icona di ricerca
icona di ricerca
icona di ricerca

Auteur/autrice : Alina

Différentes signatures électroniques pour différents niveaux de confiance

SOMMAIRE
  • SOMMAIRE

Date de publication : 30.03.2023

Différentes signatures électroniques pour différents niveaux de confiance

Vous recherchez une solution de signature électronique pour pouvoir signer ou faire signer plusieurs documents par vos collaborateurs, clients ou fournisseurs ? Mais laquelle ? Saviez-vous qu’il existe trois différentes sortes de signature électronique ? Ce qui les différencie, c’est leur niveau de gestion des risques. Mais alors, quelle signature choisir selon quel contexte ? Et, en fait, qu’est-ce qu’une signature électronique ? On vous explique tout.

Définition

Définition

La signature électronique est un procédé technique qui permet de dématérialiser une signature tout en lui conférant une valeur légale. Elle permet d’apporter confiance et sécurité dans les échanges numériques.

Elle n’est pas à confondre avec une signature manuscrite scannée, qui ne constitue pas une preuve de consentement et ne peut donc pas remplacer la signature électronique.

Les avantages d’une signature électronique

Les avantages d’une signature électronique
signature électronique gosign

Dans le monde professionnel, la signature de documents est une tâche courante et contraignante, mais nécessaire. Mais quels sont les avantages de la signature électronique par rapport à la signature manuscrite ? Tout d’abord, elle est plus rapide et plus efficace. Avec la signature électronique, les signataires peuvent signer et envoyer en validation un document électronique en quelques clics, cela évite un long process, qui pourrait être le suivant :

  • Impression – signature manuelle – scan – envoi
  • Réimpression – deuxième signature – etc

Avec la signature électronique il est possible de signer des documents à distance et d’automatiser les workflows de signature, ce qui évite les déplacements physiques et permet un gain de temps considérable.

En outre, les documents signés électroniquement sont stockés de manière sécurisée et peuvent être archivés numériquement pendant des années, tout en ayant une valeur légale.

Malgré son utilisation historique, la signature manuscrite présente des contraintes importantes : elle engendre par exemple des délais de validation plus importants en fonction de la localisation des signataires. Nous allons justement vous en parler ci-dessous. 

Une signature simple pour les situations à risque faible

Une signature simple pour les situations à risque faible

La signature simple suffit pour des échanges avec peu de risques et les situations hors cadres réglementaires : il est impossible de l’utiliser en droit des sociétés par exemple. Le règlement eIDAS n’impose aucune réglementation sur ce format.

Elle peut être utilisée pour des contrats d’adhésion, de bail, des contrats de travail, des devis, des états des lieux (d’entrée et de sortie), des approbations internes…          

La signature électronique avancée : pour une sécurité (presque) parfaite

La signature électronique avancée : pour une sécurité (presque) parfaite

Une signature électronique avancée satisfait aux exigences réglementaires eIDAS, notamment :

  • Elle permet d’identifier le signataire et elle lui est liée de manière univoque
  • Elle a été créée à l’aide d’un dispositif cryptographique de signature sous son contrôle exclusif, de telle sorte que toute modification ultérieure des données soit détectable.

Pour effectuer une signature avancée, le signataire doit être authentifié à l’aide d’un moyen d’authentification à un facteur, comme par exemple un code OTP (one time password) par sms, une authentification biométrique sur téléphone, ou autre.

De plus, grâce à un contrôle d’intégrité, à un horodatage et un archivage à valeur probante, la signature électronique avancée offre une bien plus grande fiabilité que la signature simple.

Par exemple, l’archivage à valeur probante permet de conserver des documents signés sur le long terme, de manière fiable (garantie de l’authenticité dans le temps).

Les signatures électroniques utilisent des procédés cryptographiques, à base de certificats, qui, dans certains cas (perte, compromission, etc,), peuvent être révoqués afin de pouvoir faire la distinction entre des signatures valides et des signatures révoquées. Il est nécessaire d’horodater préalablement les signatures avec un horodatage fiable, qui attestera de l’antériorité de la signature, pour vérifier qu’elle ait bien été effectuée avec un certificat valide.

Bien que ce type de signature présente suffisamment de sécurité pour permettre de garantir la validité d’un acte, elle reste toujours soumise à l’appréciation du juge et pourra faire l’œuvre de contestations.

La signature avancée confère une valeur juridique et probante du document et peut être utilisée pour : les contrats de crédit, d’assurance vie, d’épargne, d’ouverture de compte bancaire, pour un compromis de vente…

La signature qualifiée : le plus haut niveau de sécurité

La signature qualifiée : le plus haut niveau de sécurité

Une signature électronique qualifiée a la même valeur juridique qu’une signature manuscrite.

Pour effectuer une signature électronique qualifiée, vous aurez besoin d’une clé RGS/eIDAS, aussi appelée certificat électronique qualifié sur support cryptographique, également qualifié, délivrée après d’une Autorité de Certification qualifiée, comme CertEurope.

Le certificat est délivré suite à une vérification de l’identité en face à face ou à un équivalent juridique : PVID qualifié, moyen d’identification élevé…. En effet, après activation, il pourra être utilisé grâce à un code d’activation à usage strictement personnel.

L’objectif de la signature qualifiée est d’empêcher l’utilisation abusive ou l’altération de l’identité. Cette signature n’est pas contestable et est reconnue juridiquement dans tous les états membres européens.

Les usages peuvent être variés : contrats de vente, accords de confidentialité etc.

