Les enjeux de la Signature électronique

Migration Sepa: Les enjeux de la signature électronique

Ces documents sont protégés par le Code de la Propriété Intellectuelle.Toute reproduction partielle ou totale est strictement interdite. Toute personne ne respectant pas ces dispositions se rendra coupable de délit de contrefaçon et sera passible des peines pénales prévues par la loi

2 © 2009 Sage – Division Moyennes & Grandes Entreprises

Dématérialisation et Sécurité

• La construction d’un environnement de sécurité, prend en compte des éléments tels que la disponibilité de l’information et sa fiabilité, la dématérialisation et le suivi de l’information, le contrôle et sa validité juridique

• Elle contribue donc à augmenter la productivité des entreprises

• La mise en place d’une politique de sécurité est aussi une mesure de protection économique

• Elle doit permettre d’éviter, tout du moins, de minimiser les pertes financières engendrées par un acte frauduleux


Au cœur de la politique de Sécurité

• On a coutume de dire que la solidité d’une politique de la sécurité se mesure a la solidité du maillon le plus faible, il ne suffit pas d’avoir le meilleur réseau faut –il encore que la circulation des flux en amont et en aval et les procédures afférentes soient les plus fiables possibles.

• La mise en place de délégations de signature, impose naturellement des procédures, des règles de contrôle des informations échangées.

• La portée légale de la signature Electronique reconnue sur le plan Européen et International a encore plus son intérêt à l’heure du SEPA dans les garanties qu’elle apporte


Signature électronique : Quels Services ?

• Authentification réciproque (ISO/CEI 10181-2) : processus garantissant à une personne l'identité de son partenaire

• Intégrité (ISO/CEI 10181-6) : garantit aux deux parties en présence la non altération des données lors du transfert

• Confidentialité (ISO/CEI 10181-5) : service assurant aux parties en présence que les informations communiquées ne peuvent être connues d'aucune autre personne

• Non répudiation (ISO/CEI 10181-4) : preuve fournie aux deux parties en présence lors d'un transfert de données que l'envoi ou la réception de données s'est bien effectuée


Généralisation de l’usage des Certificats X509

• L’utilisation des Certificats X509 est généralisée ( Banque, Administration , BtoB …)

• Des standards Internationaux usités dans le monde Internet

• La Signature électronique basée sur des certificats X509 est indépendante de la couche protocolaire ou du format

• Mais un besoin récurrent concernant l’interopérabilité des PKI / autorités de certification

– Un constat : l’utilisation des certificats X509 avec les bascules vers des réseaux type Internet, les nouvelles normes de formats XML et l’utilisation des standards de signatures en vigueur dans cet environnement deviennent majoritairement la règle dans le monde


Rappel : Autorité de Certification et Autorité d’Enregistrement

• Une Autorité de Certification (AC) fournit donc quatre services principaux: – Fabrication de bi-clés– Certification de clé publique et publication de certificats– Révocation de certificats– Gestion la fonction de certification

• Une Autorité d’Enregistrement (AE) est responsable de :– L’identification et de l’authentification d’un demandeur de certificat.– L’autorité d’enregistrement peut intervenir pour l’attribution d’un certificat, pour sa

révocation ou pour les deux.

– Note : Les rôles d’autorité de certification et d’autorité d’enregistrement sont complémentaires et peuvent être assurés par des entités distinctes ou confondues…

Dans de nombreux cas les banques feront office d’autorité d’Enregistrement


Quel protocole pour remplacer ETEBAC 5 ?

