certeurope_rss_focus

Pas de contrat en ligne sans sécurité

Fri, 20 Jan 2012 00:00:00 GMT

A l’heure de la dématérialisation tous azimuts, force est de constater que, pour nombre d’entreprises, la contractualisation en ligne est un axe important. Ainsi, dans de nombreux secteurs à l’image du voyage, du e-commerce et plus généralement des services, de nombreuses initiatives dématérialisées sont initiées. Cela s’explique principalement par le développement des stratégies de commercialisation multicanale des entreprises. Ce phénomène en très forte augmentation est une tendance de fond et se multiplie à une vitesse exponentielle. En ce sens, la contractualisation en ligne est un véritable succès.

Pour autant, cette dernière doit être encadrée par une démarche industrielle cohérente. Cela concerne de nombreux aspects : réglementaires, bonnes pratiques, technologies, etc. A titre d’exemple, pour une vente dépassant les 1 500 euros à destination du grand public, il est nécessaire d’établir un contrat. Dans les faits, peu d’entreprises mettent en place cette mesure… Autre élément, sécuriser le processus. Une fois encore, la nature transactionnelle des opérations peut engendrer des risques (usurpations d’identité, modifications des conditions particulières et/ou générales…). La sécurité est donc un axe clé des actes de contractualisation en ligne. Il convient alors de mettre en place un système garantissant une parfaite sécurisation de la démarche. Dans ce contexte, il est évident que les systèmes traditionnels, les couples login/mots de passe, etc. ne sont pas adaptés à ce type de dispositif.

La réponse la plus adaptée passe par la signature en ligne et l’utilisation de certificats électroniques. Ce procédé a pour avantage de garantir une sécurité de premier plan et de ne pas être compliqué à utiliser côté utilisateur. Ainsi, nombre de sociétés ont d’ores et déjà déployé ce type de dispositif (notamment dans le monde de l’assurance). En ce sens, des initiatives ont permis à différentes sociétés d’accélérer leur développement commercial, d’accéder à un nouvel avantage concurrentiel tout en instaurant un climat de confiance avec leurs clients. De plus, avec la contractualisation en ligne, aucune correspondance papier n’est alors nécessaire. Le dispositif apporte également de nombreux bénéfices comme la modernisation du processus de souscription et une forte réactivité dans le traitement des dossiers clients, qui n’ont plus alors à être ressaisis.

L’avantage est donc tangible pour le client et pour l’entreprise. Le client bénéficie de l’assurance qu’il pourra signer son contrat dans un cadre sécurisé. L’entreprise peut, de son côté, accélérer le processus de vente et garantir la souscription en temps réel. Cela contribue notamment à faire baisser le taux « d’abandon » de souscription de plus de 30 % par rapport à un processus « papier ». Cette donnée démontre la pertinence d’un tel processus et illustre le rôle que la sécurité peut jouer dans l’optimisation des performances commerciales. Nous sommes donc bien loin des arguments purement technologiques, mais plutôt dans une dynamique commerciale et tangible.

La contractualisation en ligne devrait continuer de se développer à grande échelle et de se vulgariser. Au-delà de cet élément, elle devrait largement contribuer à diffuser l’usage des certificats électroniques et de la signature électronique qui, rappelons-le, s’imposent comme indispensables. Une nouvelle fois, les certificats électroniques et, plus généralement, la dématérialisation sont donc un axe de productivité stratégique pour l’entreprise.

LESISS - Manifeste de sécurité dans le domaine de la Santé

Wed, 9 Nov 2011 00:00:00 GMT

Octobre 2011, LESISS (Les Entreprises des Systèmes d'Information Sanitaires et Sociaux), publie son manifeste pour une sécurité des systèmes d’information de Santé enfin efficiente. Le but de ce manifeste est de formuler une série de recommandations concrètes pour sortir d’une quinzaine d’années d’immobilisme feutré.

En matière de santé comme dans d’autres secteurs d’activité, le passage progressif au tout numérique ne va pas sans des réflexions autour des notions de sécurité et confidentialité des données.

En partant du constat que la France se situe sur la plus haute marche du podium européen en matière de dossiers médicaux papier, il parait indispensable de proposer des solutions pour remédier à cette situation.