La plateforme de signature

La plateforme de signature

Avec des certificats de signature, vous pourrez signer un grand nombre de formats : PDF, Word, Excel… Comment ? A l’aide d’une plateforme de signature, comme GoSign (disponible en version gratuite également) qui vous donne la possibilité non seulement de signer, mais également de créer des workflows de signatures, de suivre les validations, de gérer les relances etc. pour une signature simple, avancée ou qualifiée.

En savoir plus sur les certifications et qualifications de CertEurope, Autorité de Certification et prestataire de services de confiance qualifiée eIDAS -> ici

La plateforme de signature électronique GoSign

Faites le choix de la seule solution européenne leader du marché pour créer, signer et gérer des parcours de signature.

Selon le processus et le niveau de confiance requis, choisissez le niveau de signature adapté à votre besoin : signature simple, avancée ou qualifiée.

Demander une démo

La plateforme de signature électronique GoSign

Faites le choix de la seule solution européenne leader du marché pour créer, signer et gérer des parcours de signature.

Selon le processus et le niveau de confiance requis, choisissez le niveau de signature adapté à votre besoin : signature simple, avancée ou qualifiée.

Demander une démo

Les différents certificats SSL à connaître pour demander un niveau de certification adapté

SOMMAIRE
  • SOMMAIRE

Les différents certificats SSL à connaître pour demander un niveau de certification adapté

Certificat SSL : quel type de certificat choisir pour son entreprise ?

Certificat SSL : quel type de certificat choisir pour son entreprise ?

Une connexion web est sécurisée ou elle ne l’est pas. Les échanges de données sont cryptés ou ils ne le sont pas. Mais alors, pourquoi existe-t-il plusieurs types de certificats numériques ? En effet : pour activer le protocole SSL (désormais TLS) sur votre site web d’entreprise, vous devez obtenir un certificat SSL délivré par une Autorité de Certification (AC) comme CertEurope. Or, en fonction de vos besoins, le niveau de sécurisation de votre connexion ne sera pas le même. Quels sont les différents certificats accessibles et comment choisir le bon en vue d’afficher le fameux cadenas de sécurité dans votre adresse URL ?

Pourquoi proposer plusieurs certificats numériques ?

Pourquoi proposer plusieurs certificats numériques ?

L’activation d’un certificat SSL (ou d’un certificat TLS, puisqu’il s’agit de la même chose) garantit une connexion sécurisée entre l’internaute et votre site web, grâce à un système de chiffrement des données.

Mais, dans sa version de base, il ne fait « que » cela : chiffrer les informations échangées pour éviter toute interception par un tiers malveillant. Il ne donne aucune indication quant à l’identité du propriétaire, qui peut être lui-même malintentionné (dans le cas du « phishing », par exemple). Pour assurer un niveau de protection plus élevé, il faut installer un certificat SSL permettant d’authentifier l’entreprise qui possède et gère le site.

Pour cette raison, il existe plusieurs niveaux de certification. Donc plusieurs types de certificats SSL. Voyons quels sont les trois principaux.

Trois certificats SSL, trois niveaux de sécurité : OV, EV, DV

Trois certificats SSL, trois niveaux de sécurité : OV, EV, DV

Le certificat SSL à validation de domaine (DV)*

C’est le niveau de sécurisation basique. Pratique, si vous voulez simplement passer votre site web en HTTPS sans fournir trop d’informations à l’Autorité de Certification ni puiser trop abondamment dans votre trésorerie. Rien de plus simple : pour obtenir un certificat SSL DV (domain validation), il suffit d’être propriétaire du nom de domaine.

L’AC s’assure que vous donniez votre accord en vue de l’émission d’un certificat SSL en tant que titulaire du nom de domaine. Cela fonctionne comme la validation d’une adresse mail lors d’une inscription sur un site web : l’Autorité vous envoie un mail d’approbation, vous cliquez sur le lien, et le tour est joué.

Avec ce type de certificat SSL, le cadenas apparaît suite à l’activation du protocole HTTPS. Mais votre identité n’est pas vérifiée, ni affichée dans la barre d’adresse.

Le certificat SSL à validation d’organisation (OV)

Le certificat SSL OV (organization validation) propose un niveau de sécurité plus poussé, puisqu’il oblige le propriétaire du nom de domaine à être également celui de l’entreprise qui fait la demande. Car, non, ce n’est pas toujours le cas !

Prenez l’exemple de l’entreprise Lambda. Quelqu’un peut demander un certificat SSL DV afin de sécuriser la connexion sur le nom de domaine « lambda.fr », sans pour autant être le propriétaire de la société idoine. Dans le cadre d’une certification à validation d’organisation, l’AC va s’assurer que le propriétaire de l’entreprise est bien celui qui fait la demande, en le contactant directement par le biais des coordonnées trouvées sur les plateformes officielles (Infogreffe, Insee…). La vérification prend environ deux jours.

Une fois le protocole HTTPS activé, l’affichage dans votre barre d’adresse est identique à celui d’une certification à validation de domaine. À une différence près : l’internaute peut consulter votre raison sociale à l’intérieur du certificat SSL.

Le certificat SSL à validation étendue (EV)

Si vous cherchez le niveau de certification le plus élevé, c’est du côté du certificat SSL EV (extended validation) qu’il faut regarder.

Ici, l’AC ne se contente pas de prendre contact avec le demandeur pour vérifier qu’il est bien propriétaire de l’entreprise affiliée au nom de domaine. Elle effectue des vérifications poussées quant à l’existence légale de l’entité et l’exactitude des informations exigées (celles-ci pouvant varier en fonction de l’Autorité contactée). Ce type de certificat est principalement utilisé par les plateformes souhaitant sécuriser des transactions à partir de données bancaires, comme les sites e-commerce, les banques ou les administrations.

