L’ESSENTIEL DE L’ÉCONOMIE NUMÉRIQUERégion Alsace

Explorez le réseau des CCI

Signature électronique

Signature électronique
Egalement  appelée signature numérique, la signature électronique est un procédé qui permet de garantir l’intégrité d'un document envoyé ainsi que l’identité de son signataire (dans le cadre de la Directive européenne du 1999).

 

Comment ça marche?
Chaque utilisateur de la signature électronique dispose d’une bi-clé, c’est-à-dire une clé privée qui restera toujours secrète ainsi qu'une clé publique, qui peut être divulguée avec différents renseignements. C’est ce que l’on appelle un certificat de signature électronique.
Clé privée et clé publique sont les clés de chiffrement. Au final, la signature électronique est le résultat du traitement d’un message ou d’un document par des techniques de chiffrement.
“Pour signer un document on commence par en prendre une empreinte numérique. On chiffre ensuite cette empreinte au moyen de la clé privée. Le résultat de ce chiffrement correspond véritablement à la signature numérique du document. Ce dernier est ensuite transmis au(x) destinataire(s), accompagné de sa signature et du certificat électronique correspondant. La clé publique transmise dans le certificat permet de déchiffrer la signature numérique et donc retrouver l’empreinte originale du document. On compare cette dernière avec une empreinte que l’on prend du document reçu. Si les deux sont identiques, le document transmis est authentique et émane bien du possesseur de la clé publique, comme défini dans le certificat électronique".(Source Démataterialisation et Archivage électronique. JM Rietsch).
 
Certificat électronique
C’est  la pièce d’identité électronique qui permet :
  • d'authentifier les échanges
  • de garantir de manière fiable l’origine des documents et informations
  • de garantir l’intégrité des informations et documents transmis
  • d'assurer la non répudiation
  • de garantir la confidentialité
Ce certificat électronique est une véritable carte d’identité contenant une série d’informations :
  • Nom de son propriétaire (la personne qui détient la clé privée)
  • Clé publique
  • Adresse e-mail
  • Date d’expiration du certificat
  • Numéro de série du certificat
  • Nom et la signature de l’autorité qui a délivré le certificat
 
Exemple de certificats
  • Serveur (garantit l’identité du serveur et le chiffrement des flux)
  • Horodatage (garantit une heure certaine)
  • Signature de personne (contrats, marchés publics…..)
  • Signature d’organisation (factures,…)
  • D’authentification (différence avec identification) (accès au système sécurisé)
  • De chiffrement
 
Autorité de certification
C’est un tiers de confiance reconnu par l’Etat, habilité à délivrer les certificats de signature électronique, de leur assigner une date de validité et de garantir l’identité de son propriétaire. Elle doit également mettre à disposition de l’organisme/ entité/ personne la possibilité de révoquer les certificats en cas de compromission ou de perte de la clé privée ou en cas de modifications des données contenues dans le certificat.
Parmi les autorités de certification on peut citer les banques, CCI, infogreffe.
C’est l’Autorité de certification qui garantit la validité des éléments contenus dans le certificat.
 
Différents types de certificats
Dans les années 2000 il existait 4 classes de certificats
Classe 1 : l'Autorité d'enregistrement vérifie uniquement l'adresse mail du porteur du certificat délivré.
Classe 2 : le porteur indique son identité à l'Autorité d'enregistrement par l'envoi d'une copie de pièces justificatives de son identité.
Classe 3 : Classe 2 + contrôle d’identité en face à face.
Classe 3+ : même vérification que pour la classe 3 mais avec un certificat embarqué sur support physique
 
Aujourd’hui, ces classes sont amenées  à disparaître, laissant place à la classification par étoile prévue par le RGS, Référentiel Général de Sécurité.
Le RGS traite de l’ensemble des thématiques et des composantes qui régissent la sécurité des systèmes d’information et des échanges électroniques.
C’est un texte réglementaire permettant la prise en compte de la sécurité dans l’administration électronique. Il est d’application obligatoire pour les entités concernées : les autorités administratives et peut être considéré comme un recueil de bonnes pratiques pour tous les autres organismes.
 
Classification des certificats RGS
Certificats 1 étoile utilisés par des applications pour lesquelles les risques de tentatives d'usurpation d'identité afin de pouvoir signer indûment des données existent mais sont moyens.
Certificats 2 étoiles utilisés par des applications pour lesquelles les risques de tentative d'usurpation d'identité afin de pouvoir signer indûment des données sont forts.
Certificats 3 étoiles utilisés par des applications pour lesquelles les risques de tentatives d'usurpation d'identité afin de pouvoir signer indûment des données sont très forts .
 
Avantages de la signature électronique
  • On ne peut pas la falsifier
  • Elle permet d’identifier l’auteur du message/document
  • Elle est irrévocable : celui qui signe ne peut pas le nier
  • Il n’est pas possible, une fois signé, de modifier le document. La signature le rend inaltérable.
  • La signature est non réutilisable. Elle appartient uniquement au document sur lequel elle est apposée. Il n’est pas possible de la déplacer sur un autre document
 
Valeur juridique d’un document signé électroniquement
L'apposition de la signature électronique sur les documents numériques permet de  leur donner une vraie valeur juridique, ainsi, ces documents ont la même valeur que les documents papiers avec une signature manuscrite et ils peuvent être admis en tant que preuve en cas de litige. A condition que la signature respecte 3 conditions :
  1. Il faut utiliser une signature électronique avancée, répondant à un certain nombre d’exigences, prévue par la loi : elle doit être propre au signataire, permettre d'identifier le signataire, être créée par des moyens que le signataire puisse garder sous son contrôle exclusif, être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure de l'acte soit détectable.
  2. Un certificat qualifié selon le RGS
  3. Un dispositif sécurisé de création de la signature, certifié par un organisme accrédité (tiers de confiance) qui doit répondre à un certain nombre d’exigences posées  par la loi, à savoir : « garantir la confidentialité des données, les protéger contre toute falsification, n’entraîner aucune altération du contenu de l’acte à signé ... ».
 
Quelques usages
usages-signature-electronique.png
 
Pour en savoir plus
Memento sur la signature électronique réalisé par l’Agence Nationale de la Sécurité des Systemes d’Information http://www.ssi.gouv.fr/IMG/pdf/signature-memento-v0-94.pdf
ChamberSign Region Alsace http://www.chambersign.fr/fr/bureaux-enregistrement/Alsace
RGS http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/