Confiance et dématérialisation

2012 Livre Blanc

DICTAO

152 avenue de Malakoff - 75116 PARIS

Tel. : 01 73 00 26 00

www.dictao.com – [email protected]

Confiance et

dématérialisation

http://www.dictao.com/

mailto:[email protected]

Livre Blanc : Confiance et dématérialisation

1

SOMMAIRE

1 PRÉFACE DE JACQUES PANTIN ........................................................................................................... 2

2 SÉCURITÉ ET CONFIANCE : DES INVESTISSEMENTS STRATÉGIQUES POUR L’ORGANISATION ........... 3

3 DE NOUVELLES SOLUTIONS AU SERVICE DE L’ENTREPRISE ................................................................ 4

3.1 UN CADRE DE REFERENCE QUI SE STRUCTURE ........................................................................................................ 4

3.2 L’AUTHENTIFICATION, AU CŒUR DE LA GESTION DES IDENTITÉS ET DES ACCÈS ........................................... 5

3.3 LA DÉMATÉRIALISATION DE LA TRANSACTION ....................................................................................................... 6

4 LES GRANDS COMPOSANTS D’UNE PLATE-FORME DE CONFIANCE................................................... 8

4.1 LA MUTUALISATION DES FONCTIONS DE CONFIANCE ........................................................................................ 8

4.2 UNE FONCTION D’AUTHENTIFICATION NÉCESSAIREMENT MULTIFACTEUR ..................................................... 8

4.3 LES FONCTIONS DE SIGNATURE, GARANTES DE L’INTÉGRITÉ ET DE LA QUALITÉ DE LA

TRANSACTION ................................................................................................................................................................. 9

4.4 LA VALIDATION ET LA CONSTITUTION DE PREUVES ............................................................................................ 10

4.5 L’HORODATAGE, TRÈS SIMPLE À METTRE EN ŒUVRE .......................................................................................... 10

4.6 L’ARCHIVAGE À VALEUR PROBANTE, UN DOMAINE EN DÉVELOPPEMENT RAPIDE RÉPONDANT À

DE MULTIPLES BESOINS ............................................................................................................................................... 10

5 DE MULTIPLES APPLICATIONS POTENTIELLES .................................................................................... 12

5.1 LE SECTEUR BANCAIRE, LEADER DANS LES ACTIONS DE DÉMATÉRIALISATION ............................................. 12

5.2 LE SECTEUR PUBLIC, DANS UNE STRATÉGIE DE LONG TERME ........................................................................... 14

5.3 L’INDUSTRIE ET LES SERVICES, À LA RECHERCHE DE GAINS D’EFFICACITÉ ...................................................... 16

6 LA PROPOSITION DICTAO : UNE OFFRE COMPLÈTE, INDUSTRIELLE, ALIGNÉE SUR LES STANDARDS DU DOMAINE .............................................................................................................................. 17

6.1 DICTAO TRUST SUITE, NOTRE PLATE-FORME DE CONFIANCE ........................................................................... 17

6.2 NOS SOLUTIONS DE CONFIANCE............................................................................................................................ 17


2

1 PRÉFACE DE JACQUES PANTIN

Les organisations font aujourd’hui face à trois besoins. Il leur faut tout d’abord gérer le risque et, en

conséquence, durcir progressivement leur niveau de sécurité, sans oublier qu’en cette matière, les bonnes

technologies sont inutiles si on ne prend pas en compte la dimension humaine…

Par ailleurs, une organisation doit respecter un cadre réglementaire de plus en plus contraignant. Ainsi, le

décret sur la confidentialité des données de santé ou les recommandations de la Banque de France sur

l’authentification non rejouable amènent les organisations à faire de nouveaux investissements dans le

domaine de la confiance et de la sécurité.

De plus, il faut savoir proposer de nouveaux services et rechercher sans cesse une meilleure efficacité. Par

exemple, les téléprocédures sont des applications « gagnant-gagnant » pour l’Administration et l’usager.

Celui-ci n’a plus à se déplacer, peut accéder au service 24 heures sur 24, et échappe aux files d’attente.

L’Administration de son côté, peut revoir en profondeur ses processus et développer l’automatisation.

La dématérialisation des flux et le développement de « l’électronique à valeur probante » est un mouvement

de fond qui touche l’ensemble des secteurs. Les banques ont ainsi bien compris l’importance des services en

ligne, de la contractualisation en ligne et de la transaction à valeur probante.

Dans tous les domaines de l’économie, la dématérialisation des factures, la dématérialisation des

commandes… se développent rapidement. Il faut également noter que le cadre réglementaire associé à la

dématérialisation de la paie est maintenant établi.

Pour répondre à ces besoins, il faut mettre en place des fonctions de confiance (authentification, signature,

validation de signature, horodatage, archivage, etc.).