Ce certificat numérique se porte garant de la fiabilité de l’entreprise. La raison sociale (voire le nom commercial) de celle-ci, ainsi que son pays d’origine, apparaissent dans la barre d’adresse, en vert. Ces informations viennent s’ajouter au cadenas de sécurité et à la mention HTTPS.

*Pas fourni par CertEurope.

Définissez vos besoins pour faire le bon choix entre les certificats SSL OV, EV ou DV

Définissez vos besoins pour faire le bon choix entre les certificats SSL OV, EV ou DV

Ces trois types de certificats numériques permettent d’activer le HTTPS sur votre site. Mais chacun répond à des besoins différents.

D’un côté, il y a les entreprises qui veulent simplement assurer la sécurité des échanges à travers une certification basique (certificat SSL DV). De l’autre, celles qui souhaitent, en plus, prouver leur légitimité et créer un socle de confiance : deux objectifs qui ne sont accessibles qu’à travers un certificat SSL OV ou EV.

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Commander un certificat

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Commander un certificat

Tout savoir au sujet du contrat électronique

SOMMAIRE
  • SOMMAIRE

Tout savoir au sujet du contrat électronique

Businesswoman, work from home, handling documents, E-signing, signing digital contracts electronic signing electronic signature through internet technology document data management smart contract

Le guide pour dématérialiser vos contrats

Le guide pour dématérialiser vos contrats

Vous rédigez toujours vos contrats sur papier ? Il est temps de prendre le train de la modernité en marche et de dématérialiser entièrement vos pratiques contractuelles – avec, à la clé, de nombreux bénéfices.

Mais avant de vous lancer, il est essentiel de prendre connaissance des règles juridiques qui entourent ces pratiques nouvelles. Quelles sont les modalités qui régissent l’établissement d’un contrat électronique ? Et quels avantages pourrez-vous tirer de la dématérialisation de vos contrats ?

Comment fonctionne le contrat électronique ?

Comment fonctionne le contrat électronique ?

Naturellement, un contrat électronique est avant tout un contrat. Il est donc soumis aux mêmes modalités de fonctionnement que son équivalent papier. À ces règles viennent toutefois s’en ajouter de nouvelles, formant un cadre réglementaire dédié (issu de la « loi pour la confiance dans l’économie numérique » du 21 juin 2004, disponible ici). En voici les grandes lignes.

Les conditions de validité

Les conditions de validité

Tout contrat électronique doit respecter les conditions de validité d’un contrat papier, à savoir :

  • Le consentement des parties, qui doit être exempt de vices et donner lieu à une validation par le biais du « double clic ». Dans le cadre du RGPD, ce consentement doit aussi être explicite, éclairé et libre.
  • La capacité: seule peut contracter une personne en pleine capacité.
  • L’objet et la cause : la prestation indiquée dans le contrat électronique et les raisons qui poussent les parties à contracter doivent être légales et ne pas contrevenir à l’ordre public.

En matière de validité de l’acte, la loi de 2004 affirme l’équivalence entre le support papier et le support électronique pour tout ce qui touche à l’écrit dans le cadre d’une contractualisation électronique. Mais cela, à condition que la personne dont émane le contrat soit facilement identifiable, et que le document soit conservé dans de bonnes conditions (de manière à garantir son intégrité).

Les modalités de conclusion du contrat

Les modalités de conclusion du contrat

Votre contrat électronique doit également :

  • Énoncer les étapes à suivre pour le conclure ;
  • Indiquer les moyens de relever et de corriger les éventuelles erreurs ;
  • Être établi en langue française (en plus de tout autre idiome de votre choix) ;
  • Renvoyer aux règles professionnelles et commerciales auxquelles vous entendez vous soumettre via ce contrat (toujours par voie électronique) ;
  • Préciser les modalités de conservation et d’archivage du contrat, ainsi que les possibilités offertes aux contractants d’accéder à ce document par la suite ;
  • Être établi en deux exemplaires datés et signés, un pour chaque signataire.

La signature électronique pour valider un contrat dématérialisé

La signature électronique pour valider un contrat dématérialisé

Tout acte juridique, pour être validé, nécessite une signature. Pour vos documents dématérialisés, et notamment pour vos contrats, vous devez créer une signature électronique qui permette de vous identifier. Une fois apposée sur un contrat numérique, celle-ci manifeste votre consentement aux obligations qui découlent de l’acte en question – tout comme celui des autres signataires.

L’envoi du contrat électronique

L'envoi du contrat électronique

Qui dit contrat électronique, dit envoi dématérialisé. Quel serait l’intérêt d’établir un acte en ligne pour le transmettre par courrier postal ? La loi stipule donc que vous pouvez utiliser la voie électronique pour toute transaction contractuelle, et par exemple adresser un contrat à un client ou un partenaire par email dès lors qu’il vous a donné son accord – et communiqué son adresse électronique.

La particularité du contrat dématérialisé

La particularité du contrat dématérialisé

Terminons cette présentation avec l’une des spécificités les plus notables du contrat électronique : puisque celui-ci est établi sous forme numérique, sans modèle papier préexistant, toutes les copies créées deviennent des originaux !

Pourquoi passer au contrat électronique ?

Pourquoi passer au contrat électronique ?

