Signature qualifiée dans le Cloud : défis technologiques et état du marché

SOMMAIRE
  • SOMMAIRE

Signature qualifiée dans le Cloud : défis technologiques et état du marché (en Europe et en France)

Bien implantées en Europe, les solutions de signature électronique qualifiée peinent à trouver leur place sur le marché français. En cause : les défis technologiques à relever pour répondre aux exigences de l’ANSSI. En particulier, ce qui concerne la vérification de l’identité du demandeur (de visu). Mais l’obligation d’utiliser un module cryptographique matériel notifié QSCD n’est pas en reste.

C’est pourquoi il est courant dans l’Hexagone d’avoir recours à des solutions offrant une moindre sécurité. Par exemple, une signature « simple » ou « avancée », mais reposant sur des certificats plus faciles à obtenir en France. Nous vous proposons on état des lieux concernant les enjeux relatifs à la signature qualifiée dans le Cloud. Découvrons ensemble les défis qui se posent.

Qu’est-ce qu’une signature électronique qualifiée ?

Les principes d’usage de l’horodatage électronique

Quelle est la meilleure méthode pour prouver l’identité d’une personne (physique ou morale) pour la signature en ligne ? En tout cas, la plus complète semble être la signature électronique qualifiée (ou QES pour Qualified Electronic Signature). Mais c’est aussi, et surtout, celle qui offre le plus haut degré de sécurité. Elle confère une validité juridique plus élevée encore que la signature manuscrite, parce qu’elle est inviolable et inaltérable. Devant un juge, elle est donc irréfutable. De ce fait, elle garantit la meilleure protection juridique en cas de contentieux.

On distingue communément trois niveaux de signature qui correspondent à autant de degrés de sécurité :

    • Signature électronique simple

    • Signature électronique avancée

    • Signature électronique qualifiée

 

Comment les différencier ?

Tout d’abord par la rigueur avec laquelle on contrôle l’identité des demandeurs. La délivrance des certificats électroniques prendra plus ou moins d’étapes selon votre niveau de sécurité. Une signature qualifiée nécessite l’obtention préalable d’un certificat qualifié auprès d’un tiers de confiance. Ainsi, vous devrez entrer en relation avec une autorité de certification (par exemple CertEurope).

Dans le cas d’une signature électronique qualifiée, les certificats se relient de manière univoque aux signataires. Pour cela, un contrôle de leur identité a lieu en face-à-face. Un certificat qualifié donne au signataire le contrôle exclusif des moyens employés pour signer électroniquement. Cela garantit l’intégrité du document signé.

En raison de cette sécurité accrue, la signature électronique qualifiée est la mieux adaptée à des opérations sensibles. Ils présentent des risques importants, ou ont lieu dans des cadres légaux rigides. Quelques exemples d’applications :

  • actes authentiques (rédigés par des notaires ou des huissiers de justice)
  • actes dont les effets se produisent hors du territoire français, etc.

En outre, imposée dans le cadre des marchés publics, lorsque la signature se fait sous forme dématérialisée, seule une signature avancée (validée par un certificat qualifié) ou une signature qualifiée peut être employée dans ce contexte (comme précisé sur cette page).

Quels sont les défis technologiques posés par la signature qualifiée ?

Assure l’intégrité d’un document électronique

L’utilisation de la signature qualifiée dans le Cloud est soumise à des contraintes matérielles, qui sont autant de défis technologiques à relever. Le règlement eIDAS, dans son article 3, précise que cette signature doit être « créée à l’aide d’un dispositif de création de signature électronique qualifié (…) qui repose sur un certificat qualifié de signature électronique ». Toute la difficulté a trait au « dispositif » en question.