Nous considérons chez Dictao qu’il est indispensable d’isoler les fonctions de confiance des applications

métiers et de mettre en place une plate-forme de confiance mutualisée à laquelle les applications métiers

viennent s’accrocher.

Une infrastructure de confiance permettra d’atteindre un haut niveau de sécurité, de simplement suivre

l’évolution des standards, et de mutualiser les coûts.

Jacques Pantin, PDG et fondateur de Dictao


3

2 SÉCURITÉ ET CONFIANCE : DES INVESTISSEMENTS STRATÉGIQUES POUR L’ORGANISATION

Les échanges dématérialisés, les services en ligne, les processus dits de ‘Straight Through Processing’ prennent,

chaque jour, plus d’ampleur.

Par exemple, les banques et assurances élargissent leur offre de services en ligne aux Entreprises (passage

d’ordres de virement/prélèvement, passages d'ordres sur valeurs boursières, SICAV, ouverture de comptes

titres, etc.) mais aussi aux Particuliers (souscription de contrats en ligne, formulaire Marché d’Instruments

Financiers, passage d’ordres de virement, etc.).

L’Administration développe les téléprocédures, dans le cadre de la modernisation de l'Etat pour améliorer

le service aux usagers Particuliers (demande en ligne, dépôt électronique des marques, etc.) et aux usagers

Entreprises (télédéclaration de la TVA, demandes en ligne, etc.).

L’industrie dématérialise les échanges avec ses partenaires : dématérialisation des bons des commandes

échangés avec ses fournisseurs, dématérialisation des factures échangées avec ses clients, etc.

Or, la confiance des acteurs est absolument nécessaire pour développer les échanges entièrement

dématérialisés et supprimer tout papier. Il faut qu’un acteur puisse :

S’assurer que son correspondant est bien celui qu’il prétend être, qu’il n’usurpe pas une identité

Signifier « électroniquement » son engagement sur les données échangées, sans avoir à imprimer de

papier et à le signer à la main et à l’envoyer par la Poste

Avoir la garantie que les données échangées ne seront pas modifiées illégitimement et resteront

confidentielles

Etre sur que des preuves de l’échange seront constituées et conservées.

Ce livre blanc a pour but d’identifier et de définir les fonctions de confiance qui permettront de bâtir des

applications dématérialisées de qualité, en assurant :

Une amélioration du niveau de sécurité des processus dématérialisés, par la mise en œuvre de

l’authentification des acteurs, de l’authenticité, de l’intégrité, et de la non-répudiation des

informations, de la conservation avec valeur probante

Un développement commercial et une amélioration du service au client (respectivement à l’usager,

au partenaire)

Au travers du développement de services en ligne, une organisation pourra fidéliser ses clients,

usagers, partenaires, etc., conquérir de nouvelles parts de marché, lancer de nouveaux produits au

moment propice (Time to Market), etc.

Du côté du client/usager/partenaire, les avantages sont aussi nombreux : celui-ci n’a plus à se

déplacer, à envoyer de courrier, il peut accéder au service à tout moment (7j/7, 24h/24).

Un gain d’efficacité, une réduction des coûts

La dématérialisation de bout en bout de la relation avec ses clients (usagers, partenaires), permet à

l’organisation d'optimiser le traitement des dossiers, grâce à la gestion d'un flux unique (suppression

du flux papier, des contrôles visuels, de ressaisie dans le SI), de réduire les délais, d'améliorer la

traçabilité. Simultanément, les gains d’efficacité permettent aux collaborateurs de se recentrer sur

leur cœur de métier.

Le respect du cadre réglementaire, lorsque des textes de lois imposent un niveau de sécurité élevé

(par exemple, le reporting financier réglementaire dans le cadre de Bâle 2, les recommandations

Banque de France sur la sécurisation de la banque en ligne et de la vente en ligne)

La contribution au développement durable grâce à la suppression du flux papier


4

3 DE NOUVELLES SOLUTIONS AU SERVICE DE L’ENTREPRISE

3 . 1 U N C A D R E D E R É F É R E N C E Q U I S E S T R U C T U R E

La sécurisation du système d’information repose sur la mise en place d’outils, de processus, d’organisations

capables de répondre, en particulier, à des objectifs de disponibilité, de confidentialité, d’intégrité et de

traçabilité de l’information, en s’appuyant sur des fonctions de confiance.

Une typologie des fonctions de confiance pourrait s’organiser autour de quatre grands thèmes :

La sécurité périmétrique : un domaine bien maîtrisé

Le domaine de la sécurité de l’infrastructure et des communications est aujourd’hui bien maîtrisé ; il s’organise

autour d’outils comme les pare-feux, les réseaux privés, les segmentations de réseaux, les anti-virus, etc. Si ces

outils évoluent constamment, les grands principes de sécurité périmétrique sont bien connus des DSI et très

largement mis en œuvre.