Vous voyez, le contrat électronique, ce n’est pas si compliqué ! Et passer au tout-dématérialisé peut vous apporter quantité de bénéfices directs et indirects. Vous avez encore des doutes ? Bouclons ce guide du contrat numérique en vous présentant ses cinq atouts majeurs.
Une productivité accrue
C’est l’atout numéro un : plus vos équipes passent de temps à établir des contrats, à les vérifier, à les faire signer en interne, à faire la navette entre les différents services, puis à les transmettre aux destinataires avant de les numériser pour l’archivage (un comble !), moins elles en ont pour prendre en charge des tâches autrement plus essentielles. Un contrat papier demande une demi-heure de travail, à tout le moins. Un contrat électronique se crée, se signe et s’envoie en trois minutes.
Un processus accéléré
Combien de fois un contrat émis par vos soins est-il arrivé chez le destinataire après la date prévue pour son entrée en vigueur ? À l’heure de l’immédiateté permise par le web, c’est presque une faute morale. Opter pour le format électronique vous permet d’accélérer le processus de contractualisation pour passer de deux semaines (en moyenne) à quelques heures tout au plus.
Des échanges fiabilisés et sécurisés
Connaissez-vous le taux de perte d’un document électronique ? Il est égal à zéro. Dans le pire des cas, le mail n’a pas été reçu… Et il suffit de le renvoyer ! Le contrat numérique est donc la meilleure façon de garantir la fiabilité des échanges, à l’inverse du format papier qui n’est jamais sûr d’arriver. Mais aussi leur traçabilité (vous savez qui a fait quoi, et quand) et leur sécurité (vous définissez les règles d’accès aux documents en fonction des profils utilisateurs).
Un meilleur suivi du cycle de vie du contrat
Un retard de signature ? Une mention à corriger ? Avant, le temps nécessaire au traitement des petits soucis de contractualisation se comptait en jours (perdus). Aujourd’hui, avec le contrat électronique, le suivi du cycle de vie se fait en ligne, en toute simplicité et de façon instantanée : vous recevez alertes et notifications en cas de problème, et l’option de verrouillage du document vous permet d’éviter les ajouts de dernière seconde non désirés.
Des coûts de gestion réduits
Enfin, dernier atout majeur, et non des moindres : vous éliminez toute une série de frais inévitables dans le cadre d’une contractualisation papier. Pas d’impression, pas d’envoi postal, pas de transport, pas d’archivage physique – vous n’avez qu’à prendre en charge les coûts des logiciels et de la création d’une signature électronique, soit uniquement des dépenses ponctuelles. À la fin de l’année, vous pouvez faire le calcul des économies réalisées… Et vous féliciter de votre choix !
Alors, qu’attendez-vous pour passer au contrat électronique ?

Certification PVID : un référentiel rigoureux pour réduire les risques d’usurpation de l’identité numérique

SOMMAIRE
  • SOMMAIRE

Certification PVID : un référentiel rigoureux pour réduire les risques d’usurpation de l’identité numérique

Comment s’assurer de la fiabilité des services de vérification d’identité à distance ? La question se pose avec d’autant plus d’acuité que la crise sanitaire a accéléré la digitalisation des services et le recours à des services en ligne (publics ou privés) qui nécessitent le contrôle de l’identité numérique des personnes souhaitant y accéder. Pour répondre à ces enjeux sécuritaires, l’ANSSI s’est retroussé les manches pour élaborer un référentiel d’exigences permettant d’identifier les prestataires de vérification d’identité à distance (PVID) offrant un niveau de garantie « substantiel » ou « élevé ». Comment fonctionne ce référentiel ? Comment un prestataire peut-il obtenir cette certification ? Et quels sont ses usages ?

Certification PVID : un référentiel d’exigences pour les prestataires de services de vérification de l’identité numérique

PVID : un référentiel d’exigences pour les prestataires de services de vérification de l’identité numérique

Le PVID est un « visa de sécurité » qui prend la forme d’un référentiel d’exigences à remplir. Établi par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en mars 2021, il permet au grand public d’identifier les prestataires de services de vérification d’identité à distance qui présentent un niveau de garantie suffisant pour assurer la protection de l’identité numérique des utilisateurs. Donnant lieu à une certification, ce référentiel atteste que les prestataires en question ont mis en œuvre les mesures visant à réduire les risques de fraude.

Quels risques ? Parce que le processus de vérification d’identité est identique à distance comme en face-à-face, il présente a priori les mêmes vulnérabilités – le risque premier étant l’usurpation d’identité. Or, en réalité, ce risque est plus grand lorsqu’il touche à l’identité numérique, en raison du nombre plus important de leviers de fraude : falsification ou contrefaçon des documents, masques physiques, deepfakes, tentatives répétées d’usurpation… Autant de raisons qui font que l’identité numérique doit être vérifiée avec une plus grande rigueur, en s’assurant de l’authenticité du titre d’identité et de la légitimité du détenteur à le posséder.

De plus en plus d’opérateurs proposent des services de vérification d’identité à distance, et le recours à ces services ne fait qu’augmenter. L’objectif de l’ANSSI, avec le PVID, est donc de mettre en lumière les solutions qui offrent le plus de garanties. À ce titre, le référentiel prévoit deux niveaux de sécurité en fonction du besoin :

  • le niveau « substantiel » (fiabilité similaire à une vérification en face-à-face : le prestataire doit considérer les attaquants disposant d’un potentiel modéré),
  • et le niveau « élevé » (fiabilité équivalente à la délivrance d’un titre d’identité auprès d’une autorité compétente : le prestataire doit considérer les attaquants disposant d’un potentiel élevé).

