Commerce lectronique
Actes authentiques
Expertise comptable Chronotachygraphe
Contrats de travail
Emargements
Feuille de soins lectronique
Factures
Dlgation de pouvoirs bancaires
Lettre recommande lectronique
Vote lectronique
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 8
Les typologies
Signature scanne
Signature manuscrite sur tablette
Signature lectronique la vole
Signature lectronique
Avec ou sans
accrditation
Avec ou sans legal opinion
Avec ou sans toiles
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 9
Les composantes dun service dmatrialis
Dont la signature lectronique
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 10
1.2 LES FONDAMENTAUX
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 11
La signature lectronique :
Dfinition pratique
La signature lectronique est une signature
Qui porte sur un document de nature lectronique.
Lencre marque le papier La cryptographie garantit un lien entre le signataire et le document
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 12
A quoi sert un certificat
Le certificat est une carte
didentit dlivre par une
Autorit de Certification
ou Prestataire de Services
de Certification
lectronique
Il peut servir :
sauthentifier (contrle daccs)
signer (signature lectronique, cachet, horodatage)
chiffrer (confidentialit)
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 13
La PKI
PKI (Public Key Infrastructure), aussi appele Infrastructure clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) :
Lensemble des moyens techniques et humains mis en uvre pour la dlivrance de certificats
Autorit de Certification (AC) : responsable de la PKI dicte les rgles (Politique de Certification) Est garante de leur respect
Autorit dEnregistrement (AE) : procde lenregistrement des porteurs
Oprateur de Certification (OC) : exploite les machines
Autorit de Rvocation, Autorit de Validation : rles complmentaires.
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 14
Le cycle de vie du certificat
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 15
Calcul technique :
Empreinte du document
Scellement par la clef prive
Ajout dlments complmentaires :
Le certificat du signataire et la chane de certification correspondante
Un jeton dhorodatage
Une preuve de validit du certificat (LCR ou OCSP)
Cinmatique de la signature
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 16
Cinmatique de la vrification
Calcul technique :
Empreinte du document
Epreinte initialement scelle
Comparaison des deux valeurs
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 17
Validit du certificat
Le document a bien t sign par le porteur du certificat
Mais qui est-ce ?
Vrifier la validit technique du certificat.
Sil est invalide ALERTE !
Examiner lmetteur du certificat :
Si je nai pas confiance en cette AC
ALERTE !
Si jai confiance en cette AC :
Comparer la date de la signature aux dates de validit du certificat
Vrifier la Liste des Certificats Rvoqus
Si tout est bon : le nom contenu dans le certificat est celui du signataire.
Mais ce signataire avait-il le droit de signer ?
Le document sign est-il correct sur la forme ? Sur le fond ?
La vrification se poursuit sur le plan juridique ! 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 18
Exemple : affichage de signature par Adobe Reader
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 19
Les formats de signatures
AdES = Advanced Electronic Signature
3 formats : PAdES = format PDF
CAdES = format CMS / PKCS#7
XAdES = format XML
Le choix est faire en fonction des contraintes du projet
Tous permettent dinclure les mmes lments :
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 20
Les niveaux de certificats
Le niveau de scurit offert par un certificat dpend :
Des procdures denregistrement
Du support du certificat (matriel / logiciel)
Des engagements de lAutorit de Certification
Les niveaux du RGS rpondent des ralits juridiques :
* Enregistrement distance
Support logiciel
Signature lectronique
simple
** Enregistrement en face face
Support matriel
Signature lectronique
scurise
*** Enregistrement en face face
Support matriel scuris
Certificat qualifi
Signature lectronique
prsume fiable
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 21
Les principes de la confiance
La confiance est un sentiment de scurit
Elle doit saccompagner de la prudence !
