Les équipes de Certigna seront présentes au FIC les 5, 6 et 7 avril 2023 prochain qui se tiendra à Lille Grand Palais (stand D44-9).

Ce sera l’occasion d’échanger avec nos experts sur nos solutions de confiance 360° permettant de sécuriser chaque étape de vos parcours clients et processus métiers.

Au sein du village ID&KYC Forum, nous vous accueillerons pour vous faire découvrir nos expertises et savoir-faire autour de la confiance numérique (vérification d’identité, certificat électronique, cachet électronique visible…) 

Venez également assister à la démonstration de nos solutions de confiance autour de l’identité numérique Jeudi 6 avril à 15h15 sur l’espace de démo du village ID&KYC Forum.  

S’inscrire à l’évènement

Depuis le 15 avril 2009, particuliers et professionnels de l’automobile agréés au SIV (Système d’Immatriculation des Véhicules), peuvent effectuer des demandes d’immatriculation sans avoir à effectuer de multiples formalités auprès de la préfecture. Grâce au portail SIV de l’Agence Nationale des Titres Sécurisés (ANTS), ces démarches administratives sont facilitées : immatriculer un véhicule se fait désormais en ligne et en quelques clics. Vous pourrez solliciter l’aide de l’Agence Nationale des Titres Sécurisés (ANTS) qui est là pour vous accompagner. En attendant, vous trouverez ici quelques points clés à garder à l’esprit lors de votre authentification grâce à un certificat numérique auprès du SIV.

Quel est le rôle du certificat numérique ?

Qu’est-ce qu’un certificat numérique ? À quoi sert-il ?

Les certificats électroniques sont des pièces d’identité numériques contenant l’ensemble de vos informations professionnelles : nom, prénom, email, nom de société, etc. Leur usage permet votre authentification sécurisée sur des plateformes ou des sites Internet sur lesquels vous échangez des données sensibles. La délivrance de certificats numériques est dévolue aux Prestataires de service de certification électronique (PSCE), organismes agréés par le ministère des Finances et référencés par l’Agence nationale de la sécurité des systèmes d’information. Pour obtenir un certificat, il vous faudra donc vous adresser à une autorité de certification comme Certigna. Dans le cadre de la connexion à la plateforme SIV, nous proposons un certificat électronique qualifié RGS**, respectant le référentiel général de sécurité (RGS) et le règlement eIDAS. Conformément à la réglementation régissant les demandes d’immatriculation, le certificat Certigna ID RGS** / eIDAS est stocké sur une carte à puce.

Un certificat numérique est-il indispensable ?

Pour accéder, par le biais d’un formulaire web, aux services en ligne du portail SIV, l’utilisation d’un certificat numérique est obligatoire. Le SIV authentifie ainsi toutes vos actions, ce qui limite le risque de fraude en évitant que des informations soient interceptées par des tiers. Unique condition à respecter pour se connecter au SIV : disposer d’un certificat électronique valide, à jour, et déclaré.

Quatre étapes sont néanmoins nécessaires pour avoir accès aux formalités en ligne du SIV pro, application réservée aux professionnels de l’automobile. Afin que votre client réceptionne sa carte grise, vous devrez donc :

1. Acquérir un certificat ;
2. Installer le certificat sur votre ordinateur ;
3. Déclarer le certificat dans l’Application de Pré-Demande (APD) ;
4. Vous connecter au SIV grâce au certificat.

La démarche à suivre pour se connecter au SIV

Étape 1 : acquérir un certificat

Les mentions légales relatives à la connexion au Service d’Immatriculation des Véhicules mentionnent l’acquisition d’un certificat numérique auprès d’un organisme agréé. Attention, si le service de certification électronique auquel vous avez fait appel ne constitue pas une autorité de certification au sens de la réglementation en vigueur, il vous sera impossible de vous connecter au SIV.

Étape 2 : installer le certificat sur votre ordinateur

Pour installer votre certificat électronique, utilisez la carte à puce ou la clé USB qui vous a été remise par votre autorité de certification et suivez-en scrupuleusement le mode d’emploi.

Etape 3 : Déclarer le certificat dans l’Application de Pré-Demande (APD) 

 #1 exporter la clé publique du certificat

Une fois le certificat mis en place, vous serez confronté à une double exigence : exporter la clé publique du certificat puis la charger dans l’Application de Pré-Demande (APD).