Un référentiel rigoureux encadré par un processus de certification strict

Un référentiel rigoureux encadré par un processus de certification strict

L’attribution de la certification PVID n’est pas automatique : il revient aux prestataires spécialisés dans les services de contrôle de l’identité numérique de déposer une demande d’évaluation auprès de l’ANSSI. Un certain nombre d’organismes ont d’ores et déjà été habilités pour qualifier des prestataires au titre du référentiel général de sécurité (RGS), la liste étant disponible sur le site de l’ANSSI.

Le référentiel PVID relatif à l’identité numérique se décline en trois axes :

  1. Les activités associées à un service de vérification d’identité à distance.
  2. Les méthodes d’évaluation de la qualification des prestataires.
  3. Les exigences à respecter par le prestataire pour recevoir la certification PVID.

De façon plus concrète, la certification proposée par l’ANSSI consiste à évaluer la robustesse des solutions de contrôle de l’identité numérique portées par les prestataires. Cette évaluation passe par l’analyse de la conformité, puis par l’organisation de tests « grandeur nature » de résistance aux tentatives d’usurpation d’identité : détection de faux documents (titres d’identité contrefaits ou falsifiés), reconnaissance faciale, masques physiques, etc. Certains de ces tests sont menés en collaboration avec le ministère de l’Intérieur, notamment ceux qui touchent à la validité des documents.

Quels sont les usages du référentiel PVID ?

Quels sont les usages du référentiel PVID ?

Le référentiel mis en place par l’ANSSI a pour but principal de lutter contre la fraude à l’identité numérique et, ce faisant, de protéger les personnes qui ont recours à des services publics et privés en ligne qui nécessitent la vérification de leur identité.

Ces services recouvrent les procédures de création d’une identité numérique (comme un certificat électronique), les ouvertures de comptes clients à distance auprès d’opérateurs bancaires ou assurantiels, les envois de courriers recommandés en ligne, ou encore la signature électronique. Sans compter ceux qui verront le jour dans les années à venir.

Au regard des risques cyber (chaque jour plus nombreux et plus sophistiqués), la sécurité est l’incontournable pilier sur lequel va se bâtir la démocratisation progressive de ces services. Or, à mesure que la demande grandit sur le marché, les problématiques de confiance deviennent toujours plus aiguës et complexes, ce qui confère aux prestataires de vérification de l’identité numérique un rôle essentiel… et désormais validé par la certification PVID.

Pourquoi Helios a-t-il été mis en place par la direction générale de la comptabilité publique ?

SOMMAIRE
  • SOMMAIRE

Pourquoi la direction générale de la comptabilité publique a mis en place Hélios ?

hélios

Depuis le 1er janvier 2015, la dématérialisation de la chaîne comptable et financière est obligatoire. Cela implique que les collectivités territoriales transmettent les pièces comptables au trésorier par voie électronique. Cela concerne les budgets, les mandats, les titres de recettes, les bordereaux et les pièces justificatives des dépenses et recettes. Pour faciliter la gestion informatique de la transmission dématérialisée des pièces comptables des collectivités locales et des établissements publics locaux, la direction générale des Finances publiques (DGFiP) a mis en place une application informatique de gestion comptable et financière : Hélios.

Qu’est-ce que la transmission Hélios ?

Qu'est-ce que la transmission Hélios ?

Hélios est une application qui facilite la gestion des flux financiers. Elle concerne les collectivités locales et les établissements publics locaux. Par exemple les établissements publics de santé, les établissements publics sociaux et médico-sociaux, ainsi que les établissements publics d’habitations à loyer modéré. Hélios est la télétransmission des données comptables qui repose sur la modernisation du système de gestion informatique et sur l’avènement d’Internet. L’application est paramétrable. Elle devra améliorer dans l’immédiat la gestion quotidienne des comptables. Ainsi, les comptables et les ordonnateurs peuvent suivre l’ordonnancement et l’exécution des dépenses et des recettes des collectivités.

Un outil moderne au service des gestionnaires publics

Internet étant un outil de développement technologique d’échange, il est logique que la DGFiP suive le changement pour la dématérialisation complète de la chaîne budgétaire et comptable entre les collectivités et le trésorier. Cette nouvelle application de gestion comptable et financière des collectivités locales et établissements publics locaux apporte donc beaucoup plus d’avantages que les autres applications utilisées précédemment par la DGFiP. Les données comptables et financières provenant des collectivités territoriales sont présentées en fichier XML, d’après le Protocole d’Échange standard (PES). Ces données se transmettent dans le système Hélios après transmission et contrôle en trésorerie.

Hélios apporte de la modernisation des échanges entre les collectivités locales et les comptables publics. Cela se traduit par la dématérialisation des pièces comptables et par la mise en place de la signature électronique. Hélios garantie ainsi une rapidité, une simplicité, une efficacité et une souplesse dans les échanges. Les collectivités locales et la trésorerie bénéficient toutes les deux des avantages proposés par Hélios. Ce dernier garantit des échanges enrichis. Cela que ce soit pour les situations de trésorerie, le paiement des mandats de dépense ou encore le recouvrement des titres de recette. Il en est de même pour la qualité d’information qui s’échange sur le suivi des marchés publics et l’inventaire des éléments d’actif.

En somme, la mise en place de l’application Hélios permet d’accélérer les paiements et les recouvrements. En effet, l’échange entre les collectivités locales et les comptables publics pour l’exécution des budgets constitue près de 550 millions de documents papier chaque année. Cette dématérialisation des pièces d’exécution budgétaire et comptables permet de réduire le coût, de fiabiliser la transmission, et d’améliorer le contenu des missions d’exécution et sa gestion.