Chane de confiance faible : Chane de confiance forte :
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 22
1.3 LES TENDANCES
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 23
La signature lectronique autonome
Le signataire a achet son certificat auprs dune AC du march
Il dispose sur son poste dun outil de signature lectronique
Il ralise ses signatures sur son poste, de manire autonome
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 24
La signature lectronique par applet
Le signataire a achet un certificat auprs dune AC du march
Loutil de signature est inclus dans le service appel
Le signataire ralise ses signatures sur son poste, dans le cadre du service
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 25
La signature lectronique la vole
Le signataire na pas de certificat, ni doutil de signature
lectronique
Le serveur lui prsente le contrat et
il donne son accord
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 26
Le serveur vrifie lidentit du signataire en lui envoyant un
dfi par SMS
La signature lectronique la vole
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 27
La signature lectronique la vole
Le serveur gnre une bi-clef de signature
Il gnre un certificat au nom du signataire
Il utilise la clef prive pour signer le document
Puis il dtruit la clef prive
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 28
La signature lectronique la vole
Le document est sign sur le serveur !
A la prochaine signature, un
nouveau certificat
sera gnr
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 29
La carte puce virtuelle
Le signataire na pas doutil de signature lectronique
Son certificat est conserv sur le serveur dans un espace scuris (HSM)
Le serveur lui prsente le contrat et il donne son accord
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 30
Le serveur vrifie lidentit du signataire en lui
envoyant un dfi par
SMS
La carte puce virtuelle
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 31
La carte puce virtuelle
Le document est sign sur le serveur !
A la prochaine signature, le mme
certificat sera utilis
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 32
La signature sur tablette
En agence, le client visualise le contrat
Il appose sa signature manuscrite sur la tablette
Une signature lectronique la vole est ralise en plus de la signature manuscrite
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 33
Le cachet lectronique
Les documents sont produits dans un processus automatis et envoys au serveur
Le serveur dispose dun certificat, au nom de la personne morale
Le cachet lectronique est une signature lectronique de personne morale
Il peut tre appos automatiquement
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 34
La tendance des tendances la rematrialisation
Prnom Nom
Adresse
Facture de prestations
De lentreprise Tartempion
Valant justificatif de domicile
Prestations123
Prnom Nom Adresse Tartempion 123
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 35
Prnom Nom
Adresse
Facture de prestations
De lentreprise Tartempion
Valant justificatif de domicile
Prestations123
Exploitation du code 2D-DOC
Prnom Nom Adresse Tartempion 123
Vrification technique Vrification
visuelle
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 36
2. Quelle signature lectronique choisir ?
1. Le droit de la dmat
2. Labsence de choix
3. Le choix
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 37
2.1 LE DROIT DE LA DEMATERIALISATION
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 38
Les prrequis : Le droit de la dmat
Le papier sauf Le droit llectronique
Le papier sauf Lobligation de dmatrialiser
Le droit la
dmatrialisation
Loi du 13 mars
2000
Avant 2000 Loi du 21 juin 2004
(LCEN) Loi du 4 aot
2008 de
modernisation
de lconomie
Convention de
preuve
ad
probationem
LEtat soblige a recevoir les factures
dmatrialises
ad
validitatem
Ordonnance du 8
dcembre 2005
(e-administration)
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 39
Oui mais 3 hypothses
Le prmch
Ex : Bull. Paie ou DPI
Limpos Ex : LRe
Le libre pour linstant
40 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014
Et mme si cest possible Il ny a pas que 1316-4 dans la vie
Attendu que l'employeur fait grief l'arrt de dire le licenciement sans cause relle et srieuse,
alors, selon le moyen, que si une partie conteste l'authenticit d'un courrier lectronique, il appartient
au juge de vrifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil la validit de
l'crit ou de la signature lectroniques sont satisfaites ;
qu'en affirmant que le grant de la socit AGL finances est bien l'auteur et l'expditeur d'un
courrier lectronique dont l'authenticit tait conteste, aux motifs que l'employeur ne rapport (ait)
pas la preuve que l'adresse de l'expditeur mentionne sur le courriel soit errone ou que la bote
d'expdition de la messagerie de l'entreprise ait t dtourne et qu' en tout tat de cause, un tel
dtournement ne pourrait tre imput Mme X... , sans vrifier, comme elle y tait tenue, si ledit
courriel avait t tabli et conserv dans des conditions de nature en garantir l'intgrit et s'il
comportait une signature lectronique rsultant de l'usage d'un procd fiable d'identification, la cour
d'appel a priv sa dcision de base lgale au regard des articles 287 du code de procdure civile,
1316-1 et 1316-4 du code civil ;
Mais attendu que les dispositions invoques par le moyen ne sont pas applicables au courrier
lectronique produit pour faire la preuve d'un fait, dont l'existence peut tre tablie par tous moyens de
preuve, lesquels sont apprcis souverainement par les juges du fond ; que le moyen n'est pas
fond
Cass Soc 25 sept 2013
41 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014
Mais rappelons demble que
Preuve dun droit ou preuve dun fait ?
