Quel était votre besoin initial lorsque vous avez fait appel à Certigna ?

LegaVote est une solution de vote en ligne, qui peut être utilisée dans le cadre d’élections de CSE, d’assemblées générales, de conseils d’administration… « Nous avons donc besoin de pouvoir certifier l’existence de nos données à des moments exacts : à chaque fois que quelqu’un vote sur nos plateformes, ou pour nos journaux d’activité par exemple. Cet horodatage est indispensable pour la validité des votes ! Il permet d’assurer qu’il n’y a aucune falsification des données. Nous étions à la recherche d’un prestataire pour nous accompagner sur cet aspect lorsque nous avons contacté Certigna, en 2020. »

Pourquoi avoir choisi Certigna pour vous accompagner ?

La vitesse d’exécution de notre précédent prestataire ne nous convenait pas réellement : le système mettait plus d’une seconde à horodater un vote. Cela peut paraître peu, mais en réalité, cette seconde de latence était problématique, surtout dans notre domaine d’activité, où nous avons pour vocation d’être sur des flux « à temps réel », notamment pour nos sessions de votes en direct.

Le deuxième aspect concernait l’expansion de notre activité et l’aspect juridique. Proposant notre solution à la fonction publique, nous avions besoin d’avoir un prestataire certifié RGS et eIDAS. Nous avons donc procédé à une mise en concurrence, afin de comparer les différentes solutions proposées sur le marché. Et nous avons constaté que les prestataires proposant un système d’horodatage qualifié sont en réalité peu nombreux… « Lors de nos recherches, Certigna se démarquait clairement, notamment grâce à ses certifications RGS et eIDAS, qui étaient donc essentielles pour le développement de notre activité. »

Quelles ont été les étapes de la mise en place de la solution de Certigna ?

« Nous avons contacté le service commercial de Certigna – un vendredi en fin de journée – et nous avons été rappelés presque immédiatement. Une demi-heure plus tard, je présentais notre problématique de vive voix à un conseiller en visioconférence. Une heure après, je récupérais des jetons d’horodatage pour tester leur solution. Tout s’est enchaîné extrêmement vite ! Nous avons ensuite réalisé une semaine de tests, qui ont suffi à nous convaincre. Un peu moins d’une semaine plus tard, nous intégrions la solution d’horodatage Certigna. L’intégration a donc été très simple. »

En quoi le service répond-il à vos attentes ?

Certigna est une solution française, disposant d’un service d’horodatage qualifié et avec toutes les certifications dont nous avons besoin. « Le temps de réponse pour l’horodatage de nos données a été divisé par dix par rapport au service que nous avions précédemment – la réaction est maintenant de l’ordre d’un dixième de seconde. Nous avons donc grandement gagné en efficacité ! » La facturation est également entièrement transparente et plutôt simple : nous disposons d’un pack de jetons à renouveler lorsqu’ils ont été consommés.

Nous surveillons de très près cet horodatage, et sommes capables, en cas de problème technique, de passer par le service d’un autre prestataire. Depuis que nous avons commencé à travailler avec Certigna, nous n’avons pas subi d’interruption du service. Pourtant, un nombre très important de votes est enregistré toute la journée sur nos différentes plateformes. Par ailleurs, nous avons été amenés à contacter le service technique pour vérifier certains horodatages, plus anciens, où nous avions intégré le certificat signataire a posteriori, ce qui compromettait les documents. Certigna a pu nous proposer une méthode de validation en moins de 48 heures afin de les mettre en conformité.

« Nous disposons également d’un contact privilégié au sein du service commercial, un conseiller qui suit et connaît parfaitement notre dossier. Les échanges sont donc toujours simples et fluides. En tous points, le service répond donc parfaitement à nos attentes. »

Avez-vous été amenés à solliciter Certigna pour un autre besoin ?

L’année dernière, nous avons également décidé de faire appel à Certigna pour l’achat de plusieurs de nos certificats, RGS** et SSL par exemple. « Et nous sommes tout aussi satisfait du service ! Par exemple, lorsque nous avons eu besoin d’un certificat RGS sur des délais très courts, Certigna est parvenu à nous le fournir en moins de 24 heures. Nous avons donc pu réaliser les élections liées dans de bonnes conditions ! » Parallèlement, nous avons commencé les démarches pour leur confier également la gestion de nos certificats développeurs fonction.

Le mot de la fin pour décrire votre collaboration ?

« Efficacité ! Nous ne pouvons pas nous permettre de dysfonctionnements sur nos plateformes de vote. Nous avions donc besoin de mettre en place des process qui fonctionnent parfaitement, avec une grande réactivité. Cette efficacité, nous la retrouvons avec Certigna, tant d’un point de vue technique qu’humain et nous sommes donc très satisfaits. »

Face à des risques sans cesse croissants, la protection des données constitue aujourd’hui un enjeu déterminant pour toute organisation. Heureusement, des solutions de sécurité se révèlent hautement performantes, au premier rang desquelles l’hébergement sécurisé dans le cloud. Explications.

Pourquoi faut-il sécuriser son réseau informatique ?

Collectivités locales, hôpitaux, entreprises… La liste des organisations victimes de cyberattaques s’allonge de jour en jour.  En France, les 2/3 des entreprises ont même subi au moins une tentative de fraude en 2021, tandis que, suite à la généralisation du télétravail, près de la moitié a constaté une recrudescence des attaques des systèmes informatiques, révèle le Baromètre Fraude et Cybercriminalité 2021 d’Euler Hermes et de l’Association nationale des directeurs financiers et de contrôle de gestion[1]. « Cybercriminalité via des rançons logiciels, atteinte à l’image de l’entreprise par des hackers activistes, espionnage, sabotage… les nuisances prennent des formes très variées », remarque ainsi Ahmed Amaddiou, Ingénieur commercial chez Certigna. Les menaces sur la sécurité informatique peuvent toucher de nombreuses dimensions : espace de stockage, système d’information, système d’exploitation, etc. Et en plus de ces actes de malveillances, il est important de ne pas négliger les risques liés aux erreurs humaines : une inattention ou un oubli peut provoquer des accidents et des pannes, aux conséquences néfastes sur les données. Chacun de ces risques peut générer un ralentissement, voire une interruption de service, avec un impact direct sur le chiffre d’affaires de l’entreprise.