FIGURE 1: TYPOLOGIE DES FONCTIONS DE CONFIANCE

La gestion des identités et des accès : des produits et des processus nécessairement

sophistiqués

Il faut non seulement sécuriser l’infrastructure mais aussi maîtriser son usage, connaître les utilisateurs et

contrôler les droits de ceux-ci. L’IAM (Identity and Access Management) est aujourd’hui un domaine mature,

bien que dans la plupart des cas, le niveau de sécurité reste insuffisant avec, par exemple, une utilisation trop

fréquente du traditionnel « login/mot de passe ». Les outils d’authentification forte mettant en œuvre des

moyens comme la carte à puce ou le token restent encore marginaux. Ces outils sont indispensables pour

obtenir un niveau de sécurité de qualité ; cependant, ils restent difficiles et coûteux à mettre en œuvre.

Cela amène les entreprises à mettre en œuvre des solutions « intermédiaires » en s’appuyant sur le concept

d’authentification non rejouable ou OTP (One Time Password, mot de passe à usage unique), que celui-ci soit

transmis par mobile ou proposé par une calculette ou un token.

Sécurisation des transactions : des gains potentiels d’eff icacité formidables

Une fois les fonctions de gestion des identités et des accès mises en place, il est possible de les valoriser en

réalisant des transactions. Il s’agit alors de garantir la sécurité des transactions (il faut noter qu’on ne peut

sérieusement sécuriser les transactions sans de solides fonctions de gestion des identités et des accès).

Cela suppose de mettre en œuvre des fonctions de signature (ou de certification), de validation permettant

de s’assurer de l’intégrité de la transaction, d’horodatage, d’archivage et de gestion de la preuve, etc.


5

S’appuyer sur des réseaux privés (lignes spécialisées, moyens de chiffrement, protection physique des postes

de travail, etc.) reste le moyen le plus efficace d’obtenir un haut niveau de sécurité ; néanmoins, cette

approche reste coûteuse à mettre en œuvre et manque de souplesse et d’adaptabilité.

La sécurité applicative, domaine dans lequel Dictao s’est spécialisée, est aujourd’hui un domaine en rapide

croissance.

Elle permet non seulement de simplement durcir le niveau de sécurité, mais aussi de répondre à des exigences

réglementaires ou d’améliorer l’efficacité des échanges.

Si, bien souvent, les organisations (administrations, banques, entreprises industrielles…) considèrent le

durcissement du niveau de la sécurité de leurs systèmes comme un objectif de deuxième ordre, elles ne

peuvent ignorer le cadre règlementaire. Les banques sont ainsi amenées à fortement investir pour s’aligner sur

les recommandations de la Banque de France qui demande que soient mis en œuvre des moyens

d’authentification non rejouables pour les opérations de banque en ligne et de services en ligne.

Enfin, la sécurisation des transactions contribue au gain d’efficacité du traitement des échanges (gestion d'un

flux exclusivement électronique, suppression du flux papier) et au développement commercial, grâce à

l’ouverture de services innovants aux clients et usagers.

Information : des besoins de protection et de conservation sur le long terme

Le domaine de la sécurité de l’information est aujourd’hui en évolution rapide avec le développement de

fonctions de coffre-fort, d’archivage à vocation probante, de DLP (Data Loss Prevention), etc.

Si le chiffrement des informations sur serveur est bien maîtrisé, il n’en est pas de même sur les postes de

travail sur lesquels l’information est la plupart du temps en quasi accès libre.

Appliquer des politiques de sécurité efficaces suppose de bien connaître les rôles et les droits des différents

utilisateurs ; il y a, la encore, une interdépendance entre la sécurité de l’information et la gestion des identités

et des accès.

Par ailleurs, il faut noter que, depuis quelques années, nous disposons de l’outillage nécessaire pour assurer la

dimension probante des informations archivées, sur de longues périodes (de 30 à 100 ans, voire davantage).

3 . 2 L ’ A U T H E N T I F I C A T I O N , A U C Œ U R D E L A G E S T I O N D E S I D E N T I T É S E T D E S

A C C È S

La fraude touchant les opérations financières sur Internet augmente régulièrement et justifie aujourd’hui la

mise en œuvre des moyens d’authentification dont le coût total de possession est plus élevé (cartes à puce,

token, calculettes, OTP/SMS, etc.).

Si en termes politiques, la carte d’identité électronique fait encore débat, elle représenterait un moyen simple

d’authentification forte et permettrait de réduire les coûts par effet volume et par mutualisation des fonctions

d’enregistrement ; en effet, si une carte à puce ne coûte au plus que quelques euros, une opération de remise

de la carte en face à face peut rapidement atteindre la centaine d’euros si l’on s’appuie sur un processus qui

permette de s’assurer de façon quasi certaine de l’identité du porteur.

