View
322
Download
5
Embed Size (px)
DESCRIPTION
Signature électronique 3.0 Le futur est déjà présent
Petit-déjeuner débat du 29 janvier 2014
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 1
Introduction
Contexte – Le déploiement
Enjeux – Les nouvelles formes de signature
Défi – La conformité
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 2
PLAN
1. Etat des lieux, par Dimitri
Mouton, Société Demaeter
2. Choisir la bonne signature …
si c’est possible
3. Déployer sans risque … sous
réserve de l’appréciation
souveraine des tribunaux
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 3
1. Etat des lieux, Dimitri Mouton, Demaeter
1. Un beau fouillis…
2. Les fondamentaux
3. Les tendances
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 4
1.1 LE FOUILLIS…
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 5
PKI
Signature électronique
Authentification
Clef privée
Clef publique
Engagement
IGC
RSA
2048 bits
RGS
Certificat
AC
Classe 3+
2 étoiles
Présomption de fiabilité
Tablette
Signature sécurisée Signature avancée
Certificat qualifié
Convention de preuve
Code PIN
Authentification forte
SMS
Usurpation d’identité
CRL
Horodatage
OCSP
X.509 V3
Autorité d’Enregistrement
PSCE
PSCO
RFC 3161
COFRAC
ANSSI
Politique de Signature Electronique
PAdES
PDF /A
XAdES
PKCS#7
PKCS#12
Loi du 13 mars 2000
Décret du 30 mars 2001
Règlement européen
CMS
Signature détachée
Applet java
Propre au signataire
Contrôle exclusif
SSCD
Révocation
SHA256
Délégation
Parapheur
A la volée
OTP
Intégrité
Non-répudiation
Garantie de provenance
Traçabilité
Prestataire qualifié
Force probante
Alice et Bob
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 6
Mais les usages sont là …
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 7
Marchés publics
Contrats B to B
Immatriculations
Déclarations sociales
Commerce en ligne
Contrats grand public en agence
Actes notariés
PV électroniques
Attestations de conformité
Diplômes Actes - Contrôle de légalité
Délibérations
Hélios - Comptabilité publique
Déclarations de travaux
Réseaux et canalisations
Banque en ligne
Démarches administratives
Réseau Privé Virtuel des Avocats
Réseau Privé Virtuel de la Justice
Tribunal de Commerce électronique
Actes authentiques
Expertise comptable Chronotachygraphe
Contrats de travail
Emargements
Feuille de soins électronique
Factures
Délégation de pouvoirs bancaires
Lettre recommandée électronique
Vote électronique
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 8
Les typologies…
Signature scannée
Signature manuscrite sur tablette
Signature électronique « à la volée »
Signature électronique
Avec ou sans
accréditation
Avec ou sans legal opinion
Avec ou sans étoiles
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 9
Les composantes d’un service
dématérialisé
Dont la signature électronique
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 10
1.2 LES FONDAMENTAUX
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 11
La signature électronique :
Définition pratique
La signature électronique est une signature…
… Qui porte sur un document de nature électronique.
L’encre marque le papier La cryptographie garantit un lien entre le signataire et le document
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 12
A quoi sert un certificat
• Le certificat est une « carte
d’identité » délivrée par une
« Autorité de Certification »
ou « Prestataire de Services
de Certification
Électronique »
• Il peut servir à :
– s’authentifier (contrôle d’accès)
– signer (signature électronique, cachet, horodatage)
– chiffrer (confidentialité)
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 13
La PKI
• PKI (Public Key Infrastructure), aussi appelée Infrastructure à clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) :
L’ensemble des moyens techniques et humains
mis en œuvre pour la délivrance de certificats
• Autorité de Certification (AC) : responsable de la PKI – Édicte les règles (Politique de Certification)
– Est garante de leur respect
• Autorité d’Enregistrement (AE) : procède à l’enregistrement des porteurs
• Opérateur de Certification (OC) : exploite les machines
• Autorité de Révocation, Autorité de Validation : rôles complémentaires.