Le Manifeste présente, ainsi, les 5 pistes de réflexions et d’actions suivantes :

les TIC santé constituent un enjeu stratégique aux plans économique et social
leur appropriation par les utilisateurs suppose un espace de confiance adapté aux besoins réels des acteurs de terrain
l’approche décrétale qui entretient l’immobilisme doit céder le pas à la concertation
en matière de sécurité les facteurs de risques sont plus souvent humains que techniques
une approche volontariste doit conduire à dégager les moyens appropriés pour réconcilier promesses et résultats

Les Tiers de Confiance tel CertEurope ont leur rôle à jouer et offrent la réponse à certaines problématiques soulevées par ce manifeste.

En effet, le document met en avant les enjeux suivants :

Assurer la sécurité des patients : accessibilité et qualité des soins, confidentialité des données ;
Permettre aux professionnels de santé l’exercice de leur métier dans les meilleures conditions, entre autres s’agissant de protection en matière de responsabilité juridique ;
Garantir l’interopérabilité, le respect des normes ainsi que le choix de standards internationalement reconnus et utilisés avec succès dans d’autres domaines d’activités sensibles (par exemple banque, assurance, aéronautique…) ; à ce sujet la nécessaire harmonisation ne pourra faire l’économie d’une mise à niveau de solutions propriétaires qui ne satisferaient pas ces exigences basiques ;

… autant de points pour lesquels l’utilisation des certificats électroniques et de solutions globales de dématérialisation peuvent apporter une solution légale et sécuritaire.

Consultez le Manifeste sur : http://www.lesiss.org/offres/file_inline_src/445/445_P_22063_2.pdf

LESISS – (Les Entreprises des Systèmes d'Information Sanitaires et Sociaux www.lesiss.org) a été créée en 2005 par une vingtaine de chefs d’entreprises, et fédère aujourd’hui plus de 120 adhérents. LESISS regroupe ainsi la plupart des industries des technologies d'information de santé et pour l’aide à la personne (Homecare). Grands acteurs internationaux et PME expérimentées s’y côtoient afin d’élaborer, en concertation avec la Puissance publique et ses opérateurs, ainsi qu’avec les représentants de professionnels de santé et les Associations de patients, les outils qui vont permettre une disponibilité plus équitable du système de santé pour tous nos concitoyens. Ces outils, qui s’articulent autour des technologies de l’information et de la communication, visent à faciliter la réduction de la fracture sanitaire, en constituant une composante essentielle pour l’émergence d’une filière industrielle exportatrice.

La mort annoncée du couple « Login/Mot de passe »

Fri, 23 Sep 2011 00:00:00 GMT

Incontestablement, l’usage d’Internet dans un contexte professionnel et personnel ne cesse de se développer. En effet, vecteur de communication du quotidien, le web est massivement utilisé pour répondre à bien des usages : communication, processus transactionnels, commodités, services aux citoyens, gestion de ses comptes en ligne… Autant de champs d’applications qui imposent de garantir une parfaite sécurité.

A ce jour, dans la majorité des cas, force est de constater que le traditionnel couple « Login/Mot de passe » continue de s’imposer comme le mode d’authentification proposé. Mais est-ce si efficace pour se prémunir de toute usurpation d’identité ? Pas si sûr…

Les exemples ne manquent pas et font couler beaucoup d’encre dans les médias qui mettent régulièrement en lumière de nombreuses affaires liées à la sécurité informatique et plus particulièrement aux vols de données ou, plus généralement, à l’usurpation d’identité. Administrations, professionnels, sites marchands et particuliers doivent donc être particulièrement vigilants. Au-delà de ces éléments, l’industrie IT doit également se mobiliser pour proposer des alternatives et de nouveaux moyens pour garantir une sécurité de premier plan. Au niveau réglementaire, le législateur a également clairement montré son intention de durcir le ton sur le thème de l'usurpation d'identité avec l'adoption de la loi LOPPSI2.

Ainsi, l’on assiste progressivement à une évolution des mentalités et à une prise de conscience de l’ensemble du marché. N’oublions pas que la confiance est à la base du développement des activités réalisées sur Internet. Il est donc indispensable de la repositionner au centre du débat afin que cette dernière ne vienne pas entraver le formidable élan que connaît le web. Il est donc fondamental de proposer de nouveaux modes d’authentification simples et adaptés aux usages d’aujourd’hui.

Pour répondre à ce besoin, l’approche qui consiste à s’authentifier via un certificat électronique semble se généraliser (banques, administrations, réponses aux marchés publics…). En effet, elle garantit une totale sécurité et permet de fiabiliser le processus d’authentification. Autre point jouant en sa faveur, le certificat électronique permet de signer électroniquement des documents. Il permet donc de conjuguer simplicité et performance.