L’exploitation du traitement Helios

Hélios permet le suivi du recouvrement des titres de recette, des dépenses, des régies et la gestion des ressources des personnes hébergées. Pour le suivi du recouvrement des titres de recette, Hélios permet de traiter diverses informations telles que les caractéristiques du titre, le suivi des encaissements et du recouvrement et l’identification du débiteur. Pour les dépenses, les informations sont les caractéristiques du mandat, l’identification et référence bancaire des fournisseurs. Mais aussi l’identification des titulaires et caractéristiques des marchés, les cessions-oppositions éventuelles, le suivi des paiements …

Pour le suivi des régies, les informations relatives à la régie, au régisseur et à ses mandataires. L’accès aux données est réservé aux personnels utilisateurs habilités. Ceux-ci émanent du poste comptable gestionnaire des collectivités locales, des trésoreries générales et des recettes des finances chargées de la gestion. Mais également du pôle spécialisé de la DGCP chargé du recouvrement contentieux, des services chargés de l’audit et de l’organisme ordonnateur des collectivités locales.

Pour les données à caractère personnel, quelques destinataires peuvent exploiter le traitement Hélios. Les organismes bancaires peuvent être des destinataires des données pour le règlement des dépenses, le recouvrement et les prélèvements. C’est aussi le cas pour les huissiers dans la procédure des actes de saisie. Egalement des gérants des établissements de santé pour les personnes hébergées concernées. Cependant, l’accès sur l’application HELIOS se limite aux données relatives au domaine de compétence des utilisateurs. Les ordonnateurs ne peuvent pas consulter par exemple que les données qu’eux-mêmes ont transmis au Trésor public.

Identifier les numéros de marché en cohérence avec Hélios

Lors de la transmission des données entre ordonnateur et comptable vers le trésorier (Hélios), il faut créer un identifiant unique qui figurera sur la pièce d’ordonnancement (titre ou mandat) pour lier les pièces justificatives dématérialisées et les pièces comptables.

Deux modes de référencement s’offrent aux ordonnateurs pour créer un lien entre les pièces justificatives « papier » et les titres ou mandats dématérialisés avec le Protocole d’échange standard d’Hélios : un référencement par identifiant unique et un référencement par numéro de mandat ou de titre.

L’identifiant unique doit comporter au minimum un certain nombre d’informations précises à savoir le SIRET du budget collectivité, l’année d’origine, le domaine conformément aux « objets comptables » d’Hélios (dépense, recette…) ou le domaine principal pour des pièces justificatives, le numéro chronologique (identification des numéros de marché en cohérence avec Hélios) et les autres données d’identification choisies par l’ordonnateur pour garantir le lien entre les pièces justificatives dématérialisées et les pièces comptables.

Le référencement par identifiant unique permet l’apposition d’un identifiant unique sur chaque pièce justificative. Ce type de référencement s’effectue selon les modalités techniques que l’ordonnateur a définies. Par exemple des étiquettes ou une référence manuscrite à la pièce justificative.

Pour faciliter le classement, l’identifiant unique doit comporter l’année d’origine, le domaine et le numéro chronologique. L’ordonnateur effectue le classement selon l’ordre de l’identifiant pour assurer un classement chronologique par domaine. Ce type de référencement reste le même avant et après l’arrivée de la dématérialisation au niveau des pièces justificatives.

Le référencement par numéro de mandat ou de titre incombe à l’ordonnateur Il doit accompagner les pièces justificatives du numéro du mandat ou de titre rattaché. Ainsi, pour ce deuxième mode de référencement il assure le classement des pièces justificatives par numéro d’objet comptable.

Le Protocole d’Echange Standard Version 2 (PES V2)

Le Protocole d'Echange Standard Version 2 (PES V2)

Tous les autres protocoles de transmission des titres et mandats qui existent précédemment seront remplacés petit à petit par le Protocole d’Echange Standard d’Hélios (PES). Il est actuellement dans sa version 2. Et la dématérialisation de la chaine comptable et financière doit adopter le PES V2 à compter du 1er janvier 2015. Par rapport à la première version, le PES V2 d’Hélios offre la possibilité de dématérialiser des pièces justificatives.

Les formats des pièces et signatures

Dans le cadre d’Hélios, on privilégie le format des fichiers électroniques dématérialisés par l’émetteur. Cependant, il existe des formats référencés par la Direction générale des Finances publiques (DGFiP). Ils sont à destination des collectivités et de leurs établissements publics. Le but est qu’ils puissent fluidifier les échanges avec le comptable du Trésor. Hélios privilégie le format XML. Il doit cependant respecter les schémas référencés ou validés par la convention cadre nationale relative à la dématérialisation des documents de la chaîne comptable et financière des collectivités, établissements publics locaux et établissements publics de santé. 

L’utilisation du format PDF est aussi sollicitée surtout dans sa version PDF-A. Il existe aussi des formats qui sont temporairement acceptés comme : 

  • le format CSV (comma separated value)
  • le format Open Document (ODT) pour les documents « texte » (norme ISO 26300) et le format bureautique « Word RTF ».

Comme pour les pièces comptables, les formats XML et PDF sont aussi privilégiés pour la dématérialisation des pièces justificatives. Et pour faciliter la transmission des documents, il est conseillé d’utiliser les formats ZIP, TAR ou GTAR pour les documents liés. Ces formats de compression garantissent l’archivage des documents et la préservation des noms des fichiers durant la transmission.

Que requiert Hélios ?

