Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014

Signature électronique 3.0
Le futur est déjà présent
Petit-déjeuner débat
du 29 janvier 2014
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 1

Introduction
Contexte – Le déploiement
Enjeux – Les nouvelles formes de signature
Défi – La conformité
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
2

PLAN
1. Etat des lieux, par Dimitri
Mouton, Société Demaeter 
2. Choisir la bonne signature …
si c’est possible 
3. Déployer sans risque … sous
réserve de l’appréciation
souveraine des tribunaux 

1. Etat des lieux, Dimitri Mouton, Demaeter
1. Un beau fouillis…
2. Les fondamentaux
3. Les tendances

1.1 LE FOUILLIS…

PKI
Signature électronique
Authentification
Clef privée
Clef publique
Engagement
IGC
RSA
2048 bits
RGS
Certificat
AC
Classe 3+
2 étoiles
Présomption de fiabilité
Tablette
Signature sécurisée
Signature avancée
Certificat qualifié
Convention de preuve
Code PIN
Authentification forte
SMS
Usurpation d’identité
CRL
Horodatage
OCSP
X.509 V3
Autorité d’Enregistrement
PSCE
PSCO
RFC 3161
COFRAC
ANSSI
Politique de Signature Electronique
PAdES
PDF /A
XAdES
PKCS#7
PKCS#12
Loi du 13 mars 2000
Décret du 30 mars 2001
Règlement européen
CMS
Signature détachée
Applet java
Propre au signataire
Contrôle exclusif
SSCD
Révocation
SHA256
Délégation
Parapheur
A la volée
OTP
Intégrité
Non-répudiation
Garantie de provenance
Traçabilité
Prestataire qualifié
Force probante
Alice et Bob
6

Mais les usages sont là …

Marchés publics
Contrats B to B
Immatriculations
Déclarations sociales
Commerce en ligne
Contrats grand public en agence
Actes notariés
PV électroniques
Attestations de conformité
Diplômes
Actes - Contrôle de légalité
Délibérations
Hélios - Comptabilité publique
Déclarations de travaux
Réseaux et canalisations
Banque en ligne
Démarches administratives
Réseau Privé Virtuel des Avocats
Réseau Privé Virtuel de la Justice
Tribunal de Commerce électronique
Actes authentiques
Expertise comptableChronotachygraphe
Contrats de travail
Emargements
Feuille de soins électronique
Factures
Délégation de pouvoirs bancaires
Lettre recommandée électronique
Vote électronique
8

Les typologies…
Signature scannée
Signature manuscrite
sur tablette
« à la volée »
Avec ou
sans
accréditation
Avec ou sans
legal opinion
Avec ou
sans étoiles
9

Les composantes d’un service
dématérialisé
Dont la signature électronique
10

1.2 LES FONDAMENTAUX

La signature électronique :
Définition pratique
La signature électronique est une signature…
… Qui porte sur un document de nature électronique.
L’encre marque le papier  La cryptographie garantit un lien entre le signataire et le document

A quoi sert un certificat
• Le certificat est une « carte
d’identité » délivrée par une
« Autorité de Certification »
ou « Prestataire de Services
de Certification
Électronique »
• Il peut servir à :
– s’authentifier (contrôle d’accès)
– signer (signature électronique, cachet, horodatage)
– chiffrer (confidentialité)

La PKI
• PKI (Public Key Infrastructure), aussi appelée Infrastructure à clef publique (ICP) ou
Infrastructure de Gestion de Clefs (IGC) :
L’ensemble des moyens techniques et humains
mis en œuvre pour la délivrance de certificats
• Autorité de Certification (AC) : responsable de la PKI
– Édicte les règles (Politique de Certification)
– Est garante de leur respect
• Autorité d’Enregistrement (AE) : procède à l’enregistrement des porteurs
• Opérateur de Certification (OC) : exploite les machines
• Autorité de Révocation, Autorité de Validation : rôles complémentaires.
14