Le mobile sera, à terme, un moyen d’authentification largement utilisé. Equipement personnel, outil de la vie

quotidienne, il répond à la fois aux contraintes d’ergonomie et de sécurité.


6

FIGURE 2 : DE LA SIGNATURE DU DOCUMENT A LA CONSTITUTION DE LA PREUVE

Si l’on peut considérer que la carte d’identité (et dans son prolongement, la carte agent) et le mobile

s’imposeront à terme, nous sommes aujourd’hui dans une phase intermédiaire dans laquelle se généralisent les

technologies dites de One Time Password (OTP, mot de passe à usage unique, mot de passe non rejouable),

comme par exemple les tokens OATH, l’OTP SMS, EMV/CAP dans le monde bancaire, etc.

Ces moyens d’authentification sont souvent moins coûteux à distribuer et à mettre en œuvre qu’une carte à

puce ou un token personnalisé, faciles à utiliser et permettent de simplement durcir le niveau de sécurité.

Pour une organisation, il est important de mettre en place une infrastructure capable de simplement supporter

des moyens d’authentification variés et susceptibles d’évoluer pour durcir le niveau de sécurité.

Pour répondre à ces besoins, Dictao a développé DACS (Dictao Access Control Server), serveur

d’authentification multimoyen multicanal aujourd’hui largement utilisé dans le secteur bancaire.

DACS a été conçu pour répondre à des besoins de sécurité élevée : les opérations d’authentification sont

tracées, horodatées, signées et archivées.

L’administration du système est particulièrement sophistiquée (séparation des rôles, authentification forte,

traçabilité, etc.).

3 . 3 L A D É M A T É R I A L I S A T I O N D E L A T R A N S A C T I O N

Disposer d’une infrastructure sécurisée, connaître les identités et les habilitations des utilisateurs, contrôler les

accès, etc. ne sont pas des fonctions suffisantes pour garantir un haut niveau de sécurité ; il faut garantir la

sécurité des transactions au travers de fonctions de :

Chiffrement

Signature

Validation de signature

Horodatage

Archivage et gestion de la preuve.

Le chiffrement est aujourd’hui une technologie bien maîtrisée et largement utilisée ; on sait obtenir un très haut

niveau de sécurité, à la condition que les principes de gestion des clés soient de qualité et scrupuleusement

respectés.

Les outils de signature sont aujourd’hui eux aussi bien maîtrisés, bien que les cibles de sécurité soient plus

sophistiquées et les contraintes de l’environnement (système d’exploitation, navigateur) soient plus délicates à

prendre en compte.

Si l’opération de validation de signature est, en elle-même, très simple, il faut simultanément constituer des

preuves et savoir faire vivre celles-ci dans le temps.


7

Depuis peu des fonctions comme le XADES/A permettent de s’affranchir de l’obsolescence des algorithmes

cryptographiques.

La mise en œuvre de ces nouvelles fonctions permettra non seulement de garantir un meilleur niveau de

sécurité, mais aussi de bâtir de nouveaux processus ‘sans papier’ dans lesquels l’électronique à valeur

probante.

Ces fonctions de confiance sont assurées par une plate-forme de confiance, dont les grands composants sont

détaillés ci-après.

FIGURE 3: UN « DURCISSEMENT » PROGRESSIF DES MOYENS D’AUTHENTIFICATION


8

4 LES GRANDS COMPOSANTS D’UNE PLATE-FORME DE CONFIANCE

4 . 1 L A M U T U A L I S A T I O N D E S F O N C T I O N S D E C O N F I A N C E

La plate-forme de confiance prend en charge les grandes fonctions de sécurité ou de confiance, entrant en

jeu dans la sécurisation et la dématérialisation des processus :

Authentification

Sécurisation de la transaction

o Signature électronique

o Validation de la signature (intégrité du document) et du certificat (authentification du

signataire)

o Horodatage

o Séquestre pour permettre de déchiffrer des documents dans le cas où le porteur a perdu ses

secrets (clés de chiffrement)

o Archivage des journaux et des logs

Fonctions de coffre-fort et d’archivage à valeur probante.

Pour répondre à des besoins de sécurité et d’efficacité, ces fonctions de confiance doivent être mutualisées et

pourront être appelées simultanément par plusieurs applications ou portails.

La plate-forme de confiance de l’entreprise pourra prendre en charge directement l’ensemble des fonctions

de confiance nécessaires ou faire appel à des services tiers, en particulier, au niveau de l’horodatage (tiers

horodateur) ou de l’archivage (tiers archiveur).