Opter pour ce type d’approche permet également de garantir un accès unique à un service. Il n’est ainsi pas possible de partager un « Login/Mot de passe » avec différentes personnes. Cela permet notamment aux entreprises, qui proposent des services et abonnements en ligne, de s’assurer qu’un seul abonné accède à son contenu. Ce point est particulièrement important pour différents secteurs comme celui de médias qui orientent massivement leur nouveau modèle commercial sur le web : accès payant aux contenus en ligne… Enfin, au-delà de ces éléments, il est important de faciliter la vie numérique des internautes et de jouer la carte de la fédération d’identité sur un moyen d’authentification unique.

S’authentifier sur Internet est donc un processus stratégique qui devrait évoluer à court terme. Il est utile de proposer des moyens d’authentification accessibles à tous. C’est à cette unique condition que la confiance numérique pourra être restaurée et que les actions liées à la cybercriminalité pourront être endiguées.

Les 10 recommandations de CertEurope pour établir l'e-Confiance en 2011

Fri, 25 Feb 2011 00:00:00 GMT

Alors que les échanges Internet se développent de manière exponentielle, la sécurité de ces échanges est chaque jour mise à mal. Pour rétablir la confiance et favoriser les échanges entre entreprises, particuliers et organisations, CertEurope liste les 10 recommandations pour établir l’e-Confiance en 2011.

Paris, le 24 janvier 2010 - CertEurope, 1er opérateur de Services de e-Confiance™, a fêté en fin d’année 2010 ses 10 ans, et s’est livré à cette occasion à une réflexion sur les 10 recommandations à faire aux entreprises et aux institutions pour développer l’e-Confiance dans les années à venir, participant ainsi à la dématérialisation des échanges administratifs, commerciaux, citoyens, etc.

1. Protéger son identité numérique
Chaque année en France, plus de 210 000 personnes sont victimes d'une usurpation d'identité (source Credoc). L’usurpation d’identité est une menace pour les individus mais également pour les entreprises, dont la maîtrise de l’image et de la réputation est essentielle à leur survie, alors que les usages croissants des réseaux sociaux ont démultiplié ce risque.
Les solutions pour se prémunir existent: l’authentification forte constitue l’une des parades. Le secteur bancaire par exemple propose d’ores et déjà ce service aux clients entreprises, et sont aujourd’hui en réflexion, poussées par les recommandations de l’Etat, pour déployer ce même service vers les particuliers.

2. Sécuriser les échanges électroniques
76% des internautes opèrent leurs démarches administratives en ligne (TNS 2008), l’eCommerce est toujours en croissance, soit +26% selon la fédération du e-commerce et de la vente à distance (Fevad) cette année.
Pour favoriser le développement des échanges électroniques, avec tous les avantages que cela apporte, il faut pouvoir assurer la même fiabilité que les échanges traditionnels, en validant de façon certaine l’identité d’une personne ou d’une société et en garantissant l’intégrité des données échangées. Les technologies de signatures et de certificats électroniques répondent à cette problématique de manière fiable depuis maintenant 10 ans (loi du 13 mars 2000).
En outre, dans cette même logique, le gouvernement a récemment lancé le label IDéNum, qui vise à favoriser le déploiement pour le plus grand nombre, de solutions déjà éprouvées : les certificats électroniques, afin d’offrir aux internautes des accès plus sûrs aux différents services Internet.

3. Garantir la valeur probante des échanges

La signature électronique a la même valeur que la signature manuscrite. Un email signé électroniquement a valeur de preuve, ce qui peut s’avérer essentiel dans les échanges inter entreprises mais également entre les citoyens et l’administration par exemple.

La loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique. Cette loi a modifié les règles de preuves du Code civil. Dorénavant, l'article 1316-1 du Code civil reconnaît que "l'écrit sur support électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont l'écrit émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité". D'autre part, l'article 1316-4 du Code civil reconnaît que la signature électronique a la même valeur juridique que la signature manuscrite, sous réserve que le procédé de signature électronique soit fiable. L'article 1316-4 du Code civil prévoit également le principe d'une présomption légale de fiabilité du procédé de signature électronique; les conditions permettant de bénéficier de cette présomption étant détaillées dans le Décret n°2001-272 du 30 mars 2001.

