La certification eIDAS : définition et usages

Qu’est-ce que le certificat électronique eIDAS ?

Adopté par le Parlement européen et le Conseil de l’Union européenne le 23 juillet 2014, le règlement européen n° 910/2014, appelé « eIDAS » (pour electronic Identification, Authentification and trust Services) remplace la directive 1999/93/CE. Il pose les fondements – et définit le cadre juridique – d’un espace numérique commun aux pays de l’Union européenne incluant citoyens, entreprises et autorités publiques.

La première version du règlement eIDAS, toujours en vigueur, dessine ainsi les contours de l’identification électronique, des services de confiance et des documents électroniques. Également, il définit les paramètres de la signature électronique, et en reconnaît la valeur juridique. 

Le règlement eIDAS crée notamment trois niveaux de signature électronique :

La signature électronique qualifiée

La signature électronique qualifiée représente le niveau d’e-signature le plus sécurisé. Juridiquement, elle a la même valeur qu’une signature manuscrite. La signature électronique qualifiée répond à plusieurs exigences, formalisées par le règlement eIDAS. Tout d’abord, elle reprend les exigences de la signature électronique avancée elle doit ainsi être liée au signataire de manière univoque, permettre de l’identifier formellement, être créée grâce à des données que le signataire peut exclusivement utiliser et permettre de détecter toute modification du document.

À ces exigences communes s’ajoutent deux critères spécifiques à la signature électronique qualifiée, concourant à renforcer son niveau de sécurité : le signataire doit obtenir au préalable un certificat qualifié auprès d’une autorité de certification, comme Certigna, et le demandeur doit utiliser une clé de signature.

Cette signature est donc hautement sécurisée, notamment grâce à l’intervention du tiers de confiance. Elle est particulièrement recommandée pour les actes authentiques, les actes d’avocats, ainsi que les documents produisant des effets dans l’Union européenne, ou encore des actes d’organismes publics exigeant un niveau de sécurité élevé, par exemple.

Quels impacts pour les entreprises ?

Grâce au règlement européen eIDAS, les interactions électroniques au sein de l’UE sont plus sécurisées pour les citoyens, les pouvoirs publics et les entreprises. Si ces dernières recourent à la signature électronique, elles doivent donc s’assurer – et ce, depuis 2014 – que celle-ci est conforme à la certification eIDAS. Lorsque ce n’est pas le cas, les documents signés électroniquement n’ont donc aucune valeur légale.

La mise en place de ce standard au niveau européen apporte de nombreux bénéfices aux entreprises, à commencer par une réduction des risques de fraude. Mais la mise en place de la signature électronique qualifiée permet également de gagner en fluidité dans son expérience client, de simplifier ses process ou encore réduire le temps passé sur certaines tâches administratives. Les échanges et transactions sont plus rapides et moins fastidieux. Et loin d’être anecdotique, un autre avantage important de la mise en place du certificat eIDAS est qu’il entraîne une réduction significative des coûts d’impression et des frais d’envoi de vos documents !

eIDAS 2.0 : vers une identité électronique à l’échelle européenne

La confiance numérique : un enjeu européen

Comme dans les processus physiques, les interactions numériques ont besoin de reposer sur la confiance, afin de garantir une relation de qualité entre les différentes parties prenantes. À l’échelle de l’Union européenne, garantir cette confiance est ainsi essentielle, afin de faciliter les transactions entre les pays membres. Le règlement eIDAS a fortement renforcé la confiance numérique au sein de l’UE, notamment grâce à la signature électronique.

Toutefois, depuis 2014, les services électroniques ont grandement évolué. Les usages changent, et les besoins concernant les authentifications des utilisateurs ne sont plus les mêmes qu’il y a quelques années. Pour mieux encadrer ces nouveaux usages, la règlementation européenne eIDAS devrait ainsi évoluer prochainement.

Que prévoit le nouveau règlement eIDAS ?

Le nouveau règlement eIDAS, dont l’entrée en vigueur est prévue dans les prochains mois, a pour objectif de créer un service d’authentification unifié et sécurisé à travers l’Union européenne. Pour cela, eIDAS 2.0 prévoit la mise en place d’un portefeuille d’identité numérique pour tous les résidents de l’Union européenne (European Digital Identity Wallet). Celui-ci permettra de créer un espace unique où seront regroupées les données liées à l’identité numérique de chaque personne : papiers d’identité, mais également documents administratifs ou documents liés à la santé. Cette identité numérique pourra être utilisée dans toute l’UE, en ligne mais également hors ligne, pour les services publics et les services privés. Le portefeuille d’identité numérique serait ainsi une réponse pérenne à une demande des citoyens de l’Union européenne : selon une enquête Eurobaromètre, 63 % d’entre eux souhaiteraient « disposer d’une identité numérique unique sûre pour tous les services en ligne », précise la Commission européenne[1]. Selon elle, le portefeuille européen d’identité numérique devrait prendre la forme d’une application mobile émise par les États[2].

Grâce à ce portefeuille électronique, le titulaire pourra, lorsqu’il en aura besoin, partager uniquement les attributs nécessaires, sans avoir à fournir les données sources. Ces attributs seront par exemple l’état-civil, l’âge, le sexe, la nationalité, l’adresse, les diplômes, etc. Si le titulaire doit prouver son âge, il pourra ainsi partager l’attribut associé sans avoir à divulguer d’autres informations personnelles.

L’utilisateur restera donc maître des données qu’il partage avec un tiers, et conservera une trace de ce partage. Grâce à ce portefeuille électronique, chaque personne disposera de moyens d’authentification sécurisés au sein de tous les États de l’Union européenne.