FIGURE 4 : LES FONCTIONS ASSUREES PAR LA PLATE-FORME DE CONFIANCE

4 . 2 U N E F O N C T I O N D ’ A U T H E N T I F I C A T I O N N É C E S S A I R E M E N T M U L T I F A C T E U R

Il n’y a pas et il n’y aura sans doute jamais de moyen d’authentification universel. Il faut choisir la « meilleure

solution », autour de critères tels que l’ergonomie, le coût de la solution, la simplicité et le coût du

déploiement, le niveau de sécurité fonction du niveau de risque.

Une organisation choisira, en général, plusieurs solutions, en fonction des populations et des risques associés

aux applications. Ces solutions auront nécessairement besoin d’évoluer dans le temps : ainsi, si sur le court

terme, l’OTP/SMS est largement mis en œuvre par le secteur bancaire, il faudra probablement dans les trois

ans déployer des mécanismes sécuritairement plus solides.


9

FIGURE 5 : UNE PLATE-FORME UNIQUE POUR DES BESOINS D’AUTHENTIFICATION HETEROGENES

4 . 3 L E S F O N C T I O N S D E S I G N A T U R E , G A R A N T E S D E L ’ I N T É G R I T É E T D E L A

Q U A L I T É D E L A T R A N S A C T I O N

Les bénéfices liés à la signature électronique sont, aujourd’hui, bien compris :

Toute modification du document signé est détectable : l'intégrité du document est assurée

L'auteur du document est identifié avec certitude : l'authentification du signataire est assurée

Le signataire ne peut pas nier avoir signé : la non-répudiation du document est assurée.

Une fois l’utilisateur authentifié, il peut recevoir un certificat (sa pièce d’identité électronique) et procéder à

des opérations de signature (signature de virements, de contrats, etc.).

La signature électronique remplace la signature manuscrite. Elle est réalisée à partir d’un outil de signature

électronique qui, associé au certificat du signataire (sa pièce d’identité électronique) et aux secrets de

l’utilisateur (clé privée / clé publique), applique un algorithme cryptographique au document et calcule la

signature.

En fonction de la nature de la transaction et du niveau de risque associé, on pourra utiliser :

Une signature simple sans valeur légale obtenue avec un certificat de « qualité moyenne »

Une signature dite « sécurisée », ayant valeur légale, qui suppose que :

o Le dispositif de signature ait été qualifié et certifié EAL3+ (comme notre outil Dictao

AdSigner)

o Les secrets (certificats et clés associées) que l’utilisateur emploiera pour signer le document lui

aient été remis en mains propres et soient confinés dans un dispositif matériel de type token

ou carte à puce

FIGURE 6 : LE MECANISME DE SIGNATURE ELECTRONIQUE

Par ailleurs, en fonction de la nature du processus, on pourra mettre en œuvre :

Une signature personne qui a été apposée par une personne physique

Une signature « entité morale » ou signature serveur qui engage l’organisation.


10

Par exemple, une demande d’achat est signée par des personnes physiques (le demandeur, l’acheteur, le

contrôleur financier, etc.) avant d’être signée par un certificat serveur qui engage, non plus des personnes

représentant l’organisation, mais l’organisation elle-même.

FIGURE 7 : LA QUALITE DE LA SIGNATURE ELECTRONIQUE EST FONCTION DE LA QUALITE DU

CERTIFICAT, LUI-MEME FONCTION DE LA QUALITE DE L’AUTHENTIFICATION

4 . 4 L A V A L I D A T I O N E T L A C O N S T I T U T I O N D E P R E U V E S , F O N C T I O N S

I N D I S P E N S A B L E S D A N S U N C O N T E X T E D E D É M A T É R I A L I S A T I O N

La validation d'une signature permet de :

Détecter une éventuelle perte d'intégrité de l’objet signé (transaction, document, etc.)

Authentifier le signataire

Vérifier la validité du certificat et, éventuellement, les « droits à signer » du signataire.

Une preuve électronique horodatée, à vocation probante, est constituée lors de chaque validation. En fonction

de la nature de la transaction, cette preuve sera conservée 1 an, 3 ans, 10 ans, etc. et pourra être très

simplement rejouée en cas de litige.

4 . 5 L ’ H O R O D A T A G E , T R È S S I M P L E À M E T T R E E N Œ U V R E

L’horodatage permet d’apposer une heure fiable sur des preuves, des signatures, des documents. Il garantit

l’existence d’une information ou le déroulement d’une transaction à un instant précis.

La garantie d’une heure certaine est particulièrement nécessaire dans de nombreux domaines :

Les déclarations administratives : télédéclaration de la T.V.A., etc.

Les paris en ligne

Les droits de propriété intellectuelle

Les déclarations des actes commerciaux

Etc.