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 14
Le cycle de vie du certificat
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 15
• Calcul technique :
– Empreinte du document
– Scellement par la clef privée
• Ajout d’éléments complémentaires :
– Le certificat du signataire et la chaîne de certification correspondante
– Un jeton d’horodatage
– Une preuve de validité du certificat (LCR ou OCSP)
Cinématique de la signature
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 16
Cinématique de la vérification
• Calcul technique :
– Empreinte du document
– Epreinte initialement scellée
– Comparaison des deux valeurs
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 17
Validité du certificat
Le document a bien été signé par le porteur du certificat…
Mais qui est-ce ?
• Vérifier la validité technique du certificat.
– S’il est invalide ALERTE !
• Examiner l’émetteur du certificat :
– Si je n’ai pas confiance en cette AC
ALERTE !
– Si j’ai confiance en cette AC :
• Comparer la date de la signature aux dates de validité du certificat
• Vérifier la Liste des Certificats Révoqués
• Si tout est bon : le nom contenu dans le certificat est celui du signataire.
Mais ce signataire avait-il le droit de signer ?
Le document signé est-il correct sur la forme ? Sur le fond ?
La vérification se poursuit sur le plan juridique ! 29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 18
Exemple : affichage de signature par Adobe Reader
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 19
Les formats de signatures
• AdES = Advanced Electronic Signature
• 3 formats :
– PAdES = format PDF
– CAdES = format CMS / PKCS#7
– XAdES = format XML
• Le choix est à faire en fonction des contraintes du projet
• Tous permettent d’inclure les mêmes éléments :
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 20
Les « niveaux de certificats »
• Le niveau de sécurité offert par un certificat dépend :
– Des procédures d’enregistrement
– Du « support » du certificat (matériel / logiciel)
– Des engagements de l’Autorité de Certification
• Les niveaux du RGS répondent à des réalités juridiques :
* Enregistrement à distance
Support logiciel
Signature électronique
« simple »
** Enregistrement en face à face
Support matériel
Signature électronique
« sécurisée »
*** Enregistrement en face à face
Support matériel sécurisé
Certificat qualifié
Signature électronique
« présumée fiable »
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 21
Les principes de la confiance
• La confiance est un sentiment de sécurité
• Elle doit s’accompagner de la prudence !
Chaîne de confiance faible : Chaîne de confiance forte :
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 22
1.3 LES TENDANCES
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 23
La signature électronique « autonome »
• Le signataire a acheté son certificat auprès d’une AC du marché
• Il dispose sur son poste d’un outil de signature électronique
• Il réalise ses signatures sur son poste, de manière autonome
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 24
La signature électronique par applet
• Le signataire a acheté un certificat auprès d’une AC du marché
• L’outil de signature est inclus dans le service appelé
• Le signataire réalise ses signatures sur son poste, dans le cadre du service
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 25
La signature électronique à la volée
• Le signataire n’a pas
de certificat, ni d’outil
de signature
électronique
• Le serveur lui
présente le contrat et
il donne son accord
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 26
• Le serveur vérifie
l’identité du signataire
en lui envoyant un
défi par SMS
La signature électronique à la volée
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 27
La signature électronique à la volée
• Le serveur génère une bi-clef de signature
• Il génère un certificat au nom du signataire
• Il utilise la clef privée pour signer le document
• Puis il détruit la clef privée
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 28
La signature électronique à la volée
• Le document est
signé sur le serveur !
• A la prochaine
signature, un
nouveau certificat
sera généré
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 29
La « carte à puce virtuelle »
• Le signataire n’a pas d’outil de signature électronique
• Son certificat est conservé sur le serveur dans un espace sécurisé (HSM)
• Le serveur lui présente le contrat et il donne son accord
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 30
• Le serveur vérifie
l’identité du
signataire en lui
envoyant un défi par
SMS
La « carte à puce virtuelle »
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 31
La « carte à puce virtuelle »
• Le document est
signé sur le serveur !