Cette identité numérique unique et sécurisée pourra être utilisée pour de nombreuses démarches : ouverture de compte, inscription dans une université européenne, location de voiture, ou encore enregistrement lors d’une arrivée à l’hôtel, comme le souligne la Commission européenne[3]. Pour les entreprises, l’introduction du portefeuille d’identité numérique est le gage de nouvelles opportunités et d’une expérience consommateur simplifiée. En effet, les consommateurs pourront partager les informations nécessaires plus rapidement lors de l’utilisation de services ou l’achat de produits. Les ouvertures de dossiers, comme l’ouverture d’un compte bancaire, seront ainsi facilitées : le titulaire n’aura plus à chercher les documents et informations demandés, il suffira de les sélectionner. Ces documents sécurisés seront transmis à l’organisme demandeur, sans risque de perte en cours de processus.

Le recours à la signature électronique eIDAS devrait également être facilité, puisque les éléments nécessaires seront sauvegardés dans le portefeuille électronique. eIDAS 2.0 prend également en compte de nouvelles activités, comme l’archivage électronique qualifié ou le registre électronique européen qualifié.

Un gain de temps et d’argent pour les entreprises, qui pourront mieux suivre leurs documents, simplifier et sécuriser leurs échanges, et renforcer la confiance de leurs clients. eIDAS 2.0 devrait donc être pour elles l’occasion de développer de nouvelles pratiques commerciales et d’élargir leur clientèle, au niveau national, mais également européen.

Ces changements s’accompagnent de l’émergence de nouveaux acteurs. Parmi eux, les prestataires qualifiés d’attestations électroniques d’attributs, qui auront pour mission de vérifier l’authenticité des attributs partagés. Les prestataires qualifiés de services de confiance auront un rôle majeur à jouer afin de réguler les échanges. Ces derniers sont soumis à des audits régulièrement afin d’assurer qu’ils répondent aux exigences de sécurité exigées.

En résumé, eIDAS 2.0 devrait donc sécuriser et faciliter les transactions dans l’ensemble de l’Union européenne, en réduisant les risques de fraude ainsi que les vols d’identité. Une nouvelle étape vers un espace numérique unique au sein de l’UE, qui devrait continuer à favoriser les échanges entre citoyens, entreprises et autorités publiques de pays membres, tout en garantissant leur sécurité électronique. 

Comment obtenir un certificat eIDAS ?

Pour obtenir un certificat eIDAS pour vos signatures électroniques, il est nécessaire de vous rapprocher d’une autorité de certification. Agréé par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI) en tant qu’Opérateur de Certification et Autorité de Certification, Certigna est habilité à délivrer la certification eIDAS pour vos signatures électroniques.

Aujourd’hui, ce sont plus de 25 000 clients de tous les secteurs (public et privé) qui utilisent les outils Certigna dans leurs opérations quotidiennes.

Découvrez dès maintenant nos services de signature électronique.

 

sources :

[1] « Une identité numérique pour tous les Européens, un portefeuille numérique personnel pour les citoyens et résidents de l’UE », Commission européenne. URL : https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_fr#faciliter-la-vie-des-citoyens-et-des-entreprises.

[2] « L’architecture et le cadre de référence du portefeuille européen d’identité numérique », Commission européenne, 10/02/2023. URL : https://digital-strategy.ec.europa.eu/fr/library/european-digital-identity-wallet-architecture-and-reference-framework.

[3] « Une identité numérique pour tous les Européens, un portefeuille numérique personnel pour les citoyens et résidents de l’UE », Commission européenne. URL : https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_fr#faciliter-la-vie-des-citoyens-et-des-entreprises.

1 – Prévention, sensibilisation et formation : le trio gagnant 

La prévention est clé dans la lutte contre les cyber-risques. Première porte d’entrée vers vos données sensibles, les salariés doivent être en mesure d’en comprendre les enjeux et d’appliquer les mesures préventives. Or, le facteur humain reste le chainon manquant dans les dispositifs de cybersécurité, la très grande majorité des attaques surfant sur les erreurs humaines.

La culture de la cybersécurité doit donc être diffusée à tous les échelons de l’entreprise. De la direction générale aux équipes terrains, chacun a son rôle à jouer.

Pour sensibiliser vos collaborateurs efficacement, il est nécessaire de programmer des sessions régulières. Présentiel, e-learning, formats hybrides, serious games… Optez pour la solution qui convient le mieux à votre culture d’entreprise et votre organisation, tout en misant sur l’interactivité, car elle favorise l’apprentissage.

Il est aussi recommandé de tester régulièrement les compétences acquises. Parmi les bonnes pratiques observées : les tests grandeur nature avec des faux emails de phishing envoyés aux collaborateurs. Une bonne façon d’évaluer l’efficacité de vos dispositifs de formation et d’introduire une nouvelle session en motivant les salariés tombés dans le piège !

Et n’oubliez pas que c’est un sujet mouvant : actualisez continuellement vos contenus et dispositifs.

En matière de contenu des formations en cybersécurité, certains sujets de prévention sont essentiels :

2 – Une politique de sécurité renforcée 

Élaborez des politiques claires et adoptez une approche systématique d’évaluation des menaces. Pour cela, définissez les responsabilités de chacun en matière de cybersécurité.

L’un des enjeux clés réside dans une collaboration efficace entre le RSSI, le directeur cybersécurité et le COMEX. Bonne nouvelle : les directions générales apparaissent de plus en plus conscientes de l’importance de la cybersécurité et n’hésitent pas à investir des moyens conséquents. Reste néanmoins à impliquer davantage le COMEX dans les prises de décisions et l’anticipation des crises, car la cybersécurité reste encore perçue comme un sujet purement technique. 