Le cycle de vie du certificat
15

• Calcul technique :
– Empreinte du document
– Scellement par la clef privée
• Ajout d’éléments complémentaires :
– Le certificat du signataire et la chaîne de certification correspondante
– Un jeton d’horodatage
– Une preuve de validité du certificat (LCR ou OCSP)
Cinématique de la signature

Cinématique de la vérification
• Calcul technique :
– Empreinte du document
– Epreinte initialement scellée
– Comparaison des deux valeurs

Validité du certificat
Le document a bien été signé par le porteur du certificat…
Mais qui est-ce ?
• Vérifier la validité technique du certificat.
– S’il est invalide  ALERTE !
• Examiner l’émetteur du certificat :
– Si je n’ai pas confiance en cette AC
 ALERTE !
– Si j’ai confiance en cette AC :
• Comparer la date de la signature aux dates de validité du certificat
• Vérifier la Liste des Certificats Révoqués
• Si tout est bon : le nom contenu dans le certificat est celui du signataire.
Mais ce signataire avait-il le droit de signer ?
Le document signé est-il correct sur la forme ? Sur le fond ?
 La vérification se poursuit sur le plan juridique !

Exemple : affichage de signature par
Adobe Reader

Les formats de signatures
• AdES = Advanced Electronic Signature
• 3 formats :
– PAdES = format PDF
– CAdES = format CMS / PKCS#7
– XAdES = format XML
• Le choix est à faire en fonction des contraintes du projet
• Tous permettent d’inclure les mêmes éléments :
20

Les « niveaux de certificats »
• Le niveau de sécurité offert par un certificat dépend :
– Des procédures d’enregistrement
– Du « support » du certificat (matériel / logiciel)
– Des engagements de l’Autorité de Certification
• Les niveaux du RGS répondent à des réalités juridiques :
* Enregistrement à distance
Support logiciel
« simple »
** Enregistrement en face à face
Support matériel
« sécurisée »
*** Enregistrement en face à face
Support matériel sécurisé
Certificat qualifié
« présumée fiable »
21

Les principes de la confiance
• La confiance est un sentiment de sécurité
• Elle doit s’accompagner de la prudence !
Chaîne de confiance faible : Chaîne de confiance forte :
22

1.3 LES TENDANCES

La signature électronique « autonome »
• Le signataire a acheté
son certificat auprès
d’une AC du marché
• Il dispose sur son poste
d’un outil de signature
électronique
• Il réalise ses signatures
sur son poste, de
manière autonome

La signature électronique par applet
• Le signataire a acheté
un certificat auprès
d’une AC du marché
• L’outil de signature est
inclus dans le service
appelé
• Le signataire réalise
ses signatures sur son
poste, dans le cadre du
service

La signature électronique à la volée
• Le signataire n’a pas
de certificat, ni d’outil
de signature
électronique
• Le serveur lui
présente le contrat et
il donne son accord

• Le serveur vérifie
l’identité du signataire
en lui envoyant un
défi par SMS

• Le serveur génère une
bi-clef de signature
• Il génère un certificat
au nom du signataire
• Il utilise la clef privée
pour signer le
document
• Puis il détruit la clef
privée

• Le document est
signé sur le serveur !
• A la prochaine
signature, un
nouveau certificat
sera généré

La « carte à puce virtuelle »
• Le signataire n’a pas
d’outil de signature
électronique
• Son certificat est
conservé sur le serveur
dans un espace
sécurisé (HSM)
• Le serveur lui présente
le contrat et il donne
son accord

• Le serveur vérifie
l’identité du
signataire en lui
envoyant un défi par
SMS

• Le document est
signé sur le serveur !
• A la prochaine
signature, le même
certificat sera utilisé

La signature sur tablette
• En agence, le client
visualise le contrat
• Il appose sa signature
manuscrite sur la tablette
• Une signature
électronique « à la
volée » est réalisée en
plus de la signature
manuscrite
33