• A la prochaine
signature, le même
certificat sera utilisé
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 32
La signature sur tablette
• En agence, le client visualise le contrat
• Il appose sa signature manuscrite sur la tablette
• Une signature électronique « à la volée » est réalisée en plus de la signature manuscrite
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 33
Le cachet électronique
• Les documents sont produits dans un processus automatisé et envoyés au serveur
• Le serveur dispose d’un certificat, au nom de la personne morale
• Le cachet électronique est une « signature électronique » de personne morale
• Il peut être apposé automatiquement
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 34
La tendance des tendances… la
« rematérialisation »
Prénom Nom
Adresse
Facture de prestations
De l’entreprise Tartempion
Valant justificatif de domicile
Prestations………………123 €
« Prénom Nom Adresse Tartempion 123€ »
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 35
Prénom Nom
Adresse
Facture de prestations
De l’entreprise Tartempion
Valant justificatif de domicile
Prestations………………123 €
Exploitation du code 2D-DOC
« Prénom Nom Adresse Tartempion 123€ »
Vérification technique Vérification
visuelle
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 36
2. Quelle signature électronique choisir ?
1. Le droit de la « démat »
2. L’absence de choix
3. Le choix
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 37
2.1 LE DROIT DE LA DEMATERIALISATION
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 38
Les prérequis : Le droit de la « démat »
Le papier sauf … Le droit à
l’électronique Le papier sauf … L’obligation de
dématérialiser Le droit à la
dématérialisation
Loi du 13 mars
2000
Avant 2000 Loi du 21 juin 2004
(LCEN) Loi du 4 août
2008 de
modernisation
de l’économie
Convention de
preuve
ad
probationem
L’Etat s’oblige a
recevoir les factures
dématérialisées
ad
validitatem
Ordonnance du 8
décembre 2005
(e-administration)
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 39
Oui mais … 3 hypothèses
Le prémâché
Ex : Bull. Paie ou DPI
L’imposé – Ex : LRe
Le « libre » … pour l’instant
40 Copyright Lexing 2014 ® Confidentiel Entreprise 29/01/2014
Et même si c’est possible…
« Il n’y a pas que 1316-4 dans la vie … »
« Attendu que l'employeur fait grief à l'arrêt de dire le licenciement sans cause réelle et sérieuse,
alors, selon le moyen, que si une partie conteste l'authenticité d'un courrier électronique, il appartient
au juge de vérifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil à la validité de
l'écrit ou de la signature électroniques sont satisfaites ;
qu'en affirmant que le gérant de la société AGL finances « est bien l'auteur et l'expéditeur » d'un
courrier électronique dont l'authenticité était contestée, aux motifs que l'employeur « ne rapport (ait)
pas la preuve que l'adresse de l'expéditeur mentionnée sur le courriel soit erronée ou que la boîte
d'expédition de la messagerie de l'entreprise ait été détournée » et qu'« en tout état de cause, un tel
détournement ne pourrait être imputé à Mme X... », sans vérifier, comme elle y était tenue, si ledit
courriel avait été établi et conservé dans des conditions de nature à en garantir l'intégrité et s'il
comportait une signature électronique résultant de l'usage d'un procédé fiable d'identification, la cour
d'appel a privé sa décision de base légale au regard des articles 287 du code de procédure civile,
1316-1 et 1316-4 du code civil ;
Mais attendu que les dispositions invoquées par le moyen ne sont pas applicables au courrier
électronique produit pour faire la preuve d'un fait, dont l'existence peut être établie par tous moyens de
preuve, lesquels sont appréciés souverainement par les juges du fond ; que le moyen n'est pas
fondé »
Cass Soc 25 sept 2013
41 Copyright Lexing 2014 ® Confidentiel Entreprise 29/01/2014
Mais rappelons d’emblée que …
• Preuve d’un droit ou preuve d’un fait ?