L’export de la clé publique consiste à enregistrer un fichier de votre clé au format .cer sur un répertoire de votre ordinateur. Pour cela, sélectionnez le certificat souhaité par le biais de la fenêtre d’options Internet de votre ordinateur et cliquez sur « Exporter ». Dans l’assistant, sélectionnez ensuite « Non, ne pas exporter la clé privée » puis « X.509 encodé en base 64 ». Sauvegardez enfin le certificat dans un fichier au format .cer puis terminez la procédure d’export : ce fichier est la clé publique de votre certificat. Il ne vous reste plus qu’à vérifier la validité de votre certificat numérique en double cliquant dessus afin d’examiner les informations contenues (votre nom, celui de l’autorité de certification, ainsi que la durée du certificat).

Pour exporter votre clé publique de certificat :
• Ouvrez votre navigateur internet – Ex avec Firefox
• Cliquez sur « Paramètres » et sélectionnez «vie privée et sécurité »
• Choisissez « Certificats »
• Sélectionnez le certificat à exporter
• Cliquez sur le bouton “Sauvegarder»
• Enregistrez le fichier selon l’exemple suivant afin de l’identifier facilement SIV_nom_du_certificat_date_d’expiration_du_certificat.cer

#2 charger la clé publique du certificat dans l’APD

Vous pouvez désormais charger la clé publique du certificat dans l’APD en communiquant les références de votre certificat au SIV. Renseignez vos informations personnelles (votre entité, nom, prénom, adresse), sélectionnez a minima « Formulaire web », et précisez un nombre de certificats compris entre 1 et 10. À l’étape de chargement des certificats, parcourez vos fichiers afin de choisir la clé publique créée ultérieurement. Ouvrez le fichier .cer puis validez et terminez cette pré-demande. Dès que vous aurez réglé les formalités administratives avec votre préfecture, et que celle-ci aura activé votre compte, vous pourrez vous connecter au Système d’Immatriculation des Véhicules.

Étape 4 : se connecter au SIV grâce au certificat numérique

Vous devez maintenant vous connecter au SIV pour choisir votre certificat numérique et entrer le code PIN correspondant. La fenêtre « SIV » apparaît et vous pouvez alors immatriculer des véhicules ou consulter votre compte.

Étape 5 : changer de certificat numérique quand l’ancien arrive à expiration

Il est également impératif de charger un nouveau certificat avant que l’ancien n’arrive à expiration. Répétez les étapesz 1,2 et 3#1 puis, une fois connecté au SIV, modifiez les certificats numériques et ajoutez le nouveau certificat.

Connexion au SIV : questions fréquentes  

Si vous ne parvenez pas à vous connecter au SIV, peut-être rencontrez-vous un problème lié à un conflit de certificats numériques : en effet, une fois la date de péremption d’un certificat dépassée, et seulement à ce moment, vous devez supprimer ce certificat de votre ordinateur et du SIV. Nous vous recommandons en outre d’effacer l’état SSL de la mémoire de votre navigateurVos problèmes de connexion au SIV pourraient également être dus à un défaut d’activation de votre compte d’habilitation par la préfecture ou à un certificat périmé. Dans tous les cas, vous disposez du formulaire de contact de l’ANTS pour poser vos questions et obtenir de l’aide sur ces sujets.

[1] « Certificat numérique », Agence nationale des titres sécurisés, 12/07/2011. URL : https://habilitation-siv.interieur.gouv.fr/apd-map-ppl/images/Quel%20choix%20pour%20le%20certificat%20APD%20-%20061108.pdf

Mettre en place une signature électronique, c’est garantir l’identité du signataire d’un document numérique ainsi que l’intégrité du document signé. Au même titre que la signature manuscrite, la signature électronique est une preuve valable devant tout tribunal, français ou européen (Article 25.1 du Règlement (UE) n° 910/2014 (« eIDAS »)). Lorsqu’elle possède le plus haut degré de sécurité et qu’elle est validée par une Autorité de Certification comme Certigna, la signature digitale a de plus la même valeur juridique que la signature manuscrite, c’est-à-dire la même valeur probante en cas de litige.

Les avantages de la signature électronique

Outre sa valeur légale, l’e-signature possède bien sûr de nombreux avantages business : réduction des coûts, hausse du taux de conversion, ou encore optimisation de l’expérience utilisateur. Mettre en place une signature électronique apporte également à votre entreprise ou service une amélioration notable du workflow de signatures, avec à la clé l’accélération des délais, la fluidification des échanges, et une fiabilité accrue de l’ensemble du processus de contractualisation.