Il est par ailleurs essentiel d’intégrer la cybersécurité dans les relations avec les partenaires, fournisseurs et autres tiers : évaluez-les avant de leur accorder l’accès à des données sensibles et établissez des accords contractuels incluant des clauses en la matière.  

3 – Une gestion sécurisée des accès 

Optez pour des procédés d’authentification robustes. En particulier, assurez-vous que vos collaborateurs utilisent des mots de passe complexes et les changent régulièrement.

Vous pouvez également les inciter à utiliser des coffres-forts numériques.

L’une des recommandations phares consiste à mettre en œuvre une procédure de double authentification ou d’authentification par certificat. Cette dernière permet de sécuriser l’accès à un service en ligne.

Pour plus de précautions, vous pouvez par ailleurs mettre en œuvre le principe du moindre privilège. Ce concept consiste à n’ouvrir que des comptes « utilisateurs » aux salariés afin de limiter l’accès aux données sensibles. Concrètement, les utilisateurs ont des droits d’accès limités en fonction des tâches qu’ils doivent réaliser dans le cadre de leurs missions. Simple mais efficace !

4 – Une protection renforcée des réseaux sociaux 

Utilisez un pare-feu et des outils de détection d’intrusion, à mettre à jour continuellement.

Le logiciel pare-feu agit comme un rempart numérique. Le trafic est surveillé et tout accès non autorisé est bloqué.

Par ailleurs, il est important d’avoir à l’esprit que les Wi-Fi publics présentent des risques majeurs en matière de cybersécurité. Par nature ouverts à tous, ils sont plus vulnérables aux attaques des pirates informatiques. Pour contrer cette menace, le plus simple reste d’éviter de se connecter aux Wi-Fi publics. Les collaborateurs doivent alors être explicitement mis au courant de cette mesure. Dans le cas où vous ne souhaiteriez pas l’interdire, il est conseillé de déployer des pratiques de sécurité renforcées : utilisation d’un réseau privé virtuel (VPN), désactivation des fonctionnalités de partage automatiques… Des mesures essentielles pour garantir la confidentialité des données.

Votre site web peut lui aussi être ciblé par des cyberattaques, devenant ainsi une menace pour les visiteurs. Afin de garantir l’authenticité de votre site et ainsi sécuriser les échanges avec vos visiteurs, nous recommandons de sécuriser les flux via un protocole SSL (Secure Socket Layer) ou TLS (Transport Layer Security). Cette technologie permet un chiffrement des données et garantit la sécurité des flux. À cet égard, le certificat SSL représente une bonne façon de créer un climat de confiance et de favoriser votre référencement.

Pour sécuriser les échanges, nous vous recommandons également de déployer des dispositifs de protection des données par authentification. Véritable carte d’identité électronique, un certificat pour personne physique permet de sécuriser l’authentification.

En parallèle, nous vous recommandons d’effectuer des sauvegardes régulières sur des supports distincts de votre système d’information. C’est une mesure préventive essentielle pour assurer la continuité de vos activités en cas de cyberattaque, erreur humaine ou panne matérielle. En cas d’incident, vous serez alors en mesure de restaurer les données facilement.

Sensibiliser vos collaborateurs, renforcer vos politiques internes, optimiser la sécurité des accès et des réseaux sont autant de pratiques essentielles dans la mise en œuvre d’une approche proactive de la cybersécurité. Il est par ailleurs important de rappeler que la cybersécurité doit être l’affaire de tous. La robustesse d’un dispositif de sécurité informatique réside dans la capacité de l’ensemble des collaborateurs à prendre en main ces sujets afin d’être en mesure de sécuriser toutes les étapes et interactions. Alors cassons les silos pour faire preuve de résilience face aux cyber menaces !

La plateforme de confiance numérique pour les entreprises d’aujourd’hui

Certigna réunit désormais la totalité des activités de confiance numérique de la Digital Factory du groupe Tessi sous le nom « Innovation&Trust ». Nous proposons à nos clients un centre de compétences complet dédié aux enjeux de la confiance numérique.

Cette plateforme de services de confiance répond désormais à tous les enjeux d’échange et de conformité numérique auxquels les organisations sont aujourd’hui confrontées.

« Notre objectif est d’apporter la confiance là où elle est nécessaire. Certigna couvre toute la chaîne du parcours client et couvre également tous les domaines d’activité de la confiance numérique. Cela nous permet d’apporter les bonnes solutions pour accompagner les projets de transformation digitale de nos clients, qu’il s’agisse de problématiques internes ou externes », déclare Romain Le Formal, Responsable Marketing Produits Certigna.

À ce jour, Certigna apporte son expertise à plus de 25 000 clients de toute taille, tant dans le secteur privé avec des grands comptes, des banques, des assureurs, et des artisans, que dans le secteur public avec des ministères et des collectivités locales.

Veuillez noter que la plateforme Certigna peut être mise en œuvre facilement et en toute sécurité dans l’infrastructure de votre organisation.

Un tiers de confiance présent à toutes les étapes du projet 

Grâce à notre nouvelle offre de Confiance Numérique, nous proposons à nos clients de bénéficier d’un catalogue à 360 degrés de services techniques répondant à l’ensemble de leurs besoins de conformité, notamment ceux liés à la vérification d’identité à distance et aux signatures électroniques.