Certigna, un cloud de confiance

Alors, quelle politique de sécurité mettre en place pour répondre à ces risques ? Le premier incontournable pour se prémunir des failles de sécurité consiste à procéder aux mises à jour de son infrastructure hardware comme software. « Dans la course effrénée entre éditeurs et hackers, la réactualisation des niveaux de sécurité est impérative pour protéger les données, insiste Ahmed Amaddiou. De même, il faut veiller à instaurer une politique de sauvegarde efficace, permettant la mise en place, si ce n’est d’un plan de continuité d’activité, d’un plan de reprise d’activité (PRA). » En plus de l’utilisation indispensable d’antivirus et de l’établissement d’une politique de sécurité des systèmes d’information (politique de gestion MDP, procédure de suppression des comptes, sécurisation des postes de travail), la politique de sensibilisation des utilisateurs s’avère également déterminante.

En complément de ces solutions, un choix peut s’avérer décisif pour sécuriser son infrastructure informatique : l’hébergement sur le Cloud.  « Mutualisation des coûts liés aux aspects de sécurisation des risques, risques relatifs aux catastrophes naturelles, surveillance permanente des accès, sécurisation des alimentations électriques, utilisation de plusieurs firewalls pour sécuriser l’accès aux données au sein des data centersles avantages sont très nombreux », souligne Ahmed Amaddiou. Donnant la possibilité d’adapter en permanence l’infrastructure ou de développer de nouvelles applications métiers, le cloud offre également une agilité précieuse pour accompagner les besoins d’évolution des entreprises et, ce, partout à travers le monde. La solution s’appuie tant sur une infrastructure que sur des expertises humaines.

Tiers de confiance numérique reconnu par l’ANSSI et disposant des Qualifications RGS et eIDAS, Certigna a mis en place une approche atypique en tant qu’hébergeur.  Sa stratégie ? Prendre en compte les spécificités des organisations pour proposer une solution sur mesure, répondant précisément aux enjeux de sécurité. Constamment auditée et challengée, l’entreprise s’appuie sur des équipes aguerries pour garantir un niveau de confiance important avec des environnements extrêmement sécurisés.

Prestataire de confiance reconnu au niveau français et européen, Certigna est capable de prendre en charge des processus nécessitant des expertises rares telles que HSM ou PKI. L’un des principaux points de garantie concerne la réalisation du stockage des données en France. D’autres atouts sont également mis en avant : la transparence, la traçabilité, la confidentialité, mais également la réversibilité –l’assurance de pouvoir récupérer ses données en cas de changement de stratégie hébergeur. Soit la promesse de réduire au minimum les risques pesant sur l’infrastructure informatique

[1] « 1 entreprise sur 4 a subi une fraude avérée cette année », Euler Hermes France, 15/09/2021. URL :  https://www.eulerhermes.fr/actualites/etude-fraude-2021.html.

Pour toute entreprise, établir et gérer des devis est une tâche chronophage, mais nécessaire. Première étape de la vente, ce document doit impérativement être accepté et signé par le client pour que le parcours commercial se poursuive. Toutefois, avant de recueillir la fameuse mention « bon pour accord », le chemin peut être long et le client, découragé. Pour concrétiser une offre de contrat et s’affranchir des contraintes liées au format papier, il est donc recommandé d’utiliser la voie électronique.

La signature de devis, un acte légal 

Le Code de la consommation oblige les professionnels à informer les consommateurs des caractéristiques essentielles des produits ou prestations de services qu’ils proposent, de leur prix et de leurs délais de livraison ou d’exécution. Pour une information précontractuelle claire et complète, ces informations sont le plus souvent précisées dans un devis.

Le devis : une obligation ?

Si les professionnels doivent obligatoirement faire la publicité des prix des prestations ou marchandises qu’ils vendent, ils ne sont néanmoins pas toujours tenus de réaliser des devis. Lorsqu’il est facultatif, un devis pourra être utile à la description de l’offre d’un service complexe ou à la sécurisation de la transaction de part et d’autre.

Dans certains cas, la délivrance d’un devis est au contraire obligatoire, lorsque le prix dépasse 1 500 €, ou pour certaines catégories de prestations :

Lors d’un achat de services, l’établissement d’un devis est obligatoire si le montant est supérieur ou égal à 100 € TTC par mois ou si le client en fait la demande.

Contenu du devis

Tout devis doit inclure certaines mentions obligatoires, telles que la date et la durée de l’offre, les coordonnées et raisons sociales des parties, le numéro individuel d’identification à la TVA, ainsi que le décompte détaillé des prestations en quantités et en prix, ou encore le montant global HT et TTC complété du taux de TVA applicable. Dans les devis « travaux », la mention manuscrite « devis reçu avant l’exécution des travaux » doit être ajoutée.

Coût du devis

La réalisation d’un devis peut être payante lorsqu’elle entraîne pour le professionnel une analyse poussée ou un déplacement important. Pour certaines prestations – optique médicale, location de véhicule ou service funéraire – la fourniture de devis est toujours gratuite.

Engagement

Une fois le devis daté et signé par le client et la mention manuscrite « bon pour accord » apposée, les parties sont engagées dans les termes prévus. Une exception sera faite dans le cas où un devis a été signé suite à un démarchage à domicile : le client dispose alors d’un délai de rétractation de 14 jours.

Obligation de signature de devis : accroître le taux de conversion grâce à la signature électronique

L’obligation de signature de devis par le client allonge le temps de la concrétisation de l’offre et retarde le démarrage des travaux. Comment le professionnel peut-il alors optimiser l’expérience client tout en s’évitant de nombreuses démarches, comme l’impression du devis, son expédition, ou encore l’attente du document retourné signé ? Offrir à ses clients la possibilité de signer électroniquement des devis remplit non seulement cet objectif, . Entre deux devis similaires, un client préfèrera opter pour une acceptation immédiate par voie de signature électronique, ne l’obligeant pas à réaliser les fastidieuses démarches d’une procédure « papier ». Il s’agit donc pour tout professionnel d’un avantage concurrentiel de taille qui rend le processus commercial aussi rapide que fluide pour chacune des parties et permet d’augmenter son chiffre d’affaires.