Preuve libre ou preuve contrainte
La preuve contrainte = civile
La preuve libre +- tout le reste
Pnal, administratif, prud'homal
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 42
La question est donc
1. En ai-je besoin ? (gestion investissement)
2. Qui peut le plus peut le moins (gestion de risque)
43 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014
2.2 LABSENCE DE CHOIX
44 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014
Un exemple de non discussion
Pour que les procds de signature lectronique mis la
disposition des magistrats, des agents du greffe et des
personnes habilites en vertu de l'article R. 123-14 du code de
l'organisation judiciaire soient prsums fiables au sens
de l'article 2 du dcret du 30 mars 2001 susvis, ils doivent
respecter les exigences du rfrentiel gnral de scurit du
niveau trois toiles (***). En outre, la signature doit tre
scurise et tre cre par un dispositif scuris certifi dans
les conditions prvues l'article 3 du dcret prcit.
La procdure d'inscription et d'enregistrement des donnes
d'identification et d'habilitation de ces personnes est l'initiative
et sous la responsabilit du ministre de la justice.
Arrt du 18 octobre 2013 relatif la signature lectronique des dcisions de justice rendues en
matire civile par la Cour de cassation
45 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014
Un autre exemple moins violent
Les actes des autorits administratives peuvent faire l'objet d'une signature lectronique. Celle-ci n'est valablement appose que par l'usage d'un procd, conforme aux rgles du rfrentiel gnral de scurit mentionn au I de l'article 9, qui permette l'identification du signataire, garantisse le lien de la signature avec l'acte auquel elle s'attache et assure l'intgrit de cet acte.
Ord. 2005-1516 du 8-12-2005 relative aux changes lectroniques entre les usagers et
les autorits administratives (Art 8)
Les certificats lectroniques dlivrs aux autorits administratives et leurs agents en
vue d'assurer leur identification dans le cadre d'un systme d'information font l'objet d'une
validation par l'Etat dans des conditions prcises par dcret.
46 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014
2.3 LHEURE DU CHOIX !
47 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise
Une ralit complexe
4 concepts juridiques (Dcret du 30 mars 2001) Simple Scurise + Numrique Prsume fiable
des approches gographiques : Avance (Dir 1999/93/CE du 13 dcembre 1999) Scurise (Dcret du
30 mars 2001)
Digital signature / Electronic signature
3 ralits techniques au moins : RGS : une toile (*) RGS : deux toiles (**) RGS : trois toiles (***)
3 DEGRS DE FIABILIT
=
3 SIGNATURES
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 48
Lorsque le choix est possible
Clic
Signature lectronique
Signature lectronique scurise
Signature numrique
Signature lectronique prsume fiable
49 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014
La mthode de base
Cration de la preuve
Un signataire / des signataires Un document / une succession de documents Mono canal / Multicanal Eloignement gographique
Administration de la preuve
Produire durgence (rfr) Produire dans des conditions particulires (pnal ; entits de contrle)
Gestion de la contestation
La SE prsume fiable Risque fort de remise en cause de la preuve Montant important et risque de sclrose du dossier Le montant nest pas llment dterminant (risque fort de remise en cause de contrat en masse de faible montant)
Attention aux faux espoirs - Expertise technique en perspective
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 50
Le choix dune solution cest aussi le choix dun prestataire
Pr-requis juridiques
Engagements contractuels
Dispositions
lgales cf LCEN
secteur
public/priv
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 51
Le choix dune solution cest aussi le choix.. dun prestataire
Dcision
Pr-requis
juridiques
& techniques
Engagements contractuels
Maintien de normes et
certifications
Couverture assurantielle
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 52
3. Scurisation juridique
1. La pierre angulaire
2. Scurisation amont
3. Scurisation en aval
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 53
3.1 LA PIERRE ANGULAIRE :
LA CONVENTION DE PREUVE
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 54
Approche lgale
Lorsque la loi n'a pas fix d'autres principes, et
dfaut de convention valable entre les parties,
le juge rgle les conflits de preuve littrale en
dterminant par tous moyens le titre le plus
vraisemblable, quel qu'en soit le support.