Le cachet électronique
• Les documents sont
produits dans un processus
automatisé et envoyés au
serveur
• Le serveur dispose d’un
certificat, au nom de la
personne morale
• Le cachet électronique est
une « signature
électronique » de personne
morale
• Il peut être apposé
automatiquement
34

La tendance des tendances… la
« rematérialisation »
Prénom Nom
Adresse
Facture de prestations
De l’entreprise Tartempion
Valant justificatif de domicile
Prestations………………123 €
« Prénom Nom Adresse Tartempion 123€ »
35

Prénom Nom
Adresse
Facture de prestations
De l’entreprise Tartempion
Valant justificatif de domicile
Prestations………………123 €
Exploitation du code 2D-DOC
« Prénom Nom Adresse Tartempion 123€ »
Vérification technique
Vérification
visuelle
36

2. Quelle signature électronique choisir ?
1. Le droit de la « démat »
2. L’absence de choix
3. Le choix

2.1 LE DROIT DE LA DEMATERIALISATION

Les prérequis : Le droit de la « démat »
Le papier sauf …Le droit à
l’électronique
Le papier sauf … L’obligation de
dématérialiser
Le droit à la
dématérialisation
Loi du 13 mars
2000
Avant 2000
Loi du 21 juin 2004
(LCEN) Loi du 4 août
2008 de
modernisation
de l’économie
Convention de
preuve
ad
probationem
L’Etat s’oblige a
recevoir les factures
dématérialisées
ad
validitatem
Ordonnance du 8
décembre 2005
(e-administration)
39

Oui mais … 3 hypothèses
Le prémâché
Ex : Bull. Paie ou DPI
L’imposé – Ex : LRe
Le « libre » … pour l’instant
40Copyright Lexing 2014 ® Confidentiel Entreprise29/01/2014

Et même si c’est possible…
« Il n’y a pas que 1316-4 dans la vie … »
« Attendu que l'employeur fait grief à l'arrêt de dire le licenciement sans cause réelle et sérieuse,
alors, selon le moyen, que si une partie conteste l'authenticité d'un courrier électronique, il appartient
au juge de vérifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil à la validité de
l'écrit ou de la signature électroniques sont satisfaites ;
qu'en affirmant que le gérant de la société AGL finances « est bien l'auteur et l'expéditeur » d'un
courrier électronique dont l'authenticité était contestée, aux motifs que l'employeur « ne rapport (ait)
pas la preuve que l'adresse de l'expéditeur mentionnée sur le courriel soit erronée ou que la boîte
d'expédition de la messagerie de l'entreprise ait été détournée » et qu'« en tout état de cause, un tel
détournement ne pourrait être imputé à Mme X... », sans vérifier, comme elle y était tenue, si ledit
courriel avait été établi et conservé dans des conditions de nature à en garantir l'intégrité et s'il
comportait une signature électronique résultant de l'usage d'un procédé fiable d'identification, la cour
d'appel a privé sa décision de base légale au regard des articles 287 du code de procédure civile,
1316-1 et 1316-4 du code civil ;
Mais attendu que les dispositions invoquées par le moyen ne sont pas applicables au courrier
électronique produit pour faire la preuve d'un fait, dont l'existence peut être établie par tous moyens de
preuve, lesquels sont appréciés souverainement par les juges du fond ; que le moyen n'est pas
fondé »
Cass Soc 25 sept 2013

Mais rappelons d’emblée que …
• Preuve d’un droit ou preuve d’un fait ?
• Preuve libre ou preuve contrainte
– La preuve contrainte = civile
– La preuve libre … +- tout le reste
• Pénal, administratif, prud'homal
42

La question est donc …
1. En ai-je besoin ? (gestion investissement)
2. Qui peut le plus peut le moins… (gestion de risque)