Quelle est la valeur juridique d’une signature numérique ? 

La signature électronique est une preuve valable devant toute juridiction, française ou européenne, au même titre que la signature manuscrite. Ces deux types de signature possèdent donc une valeur juridique équivalente, à condition d’être en mesure d’identifier formellement le signataire du document numérique et d’en garantir l’intégrité : ses données doivent être exemptes de toute altération ou modification[1]. Il faut pour cela faire appel aux services d’un prestataire de services de confiance numérique agréé par l’Agence nationale de la sécurité des systèmes d’information (Anssi), tel que Certigna.

Obligation de signature de devis : notre solution de signature électronique Tessi Sign

Certigna vous propose de faire signer électroniquement vos devis grâce à la plateforme Tessi Sign, en utilisant une signature de type simple (renforcée via email ou OTP SMS) ou avancé (avec certificat électronique), et paramétrable en mono ou multisignataires. Vous aurez ainsi accès à un portail générique ergonomique en mode WYSIWYS (What You See Is What You Sign) et disponible en marque blanche. La plateforme Tessi Sign offre de plus des certificats, scellements et horodatages conformes eIDAS et RGS**. Il s’agit d’une solution ouverte et évolutive (API, Hub d’Identité Numérique).

[1] Cf. article 1367 du Code civil.

Depuis le 15 avril 2009, particuliers et professionnels de l’automobile agréés au SIV (Système d’Immatriculation des Véhicules), peuvent effectuer des demandes d’immatriculation sans avoir à effectuer de multiples formalités auprès de la préfecture. Grâce au portail SIV de l’Agence Nationale des Titres Sécurisés (ANTS), ces démarches administratives sont facilitées : immatriculer un véhicule se fait désormais en ligne et en quelques clics. Vous pourrez solliciter l’aide de l’Agence Nationale des Titres Sécurisés (ANTS) qui est là pour vous accompagner. En attendant, vous trouverez ici quelques points clés à garder à l’esprit lors de votre authentification grâce à un certificat numérique auprès du SIV.

 

Quel est le rôle du certificat numérique ?

Qu’est-ce qu’un certificat numérique ? À quoi sert-il ?

Les certificats électroniques sont des pièces d’identité numériques contenant l’ensemble de vos informations professionnelles : nom, prénom, email, nom de société, etc. Leur usage permet votre authentification sécurisée sur des plateformes ou des sites Internet sur lesquels vous échangez des données sensibles. La délivrance de certificats numériques est dévolue aux Prestataires de service de certification électronique (PSCE), organismes agréés par le ministère des Finances et référencés par l’Agence nationale de la sécurité des systèmes d’information. Pour obtenir un certificat, il vous faudra donc vous adresser à une autorité de certification comme Certigna. Dans le cadre de la connexion à la plateforme SIV, nous proposons un certificat électronique qualifié RGS**, respectant le référentiel général de sécurité (RGS) et le règlement eIDAS. Conformément à la réglementation régissant les demandes d’immatriculation, le certificat Certigna ID RGS** / eIDAS est stocké sur une carte à puce.

Un certificat numérique est-il indispensable ?

Pour accéder, par le biais d’un formulaire web, aux services en ligne du portail SIV, l’utilisation d’un certificat numérique est obligatoire. Le SIV authentifie ainsi toutes vos actions, ce qui limite le risque de fraude en évitant que des informations soient interceptées par des tiers. Unique condition à respecter pour se connecter au SIV : disposer d’un certificat électronique valide, à jour, et déclaré.

Quatre étapes sont néanmoins nécessaires pour avoir accès aux formalités en ligne du SIV pro, application réservée aux professionnels de l’automobile. Afin que votre client réceptionne sa carte grise, vous devrez donc :

  1. Acquérir un certificat ;
  2. Installer le certificat sur votre ordinateur ;
  3. Déclarer le certificat dans l’Application de Pré-Demande (APD) ;
  4. Vous connecter au SIV grâce au certificat.

 

La démarche à suivre pour se connecter au SIV

Étape 1 : acquérir un certificat

Les mentions légales relatives à la connexion au Service d’Immatriculation des Véhicules mentionnent l’acquisition d’un certificat numérique auprès d’un organisme agréé. Attention, si le service de certification électronique auquel vous avez fait appel ne constitue pas une autorité de certification au sens de la réglementation en vigueur, il vous sera impossible de vous connecter au SIV.

Étape 2 : installer le certificat sur votre ordinateur

Pour installer votre certificat électronique, utilisez la carte à puce ou la clé USB qui vous a été remise par votre autorité de certification et suivez-en scrupuleusement le mode d’emploi.

Etape 3 : Déclarer le certificat dans l’Application de Pré-Demande (APD) 

 #1 exporter la clé publique du certificat

Une fois le certificat mis en place, vous serez confronté à une double exigence : exporter la clé publique du certificat puis la charger dans l’Application de Pré-Demande (APD).

L’export de la clé publique consiste à enregistrer un fichier de votre clé au format .cer sur un répertoire de votre ordinateur. Pour cela, sélectionnez le certificat souhaité par le biais de la fenêtre d’options Internet de votre ordinateur et cliquez sur « Exporter ». Dans l’assistant, sélectionnez ensuite « Non, ne pas exporter la clé privée » puis « X.509 encodé en base 64 ». Sauvegardez enfin le certificat dans un fichier au format .cer puis terminez la procédure d’export : ce fichier est la clé publique de votre certificat. Il ne vous reste plus qu’à vérifier la validité de votre certificat numérique en double cliquant dessus afin d’examiner les informations contenues (votre nom, celui de l’autorité de certification, ainsi que la durée du certificat).