• Dans le cadre du remplacement d’ETEBAC 5 et pour répondre au besoin d’une signature Electronique Personnelle Multi Bancaire les points suivants sont mis en œuvre : – Définition par le CFONB de la Politique d’Acceptation Commune (PAC) et règles

pour l’interopérabilité

– Référencement à la PAC des autorités de Certification qui souhaitent répondre a ces exigences

– Signature Electronique basée sur les certificats X509 ( authentification et Signature)

– Le Périmètre : Les 2 protocoles désignés pour remplacer ETEBAC : EBICS , SWIFTNet FileAct mais les autres protocoles ou solutions propriétaires bancaire (PeSit IP, FTP/S, HTTPS, Web Banking ) pourront s’appuyer sur la PAC


Les bases de cette Politique d’Acceptation Commune

• Le Référentiel général de sécurité (RGS) a été publié au JO du 4 février 2010. Rédigé par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et la DGME, il fixe les règles de sécurité (identification, signature électronique et horodatage) que les systèmes d’information des Autorités administratives (AA) devront appliquer pour assurer la confidentialité et l’intégrité des informations échangées, leur propre disponibilité et intégrité et l’identification de leurs utilisateurs.

• C’est également sur le RGS et la PRIS ( Politique de Référencement Intersectorielle de Sécurité ) qui est la base d'exigences des services de certification que le CFONB (Comité Français d’Organisation et de Normalisation Bancaires) a fondé sa nouvelle PAC (Politique d’acceptation commune).

• Les AC doivent être accrédités par le Cofrac (Comité français d'accréditation)

• Les prestataires de services de certification électronique (PSCE) sont concernés par cette qualification


EBICS TS/ SWIFTNet pour remplacer ETEBAC 5 et démocratiser la Signature Electronique

• L’offre EBICS TS/ FILEACT + Signature s’adresse en premier lieu aux utilisateurs ETEBAC 5, néanmoins le besoin de sécuriser les workflows de Signature ( interne/externe) répond a des besoins qui vont au-delà , des entreprises utilisatrices actuelles d’ETEBAC 5

• Le Groupe SAGE, conscient de ces enjeux , propose désormais a l’ensemble de ses clients : de la PME aux grands groupes les offres de Signature personnelle.

• L’une des grande nouveautés est la volonté de SAGE de démocratiser auprès des Petites et Moyennes entreprises l’usage de la signature Electronique en faisant évoluer ses offres qui ne proposaient que ETEBAC 3 vers des offres proposant EBICS T et EBICS TS pour ces PME

• Et SWIFTNET pour les groupes internationaux, principalement


La signature Electronique un besoin vital pour les entreprises

• Avec le SEPA de nouveaux services émergent ou prennent plus d’essor pour offrir des possibilités aux entreprises de progresser aux niveaux de la dématérialisation, l’ automatisation et l’optimisation de tâches manuelles dans les domaines :– EDI commercial– EDI Social / Administratif– Dématérialisation de mandats– EBAM ….

• Parallèlement les projets liés à la dématérialisation des pièces administratives et comptables prennent de plus en plus d’essor avec un certain nombre de problématiques identiques ( Signature Electronique , plateforme d’échange , Archivage Légal….) . L’utilisation de certificats valables en multi métier sera un plus ! C’est pourquoi SAGE soutient la PAC


Une Gestion de la Signature pérenne et évolutive

• Une offre fonctionnelle complète et indépendante de la technique de signature

– Double Signature Électronique réelle et Double Signature Interne

– Workflow et Gestion des Règles uniques ( plafonds , détails , limites ..) par type de flux et Signataires

– Notifications et Alertes , Audit constant , journaux , Tickets de Signature

– Support indépendant des AC du marché

– Tests des principales AC de la PAC

• Un large support des différentes normes techniques

– EBICS TS

– SWIFTNET File ACT PKCS#7

– IDENTRUST

– EB /XML …


Internet mobile et signature Electronique EBICS

• Sage va lancer dans les semaines à venir une offre de Signature Electronique à partir des Smartphones.

• Sage s’associe aux principaux acteurs (Constructeurs , fournisseurs de SD card ou de lecteurs , Autorités de Certification …) pour proposer une véritable offre professionnelle de Signature Electronique adaptée aux Directeurs Financiers et Trésoriers

• La démocratisation de la signature Electronique est un axe majeur pour Sage

• Son usage facilité dans un environnement multi métier sera l’un des vecteurs de pour sa réussite

Pré-annonce

Business

Les enjeux de la Signature électronique