C. civ. art 1316-2
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 55
Gradation des pouvoirs
Loi
Convention
Juge
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 56
Notion de validit
Fond
Opposabilit
Accs
B to C
B to B
A to C
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 57
Une vraie organisation
Convention de preuve
Politique de traabilit
Politique dhorodatage
Politique de scurit
Politique de certification
Politique darchivage
Politique
XXX
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 58
Une autre question ...
Clause ?
Contrat ?
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 59
Organisation dune convention de preuve
Prambule
Article 1 Dfinitions
Article 2 Porte - Opposabilit
Article 3 Dure Prescription
Article 4 Objet
Article 5 Champ dapplication
Article 6 - Identification
Article 7 - Authentification
Article 8 - Intgrit
Article 9 Prennit
Article 10 Conservation
Article 11 - Horodatage
Article 12 Traabilit
Article 13 Signature
Article 14 Responsabilit
Article 15
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 60
La convention de preuve ne suffit pas, il faut
organiser la preuve et laccs la preuve
Dossier de preuve
Chemin de preuve
Convention de preuve
Vision mise
en situation
Justification
technique
Socle
juridique Fondement
Organisation
de la preuve
Accs la
preuve
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 61
3.2 LE BUILD JURIDIQUE
(SCURISATION AMONT)
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 62
Etude de faisabilit
(possible ou non)
Etude dimpact juridique
(Go no GO)
Socle juridique
(Secteur public Administration lectronique)
Audit juridique de conformit
(legal opinion)
Politique de gestion des documents
lectroniques
Conditions daccs plate-
forme
(on line)
Information du personnel
Cnil
Assurances
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 63
Un risque de bug juridique
Ne pas confondre
Convention de preuve
Convention de dmatrialisation
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 64
3.3 LE RUN JURIDIQUE
(SCURISATION EN AVAL)
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 65
Dlgation de signature
lectronique
Conditions dutilisation du
parapheur lectronique
Charte du SI (adaptation)
Audit interne (piste daudit fiable)
Gouvernance prestataire
Audit prestataires
Veille juridique
Cellule droit daccs
Gestion de crise
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 66
4. MAIS EST-CE SUFFISANT ?
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 67
Les fonctions de scurit de la
dmatrialisation
Signature lectronique
Gestion didentits
Certificats
Confidentialit
Archivage
Traabilit
Horodatage
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 68
La scurit : le rle de chacun
Les concepteurs dapplications doivent prendre en compte la scurit
Mais une vision globale simpose !
Une implication et une attitude responsable de chacun des intervenants est indispensable lefficacit des mesures de scurit techniques et juridiques.
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 69
Pour en savoir plus
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 70
Prochain petit-djeuner dbat
Elus locaux:
Comment protger votre e-rputation
et le nom de votre collectivit
12 fvrier 2014
anim par:
Virginie Bensoussan-Brul & Claudine Salomon
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 71
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 72
Informations
Crdits Photos et illustrations NetworkingScott Maxwell-Fotolia.com informatique data room runion
binary streamMike Kiev-Fotolia.com
Emblme Franceillustrez-vous-Fotolia.com
Road to Success - Up ArrowiQoncept-Fotolia.com
Businessman entering the labyrinthScanrail-Fotolia.com
Dessins tirs de Scurit de la dmatrialisation Stphane Torossian http://graphiste-free-lance-sato.jimdo.com
Lexing est une marque dpose par Alain Bensoussan Selas Demaeter est une marque dpose par Demaeter Sarl
Me Eric Barbry
Directeur du Ple Droit du numrique
Tel 06 13 28 91 28
Me Polyanna Bigle
Directeur du Dpartement SSI & Dmatrialisation
Tel 06 42 32 16 09
M. Dimitri Mouton Demaeter Consultant expert en dmatrialisation & scurit
Tel 06 59 10 99 37
[email protected] www.demaeter.fr
29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 73