Hélios requiert la signature électronique des pièces comptables et des pièces justificatives liées comme les bordereaux de mandats/titres, acte d’engagement des marchés publics, etc. XadES est le format de signatures privilégié pour les fichiers XML selon l’article 289V du CGI. La signature PADES est le format utilisé pour signer les pièces justificatives au format PDF-A telles que les documents contractuels et les factures. Les pièces comptables au format XML simplifié PES (PES facture) se visualisent avec XéMéLios.

Pour les fichiers PES, la signature XadES est le format de signature conseillé. L’utilisation d’un certificat électronique est indispensable pour signer un document dématérialisé. Le certificat délivré par la DGFiP est reconnu pour la signature des fichiers Protocole d’échange standard d’Hélios. Ces certificats électroniques permettent pour rappel de garantir l’identité du signataire et l’intégrité du document. Ainsi, tous les certificats de signature électronique dans les marchés publics se référencent dans la liste de catégories de certificats « listes de confiance » selon l’arrêté du ministre de l’Économie et des Finances en date du 15 juin 2012

Hélios et la notification de l’horodatage

L’horodatage permet d’associer un fichier à sa date de création ou de réception. Dans les cas où les collectivités et établissements publics locaux(CEPL) utilisent un horodatage, les documents notifiés sont accompagnés d’un lien permanent. Les documents accompagnant la notification sont ainsi signés par le titulaire. Un jeton d’horodatage (Dont le format RFC3161 est le plus privilégié) accompagne la signature électronique.

 Il représente la date de notification. Cette préconisation devenue obligatoire s’établie pour qu’un tiers horodateur puisse toujours avoir une vision objective. Surtout si la CEPL exploite la plate-forme de dématérialisation. Selon les dispositions des articles 12 et 81 du code des marchés publics, les dispositifs de l’horodatage doivent permettre de déterminer la date de réception de la notification par le titulaire. Le jeton d’horodatage doit être stocké dans une signature électronique.

Que proposent les services de certification et d’horodatage

Les services de certification et d’horodatage proposent différents types de services pour la dématérialisation des marchés publics. Déjà, le certificat numérique permet d’authentifier le titulaire de la signature. Ainsi que l’identifier lors de la connexion sur le Portail de la gestion publique. Les services de certification et d’horodatage permettent aux ordonnateurs des flux comptables des collectivités locales de sceller et de protéger un document contre toute altération ultérieure. Ceci grâce à la signature électronique ou à l’horodatage. 

Le scellage du document permet de garantir son intégrité. L’horodatage électronique permet d’enregistrer la date et l’heure de création ou de réception du document. L’horodatage est comme le cachet de la poste faisant foi de la date d’envoi. Et enfin, le certificat électronique peut garantir la confidentialité d’un document et le protéger contre les consultations non autorisées.

L’application Helios permet en somme un gain de temps significatif pour ce qui est de la procédure de validation et de signature de toutes les pièces comptables et financières. La solution Hélios permet aussi de garantir la confidentialité, l’intégrité, la traçabilité et la non-répudiation des documents.

 

Certificat RGS**/eIDAS

Un certificat multi-usage :

  • Conforme RGS (Référentiel Général
    de Sécurité)
  • Conforme eIDAS (règlement européen)

Cas d’usages :

  • Authentification aux plateformes publiques et aux applications en ligne
  • Signature électronique
  • Chiffrement pour garantir un haut niveau de sécurité
Commander un certificat

Certificat RGS**/eIDAS

Un certificat multi-usage :

  • Conforme RGS (Référentiel Général
    de Sécurité)
  • Conforme eIDAS (règlement européen)

 

Cas d’usages :

  • Authentification aux plateformes publiques et aux applications en ligne
  • Signature électronique
  • Chiffrement pour garantir un haut niveau de sécurité
Commander un certificat

Qu’est-ce qu’un OTP (One Time Password) ?

SOMMAIRE
  • SOMMAIRE

Qu'est-ce qu'un mot de passe à usage unique (OTP : One Time Password), quand l'utiliser et comment le générer ?

mot de passe à usage unique otp

À une époque où la numérisation nous permet d’accéder à une multitude de services à distance, les processus d’authentification et d’enregistrement requièrent un haut degré de sécurité. Il peut également être atteint grâce à un OTP password (mot de passe OTP).

Qu'est-ce qu'un mot de passe à usage unique (OTP) ?​

Qu'est-ce qu'un mot de passe à usage unique (OTP) ?

OTP signifie « One Time Password » (mot de passe à usage unique).

En effet, un code OTP est une chaîne aléatoire de caractères alphanumériques générée par un système d’authentification. Il a pour but d’accorder l’accès à un service de manière sécurisée. Comme son nom l’indique, il s’agit d’un mot de passe à usage unique. Il ne peut être utilisé qu’une seule fois et est généralement valable pour une durée limitée (TOTP, Time-based One-Time Password). Une signature électronique OTP a une valeur légale.

Quand les codes OTP sont-ils utilisés ?

Quand les codes OTP sont-ils utilisés ?

Un OTP token font donc partie des systèmes d’authentification à plusieurs facteurs et sont utilisés dans plusieurs domaines. Par exemple :

  • l’accès aux services de l’administration publique,
  • les transactions via la banque à domicile,
  • l’accès aux réseaux sociaux,
  • l’enregistrement d’un nouveau compte,
  • la modification des paramètres de sécurité de ses comptes,
  • la vérification de l’identité,
  • le commerce électronique et les achats en ligne.