Créer une signature électronique représente donc pour une entreprise un enjeu majeur de sa transformation digitale, d’autant que tous types de documents peuvent être signés numériquement : contrat de travail, bail, devis, compromis de vente immobilier, passation de marchés publics, etc.

Avant de mettre en place une signature électronique, chaque entreprise doit mener une réflexion poussée sur ses besoins, la fréquence de son usage, et le niveau de sécurité attendu. Les réponses précises à ces interrogations permettront ainsi d’opter pour le type de signature électronique le plus adapté. A chaque usage, sa signature électronique. 

Pourquoi mettre en place une signature électronique ?

Selon la loi française, créer une signature numérique doit permettre à une entreprise de répondre a minima à deux objectifs essentiels (article 1366 du Code Civil) : être en mesure d’identifier formellement le signataire d’un document numérique et garantir l’intégrité de ce document, dont les données doivent être exemptes de toute altération ou modification. 

En France, comme dans le reste des États membres de l’Union européenne, le cadre juridique de la signature électronique est défini par le Règlement eIDAS (electronic Identification, Authentification and trust Services) du 23 juillet 2014. La réglementation européenne distingue trois types de signature électronique, auxquels correspondent trois niveaux de sécurité quant à la validation de l’identité du signataire :

• la signature électronique dite simple :
  Émise sans certificat personnel, elle lie deux ensembles de données électroniques et peut se retrouver sous plusieurs formes, telles que case à cocher, signature scannée, ou signature sur la borne d’un livreur. Elle est utilisée pour des actes courants, aux risques juridiques et financiers peu élevés (contrat d’adhésion, mandat de prélèvement SEPA, facture, etc.).
• la signature électronique avancée :
  Plus sécuritaire, elle nécessite la création et l’utilisation d’un certificat numérique et répond à des exigences accrues en matière d’identification du signataire. Cette signature peut s’appuyer éventuellement sur un certificat dit « qualifié » au sens du règlement eIDAS. C’est le cas notamment pour la signature de données sensibles liées à des transactions financières ou à des enjeux juridiques importants (souscription de contrat d’assurance-vie, contrat de crédit immobilier, par exemple).
• la signature électronique qualifiée :
  Elle constitue le plus haut degré de fiabilité en matière de signature numérique et présente des critères similaires à ceux de la signature électronique avancée, à la différence que le certificat électronique utilisé pour la signature doit impérativement être qualifié au sens du règlement d’eIDAS, tout comme le dispositif qui est utilisé pour stocker ce certificat. Ce type de signature possède une valeur juridique identique à celle d’une signature manuscrite. Particulièrement contraignante, son utilisation se limite à des cas où elle est imposée par la loi ou lorsque les risques business sont étendus (actes authentiques de notaires, d’avocats, passation de marchés publics, risque d’action collective, etc.).

En complément du règlement eIDAS, les Autorités de Certification Française comme CERTIGNA, respectent également le référentiel général de sécurité (RGS) afin de délivrer des certificats de signature conformes à l’un des trois niveaux de qualité suivants : élémentaire (RGS*), standard (RGS**) ou renforcé (RGS***). Cette conformité permet la reconnaissance et l’utilisation des certificats au niveau des services dématérialisés des autorités administratives françaises. 

Les étapes de la mise en place d’une signature électronique en entreprise

L’entreprise qui souhaite mettre en place une signature électronique doit analyser ses usages au regard du niveau de sécurité nécessaire en fonction des contraintes réglementaires ou des risques encourus, juridiques et financiers. De même, il vous appartient d’établir vos priorités : pour vous, la sécurité prime-t-elle sur l’expérience utilisateur ? Quelle solution envisager pour rester cohérent avec l’image et les valeurs véhiculées par mon l’entreprise ?

Pour faciliter la mise en place de votre signature électronique, nous vous proposons de préparer votre projet grâce aux quatre étapes suivantes. Elles vous aideront à définir précisément vos besoins.