En fonction de la qualité recherchée pour le jeton d’horodatage, on utilisera l’heure Internet ou une heure GPS

(les boîtiers spécifiques n’ont plus qu’une part de marché insignifiante)

4 . 6 L ’ A R C H I V A G E À V A L E U R P R O B A N T E , U N D O M A I N E E N D É V E L O P P E M E N T

R A P I D E R É P O N D A N T À D E M U L T I P L E S B E S O I N S

Il faut distinguer très nettement les fonctions de sauvegarde, de stockage et d’archivage. La sauvegarde n’est

utile que pour reprendre, après incident, une activité dans des conditions acceptables. Le stockage permet de

constituer des entrepôts de données mais ne permet pas de garantir la qualité et la véracité des informations.

L’archivage, quant à lui, fait en particulier référence à des notions d’authenticité, d’intégrité, d’indexation et

de disponibilité. Très schématiquement, il a pour but de garantir la qualité de l’information dans le temps et


11

d’en permettre une restitution intacte (c'est-à-dire identique à ce qu’elle était à son origine), soit deux

conditions indispensables pour qu’elle puisse constituer un élément de preuve.

Pour conserver une valeur probante à un original immatériel, il faut pouvoir garantir :

L’intégrité des informations

L’authentification du document

L’accessibilité du document

La lisibilité du document et des éléments de preuve

La durabilité des informations.

Pour cela, il est nécessaire d’ « accrocher » à l’outil de gestion documentaire, une plate-forme de confiance

qui prend en charge les grandes fonctions de sécurité ou de confiance (signature électronique, validation de

signature, horodatage, archivage des journaux et des logs, etc.).

.


12

5 DE MULTIPLES APPLICATIONS POTENTIELLES

Dictao est aujourd’hui le partenaire de référence des acteurs qui souhaitent placer le renforcement du niveau

de sécurité et la dématérialisation des flux au cœur de leurs préoccupations. Nous vous présentons quelques

exemples d’applications dans lesquelles la mise en œuvre de fonctions de confiance permet de réduire le

risque, respecter le cadre réglementaire, gagner en efficacité et proposer de nouveaux services.

5 . 1 L E S E C T E U R B A N C A I R E , L E A D E R D A N S L E S A C T I O N S D E

D É M A T É R I A L I S A T I O N

Le BtoB, dans une recherche permanente de dématérialisation

Prenons l’exemple d’un passage d’ordre ; une fois connecté sur le portail de la banque et correctement

authentifié, le client « Entreprise » signe électroniquement son ordre en ligne (ordres de

virement/prélèvement, passages d'ordres sur valeurs boursières, SICAV, ouverture de comptes titres, etc.). De

cette façon, il matérialise son engagement et se protège contre une altération éventuelle de son ordre. Sa

signature électronique remplace sa signature manuscrite et il n’a plus à envoyer, par courrier ou par fax, de

confirmation papier signée.

La banque reçoit immédiatement cet ordre par voie électronique. Elle en vérifie le bien fondé en vérifiant la

signature électronique et constitue des preuves, archive les ordres en leur conférant vocation probante.

FIGURE 8 : SECURISATION DE PASSAGES D’ORDRES PAR LES CLIENTS ENTREPRISE

Les bénéfices de ces applications dématérialisées sont nombreux ; par exemple :

Les processus sont très nettement simplifiés

Les ordres sont « instantanément » pris en compte

L’entreprise cliente est rassurée : elle est sûre que la banque ne donnera pas suite à des ordres indus

La banque se protège des opérations frauduleuses, des dommages financiers et des pertes d’image,

qu’une malversation (volontaire ou non) peut provoquer


13

FIGURE 9 : AUTHENTIFICATION PAR CARTE BANCAIRE (EMV CAP) DU CLIENT PARTICULIER POUR

ACCEDER AUX OPERATIONS SENSIBLES (PASSAGE D’ORDRES DE VIREMENT, PAR EXEMPLE)

Le Particulier, au cœur des opérations de sécurisation des opérations de services en ligne et de

paiements en ligne des établissements financiers

Prenons l’exemple de la souscription d’un contrat en ligne ; une fois connecté sur le portail de la banque et

correctement authentifié, le client Particulier décide de souscrire à de nouveaux services (ou de modifier les

conditions d’un contrat). Il peut alors personnaliser son contrat (d’épargne, de prêt, etc.) et, immédiatement, le

signer électroniquement pour marquer son engagement. Il n’a plus besoin, comme c’était le cas auparavant,

d’imprimer son contrat, de le signer à la main et de le renvoyer par fax.