2.2 L’ABSENCE DE CHOIX …

Un exemple de « non discussion »
Pour que les procédés de signature électronique mis à la
disposition des magistrats, des agents du greffe et des
personnes habilitées en vertu de l'article R. 123-14 du code de
l'organisation judiciaire soient présumés fiables au sens
de l'article 2 du décret du 30 mars 2001 susvisé, ils doivent
respecter les exigences du référentiel général de sécurité du
niveau trois étoiles (***). En outre, la signature doit être
sécurisée et être créée par un dispositif sécurisé certifié dans
les conditions prévues à l'article 3 du décret précité.
La procédure d'inscription et d'enregistrement des données
d'identification et d'habilitation de ces personnes est à l'initiative
et sous la responsabilité du ministère de la justice.
Arrêté du 18 octobre 2013 relatif à la signature électronique des décisions de justice rendues en
matière civile par la Cour de cassation

Un autre exemple… moins « violent » 
« Les actes des autorités administratives peuvent faire l'objet d'une signature
électronique. Celle-ci n'est valablement apposée que par l'usage d'un procédé,
conforme aux règles du référentiel général de sécurité mentionné au I de
l'article 9, qui permette l'identification du signataire, garantisse le lien de la
signature avec l'acte auquel elle s'attache et assure l'intégrité de cet acte. »
Ord. 2005-1516 du 8-12-2005 relative aux échanges électroniques entre les usagers et
les autorités administratives (Art 8)
« Les certificats électroniques délivrés aux autorités administratives et à leurs agents en
vue d'assurer leur identification dans le cadre d'un système d'information font l'objet d'une
validation par l'Etat dans des conditions précisées par décret. »

2.3 L’HEURE DU CHOIX !

Une réalité … complexe
• 4 concepts juridiques (Décret du 30 mars 2001)
– Simple
– Sécurisée + Numérique
– Présumée fiable
• des approches géographiques :
– Avancée (Dir 1999/93/CE du 13 décembre 1999) Sécurisée (Décret du
30 mars 2001)
– Digital signature / Electronic signature
• 3 réalités techniques au moins :
– RGS : une étoile (*)
– RGS : deux étoiles (**)
– RGS : trois étoiles (***)
3 DEGRÉS DE FIABILITÉ
=
3 SIGNATURES
48

Lorsque le choix est possible …
Clic
Signature électronique sécurisée
Signature numérique
Signature électronique présumée fiable

La méthode… de base
Création de la
preuve
• Un signataire / des signataires
• Un document / une succession de documents
• Mono canal / Multicanal
• Eloignement géographique
Administration
de la preuve
• Produire d’urgence (référé)
• Produire dans des conditions particulières (pénal ; entités de contrôle)
Gestion de la
contestation
• La SE présumée fiable – Risque fort de remise en cause de la preuve
• Montant important et risque de sclérose du dossier
• Le montant n’est pas l’élément déterminant (risque fort de remise en cause de contrat en
masse de faible montant)
• Attention aux faux espoirs - Expertise technique en perspective
50

Le choix d’une solution c’est aussi le choix
… d’un prestataire
Pré-requis
juridiques
Engagements
contractuels
Dispositions
légales cf LCEN
secteur
public/privé
51

Le choix d’une solution c’est aussi le choix..
d’un prestataire
Décision
Pré-requis
juridiques
&
techniques
Engagements
contractuels
Maintien de
normes et
certifications
Couverture
assurantielle
52

3. Sécurisation juridique
1. La pierre angulaire
2. Sécurisation amont
3. Sécurisation en aval

3.1 LA PIERRE ANGULAIRE :
LA CONVENTION DE PREUVE
54

Approche légale
« Lorsque la loi n'a pas fixé d'autres principes, et à
défaut de convention valable entre les parties,
le juge règle les conflits de preuve littérale en
déterminant par tous moyens le titre le plus
vraisemblable, quel qu'en soit le support. »
C. civ. art 1316-2
55

Gradation des « pouvoirs »
Loi
Convention
Juge
56

Notion de « validité »
Fond
Opposabilité
Accès
B to C
B to B
A to C
57

Une vraie organisation …
Convention de preuve
Politique de
traçabilité
Politique
d’horodatage
Politique de
sécurité
Politique de
certification
Politique
d’archivage
Politique
XXX
58