• Etape 1 : Définir le périmètre du projet
  Quels sont les besoins de l’entreprise et les objectifs du projet ? 
  Le projet concerne-t-il un service ou l’entreprise dans son entier ? Quelle est la fréquence et quel est le volume de documents à signer ?
  Quel est le budget du projet ?
  L’entreprise dispose-t-elle de ressources internes suffisantes pour le mettre en place ?
  Le planning est-il cohérent ?
• Etape 2 : Analyser les parcours de signature de documents
  Quelle est la nature des documents à signer ?
  Quels sont les champs à remplir pour chaque type de documents ?
  Qui, en interne, est impliqué dans le processus de signature (définir le rôle de chacun) ?
  Quelle est la durée du parcours ?
  Quels sont les logiciels utilisés à chaque étape ?
• Etape 3 : Etablir un cahier des charges
  Après avoir défini vos objectifs et le périmètre du projet de mise en place de signature numérique, il vous faudra réaliser un cahier des charges qui sera transmis aux prestataires. La précision et l’exhaustivité de ce document sont primordiales pour la réussite de votre projet. Les prestataires ont en effet besoin de cerner votre demande au plus près afin de vous apporter la meilleure réponse possible, fonctionnelle et technique, et d’y associer une offre tarifaire détaillant leurs services.
  
  Votre cahier des charges devra notamment contenir :
  – une description détaillée du projet et de son contexte
  – les spécifications fonctionnelles, techniques et applicatives
  – les modalités de réalisation et de suivi du projet
  – les spécifications administratives et contractuelles
  – la forme souhaitée de la réponse du prestataire
  
  Vous devrez également définir les critères de sélection du prestataire ainsi que la méthodologie d’analyse des offres.
• Etape 4 : Choisir le prestataire pour accompagner la mise en place de la signature électronique
  Choisir un prestataire capable de vous accompagner tout au long de votre projet et qui fait preuve de flexibilité est essentiel. Le marché est constitué de nombreux éditeurs de solutions numériques proposant aussi bien des offres de signature électronique professionnelle, de signature de documents officiels, que de signature électronique de contrats. Comment alors s’y retrouver et faire le bon choix ? 
  
  Tout d’abord, les prestataires de services de confiance, dont Certigna fait partie, sont qualifiés en France par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) : les solutions qu’ils commercialisent sont donc conformes au Règlement eIDAS. Afin de pouvoir vous accompagner le plus largement possible dans la mise en place de vos signatures électroniques, les solutions proposées par Certigna respectent aussi le RGS. Au-delà de la simplicité d’utilisation, la plateforme de signature électronique Certigna offre un parcours de souscription complet, intégrant l’authentification des signataires, le type de signature correspondant à votre besoin, et l’archivage électronique des documents. Certificats hébergés sur le cloud ou sur clé Token, à usage unique ou multi-usages, brique API pour vos applications métiers… Certigna s’adapte à vos usages et optimise vos parcours de signature.

A compter du 17 Août 2020, Certigna ne pourra plus délivrer de certificat SSL (client et serveur) ayant une durée de validité supérieure à un an.

En effet, lors d’une réunion du CA/B Forum (consortium regroupant notamment les autorités de certification telle que Certigna, les éditeurs de logiciels de navigation Internet et de systèmes d’exploitation)  qui s’est déroulée en Février 2020, Apple a annoncé que son navigateur Safari n’acceptera plus les certificats émis après le 1er Septembre 2020 et ayant une durée de validité supérieure à 1 an.

Autrement dit, Les certificats émis à partir du 1^er Septembre 2020 et dont la période de validité est supérieure à 398 jours (1 an, et 1 mois couvrant un temps de renouvellement) ne seront pas acceptés par les produits Apple. 

Plusieurs fois proposée au vote par les éditeurs de navigateurs, cette directive avait été rejetée plusieurs fois par le CA/B Forum au cours des dernières années. Néanmoins Apple a pris une décision unilatérale pour son produit qui a été suivie par l’ensemble des éditeurs de logiciels de navigation Internet (Microsoft, Apple, Google, Mozilla).

Cette décision parait somme toute logique puisque les normes évoluent continuellement et la durée de vie des certificats a diminué de façon progressive ces dernières années afin d’en renforcer leur sécurité.

Pourquoi limiter la durée de validité d’un certificat SSL à 1 an ?

Réduire la durée de validité d’un certificat permet de le rendre plus sûr. En effet, exiger un renouvellement annuel d’un certificat SSL permet aux utilisateurs de certificats de profiter plus rapidement des mises à jour de sécurité liées à ces certificats.