FIGURE 10 : SOUSCRIPTION DE CONTRATS BANCAIRES EN LIGNE PAR LE PARTICULIER

La banque reçoit immédiatement ce contrat par voie électronique. La plate-forme de confiance permettra

d’en contrôler le bien fondé en vérifiant la signature électronique, constitue des preuves et archive le contrat.

Puis, l’application métier « reprendra la main » et exécutera l’opération.

Là aussi, les bénéfices sont nombreux pour la banque ; par exemple :

Le volume de contrats souscrits augmente car le service est accessible en permanence (7j/7, 24h/24)

et le client peut instantanément conclure une opération entièrement électronique

La banque gagne en efficacité grâce au traitement d’un flux entièrement dématérialisé.


14

5 . 2 L E S E C T E U R P U B L I C , D A N S U N E S T R A T É G I E D E L O N G T E R M E

Dématérialisation des déclarations et des échanges, chantier essentiel dans le cadre de la

modernisation de l’Administration

Le déclarant (dans un contexte personnel ou professionnel) se connecte au site Internet de l’Administration,

complète sa déclaration électronique et la signe électroniquement, pour marquer son engagement. Il n’a plus

besoin de l’imprimer, de la signer à la main et de l’envoyer par courrier. L’administration reçoit

immédiatement la déclaration par voie électronique. Elle en vérifie le bien fondé en vérifiant la signature

électronique, constitue un accusé de réception (preuve) et le retourne au déclarant.

Les bénéfices sont nombreux tant pour le déclarant que pour l’Administration ; par exemple :

La démarche du déclarant est très nettement facilitée

L'administration gagne en efficacité et en fiabilité grâce au traitement de chaînes entièrement

dématérialisées

FIGURE 11 : EXEMPLE DE SIGNATURE D’UN CONTRAT DE LIVRET A


15

FIGURE 12 : TELEDECLARATIONS

Les téléprocédures, une formidable opportunité pour les collectivités territoriales

Le citoyen se connecte au site de sa collectivité, remplit son formulaire de demande d’aide (par exemple) et

le signe électroniquement pour marquer son engagement. Il n’a plus besoin de se déplacer ou d’envoyer de

courrier signé à la main à sa collectivité.

Du côté de la collectivité, un accusé de réception signé (qui vaut preuve) est constitué et envoyé au citoyen.

L’agent de la collectivité traite électroniquement la demande.

L’usager peut vérifier en ligne la signature de la réponse de la collectivité pour s’assurer de l’authenticité de

celle-ci.

Nous retrouvons, une fois encore, les avantages liés aux téléprocédures ; par exemple :

La démarche du citoyen est facilitée et la qualité de service peut être très nettement améliorée

La collectivité gagne en efficacité et en fiabilité grâce au traitement de chaînes entièrement

dématérialisées.

Mise en ligne de publications officielles, un besoin de garantir l’authenticité des documents

électroniques

L'administration (centrale ou territoriale) publie en ligne des documents officiels authentiques, en les signant

électroniquement.

En validant la signature de ce document officiel, le citoyen s'assure de l'authenticité de ce document : il est sûr

que le document émane bien de l'Administration et qu'il est intègre, c'est-à-dire qu'il n'a pas subi de

modification, après avoir été publié par l'Administration.

Les avantages associés à une telle approche sont nombreux; par exemple :

Le citoyen accède plus facilement à une information dont l’authenticité est garantie

Les documents papiers qui font preuve aujourd’hui dans la quasi-totalité des cas, peuvent être

supprimés.

FIGURE 13 : PUBLICATION DE DOCUMENTS OFFICIELS PAR L'ADMINISTRATION


16

5 . 3 L ’ I N D U S T R I E E T L E S S E R V I C E S , À L A R E C H E R C H E D E G A I N S D ’ E F F I C A C I T É

Dématérialisation de documents d’entreprise (factures, bons de commande, etc.) dans la

recherche constante d’une meilleure performance

Mettre en œuvre des fonctions de sécurité et de confiance permet une dématérialisation intégrale des

documents et transactions qui lient l’organisation et son écosystème (factures, bons de livraison, bons de

commande, etc.) ; ce qui se traduit immédiatement par une amélioration des performances et une diminution

des coûts.

Il faut signer électroniquement les documents émis par l’entreprise (factures, bons de commande etc.) au nom

de la Direction Financière, de la Direction des Achats, de la fonction Logistique, etc. Cette signature

électronique remplace la signature manuscrite du donneur d’ordre (comptable, acheteur, réceptionniste, etc.)

et donne foi au document électronique ; elle garantit l'origine et l'intégrité des documents et des transactions.

Il faut, par ailleurs, garantir l’archivage à vocation probante des différents documents pour disposer

d’éléments de preuve en cas de litige. Les partenaires (clients, fournisseurs, etc.) pourront vérifier l’authenticité

de ces documents grâce à une fonction de validation accessible au travers d’un portail Web.