Ainsi, dans de nombreux cas, on demande à l’utilisateur une signature OTP. Cela en plus de la saisie de ses identifiants de connexion (nom d’utilisateur et mot de passe). En effet le mot de passe OTP s’envoie directement sur votre numéro de téléphone sous format SMS, par exemple.

Comment les mots de passe jetables sont-ils générés ?

Comment les mots de passe jetables sont-ils générés ?

Les codes OTP se génèrent à l’aide d’algorithmes de cryptage à clé partagée. La clé partagée est une chaîne de caractères que les deux parties utilisent (client et serveur) pour chiffrer et déchiffrer les données. Cela forme une signature électronique OTP.

Dans le cas du mot de passe à usage unique OTP, la clé se génère de manière aléatoire au moment de l’action de l’utilisateur et est stockée sur le serveur.

L’algorithme de cryptage à clé partagée permet de générer une signature OTP sur la base de la clé partagée et de la date du jour. Ainsi, le OTP password s’utilisent pour l’accès qu’à ce moment précis : une fois la durée de validité expirée, il n’est plus utilisable. 

Au-delà des aspects techniques, il existe donc plusieurs méthodes par lesquelles un utilisateur peut obtenir un OTP token. En voici quelques-unes :

  • Les applications pour smartphone : il existe diverses applications, tant pour Android que pour iOS, qui permettent de générer un code à usage unique OTP (OTP password);
  •  Les tokens/jetons : il s’agit de petits dispositifs portables, généralement au format clé USB ou carte à puce, capables de générer un mot de passe OTP ;
  • SMS ou e-mail : dans certains cas, le code peut être envoyé par SMS ou par e-mail ;
  • Services en ligne : certaines entreprises proposent des services en ligne pour générer des OTP token.

Il est important que l’utilisateur utilise le mot de passe OTP dans un laps de temps plutôt court et qu’il le supprime immédiatement après utilisation, afin de l’invalider. En général, le système de génération lui-même considère le mot de passe jetable comme invalide après quelques secondes. 

Quels sont les avantages du code OTP ?

Quels sont les avantages du code OTP ?

Les OTP token ont pour origine le besoin de garantir la sécurité des processus d’authentification. Puisque ce sont des mots de passe dynamiques, les pirates ne peuvent ni les mémoriser ni les prévoir. 

De plus, leur durée limitée laisse aux cybercriminels trop peu de temps pour procéder au vol des identifiants.

Dans le cas où ils parviendraient à récupérer l’OTP password, ils ne seraient pas en capacité de l’utiliser. En effet, ayant déjà été utilisé pour un accès ou une transaction, le système d’authentification le reconnaîtrait comme n’étant plus valide. Une solution MFA (Multi Factor Authentification) à deux facteurs est donc efficace pour se protéger contre l’usurpation d’identité en ligne.

L’utilisation d’un OTP token pour accéder à des services sensibles garantit un niveau de sécurité plus élevé qu’une simple authentification à deux facteurs. Dans ce dernier cas, l’utilisateur doit seulement fournir un nom d’utilisateur et un mot de passe. L’OTP token permet de surmonter les problèmes de sécurité des mots de passe.

De plus, comme nous l’avons vu, il peut s’utiliser à des fins diverses. De l’accès aux services en ligne à la vérification de l’identité… mais également pour éviter d’avoir besoin de réinitialiser vos mots de passe à chaque oubli. Dans une entreprise, cela permet ainsi également d’optimiser le temps de travail des équipes de support IT.

Tous ces avantages l’emportent largement sur les quelques inconvénients des codes OTP. Essentiellement, ceux ci sont principalement liés à leur gestion. En effet, la durée de validité limitée peut être un problème dans certains cas : si vous oubliez d’enregistrer votre mot de passe OTP ou si vous avez une interruption de connexion pendant que vous le tapez, vous risquez de devoir générer un nouveau code.

Qu'est-ce que l'authentification multi-facteurs ?

Qu'est-ce que l'authentification multi-facteurs ?

Il convient de terminer cet article en consacrant quelques mots à l’authentification multifactorielle.

Également appelée authentification multi-facteurs (MFA/2FA), il s’agit d’une méthode d’authentification qui exige de l’utilisateur qu’il fournisse non seulement ses propres informations de connexion, mais aussi un élément supplémentaire, qui peut être un code OTP ou une clé biométrique (par exemple, une empreinte digitale). 

En d’autres termes, le MFA est un système d’authentification reposant sur plusieurs couches de sécurité, ce qui rend plus difficile l’accès des cybercriminels aux services et données sensibles. En effet, même si un pirate parvenait à obtenir des informations d’accès, il ne serait pas en mesure de surmonter la couche de sécurité supplémentaire que représente, par exemple, le code OTP.

L’utilisation d’un mot de passe à usage unique OTP est donc un excellent moyen de mettre en œuvre le MFA dans ses processus d’authentification. Et quelle que soit la méthode choisie pour générer les codes, le plus important est de toujours accorder la plus grande attention à la sécurité de son appareil et de ses données personnelles.

La plateforme de signature électronique GoSign

Faites le choix de la seule solution européenne leader du marché pour créer, signer et gérer des parcours de signature.

Selon le processus et le niveau de confiance requis, choisissez le niveau de signature adapté à votre besoin : signature simple, avancée ou qualifiée.

Demander une démo

La plateforme de signature électronique GoSign

Faites le choix de la seule solution européenne leader du marché pour créer, signer et gérer des parcours de signature.

Selon le processus et le niveau de confiance requis, choisissez le niveau de signature adapté à votre besoin : signature simple, avancée ou qualifiée.

Demander une démo
Icona Top