• Preuve libre ou preuve contrainte
– La preuve contrainte = civile
– La preuve libre … +- tout le reste
• Pénal, administratif, prud'homal
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 42
La question est donc …
1. En ai-je besoin ? (gestion investissement)
2. Qui peut le plus peut le moins… (gestion de risque)
43 Copyright Lexing 2014 ® Confidentiel Entreprise 29/01/2014
2.2 L’ABSENCE DE CHOIX …
44 Copyright Lexing 2014 ® Confidentiel Entreprise 29/01/2014
Un exemple de « non discussion »
Pour que les procédés de signature électronique mis à la
disposition des magistrats, des agents du greffe et des
personnes habilitées en vertu de l'article R. 123-14 du code de
l'organisation judiciaire soient présumés fiables au sens
de l'article 2 du décret du 30 mars 2001 susvisé, ils doivent
respecter les exigences du référentiel général de sécurité du
niveau trois étoiles (***). En outre, la signature doit être
sécurisée et être créée par un dispositif sécurisé certifié dans
les conditions prévues à l'article 3 du décret précité.
La procédure d'inscription et d'enregistrement des données
d'identification et d'habilitation de ces personnes est à l'initiative
et sous la responsabilité du ministère de la justice.
Arrêté du 18 octobre 2013 relatif à la signature électronique des décisions de justice rendues en
matière civile par la Cour de cassation
45 Copyright Lexing 2014 ® Confidentiel Entreprise 29/01/2014
Un autre exemple… moins « violent »
« Les actes des autorités administratives peuvent faire l'objet d'une signature électronique. Celle-ci n'est valablement apposée que par l'usage d'un procédé, conforme aux règles du référentiel général de sécurité mentionné au I de l'article 9, qui permette l'identification du signataire, garantisse le lien de la signature avec l'acte auquel elle s'attache et assure l'intégrité de cet acte. »
Ord. 2005-1516 du 8-12-2005 relative aux échanges électroniques entre les usagers et
les autorités administratives (Art 8)
« Les certificats électroniques délivrés aux autorités administratives et à leurs agents en
vue d'assurer leur identification dans le cadre d'un système d'information font l'objet d'une
validation par l'Etat dans des conditions précisées par décret. »
46 Copyright Lexing 2014 ® Confidentiel Entreprise 29/01/2014
2.3 L’HEURE DU CHOIX !
47 29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
Une réalité … complexe
• 4 concepts juridiques (Décret du 30 mars 2001)
– Simple
– Sécurisée + Numérique
– Présumée fiable
• des approches géographiques :
– Avancée (Dir 1999/93/CE du 13 décembre 1999) Sécurisée (Décret du 30 mars 2001)
– Digital signature / Electronic signature
• 3 réalités techniques au moins :
– RGS : une étoile (*)
– RGS : deux étoiles (**)
– RGS : trois étoiles (***)
3 DEGRÉS DE FIABILITÉ
=
3 SIGNATURES
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 48
Lorsque le choix est possible …
Clic
Signature électronique
Signature électronique sécurisée
Signature numérique
Signature électronique présumée fiable
49 Copyright Lexing 2014 ® Confidentiel Entreprise 29/01/2014
La méthode… de base
Création de la preuve
• Un signataire / des signataires
• Un document / une succession de documents
• Mono canal / Multicanal
• Eloignement géographique
Administration de la preuve
• Produire d’urgence (référé)
• Produire dans des conditions particulières (pénal ; entités de contrôle)
Gestion de la contestation
• La SE présumée fiable – Risque fort de remise en cause de la preuve
• Montant important et risque de sclérose du dossier
• Le montant n’est pas l’élément déterminant (risque fort de remise en cause de contrat en masse de faible montant)
• Attention aux faux espoirs - Expertise technique en perspective
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 50
Le choix d’une solution c’est aussi le choix
… d’un prestataire
Pré-requis juridiques
Engagements contractuels
Dispositions
légales cf LCEN
secteur
public/privé
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 51
Le choix d’une solution c’est aussi le choix..
d’un prestataire
Décision
Pré-requis
juridiques
& techniques
Engagements contractuels
Maintien de normes et
certifications
Couverture assurantielle
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 52
3. Sécurisation juridique
1. La pierre angulaire
2. Sécurisation amont
3. Sécurisation en aval
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 53
3.1 LA PIERRE ANGULAIRE :
LA CONVENTION DE PREUVE
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 54
Approche légale
« Lorsque la loi n'a pas fixé d'autres principes, et à
défaut de convention valable entre les parties,
le juge règle les conflits de preuve littérale en
déterminant par tous moyens le titre le plus
vraisemblable, quel qu'en soit le support. »
C. civ. art 1316-2
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 55
Gradation des « pouvoirs »
Loi
Convention
Juge
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 56
Notion de « validité »
Fond
Opposabilité
Accès
B to C
B to B
A to C
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 57
Une vraie organisation …
Convention de preuve
Politique de traçabilité
Politique d’horodatage
Politique de sécurité
Politique de certification
Politique d’archivage
Politique
XXX
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 58
Une autre question ...