FIGURE 14 : DEMATERIALISATION DES DOCUMENTS ENGAGEANT L'ENTREPRISE

Les bénéfices d’une stratégie de dématérialisation sont souvent très simples à évaluer ; ainsi :

La mise en œuvre d’une plate-forme de confiance permet de respecter les exigences réglementaires

L’organisation gagne en efficacité, grâce au traitement entièrement dématérialisé des différents

échanges

Le partenaire (client, fournisseur, etc.) peut simplement vérifier l’authenticité des documents qu’il reçoit

de l’entreprise (factures, bons de commande, etc.) au travers d’un portail Web.

FIGURE 15: PORTAIL WEB AU TRAVERS DUQUEL LES PARTENAIRES (FOURNISSEURS, CLIENTS, ETC.)

PEUVENT VERIFIER L’AUTHENTICITE D’UN DOCUMENT (FACTURE, BON DE COMMANDE, ETC.) ENVOYE

PAR L’ENTREPRISE


17

6 LA PROPOSITION DICTAO : UNE OFFRE COMPLÈTE, INDUSTRIELLE, ALIGNÉE SUR LES STANDARDS DU DOMAINE

Dictao a développé une gamme complète de réponses aux besoins des organisations dans les domaines de la

sécurité et de la confiance. Notre offre s’organise autour de :

Dictao Trust Suite, une plate-forme de confiance qui permet de mettre en œuvre de façon

modulaire et progressive la quasi-totalité des fonctions d’authentification, de sécurisation de la

transaction, d’archivage et de coffre-fort électronique

Des solutions qui s’intègrent très simplement aux applications métiers de l’entreprise et permettent,

en particulier, de répondre à l’évolution du cadre réglementaire et de proposer de nouveaux

services.

6 . 1 D I C T A O T R U S T S U I T E , N O T R E P L A T E - F O R M E D E C O N F I A N C E

Plate-forme de confiance d’entreprise, Dictao Trust Suite (DTS) a été conçue pour permettre la mise en œuvre

d’une infrastructure de confiance puissante sur laquelle viennent s’appuyer très simplement les applications

métiers qui sont au cœur du système d’information de l’organisation.

Sa couverture fonctionnelle permet d’adresser en standard la totalité des besoins de sécurité et confiance de

nos clients : authentification, signature électronique, validation de signature, gestion de la preuve,

horodatage, archivage à vocation probante.

Son très haut niveau de sécurité et sa conformité au cadre légal sont attestés par la qualification et la

certification par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), au niveau EAL3+ de la

norme internationale des Critères Communs (ISO 15408).

Dictao Trust Suite comporte des produits qui peuvent être utilisés conjointement ou séparément :

Dictao AdSigner, produit de signature sur le poste de travail, permet à une personne de signer

des documents, des formulaires Web ou des flux de données

Dictao Signature Server (D2S), produit serveur de signature, permet de signer des documents au

nom d’une organisation (entreprise, département d’une entreprise, etc.) ou d’une personne

Dictao Validation Server (DVS), produit serveur de validation de signature, de certificats et de

gestion des preuves associées

Dictao TimeStamp Server, produit serveur d’horodatage, horodate les échanges, les documents,

etc. à partir d’une source de temps fiable

Dictao Secure Storage Server (D3S), produit de coffre-fort électronique, permet d’archiver des

documents en leur conférant vocation probante

Dictao Access Control Server, serveur d’authentification multimoyen multicanal, permet

d’authentifier une personne avec de multiples moyens (certificat électronique, jeton EMV-CAP,

OATH, OTP transmis par SMS, date de naissance, questions/réponses, OTP/Radius, etc.) quel que

soit le canal ou le service (services en ligne, vente en ligne, dématérialisation en agence,

applications métiers, etc.).

6 . 2 N O S S O L U T I O N S D E C O N F I A N C E

A partir de ces produits, Dictao propose deux solutions :

DTP (Dictao Trust Platform) est une solution logicielle destinée aux organisations qui souhaitent

permettre à leurs clients de souscrire des contrats par tous les canaux (en ligne, en agence, par

téléphone), mettant ainsi à profit leur authentification préalable

Validao est un portail Web destiné aux organisations qui souhaitent mettre à disposition de leurs

partenaires, clients et collaborateurs des fonctions de confiance (signature électronique, validation de


18

signature, constitution de preuve, etc.) au travers d’un portail Web très rapidement et très

simplement.

.


19

Toute l’équipe Dictao est à votre disposition pour tous renseignements complémentaires

[email protected]

DICTAO

152 avenue de Malakoff

75116 PARIS

01 73 00 26 10

www.dictao.com

mailto:[email protected]

http://www.dictao.com/

Technology

Confiance et dématérialisation