Une autre question ...
Clause ? Contrat ?
59

Organisation d’une convention de preuve
Préambule
Article 1 Définitions
Article 2 Portée - Opposabilité
Article 3 Durée – Prescription
Article 4 – Objet
Article 5 – Champ d’application
Article 6 - Identification
Article 7 - Authentification
Article 8 - Intégrité
Article 9 – Pérennité
Article 10 – Conservation
Article 11 - Horodatage
Article 12 – Traçabilité
Article 13 – Signature
Article 14 – Responsabilité
Article 15 …
60

La convention de preuve ne suffit pas, il faut
organiser la preuve et l’accès à la preuve
Dossier de
preuve
Chemin de
preuve
Convention de
preuve
Vision mise
en situation
Justification
technique
Socle
juridique Fondement
Organisation
de la preuve
Accès à la
preuve
61

3.2 LE BUILD JURIDIQUE
(SÉCURISATION AMONT)
62

Etude de
faisabilité
(possible ou non)
Etude d’impact
juridique
(Go no GO)
Socle juridique
(Secteur public –
Administration
électronique)
Audit juridique de
conformité
(legal opinion)
Politique de
gestion des
documents
électroniques
Conditions
d’accès plate-
forme
(on line)
Information du
personnel
Cnil
Assurances
63

Un risque de « bug juridique »
Ne pas confondre…
Convention de
preuve
Convention de
dématérialisation
64

3.3 LE RUN JURIDIQUE
(SÉCURISATION EN AVAL)
65

Délégation de
signature
électronique
Conditions
d’utilisation du
parapheur
électronique
Charte du SI
(adaptation)
Audit interne
(piste d’audit fiable)
Gouvernance
prestataire
Audit
prestataires
Veille juridique
Cellule droit
d’accès
Gestion de crise
66

4. MAIS EST-CE SUFFISANT ?
67

Les fonctions de sécurité de la
dématérialisation
Signature
électronique
Gestion
d’identités
Certificats
Confidentialité
Archivage
Traçabilité
Horodatage
68

La sécurité : le rôle de chacun
• Les concepteurs d’applications doivent prendre en compte la sécurité…
• Mais une vision globale s’impose !
• Une implication et une attitude responsable de chacun des intervenants est
indispensable à l’efficacité des mesures de sécurité techniques et juridiques.
69

Pour en savoir plus …
70

Prochain petit-déjeuner débat
Elus locaux:
Comment protéger votre e-réputation
et le nom de votre collectivité
12 février 2014
animé par:
Virginie Bensoussan-Brulé & Claudine Salomon
71

Informations
Crédits Photos et illustrations
Networking©Scott Maxwell-Fotolia.com informatique data room réunion
binary stream©Mike Kiev-Fotolia.com
Emblème France©illustrez-vous-Fotolia.com
Road to Success - Up Arrow©iQoncept-Fotolia.com
Businessman entering the labyrinth©Scanrail-Fotolia.com
Dessins tirés de Sécurité de la dématérialisation © Stéphane Torossian – http://graphiste-free-lance-sato.jimdo.com
Lexing est une marque déposée par Alain Bensoussan Selas
Demaeter est une marque déposée par Demaeter Sarl
Me Eric Barbry
Directeur du Pôle Droit du numérique
Tel 06 13 28 91 28
eric-barbry@alain-bensoussan.com
Me Polyanna Bigle
Directeur du Département SSI & Dématérialisation
Tel 06 42 32 16 09
polyanna-bigle@alain-bensoussan.com
M. Dimitri Mouton – Demaeter
Consultant expert en dématérialisation & sécurité
Tel 06 59 10 99 37
dimitri.mouton@demaeter.fr – www.demaeter.fr

Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (18)

Similar to Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014

Similar to Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014 (20)

More from Market Engel SAS

More from Market Engel SAS (20)

Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014