#2 charger la clé publique du certificat dans l’APD

Vous pouvez désormais charger la clé publique du certificat dans l’APD en communiquant les références de votre certificat au SIV. Renseignez vos informations personnelles (votre entité, nom, prénom, adresse), sélectionnez a minima « Formulaire web », et précisez un nombre de certificats compris entre 1 et 10. À l’étape de chargement des certificats, parcourez vos fichiers afin de choisir la clé publique créée ultérieurement. Ouvrez le fichier .cer puis validez et terminez cette pré-demande. Dès que vous aurez réglé les formalités administratives avec votre préfecture, et que celle-ci aura activé votre compte, vous pourrez vous connecter au Système d’Immatriculation des Véhicules.

Étape 4 : se connecter au SIV grâce au certificat numérique

Vous devez maintenant vous connecter au SIV pour choisir votre certificat numérique et entrer le code PIN correspondant. La fenêtre « SIV » apparaît et vous pouvez alors immatriculer des véhicules ou consulter votre compte.

Étape 5 : changer de certificat numérique quand l’ancien arrive à expiration

Il est également impératif de charger un nouveau certificat avant que l’ancien n’arrive à expiration. Répétez les étapesz 1,2 et 3#1 puis, une fois connecté au SIV, modifiez les certificats numériques et ajoutez le nouveau certificat.

Connexion au SIV : questions fréquentes  

Si vous ne parvenez pas à vous connecter au SIV, peut-être rencontrez-vous un problème lié à un conflit de certificats numériques : en effet, une fois la date de péremption d’un certificat dépassée, et seulement à ce moment, vous devez supprimer ce certificat de votre ordinateur et du SIV. Nous vous recommandons en outre d’effacer l’état SSL de la mémoire de votre navigateurVos problèmes de connexion au SIV pourraient également être dus à un défaut d’activation de votre compte d’habilitation par la préfecture ou à un certificat périmé. Dans tous les cas, vous disposez du formulaire de contact de l’ANTS pour poser vos questions et obtenir de l’aide sur ces sujets.

[1] « Certificat numérique », Agence nationale des titres sécurisés, 12/07/2011. URL : https://habilitation-siv.interieur.gouv.fr/apd-map-ppl/images/Quel%20choix%20pour%20le%20certificat%20APD%20-%20061108.pdf

La fraude sur les bulletins de paie est plus courante qu’on ne le pense : dépôt d’un dossier pour obtenir un logement, demande de prêt, négociation de salaire, les situations à risque ne manquent pas. Dès lors, comment lutter contre les falsifications de fiches de paie électroniques ? Une partie de la réponse pourrait bien résider dans l’émergence des codes 2D, notamment utilisés par les pays de l’Union européenne pour vérifier les passes sanitaires. Un moyen efficace de lutter contre la falsification de documents électroniques, mais pas seulement. Retour sur le développement des fiches de paie sous forme électronique et la protection apportée par les codes 2D.

 

Le bulletin de paie électronique

Le bulletin de paie électronique (BPE) arrive en France le 13 mai 2009 avec la loi de simplification et de clarification du droit et d’allègement des procédures[1]. Les employeurs sont alors autorisés à émettre des bulletins de paie au format électronique, à condition d’avoir recueilli l’accord des salariés.

Quelques années plus tard, le 1er janvier 2017, la « loi Travail »[2] (ou « loi El Khomri ») va plus loin. Pour accélérer la dématérialisation, elle inverse la norme et permet à l’employeur d’envoyer, par défaut, une version électronique du bulletin de paie. L’accord des salariés n’est plus un préalable à sa mise en place, bien qu’ils puissent toujours s’y opposer par la suite.

 

Les avantages du bulletin de paie électronique

Des économies tangibles et immédiates

D’après les « Fiches praTIC à usage des dirigeants d’entreprises », fournies par le ministère de l’Économie,[3] l’impression, la mise sous pli et la distribution d’un bulletin au format papier représente un coût moyen de 1,5 à 3 € par bulletin. Or, la dématérialisation représenterait selon cette même source une économie immédiate de 33 à 67 %, pour un coût final inférieur à 0,5 €. Quelle que soit la taille de votre structure, il est fort probable que vous réaliserez de sérieuses économies, et ce même si quelques salariés venaient à refuser le BPE.

Productivité améliorée et gain de temps

En plus de leur coût important, l’envoi de bulletins de paie papier implique des tâches chronophages pour votre personnel RH. En passant au bulletin de paie électronique, vous permettez à vos ressources humaines de gagner un temps précieux, à consacrer à des tâches à plus forte valeur ajoutée. Non seulement vous gagnez en productivité, mais vous renforcez par la même occasion la motivation de vos équipes. 

Stockage, intégrité et traçabilité pour plus de sécurité

Le papier est par essence sujet à toutes sortes de dommages : consultation ou vol par des tiers malveillants, destruction par accident ou lors d’un incendie, voire simple perte. Avec des bulletins de paie dématérialisés, archivés dans un coffre-fort électronique, vos documents sont protégés. Par ailleurs, depuis 2017, les fiches de paie numériques sont accessibles sur l’espace prévu par l’entreprise, mais aussi sur le compte personnel d’activité (CPA) du salarié. Vous savez exactement quand vos documents sont envoyés et vos collaborateurs peuvent les retrouver facilement depuis ces deux espaces sécurisés. 

Bon pour l’image de marque

D’après un sondage Opinion Way pour Althéa[4], seuls 20 % des salariés reçoivent aujourd’hui un bulletin de paie électronique, alors même que plus d’un salarié sur deux le souhaiterait (58 %). Passer au BPE serait alors un moyen de démontrer que vous proposez des outils en phase avec les usages actuels. C’est un moyen de renvoyer une image plus innovante et écoresponsable, deux atouts-clés pour séduire de nouveaux collaborateurs et fidéliser les forces en présence. 