Une durée plus courte de la clé privée du certificat SSL / TLS permet notamment de limiter les fraudes liées à compromission potentielle du certificat.

D’un point de vue sécurité, tous les professionnels se rejoignent sur le fait qu’une réduction de la durée de vie des certificats est une bonne chose.

Le difficulté principale se situe plus d’un point de vu opérationnel. Cette limitation de durée impliquant plus d’interventions sur les certificats, donc une plus grande complexité dans le maintien d’un inventaire à jour.

Quels impacts pour mes certificats SSL existants en cours de validité ?

Rassurez-vous, les principaux navigateurs du marché rejetteront uniquement les certificats valides plus de 398 jours et émis après septembre 2020. En clair : les certificats valides 2 ans émis avant le 1er septembre 2020 seront acceptés par les navigateurs web.

Vers une automatisation du cycle de vie des certificats numériques ?

Ce qui semble se dessiner parmi les acteurs du CA/B Forum tel que Certigna  et le fait de permettre une durée d’authentification identique à celle que l’on connait aujourd’hui (deux ans) tout en forçant les certificats à être remplacés plusieurs fois durant cette même période.

Ceci limiterait ainsi le besoin de passer par une procédure de réauthentification potentiellement lourde à chaque remplacement et cela permettrait notamment d’anticiper d’éventuelles nouvelles limitation de la durée de vie maximale des certificats.

En synthèse ce qu’il faut retenir

A Noter : la transmission des pièces justificatives permettant l’émission du certificat doit nous parvenir avant le 26 Août minuit. Rendez-vous vite sur notre site afin de passer commande

La cybersécurité est un sujet stratégique pour l’ensemble des entreprises et administrations qui déploient une énergie considérable pour mettre en œuvre des dispositifs afin de se protéger efficacement. Dans ce contexte, la cybersécurité revêt différents visages en fonction du sujet qu’elle aborde. Dans notre cas, nous allons nous concentrer sur les documents et échanges électroniques, en évoquant trois briques fondamentales qui sont le certificat numérique personnel, l’horodatage et le certificat SSL/TLS.

Le certificat numérique RGS ou eIDAS pour s’identifier sur le web de façon sécurisée

Ce certificat personnel est une réelle carte d’identité numérique universelle.  Ce certificat permet de signer éléctroniquement des documents et des contrats en attribuant à cette signature une valeur  légale.

L’horodatage qualifié pour garantir l’intégrité et la preuve d’antériorité d’un document

Pour un document numérique, l’horodatage qualifié permet d’apposer une date fiable sur un fichier. Il permet également de vérifier l’intégrité de ce fichier. Ainsi toute altération volontaire ou involontaire de ce fichier sera détectée.

Pour un document numérique, l’horodatage qualifié permet d’apposer une date fiable sur un fichier. Il permet également de vérifier l’intégrité de ce fichier. Ainsi toute altération volontaire ou involontaire de ce fichier sera détectée.

Cette notion de date certaine est importante dans le cadre de la signature de contrat, de la réception d’un pli sous forme électronique, de la certification des transactions bancaires ou de l’émission de factures.

Le certificat SSL/TLS normé pour authentifier un site et sécuriser les échanges avec ce site

Ce certificat permet à un site internet de passer de HTTP à HTTPS. Avec cette technologie, l’internaute peut vérifier l’authenticité du site et rendre confidentielles les données échangées avec le site, telles que des mots de passe ou des données bancaires.

En cliquant sur un lien situé dans la barre d’adresse (en général ce lien est un cadenas), l’internaute accède à des informations primordiales comme le nom du propriétaire du site, l’Autorité de Certification et les dates de validité du certificat.

Depuis quelques mois, les grands moteurs de recherche tels que Google privilégient le référencement des sites qui sont en HTTPS garantissant ainsi aux internautes une meilleure protection contre le phishing ou les sites frauduleux. Les trois technologies exposées ci-dessus sont à mettre en œuvre dans une démarche de sécurisation de vos documents et de vos échanges électroniques. Encouragés par les pouvoirs publics, voire rendus obligatoires dans certains cas, ces procédés vont continuer de se développer à grande échelle et ce, notamment grâce à l’émergence de nombreux nouveaux usages.

Une recommandation : faire l’acquisition de cers solutions auprès de Tiers de Confiance agréés au niveau français ou européen.

Pour en savoir plus sur les solutions Certigna, contactez-nous.