Aujourd’hui, notre objectif est d’être considéré comme le partenaire de confiance idéal à chaque étape d’une relation commerciale, y compris les étapes de pré-relation, de contrat et de collaboration. « Nos clients peuvent donc compter sur nous et sur notre capacité à les protéger des différents risques qui existent tout au long de leur relation client, utilisateur ou patient », conclut Romain Le Formal.

Fermement déterminée à assurer un niveau élevé de sécurité à nos clients, nous nous sommes également engagées en matière de respect de l’environnement. Nous investissons activement pour minimiser la conservation de données inutiles dans nos infrastructures d’hébergement, un geste qui revêt une double importance tant pour la préservation de la planète que pour le portefeuille de nos clients-partenaires. 

XAdES, PAdES et CAdES : Définition des formats incontournables de la signature électronique

Les formats de signature XAdES, CAdES et PAdES sont chacun adaptés à une technologie spécifique, et partagent des objectifs similaires : garantir l’intégrité, l’authenticité et la non-réputation des documents numériques.  

 XAdES

XAdES (XML Advanced Electronic Signatures) est compatible avec tous les formats de fichier et génère une signature électronique au format XML. Cette signature peut être soit détachée, soit encapsulée. Dans le cas d’une signature électronique détachée, celle-ci est séparée du document. Cela signifie que la signature est un fichier distinct appelé “jeton de signature” qui est lié au document. En revanche, pour la signature électronique encapsulée, le document lui-même est directement encapsulé dans la signature électronique (voir les schémas ci-dessous où la signature est représentée en rose et le document est affiché en gris). 

               

CAdES

CAdES (CMS Advanced Electronic Signatures) est également compatible avec tous les formats de fichier et génère une signature électronique au format PKCS7. La signature électronique générée par CAdES peut également être détachée ou encapsulée, de manière similaire au format XAdES.

               

PAdES

Le format de signature le plus utilisé est PAdES (PDF Advanced Electronic Signatures), uniquement conçu pour les fichiers au format PDF. La signature électronique générée par PAdES est intégrée directement dans le document. Cela signifie que la signature fait partie intégrante du document et ne peut pas être séparée ou modifiée sans altérer le document.

Les cas d’usage des formats de signature électronique sont déterminés par plusieurs facteurs, tels que le format du fichier, les exigences réglementaires et la simplicité de vérification des signatures électroniques. 

Le saviez-vous ? Nos certificats Certigna ID RGS* et Certigna ID RGS**/eIDAS sont compatibles avec tous les formats de signature électronique (XAdES, CAdES et PAdES). 

Quel outil de signature choisir pour vos besoins ? Un aperçu des solutions les plus populaires

Lorsque vous répondez aux marchés publics, il est possible que le format de signature électronique ainsi que l’outil de signature soient spécifiés dans les exigences de l’appel d’offre. À noter que toutes les plateformes de dépôt à appel d’offre possèdent un outil de signature électronique disponible en libre-service. Vous trouvez ci-dessous quelques exemples :  

 Il existe d’autres outils de signature électronique gratuits tel que le logiciel Adobe Acrobat Reader qui intègre un service de parapheur électronique spécifiquement compatible avec le format PAdES. Cet outil de signature est le plus utilisé en raison de sa simplicité d’utilisation.

N’ayez plus à vous soucier des données techniques, car chaque plateforme propose des outils de signature accessibles.  

Comment vous connecter au centre de formalités des entreprises ?

La signature électronique avancée pour le Guichet Unique INPI

Lors de votre première connexion au Guichet Unique INPI, ou portail e-procédures, il vous est demandé de créer un compte utilisateur. Vous recevez alors un courrier électronique comportant un lien de validation à usage unique valable 24 heures. Une fois connecté à l’espace sécurisé du portail, vous avez accès à la page d’accueil dédiée aux démarches relatives aux formalités d’entreprises en ligne et à la propriété industrielle. L’item « Entreprises », vous permet de procéder à la déclaration de l’ensemble des formalités juridiques (création, modification, cessation d’activité) pouvant concerner votre organisation.

Pour signer vos formalités, plusieurs options s’offrent à vous, selon la nature de la démarche ;

– les formalités de création d’entreprise ne requièrent qu’un niveau d’e-signature simple ;

– les formalités de modification et de cessation, nécessitent quant à elles un niveau de signature « élevé » via un certificat de signature électronique avancé disponible aujourd’hui sous la forme d’une clé USB intégrant ce certificat..    

 Finalisez votre formalité de création d’entreprise sur le site Guichet unique INPI

Avant de pouvoir signer le formulaire en ligne informant l’administration de votre création d’entreprise, par exemple, il vous faut d’abord vérifier les éléments transmis. Vous devez donc valider les informations, puis les pièces jointes transmises, afin qu’un récapitulatif vous soit proposé. Lisez-le avec soin avant de valider votre dossier. Vous êtes ensuite informé d’éventuelles incomplétudes ou incohérences de votre déclaration. Dans ce cas, vous avez la possibilité de cliquer sur différents liens vous amenant aux parties de votre déclaration qui doivent faire l’objet de compléments ou de rectifications. Tant que le Guichet Unique INPI vous indique qu’un problème persiste, il vous faut réitérer ces étapes de finalisation.

Comment le Guichet Unique INPI peut-il vous aider dans la gestion administrative de votre entreprise ?