Un moyen simple de réduire l’empreinte écologique

La dématérialisation des bulletins de paie représente une baisse importante du nombre d’impressions. Une démarche pertinente à l’heure où les entreprises cherchent à limiter leur impact environnemental. Si vous souhaitez améliorer votre empreinte écologique, vous avez dès lors un moyen simple et efficace d’y parvenir ! Notez que cette bonne action ne se fait pas au détriment de la satisfaction des salariés, puisque 83 % de ceux déjà passés au BPE déclarent souhaiter sa généralisation. 

 

Le grand retour du QR code sécurisé 2D doc

Sous le feu des projecteurs lors de la pandémie

Depuis le 1er juillet 2021 et l’entrée en vigueur du passe sanitaire, le QR code s’est installé dans la vie de nombreux Français et Européens. Ce code permet de vérifier, en le scannant, que le citoyen possède un test PCR négatif récent, un certificat de vaccination ou de guérison. Ce protocole est aujourd’hui obligatoire pour voyager dans les pays de l’Union européenne, mais aussi en Suisse, au Liechtenstein, en Islande, en Norvège, à Monaco et en Andorre.

S’il est le plus connu du grand public, le QR code n’est que l’un des nombreux types de « codes 2D », aux côtés d’autres technologies telles que datamatrix (dont le fameux « 2D-Doc »), flashcode, etc. L’avantage de ces codes est qu’ils peuvent contenir bien plus d’informations qu’un simple code-barres. Par exemple, le QR code du pass sanitaire contient :

Un moyen de lutter contre la fraude documentaire

À côté des QR codes que vous croisez au quotidien, qui sont en général de simples liens vers des pages web, d’autres codes 2D, comme le 2D-DOC, sont particulièrement sécurisés. À l’aide d’une application spécifique, vous pouvez les scanner et accéder aux informations-clés qu’il contient. Cela permet d’en identifier l’émetteur et le type de document concerné, mais aussi d’assurer l’intégrité et l’authenticité des données contenues.

Résultat : vos documents sont sécurisés et deviennent infalsifiables. Dans le cas d’un bulletin de paie, un simple « scan » du code avec une application spécifique permet de vérifier que les informations n’ont pas été modifiées, et de repérer une éventuelle tentative de fraude.

Le cachet électronique visible et ses nombreux cas d’usage

Ce code, parfois appelé « cachet électronique visible » (CEV), permet d’utiliser le numérique pour vérifier des documents, qu’ils soient en version papier ou numérique. S’il n’est pas nécessaire de l’utiliser pour tous nos documents, les plus sensibles peuvent alors être authentifiés, comme les diplômes, les permis, les factures ou encore les différents justificatifs de domicile. Avec le CEV, vous pouvez enfin vous adapter à tous les usages et vérifier vos documents imprimés aussi bien que les numériques.

La solution Certigna pour vos bulletins de paie électroniques

Vous souhaitez dématérialiser vos fiches de paie ? En tant qu’autorité de certification, Certigna propose plusieurs solutions pour sceller vos documents. , est idéal pour les besoins ponctuels des startups et PME. Pour les grandes entreprises, Certigna propose également sur demande un service de signature par API permettant d’automatiser les traitements.

Directement apposé sur le bulletin de paie, le cachet électronique visible garantit l’origine et l’intégrité des données sensibles du document, qu’il soit électronique ou papier. Les données peuvent être vérifiées par un tiers en quelques secondes à l’aide d’une application mobile.

 

[1] « LOI n° 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d’allègement des procédures », Légifrance. URL : https://www.legifrance.gouv.fr/loda/id/JORFTEXT000020604162/

[2] « LOI n° 2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels », Légifrance. URL : https://www.legifrance.gouv.fr/loda/id/JORFTEXT000032983213/

[3] « Fiches praTIC à usage des dirigeants d’entreprises », ministère de l’Économie,2011. URL : https://www.entreprises.gouv.fr/files/files/directions_services/numerique/guides/fiches-praTIC/fiches-pratic.pdf

[4] https://observatoiredematerialisationrh.fr/

Un risque de piratage avéré

Quoi de plus simple pour les pirates informatiques que de s’emparer de vos e-mails aux contenus sensibles ou d’usurper votre identité ? En l’absence de signature électronique, rien ne garantit que le contenu d’un e-mail n’a pas été altéré ou que son expéditeur est bien la personne qu’il prétend être. Un hacker peut en effet manipuler les feuilles de style CSS hébergées sur un serveur tiers dans le but de modifier le contenu d’un e-mail. Les cybercriminels peuvent également subtiliser votre serveur de messagerie pour envoyer frauduleusement des e-mails infectés de virus en votre nom et à partir de votre boîte mail.

Autre technique de piratage de plus en plus répandue et en tête du palmarès des cybermenaces, l’hameçonnage ou « phishing » : dans cette forme d’escroquerie, les fraudeurs usurpent l’identité d’une personne, d’une entreprise ou d’une organisation, dans le but d’obtenir des informations personnelles ou confidentielles, telles des identifiants bancaires ou des mots de passe. Les e-mails reçus dans ce cadre semblent en effet émaner de sites Internet familiers ou d’organismes officiels (banque, impôts, CAF, Ameli, etc.), gagnant ainsi la confiance des destinataires. Afin de sécuriser les e-mails de l’ensemble de vos collaborateurs, il vous faudra créer une signature électronique et la mettre en place dans votre organisation.

 

La signature électronique de mail : une pratique loin d’être anodine

De plus en plus répandue, la création de signature électronique ne doit pas pour autant être confondue avec la signature d’e-mail ajoutée à la fin de vos messages, carte de visite virtuelle qui contient votre nom, adresse, numéro de téléphone, etc. Ce type de signature, qui peut même être ajoutée automatiquement à chacun de vos e-mails, par le biais de la configuration de vos paramètres de messagerie, ne garantit en aucun cas la sécurisation des messages que vous envoyez sur le web. Il s’agit en effet d’une simple signature textuelle : à ce titre, elle peut être copiée, altérée, et le contenu de votre e-mail, transformé. Cette signature ne vaut donc pas preuve d’authenticité. Les pirates informatiques n’auront en outre aucun mal à modifier la signature que vous apposez classiquement au bas d’un e-mail. Par conséquent, le destinataire de vos messages ne pourra avoir la certitude que vous en êtes bien l’expéditeur.