Clause ?
Contrat ?
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 59
Organisation d’une convention de preuve
Préambule
Article 1 Définitions
Article 2 Portée - Opposabilité
Article 3 Durée – Prescription
Article 4 – Objet
Article 5 – Champ d’application
Article 6 - Identification
Article 7 - Authentification
Article 8 - Intégrité
Article 9 – Pérennité
Article 10 – Conservation
Article 11 - Horodatage
Article 12 – Traçabilité
Article 13 – Signature
Article 14 – Responsabilité
Article 15 …
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 60
La convention de preuve ne suffit pas, il faut
organiser la preuve et l’accès à la preuve
Dossier de preuve
Chemin de preuve
Convention de preuve
Vision mise
en situation
Justification
technique
Socle
juridique Fondement
Organisation
de la preuve
Accès à la
preuve
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 61
3.2 LE BUILD JURIDIQUE
(SÉCURISATION AMONT)
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 62
Etude de faisabilité
(possible ou non)
Etude d’impact juridique
(Go no GO)
Socle juridique
(Secteur public – Administration électronique)
Audit juridique de conformité
(legal opinion)
Politique de gestion des documents
électroniques
Conditions d’accès plate-
forme
(on line)
Information du personnel
Cnil
Assurances
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 63
Un risque de « bug juridique »
Ne pas confondre…
Convention de preuve
Convention de dématérialisation
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 64
3.3 LE RUN JURIDIQUE
(SÉCURISATION EN AVAL)
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 65
Délégation de signature
électronique
Conditions d’utilisation du
parapheur électronique
Charte du SI (adaptation)
Audit interne (piste d’audit fiable)
Gouvernance prestataire
Audit prestataires
Veille juridique
Cellule droit d’accès
Gestion de crise
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 66
4. MAIS EST-CE SUFFISANT ?
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 67
Les fonctions de sécurité de la
dématérialisation
Signature électronique
Gestion d’identités
Certificats
Confidentialité
Archivage
Traçabilité
Horodatage
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 68
La sécurité : le rôle de chacun
• Les concepteurs d’applications doivent prendre en compte la sécurité…
• Mais une vision globale s’impose !
• Une implication et une attitude responsable de chacun des intervenants est
indispensable à l’efficacité des mesures de sécurité techniques et juridiques.
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 69
Pour en savoir plus …
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 70
Prochain petit-déjeuner débat
Elus locaux:
Comment protéger votre e-réputation
et le nom de votre collectivité
12 février 2014
animé par:
Virginie Bensoussan-Brulé & Claudine Salomon
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 71
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 72
Informations
Crédits Photos et illustrations Networking©Scott Maxwell-Fotolia.com informatique data room réunion
binary stream©Mike Kiev-Fotolia.com
Emblème France©illustrez-vous-Fotolia.com
Road to Success - Up Arrow©iQoncept-Fotolia.com
Businessman entering the labyrinth©Scanrail-Fotolia.com
Dessins tirés de Sécurité de la dématérialisation © Stéphane Torossian – http://graphiste-free-lance-sato.jimdo.com
Lexing est une marque déposée par Alain Bensoussan Selas
Demaeter est une marque déposée par Demaeter Sarl
Me Eric Barbry
Directeur du Pôle Droit du numérique
Tel 06 13 28 91 28
Me Polyanna Bigle
Directeur du Département SSI & Dématérialisation
Tel 06 42 32 16 09
M. Dimitri Mouton – Demaeter
Consultant expert en dématérialisation & sécurité
Tel 06 59 10 99 37
[email protected] – www.demaeter.fr
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 73