Une centralisation des formalités de création, modification et cessation d’activité

Avec le Guichet Unique, la loi PACTE du 22 mai 2019 a mis fin à un système de déclaration complexe et hétérogène compliquant la tâche du service administratif de chaque organisation. Aujourd’hui, toutes les entreprises, quelle que soit leur forme, ont l’obligation de déclarer leurs formalités juridiques de création (immatriculation ou déclaration de début d’activité), de modification (changement d’activité, d’adresse, de nom, du nombre d’associés, des statuts, etc.), et de cessation (fin de l’existence légale de l’entité) d’activité au sein du Guichet Unique INPI. Les informations transmises par ce biais sont par la suite reçues et traitées par les organismes compétents : INSEE, organismes sociaux et fiscaux, greffiers des tribunaux de commerce, chambres consulaires, etc.

Grâce à ce portail unique et à la centralisation des informations, le suivi des formalités se trouve facilité et constitue pour vous une aide administrative précieuse, notamment concernant le circuit de validation de vos démarches. De même, la plateforme concentre à elle seule les informations juridiques dont vous pourriez avoir besoin pour effectuer l’ensemble de vos formalités administratives (un rôle joué précédemment par le guide des formalités d’infogreffe) : en cas de dissolution d’une SCI ou de changement concernant le chef d’une entreprise individuelle ou les dirigeants d’une société, par exemple.

La dématérialisation des documents administratifs pour les autorités compétentes

Le recueil des dossiers de formalités était auparavant dévolu aux chambres de commerce et d’industrie (CCI), aux chambres de métiers et d’artisanats (CMA), aux chambres d’agriculture (CA), aux greffiers des tribunaux de commerce, ainsi qu’à l’Union de recouvrement des cotisations de Sécurité sociale et d’allocations familiales (Urssaf) et aux services des impôts des entreprises de la Direction générale des finances publiques (DGFIP). Le Guichet Unique INPI vient unifier, mais également dématérialiser les démarches des entreprises, mettant fin à l’utilisation de plus de 50 formulaires papier Cerfa différents.

Le certificat de signature électronique comme source de sécurité

L’usage d’un certificat de signature électronique avancée délivré par un tiers de confiance vous offre un outil de signature hautement sécurisé afin d’effectuer vos démarches au sein du Guichet Unique INPI. La signature de vos actes via ce certificat constitue la preuve irréfutable de la signature de vos formalités dématérialisées. Les certificats numériques, destinés aux personnes physiques rattachées à des entreprises, sont nominatifs : seul le professionnel en ayant l’usage peut représenter l’organisation pour laquelle il travaille.

Les certificats électroniques doivent se conformer aux standards de sécurité réglementaires régissant l’identité numérique. En fonction des besoins de votre entreprise, vous pourrez souhaiter mettre en place un certificat électronique respectant uniquement la norme française RGS (Référentiel Général de Sécurité) ou utiliser un certificat à la fois conforme au RGS et au règlement européen eIDAS (electronic IDentification, Authentication and trust Services). Pour accomplir vos formalités de modification et de cessation d’activité sur le Guichet Unique INPI, il vous faudra par exemple employer le certificat Certigna ID RGS** (conforme eIDAS), qui vous fait bénéficier d’une signature électronique avancée reposant sur un certificat qualifié.

Les équipes de Certigna seront présentes au FIC les 5, 6 et 7 avril 2023 prochain qui se tiendra à Lille Grand Palais (stand D44-9).

Ce sera l’occasion d’échanger avec nos experts sur nos solutions de confiance 360° permettant de sécuriser chaque étape de vos parcours clients et processus métiers.

Au sein du village ID&KYC Forum, nous vous accueillerons pour vous faire découvrir nos expertises et savoir-faire autour de la confiance numérique (vérification d’identité, certificat électronique, cachet électronique visible…) 

Venez également assister à la démonstration de nos solutions de confiance autour de l’identité numérique Jeudi 6 avril à 15h15 sur l’espace de démo du village ID&KYC Forum.  

S’inscrire à l’évènement

Horodatage : quelle définition ?

L’horodatage est une forme de signature électronique qui permet de dater de façon certaine un document numérique avec valeur légale. Cette solution présente par ailleurs de nombreux avantages pour votre organisation dans sa démarche de dématérialisation de documents.

L’horodatage qualifié 

Horodater un document consiste à lui apposer un sceau électronique attestant la date et l’heure exacte, à la seconde près, à laquelle il a été émis ou signé. Tout comme le cachet de la Poste faisant foi dans le cas d’un courrier papier, l’horodatage est une preuve certaine et irréfutable du moment donné d’un échange électronique, d’une transaction, ou de la signature d’un contrat. Néanmoins, cette valeur juridique, reconnue auprès des tribunaux français et européens, est uniquement dévolue par le biais d’un horodatage qualifié.

Ce dispositif est délivré par un tiers de confiance qui a été qualifié par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Il s’agit d’une solution d’horodatage intégrant un filigrane d’horodatage, visible dans le volet signature d’un fichier PDF par exemple. À l’inverse, la pratique consistant à dater un document en utilisant les informations de date et heure issues du système d’exploitation des ordinateurs n’a aucune valeur juridique car ces données sont facilement modifiables. 

Les garanties de l’horodatage d’un document

Grâce à l’utilisation d’un serveur de temps synchronisé avec plusieurs sources de temps officielles coordonné (UTC), ou heure de référence, l’horodatage certifié représente ainsi une véritable preuve d’antériorité garantissant l’existence à une date certaine du document signé. La mise en place de cette solution est notamment indispensable pour attester qu’un document respecte bien les délais légaux qui concernent votre organisation et ses différentes activités.

Au-delà de la datation irréfutable de vos documents, et selon le règlement eIDAS (electronic Identification, Authentification and trust Services), l’horodatage qualifié a également pour objectif de garantir l’intégrité de vos fichiers comme c’est le cas dans le cadre du décret sur la copie fiable.  