Seule solution, choisir une signature électronique de mail pour votre entreprise. En droit français, créer une signature numérique doit permettre à une entreprise de répondre à minima à deux objectifs essentiels : être en mesure d’identifier formellement le signataire d’un document numérique et garantir l’intégrité de ce document, dont les données doivent être exemptes de toute altération ou modification. En adoptant cette nouvelle signature pour les e-mails de votre organisation, vous vous assurez que l’identité de vos collaborateurs ne sera pas usurpée et que des personnes malveillantes n’intercepteront pas leurs e-mails pour en modifier le contenu.

 

Comprendre le principe de non-répudiation

Utiliser un générateur de signature électronique représente un enjeu majeur de la transformation numérique des entreprises. Les e-mails sont très fréquemment les vecteurs de transmission d’informations personnelles ou sensibles, notamment via les pièces jointes qui y sont attachées. Tous types de documents naviguent donc sur le web, au risque d’être captés par les cybercriminels pour ensuite être détournés de leur objectif et utilisés à votre insu : contrat de travail, de crédit, compromis de vente immobilier, souscription d’assurance-vie, etc.

Les données qui transitent par le biais de vos e-mails doivent rester confidentielles et intègres. Selon le principe de non-répudiation, les contrats signés via Internet ne peuvent pas être remis en cause par les parties. Et ceci vaut également pour les e-mails signés électroniquement. À l’évidence, ce principe est particulièrement important à l’heure de la montée en puissance du commerce en ligne et de la numérisation massive des usages. Concrètement, comment fonctionne-t-il ? Il s’agit de pouvoir s’assurer que l’expéditeur est bien la partie qui prétend avoir envoyé le message : on parle alors de non-répudiation de l’origine. Ici encore, il va sans dire que votre signature par défaut, automatisée ou non, ne vous protège pas du risque de répudiation. Seul l’emploi d’une technologie de signature par certificat électronique peut vous en prémunir.

 

La signature électronique de mail Certigna : le Certigna ID RGS*

Certigna, autorité de certification respectant le référentiel général de sécurité (RGS), norme française, vous propose une solution de signature électronique d’e-mails basée sur la délivrance de certificats de niveau RGS*. Ce certificat numérique contient l’ensemble de vos informations professionnelles (nom, prénom, e-mail, nom de société, etc.) et agit comme une carte de visite virtuelle. Le certificat Certigna ID RGS* est disponible sous format logiciel : il permet de signer vos e-mails afin que leurs destinataires n’aient aucun doute quant à l’identité de leur émetteur ou à l’intégrité de leur contenu. Cette solution vous permet ainsi d’écarter le risque de phishing ou d’usurpation d’identité.

La solution de signature électronique de mail Certigna, proposée à partir de 35 € HT/an, vous sera délivrée dans les 5 jours ouvrés et inclut une refabrication gratuite dans un délai de trois mois. Le certificat Certigna ID RGS* est compatible Windows et Mac et est également qualifié selon la norme européenne ETSI EN 319 411-1.

Plus de 25 ans après sa création au Japon, le QR Code connaît un retour en grâce favorisé par les certificats de tests et de vaccination contre le Covid-19. Le pass sanitaire étant pour l’heure nécessaire afin de profiter de nombreux services, présenter (ou scanner) un QR Code est désormais devenu une habitude. Avant leur homogénéisation au niveau européen, les certificats de tests et de vaccination français ne présentaient pas un QR Code, mais un 2D-Doc. Ce code-barres bidimensionnel a été créé en 2013 par l’Agence nationale des titres sécurisés (ANTS)[1] pour fiabiliser l’échange de données entre l’usager et l’administration.

« Le 2D-Doc comporte une signature infalsifiable des données. Elle permet non seulement de vérifier l’intégrité de ces dernières, mais également d’identifier l’émetteur et signataire du document, rappelle Pascal Merlin, Business Unit Manager chez Certigna. À l’inverse, si la signature ne peut être vérifiée (données falsifiées, émetteur non référencé auprès de l’ANTS, date de signature postérieure à la date de fin de validité du certificat, etc.) l’application de lecture affiche un message d’erreur et n’affiche pas les données présentes dans le code. » Loin de leurs débuts dans le domaine industriel, les codes 2D connaissent plusieurs utilisations grand public, à l’image des cinq cas d’usage décryptés ci-dessous.

1. Les justificatifs de domicile

Pour lutter contre les fraudes et l’usurpation d’identité, il est essentiel de sécuriser les justificatifs de domicile (justificatifs de contrats de fournisseurs d’énergie, avis de taxe d’habitation) exigés lors des démarches administratives. La sécurisation de ces justificatifs est d’ailleurs à l’origine de la création du dispositif 2D-Doc. En 2008, d’après l’ANTS, près de 50 % des dossiers d’usurpation d’identité traités par le ministère de l’Intérieur contenaient une fausse facture de fournisseur d’énergie ou de téléphone[2].

La solution 2D-Doc permet d’authentifier un document sécurisé en détectant toute modification de ses informations. Cet enjeu de sécurisation est une priorité des pouvoirs publics. La généralisation de la facturation électronique entre 2024 et 2026 visera notamment à « améliorer la détection de la fraude, au bénéfice des opérateurs économiques de bonne foi », selon le ministère de l’Économie et des Finances[3].

2. Les documents officiels, comme la nouvelle carte d’identité

Lancée cet été sur tout le territoire français, la nouvelle carte nationale d’identité est dotée, à son verso, d’un cachet électronique visible sous forme de 2D-Doc. Il contient les informations suivantes : nom et prénom, sexe, nationalité, lieu de naissance, type de document, numéro du titre et date de délivrance.