4. Sécuriser l’accès aux applications en mode SAAS

De plus en plus nombreuses à adopter le mode « Service à la demande », les entreprises sont parvenues à optimiser les coûts, à accélérer les déploiements, à réaliser une meilleure répartition budgétaire et à renforcer la mobilité et le nomadisme, via des accès distants, à partir d’un simple navigateur ou de terminaux mobiles.

Mais les aspects de géo-localisation, de sécurité des échanges (authentification des accès ou archivage en regard des législations en vigueur), d’authentification unique (SSO), sont au cœur de l’informatique à la demande et constituent les facteurs clés de la dématérialisation des échanges dans des environnements applicatifs en Cloud.

5. En finir avec les Login et mots de passe

On ne compte plus le nombre de mots de passe et code d’accès qu’un individu doit retenir, tant pour ses usages privés que professionnels. Les entreprises ont ouvert leur périmètre et leur système d’information à de nombreux acteurs externes (partenaires, clients, fournisseurs), qui peuvent accéder aux systèmes via des login et mot de passe. Outre le fait qu’il devient difficile de mémoriser une moyenne de 10 mots de passe, la sécurité basée sur le login / mot de passe n’est plus adaptée aujourd’hui. En effet, nos ordinateurs ne sont pas à l’abri des programmes malveillants de type Keyloggers (enregistreur de frappe) capables de capter ce qu’un utilisateur saisi sur son clavier. Leur usage s’est largement multiplié et il n’est pas nécessaire d’être informaticien pour utiliser ce type de programme. On les trouve en effet prêt à l’emploi sur Internet !

La parade, une nouvelle fois, c’est le certificat électronique. Logiciel ou sur un support cryptographique, le certificat électronique garantit la sécurité des connections.

6. S’appuyer sur le certificat électronique
Le certificat électronique peut être adopté par tous aujourd’hui comme garantie d’une sécurité fiable des différents échanges Internet et email, et ce afin de se prémunir contre les risques d’usurpation,
de détournement et de malversation.

Plusieurs niveaux de sécurité peuvent être opérés avec le certificat, en fonction des exigences
de sécurité :
•   classe 1 : adresse électronique du demandeur requise
•   classe 2 : preuve de l'identité requise (photocopie de carte d'identité par exemple)
•   classe 3 : présentation physique du demandeur obligatoire
•   classe 3+ : identique à la classe 3, mais le certificat est stocké sur un support physique cryptographique (clé USB à puce, ou carte à puce et remis en main propre)

7. Favoriser l’horodatage des échanges

Tout comme il est possible de se fier au cachet de la poste pour dater un courrier, le cachet faisant foi, il est possible d’attester la date d’un document électronique. Les technologies d’horodatage permettent d’émettre un jeton, une sorte de tampon électronique, qui certifie la date du document,
et garantit son intégrité. L’horodatage est une garantie supplémentaire de non altérité d’un document.

La réponse aux appels d’offres publics en ligne est l’un des exemples illustrant les bénéfices de l’horodatage : il permettra ici d’attester qu’une entreprise à répondu à une date précise et les documents ainsi horodatés seront inaltérables.

8. Archiver, sécurité et conformité des échanges
Les entreprises dématérialisent de plus en plus, aussi ce sont de nombreux documents qu’il s’agit de conserver, d’archiver, parfois de manière probante. Pour cela, il est recommandé de s’appuyer sur un Tiers Archiveur, également Tiers de Confiance, et disposant des infrastructures sécurisées qui permettent de garantir l’intégrité des données déposées ainsi que leur haute disponibilité et leur restitution dans le temps.

9. Vers plus de simplification avec la dématérialisation des échanges

La dématérialisation favorise la croissance en simplifiant les échanges et en accélérant les processus.
C’est un fait acquis pour les entreprises, qui la placent d’ailleurs dans le top 3 de leurs priorités. Elle permet des réductions de coûts notable, l’exemple de la facture électronique parle de lui-même : une facture papier coute jusqu’à dix fois plus cher qu’une facture électronique.
En tant qu’individu, la dématérialisation est également un vecteur de gain de temps, de simplification de processus. En effet, elle est de plus en plus présente dans nos relations avec l’administration (impôts, amende, cantine, etc), avec les banques, et les e-services aux citoyens sont en fort développement.

10. S’appuyer sur un tiers de confiance

Un tiers de confiance est un organisme habilité à mettre en œuvre - notamment - des signatures électroniques reposant sur des architectures d'infrastructure à clés publiques ou PKI (Public Key Infrastructure).

Depuis 10 ans, CertEurope est Tiers de Confiance qualifié et a délivré plus de 500 000 certificats.