À l’issue du processus, le document est scellé grâce à un cachet électronique appelé « jeton d’horodatage ». En cas de litige, votre entreprise peut donc aisément prouver l’existence d’un fichier à une date et une heure précise, depuis laquelle ce document scellé est réputé non altéré.

Dans le cadre d’un horodatage qualifié, les jetons sont uniquement délivrés par les prestataires de services certifiés en tant qu’autorité de certification et prestataire de service qualifié d’autorité d’horodatage. Ils doivent respecter le règlement eIDAS. Cette qualification atteste que le prestataire met en œuvre les moyens humains et techniques nécessaires pour garantir la sécurité et la conformité de son service par rapport au référentiel RGS et au règlement eIDAS. 

 

Garantir l’intégrité d’un document électronique en 3 cas d’usage

La mise en œuvre d’une solution d’horodatage par un tiers de confiance peut concerner tout type de document pouvant présenter des enjeux juridiques importants pour votre entreprise. Horodater un document peut donc vous être utile, aussi bien pour garantir sa fiabilité auprès de vos partenaires et collaborateurs, que pour protéger vos créations en cas de contestation ou de litige.

1. Protéger les factures

Si votre organisation souhaite entamer un processus de dématérialisation de ses factures papier, il convient auparavant de se pencher sur les dispositions légales à respecter : vous ne pourrez en effet vous débarrasser de vos factures papier reçues ou émises que si vos factures numérisées sont conformes aux conditions posées par la loi. Afin d’être considérées comme fiables et équivalentes aux factures physiques, les factures numérisées doivent notamment remplir des critères d’intégrité et d’horodatage certifié conforme au standard RFC3161.

2. Sceller les bulletins de salaire

La dématérialisation des bulletins de salaire présente de nombreux avantages pour les entreprises, à commencer par une réduction des coûts et une simplification administrative. Si les bulletins de paie électronique (BPE) ont bien valeur légale, sur ce sujet également, il vous faut envisager les conditions de cette validité. Pour mettre en place le BPE, vous devez en premier lieu garantir l’intégrité du document grâce à un processus de signature électronique auquel s’ajoute un cachet électronique qui certifie la date d’émission du document via horodatage. Ceci a pour objectif d’éviter toute modification ultérieure de ce dernier.

3. Sécuriser les créations graphiques

Pour protéger vos plans d’architecture, dessins, ou tout autre type de réalisations graphiques, vous pouvez faire appel à une solution d’horodatage qui enregistre la date de votre création. En cas de plagiat, il vous est possible de démontrer facilement que la date de création de votre design industriel est antérieure à la date de création du design concurrent. Horodater un document graphique représente donc ici encore une solution avantageuse pour faire valoir les droits de votre entreprise.

Implémenter une API de signature électronique

Vous souhaitez gagner du temps en intégrant une solution de signature numérique à vos processus métier : faites le choix de l’API de signature électronique.

Dans quels cas utiliser une API de signature électronique ?

L’API (Application Programming Interface) de signature électronique est la meilleure solution pour signer vos documents en masse. Cette solution peut être appliquée à tout document nécessitant une signature, qu’il s’agisse de devis, de propositions commerciales, de contrats de travail, de vente, ou encore de conventions de crédit. « Avec cette solution, vous pouvez intégrer rapidement et simplement à vos logiciels métier, sites web, et applications, des fonctionnalités d’e-signature. Vous bénéficiez alors d’un outil puissant et intuitif vous permettant d’aller plus loin dans l’automatisation de vos process. »

Quels sont les avantages de l’API de signature électronique ?

Un logiciel de signature électronique vous apporte non seulement la garantie de l’identité du signataire d’un document numérique, mais vous assure aussi de l’intégrité du document signé. Par ailleurs, de la même façon qu’une signature manuscrite, la signature électronique est une preuve valable devant tout tribunal français et européen[1].

Outre la sécurisation juridique de vos documents, l’API de signature électronique présente également de nombreux avantages pour vos clients, partenaires, et collaborateurs, qui peuvent signer leurs contrats à tout moment, et depuis n’importe quel terminal, directement depuis votre site web ou votre application métier. Et les possibilités d’intégration de cette signature à vos process métier sont vastes : cette solution est compatible avec votre CRM, ERP, SIRH, site Internet, etc.

« Vous pourrez ainsi miser sur une hausse de productivité de votre entreprise grâce à un workflow de signatures optimisé et à une accélération des délais de contractualisation. Autres avantages business : la réduction des coûts, liée notamment à une plus grande efficacité de vos employés sur le segment de la chaîne contractuelle, et la hausse de votre taux de conversion, favorisée par une nette amélioration de l’expérience utilisateur. Les documents sont signés en quelques clics par vos clients, ce qui vous permet de minimiser votre taux d’abandon. »

Faire le choix d’une plateforme en ligne

Si l’API de signature électronique possède de nombreux bénéfices, elle n’est pas nécessairement la solution la plus adaptée à votre organisation. Une plateforme de signature en ligne peut alors remplir les objectifs que vous vous êtes fixés.

Dans quels cas utiliser une plateforme SaaS ?

Choisir une application pour signer un document peut être la solution idéale dès lors que votre entreprise n’a à traiter que de petits ou moyens volumes. Là encore, de nombreux cas d’usage peuvent être envisagés, du contrat de travail au contrat de bail, jusqu’aux devis et compromis de vente immobilier. La plateforme SaaS (Software As A Service) de signature, prête à l’emploi, facile à déployer et à utiliser, permet une dématérialisation rapide de vos processus de signature électronique.

Quels sont les avantages d’une plateforme SaaS ?