Ces informations sont scellées par une signature électronique de l’État français, qui garantit l’identification de l’organisme émetteur et l’intégrité des données, évitant le risque de falsification. « Cette mise en œuvre permettra au grand public de découvrir la différence entre un simple QR Code non signé généré par tout un chacun en 10 secondes et un 2D-Doc infalsifiable à ce jour » prédisait l’ANTS dans son rapport d’activité 2020. D’autres documents officiels reposent également sur l’usage du 2D-Doc, parmi lesquels la Carte Mobilité Inclusion, les vignettes Crit’Air, les courriers de retrait de points du permis du conduire, le macaron pour chauffeur VTC, les certificats de décès, des actes d’huissier, etc…

3. Les ressources humaines, via les fiches de paie

Certains employeurs, à l’image du ministère de l’Éducation Nationale, ont d’ores et déjà instauré un 2D-Doc sur les bulletins de salaire de leur personnel. Sur une fiche de paye, ce 2D-Doc encode les données essentielles (prénom, nom, salaire brut et net, etc.). Parmi les débouchés possibles d’une telle sécurisation, Pascal Merlin évoque « un moyen utile pour limiter les fraudes dans les dossiers de location immobilière ».

4. Le secteur bancaire

Le relevé d’identité bancaire (RIB) et le relevé d’identité SEPAmail font depuis longtemps partie des documents permettant l’intégration d’un 2D-Doc. La communauté bancaire n’a toutefois pas largement adopté cette solution, alors que certaines escroqueries restent basées sur l’usage de faux RIB. Une adoption généralisée permettrait certainement de les limiter.   

5. Traçabilité des produits

Face à la vigilance croissante des consommateurs sur la qualité des produits, des entreprises optent déjà pour la transparence via le 2D-Doc, permettant d’accéder à la liste complète des ingrédients, leur provenance, les contrôles qualité effectués, etc. Tandis qu’un QR Code est souvent présenté sur l’emballage du produit, au risque de perdre les informations une fois l’emballage retiré, le 2D-doc peut directement être appliqué au produit grâce à sa dimension réduite. Compte tenu de la possibilité de reproduire un 2D-Doc, une traçabilité fiable nécessiterait toutefois de combiner le code avec une technologie moins imitable, en intégrant par exemple un hologramme.

En huit ans d’existence, le dispositif 2D-doc s’est progressivement imposé en tant que solution de la lutte anti-fraude. Initialement conçue pour sécuriser des justificatifs et simplifier les démarches administratives, cette innovation dépasse désormais son cadre régalien et laisse entrevoir de prometteurs usages dans le domaine commercial privé.

Pour en savoir plus sur le 2D-Doc, rendez-vous sur notre site : www.certigna.com/mes-documents-imprimes/

 

[1] 2D-Doc, Agence nationale des titres sécurisés, 01/10/2021. URL : https://ants.gouv.fr/Les-solutions/2D-Doc.

[2] « Spécifications techniques des Codes à Barres 2D-Doc », Agence nationale des titres sécurisés, 02/08/2021.URL : https://ants.gouv.fr/Les-solutions/2D-Doc

[3] « Généralisation de la facturation électronique entre assujettis et transmission d’informations à l’administration fiscale : l’ordonnance a été publiée », Communiqué de presse, ministère de l’Économie et des Finances, 16/09/2021.

URL : https://minefi.hosting.augure.com/Augure_Minefi/default.ashx?WCI=EmailViewer&id=9d7c86d2-3c44-4222-b7c2-0595a0d53985.

Conformément à la décision du CA / Browser Forum entérinée par le vote SC45, Certigna modifiera à compter du 15 Novembre 2021, les conditions de méthodes validation de contrôle de domaine (DCV) pour la gamme des produits SSL Certigna.

Qu’est-ce qu’une validation de contrôle de domaine ?

Afin que Certigna puisse émettre votre certificat, vous devez justifier de votre possession du ou des noms de domaines associés à votre demande de certificat. Cette vérification complémentaire a pour but d’éviter l’émission frauduleuse de demande de certificat.

Le DCV, pour Domain Control Validation (ou validation de la possession d’un nom de domaine) est une validation complémentaire dans la vérification d’un dossier. Celui-ci permet de vérifier que le demandeur d’un certificat possède effectivement les droits de gestion du nom de domaine, ou alors que le gestionnaire du domaine autorise le demandeur à acheter un certificat pour le domaine qu’il gère.

Lors de la personnalisation de vos certificats Certigna SSL et après soumission de votre CSR, nous vous proposions initialement 3 méthodes de contrôle DCV 

– le DCV email
– le DCV DNS
– Et le DCV HTTP / HTTPS.

C’est cette dernière méthode de validation de contrôle de domaine qui est impacté.

Quels impacts ?

Le récent vote du CA / Browser forum – décision SC45  – impacte toutes les demandes de certificats SSL / TLS et impose :

 Pour plus d’informations sur les méthodes de validation DCV

Mettre en place une signature électronique, c’est garantir l’identité du signataire d’un document numérique ainsi que l’intégrité du document signé. Au même titre que la signature manuscrite, la signature électronique est une preuve valable devant tout tribunal, français ou européen (Article 25.1 du Règlement (UE) n° 910/2014 (« eIDAS »)). Lorsqu’elle possède le plus haut degré de sécurité et qu’elle est validée par une Autorité de Certification comme Certigna, la signature digitale a de plus la même valeur juridique que la signature manuscrite, c’est-à-dire la même valeur probante en cas de litige.

Les avantages de la signature électronique

Outre sa valeur légale, l’e-signature possède bien sûr de nombreux avantages business : réduction des coûts, hausse du taux de conversion, ou encore optimisation de l’expérience utilisateur. Mettre en place une signature électronique apporte également à votre entreprise ou service une amélioration notable du workflow de signatures, avec à la clé l’accélération des délais, la fluidification des échanges, et une fiabilité accrue de l’ensemble du processus de contractualisation.

Créer une signature électronique représente donc pour une entreprise un enjeu majeur de sa transformation digitale, d’autant que tous types de documents peuvent être signés numériquement : contrat de travail, bail, devis, compromis de vente immobilier, passation de marchés publics, etc.