« Pour créer une signature en ligne, il vous suffit de vous connecter à un portail d’accès sécurisé avec vos identifiants et de vous laisser guider : en un clic, le processus de signature est initié. »

La mise en place de ce type de solution permet une disponibilité immédiate de la signature électronique, et ce, depuis tout support, desktop ou mobile. Seule la présence d’un navigateur web est requise. En outre, les signatures sont paramétrables en mono ou en multi-signataires. À l’image de l’API de signature électronique, la plateforme SaaS simplifie et accélère le parcours de vos clients, partenaires, et collaborateurs, tout en sécurisant juridiquement votre chaîne de contractualisation.

Avec qui travailler ?

Le marché est constitué de nombreux éditeurs de solutions de signature électronique et il peut être difficile pour une entreprise de s’y retrouver. Néanmoins, certains éléments peuvent vous aider à faire le choix le plus adapté à vos besoins.

La sécurité des solutions de signature en ligne

Pour déployer l’une ou l’autre de ces solutions de signature électronique, il est recommandé de faire appel à un prestataire de services de confiance certifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dont Certigna fait partie. « À ce titre, nos signatures électroniques telles que ; nos certificats numériques, scellements et horodatages sont conformes au règlement eIDAS (electronic Identification, Authentification and trust Services) et au RGS (référentiel général de sécurité). Nous bénéficions également de la certification ISO/CEI 27001 pour l’ensemble de nos solutions, prestations et activités éditées et hébergées en France. »

Solutions de signature électronique : quels coûts ?

Notre offre d’API de signature électronique vous permet de bénéficier d’une solution modulable et donc d’un tarif au plus près de vos besoins. Néanmoins, la mise en œuvre de cette solution nécessite de prévoir une période de déploiement ainsi que l’intervention d’une équipe technique, externe et interne. Le coût de base peut donc être supérieur à celui de la mise en place d’une plateforme SaaS.

Analyser vos besoins pour faire le bon choix

Une fois que vous aurez choisi un prestataire de confiance reconnu comme tel par l’ANSSI, autorité de certification française, vous devrez encore prêter attention à certains éléments : quel type de signature certifiée souhaitez-vous mettre en œuvre dans votre organisation, et pour quel niveau de sécurité ? « Autant d’interrogations qui vous permettront de choisir la solution la plus adaptée à vos besoins. La signature par plateforme SaaS vous interdira, par exemple, la mise en place d’une signature qualifiée. »

 

[1] Article 25.1 du règlement (UE) n° 910/2014 du Parlement européen et du conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE. URL : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32014R0910&from=hr.

Quel était votre besoin initial lorsque vous avez fait appel à Certigna ?

En 2018, nous cherchions à faciliter nos démarches administratives concernant la gestion de nos contrats d’assurance, pour répondre notamment à l’ensemble des réglementations en vigueur. Ces dernières imposent en effet que les opérateurs en contact avec la clientèle soient formés et bénéficient des outils numériques appropriés. « Dans cette optique, nous avons opéré une transition vers des solutions dématérialisées pour la signature de nos bulletins d’adhésion, qui s’opère désormais en agence via des tablettes de signature électronique. Nous avions ainsi besoin de la certification et de l’horodatage de ces documents. »

Pourquoi avoir choisi Certigna pour vous accompagner ?

Notre prestataire précédant ne parvenait pas à présenter une structure habilitée efficace pour nos documents numériques. Nous avons entendu parler du travail de Certigna en métropole et avons décidé de nous tourner vers leur solution, qui s’intégrait très facilement à notre logiciel existant. « La simplicité de la procédure d’inscription et de validation en ligne au travers du formulaire ainsi que les tarifs fixés ont achevé de nous convaincre ! »

Quelles ont été les étapes de la mise en place de la solution de Certigna ?

Les échanges avec Certigna ont démarré en 2018 et nous avons débuté notre collaboration en février 2019. Nous avons d’abord testé la solution afin de nous assurer de son opérabilité avec notre logiciel BPM. Elle a ensuite été déployée dans la dizaine d’agences assurance de la Mutualité de La Réunion. Nos besoins d’authentification étant grandissants, nous avons rapidement augmenté nos commandes de jetons d’horodatage. « Au démarrage, nous commandions des packs de 10 000 jetons et nous réalisons désormais des commandes de 30 000 jetons, que nous utilisons très rapidement— nous avons en effet une moyenne d’utilisation de 2 500 jetons par mois, avec des pics de consommation à 4 200. » Lorsque nous oublions de commander à temps ou en cas de difficultés, les équipes de Certigna sont toujours efficaces et disponibles pour trouver des solutions adéquates. « La mise en place de la solution a donc été très simple ! »

En quoi le service répond-il à vos attentes ?

« Cette nouvelle organisation nous évite la gestion des versions papiers de nos contrats, gourmandes en ressources logistiques et en énergie. Nous avons ainsi pu réduire considérablement les lourdeurs administratives et les problématiques de place liées au stockage des documents. »

Le service de Certigna répond parfaitement à notre besoin de certification et d’horodatage de nos documents. Nous avons accès à un système très efficace de statistiques afin de suivre notre consommation de jetons d’horodatage. En outre, nos problématiques sont traitées rapidement et le service commercial est toujours disponible en cas de difficultés. Un conseiller nous est attitré, et une personne prend le relais en cas d’absence.

Avez-vous été amené à solliciter Certigna pour un autre besoin ?