Avant de mettre en place une signature électronique, chaque entreprise doit mener une réflexion poussée sur ses besoins, la fréquence de son usage, et le niveau de sécurité attendu. Les réponses précises à ces interrogations permettront ainsi d’opter pour le type de signature électronique le plus adapté. A chaque usage, sa signature électronique. 

Pourquoi mettre en place une signature électronique ?

Selon la loi française, créer une signature numérique doit permettre à une entreprise de répondre a minima à deux objectifs essentiels (article 1366 du Code Civil) : être en mesure d’identifier formellement le signataire d’un document numérique et garantir l’intégrité de ce document, dont les données doivent être exemptes de toute altération ou modification. 

En France, comme dans le reste des États membres de l’Union européenne, le cadre juridique de la signature électronique est défini par le Règlement eIDAS (electronic Identification, Authentification and trust Services) du 23 juillet 2014. La réglementation européenne distingue trois types de signature électronique, auxquels correspondent trois niveaux de sécurité quant à la validation de l’identité du signataire :

En complément du règlement eIDAS, les Autorités de Certification Française comme CERTIGNA, respectent également le référentiel général de sécurité (RGS) afin de délivrer des certificats de signature conformes à l’un des trois niveaux de qualité suivants : élémentaire (RGS*), standard (RGS**) ou renforcé (RGS***). Cette conformité permet la reconnaissance et l’utilisation des certificats au niveau des services dématérialisés des autorités administratives françaises. 

Les étapes de la mise en place d’une signature électronique en entreprise

L’entreprise qui souhaite mettre en place une signature électronique doit analyser ses usages au regard du niveau de sécurité nécessaire en fonction des contraintes réglementaires ou des risques encourus, juridiques et financiers. De même, il vous appartient d’établir vos priorités : pour vous, la sécurité prime-t-elle sur l’expérience utilisateur ? Quelle solution envisager pour rester cohérent avec l’image et les valeurs véhiculées par mon l’entreprise ?

Pour faciliter la mise en place de votre signature électronique, nous vous proposons de préparer votre projet grâce aux quatre étapes suivantes. Elles vous aideront à définir précisément vos besoins.

 

 

A compter du 17 Août 2020, Certigna ne pourra plus délivrer de certificat SSL (client et serveur) ayant une durée de validité supérieure à un an.

En effet, lors d’une réunion du CA/B Forum (consortium regroupant notamment les autorités de certification telle que Certigna, les éditeurs de logiciels de navigation Internet et de systèmes d’exploitation)  qui s’est déroulée en Février 2020, Apple a annoncé que son navigateur Safari n’acceptera plus les certificats émis après le 1er Septembre 2020 et ayant une durée de validité supérieure à 1 an.

Autrement dit, Les certificats émis à partir du 1er Septembre 2020 et dont la période de validité est supérieure à 398 jours (1 an, et 1 mois couvrant un temps de renouvellement) ne seront pas acceptés par les produits Apple. 

Plusieurs fois proposée au vote par les éditeurs de navigateurs, cette directive avait été rejetée plusieurs fois par le CA/B Forum au cours des dernières années. Néanmoins Apple a pris une décision unilatérale pour son produit qui a été suivie par l’ensemble des éditeurs de logiciels de navigation Internet (Microsoft, Apple, Google, Mozilla).

Cette décision parait somme toute logique puisque les normes évoluent continuellement et la durée de vie des certificats a diminué de façon progressive ces dernières années afin d’en renforcer leur sécurité.

Pourquoi limiter la durée de validité d’un certificat SSL à 1 an ?

Réduire la durée de validité d’un certificat permet de le rendre plus sûr. En effet, exiger un renouvellement annuel d’un certificat SSL permet aux utilisateurs de certificats de profiter plus rapidement des mises à jour de sécurité liées à ces certificats.

Une durée plus courte de la clé privée du certificat SSL / TLS permet notamment de limiter les fraudes liées à compromission potentielle du certificat.

D’un point de vue sécurité, tous les professionnels se rejoignent sur le fait qu’une réduction de la durée de vie des certificats est une bonne chose.

Le difficulté principale se situe plus d’un point de vu opérationnel. Cette limitation de durée impliquant plus d’interventions sur les certificats, donc une plus grande complexité dans le maintien d’un inventaire à jour.

Quels impacts pour mes certificats SSL existants en cours de validité ?

Rassurez-vous, les principaux navigateurs du marché rejetteront uniquement les certificats valides plus de 398 jours et émis après septembre 2020. En clair : les certificats valides 2 ans émis avant le 1er septembre 2020 seront acceptés par les navigateurs web.

Vers une automatisation du cycle de vie des certificats numériques ?

Ce qui semble se dessiner parmi les acteurs du CA/B Forum tel que Certigna  et le fait de permettre une durée d’authentification identique à celle que l’on connait aujourd’hui (deux ans) tout en forçant les certificats à être remplacés plusieurs fois durant cette même période.

Ceci limiterait ainsi le besoin de passer par une procédure de réauthentification potentiellement lourde à chaque remplacement et cela permettrait notamment d’anticiper d’éventuelles nouvelles limitation de la durée de vie maximale des certificats.

En synthèse ce qu’il faut retenir

  • Les certificats SSL/TLS d’une durée de validité supérieure à 1 an et émis avant le 1er septembre 2020 ne sont pas affectés par cette modification. Ils resteront valides pendant toute leur période de validité et n’auront pas besoin d’être modifiés ou remplacés.
  • Tous les certificats émis le 1er septembre 2020 ou après devront être renouvelés chaque année.
  • Certigna vous offre la possibilité de commander avant le 17 Août 2020 un certificat Certigna SSL (client ou serveur) pour une durée de 2 ans.  

A Noter : la transmission des pièces justificatives permettant l’émission du certificat doit nous parvenir avant le 26 Août minuit. Rendez-vous vite sur notre site afin de passer commande

Un support disponible pour
répondre à toutes vos questions

Consulter le support
Recevez les actualités de Certigna par email
Inscrivez-vous à la newsletter