Dans cette optique de dématérialisation de nos démarches administratives, nous avons également souhaité mettre en place la numérisation automatique des factures de nos fournisseurs. Comme nous cherchions à certifier leur numérisation, nous avons rapidement fait appel à Certigna. « Leur solution a grandement permis de faciliter les démarches et de fluidifier l’activité. Les factures passent par l’outil de numérisation Avanteam Process Studio qui certifie les PDF générés par un horodatage Certigna, avant la validation en interne. »

Le mot de la fin pour décrire votre collaboration ?

« La simplicité technologique. La solution Certigna apporte cette simplicité tant au niveau de la validation de l’identité que de l’intégration dans notre outil. Nous sommes donc amplement satisfaits de notre collaboration. Notre association est dans une démarche de digitalisation et d’évolution constante, Certigna nous a permis de développer nos activités en nous facilitant la certification des documents. »

Quel était votre besoin initial lorsque vous avez fait appel à Certigna ?

LegaVote est une solution de vote en ligne, qui peut être utilisée dans le cadre d’élections de CSE, d’assemblées générales, de conseils d’administration… « Nous avons donc besoin de pouvoir certifier l’existence de nos données à des moments exacts : à chaque fois que quelqu’un vote sur nos plateformes, ou pour nos journaux d’activité par exemple. Cet horodatage est indispensable pour la validité des votes ! Il permet d’assurer qu’il n’y a aucune falsification des données. Nous étions à la recherche d’un prestataire pour nous accompagner sur cet aspect lorsque nous avons contacté Certigna, en 2020. »

Pourquoi avoir choisi Certigna pour vous accompagner ?

La vitesse d’exécution de notre précédent prestataire ne nous convenait pas réellement : le système mettait plus d’une seconde à horodater un vote. Cela peut paraître peu, mais en réalité, cette seconde de latence était problématique, surtout dans notre domaine d’activité, où nous avons pour vocation d’être sur des flux « à temps réel », notamment pour nos sessions de votes en direct.

Le deuxième aspect concernait l’expansion de notre activité et l’aspect juridique. Proposant notre solution à la fonction publique, nous avions besoin d’avoir un prestataire certifié RGS et eIDAS. Nous avons donc procédé à une mise en concurrence, afin de comparer les différentes solutions proposées sur le marché. Et nous avons constaté que les prestataires proposant un système d’horodatage qualifié sont en réalité peu nombreux… « Lors de nos recherches, Certigna se démarquait clairement, notamment grâce à ses certifications RGS et eIDAS, qui étaient donc essentielles pour le développement de notre activité. »

Quelles ont été les étapes de la mise en place de la solution de Certigna ?

« Nous avons contacté le service commercial de Certigna – un vendredi en fin de journée – et nous avons été rappelés presque immédiatement. Une demi-heure plus tard, je présentais notre problématique de vive voix à un conseiller en visioconférence. Une heure après, je récupérais des jetons d’horodatage pour tester leur solution. Tout s’est enchaîné extrêmement vite ! Nous avons ensuite réalisé une semaine de tests, qui ont suffi à nous convaincre. Un peu moins d’une semaine plus tard, nous intégrions la solution d’horodatage Certigna. L’intégration a donc été très simple. »

En quoi le service répond-il à vos attentes ?

Certigna est une solution française, disposant d’un service d’horodatage qualifié et avec toutes les certifications dont nous avons besoin. « Le temps de réponse pour l’horodatage de nos données a été divisé par dix par rapport au service que nous avions précédemment – la réaction est maintenant de l’ordre d’un dixième de seconde. Nous avons donc grandement gagné en efficacité ! » La facturation est également entièrement transparente et plutôt simple : nous disposons d’un pack de jetons à renouveler lorsqu’ils ont été consommés.

Nous surveillons de très près cet horodatage, et sommes capables, en cas de problème technique, de passer par le service d’un autre prestataire. Depuis que nous avons commencé à travailler avec Certigna, nous n’avons pas subi d’interruption du service. Pourtant, un nombre très important de votes est enregistré toute la journée sur nos différentes plateformes. Par ailleurs, nous avons été amenés à contacter le service technique pour vérifier certains horodatages, plus anciens, où nous avions intégré le certificat signataire a posteriori, ce qui compromettait les documents. Certigna a pu nous proposer une méthode de validation en moins de 48 heures afin de les mettre en conformité.

« Nous disposons également d’un contact privilégié au sein du service commercial, un conseiller qui suit et connaît parfaitement notre dossier. Les échanges sont donc toujours simples et fluides. En tous points, le service répond donc parfaitement à nos attentes. »

Avez-vous été amenés à solliciter Certigna pour un autre besoin ?

L’année dernière, nous avons également décidé de faire appel à Certigna pour l’achat de plusieurs de nos certificats, RGS** et SSL par exemple. « Et nous sommes tout aussi satisfait du service ! Par exemple, lorsque nous avons eu besoin d’un certificat RGS sur des délais très courts, Certigna est parvenu à nous le fournir en moins de 24 heures. Nous avons donc pu réaliser les élections liées dans de bonnes conditions ! » Parallèlement, nous avons commencé les démarches pour leur confier également la gestion de nos certificats développeurs fonction.

Le mot de la fin pour décrire votre collaboration ?

« Efficacité ! Nous ne pouvons pas nous permettre de dysfonctionnements sur nos plateformes de vote. Nous avions donc besoin de mettre en place des process qui fonctionnent parfaitement, avec une grande réactivité. Cette efficacité, nous la retrouvons avec Certigna, tant d’un point de vue technique qu’humain et nous sommes donc très satisfaits. »

Un support disponible pour
répondre à toutes vos questions

Consulter le support
Recevez les actualités de Certigna par email
Inscrivez-vous à la newsletter
v1.7.2-01