Ce dispositif, notifié QSCD (Qualified Electronic Signature Creation Device) auprès de la Commission européenne, est un module cryptographique matériel (HSM) qui permet à l’utilisateur de créer un cachet électronique qualifié. Il prend la forme d’une clé USB multifonction ou d’une carte à puce, remise en main propre par l’autorité de certification après vérification de l’identité du demandeur. Celui-ci devient alors responsable de son dispositif et doit utiliser un identifiant et un mot de passe pour accéder à l’outil de création de signature électronique. Le processus d’authentification peut se faire directement au niveau du module ou dans l’environnement de ce dernier. En outre, suivant les circonstances, il peut être nécessaire d’employer un service d’horodatage qualifié.

En France, où le marché de la signature qualifiée à distance est encore peu développé, les mécanismes conduisant à obtenir un HSM sont à bâtir de toutes pièces.

Quel est l’état du marché de la signature électronique en Europe et en France ?

Utilisation du système d’horodatage des documents électroniques

Ces difficultés expliquent que la signature électronique qualifiée soit réservée, en France, à des usages strictement professionnels, alors que son utilisation est acquise dans une majorité de pays européens, y compris auprès du grand public. On constate ainsi que la part de marché dédiée à la signature qualifiée en France est marginale au regard des signatures de type « simple » et avancé », comme le montre le diagramme ci-dessous.

La complexité de la mise en œuvre de la signature qualifiée est la première raison de son faible taux de pénétration :

  • Face-à-face obligatoire pour la remise du HSM (il n’existe pas encore de PVID qualifié en France pour autoriser la vérification de l’identité à distance dans le cadre des certificats qualifiés).
  • Nécessité de recourir à un dispositif physique (solution coûteuse pour le grand public) et à un poste de travail qui ne fonctionne pas (ou très mal) avec les terminaux mobiles. Ainsi, seule la carte à puce est utilisée actuellement pour l’authentification.

Il faut y voir également un effet de la réglementation : dans l’Hexagone, il aura fallu attendre 2016 et l’application du règlement eIDAS pour que la QES prenne de l’ampleur, tandis que dans plusieurs États de l’UE ce processus était déjà autorisé par l’ancien cadre réglementaire.

Par conséquent, l’essor de la signature électronique qualifiée en France reste tributaire de la disponibilité de produits sécurisés, qualifiés par l’ANSSI (l’autorité nationale en matière de sécurité et de défense des systèmes d’information), afin d’offrir le niveau de sécurité attendu, mais aussi de la qualification de prestataires de services capables d’opérer ces produits en toute sécurité (c’est l’objet du référentiel PVID).

À ce titre, CertEurope s’engage fortement en faveur de la démocratisation des solutions de signature qualifiée à distance. Nous nous impliquons dans la création de dispositifs d’authentification pour le contrôle exclusif du signataire, aux côtés de constructeurs compétents. Contactez-nous pour plus d’informations !

 

EPREL : une nouvelle méthode d’authentification basée sur des certificats qualifiés

SOMMAIRE
  • SOMMAIRE

EPREL : une nouvelle méthode d’authentification basée sur des certificats qualifiés

L’étiquette énergie mise en place par l’Union européenne constitue l’un des outils les mieux connus et les plus efficaces en matière de politique énergétique. Le bon fonctionnement de cet outil est rendu possible par le Registre européen des produits pour l’étiquetage énergétique (EPREL) sur lequel les fournisseurs et leurs produits doivent nécessairement être enregistrés, avant toute commercialisation dans les pays de l’UE. Mais pour se connecter au registre, il faut désormais se soumettre à une méthode de vérification reposant sur des certificats qualifiés (cachet ou signature électronique), une évolution qui s’inscrit dans la démarche de sécurité des fournisseurs (« KYS ») et impose à ces derniers de nouvelles obligations. Explications.

Qu’est-ce que l’EPREL ?

Qu’est-ce que l’EPREL ?

Depuis le 1er janvier 2019, les consommateurs européens ont la possibilité de consulter des informations détaillées sur certains produits portant une étiquette énergétique, en se référant à une base de données mise en place par la Commission : EPREL (pour European Product Registry for Energy Labelling). Cette base de données est accessible en scannant le QR Code qui figure sur les étiquettes énergétiques, et offre de précieuses indications quant aux performances des appareils en matière de consommation d’énergie et aux garanties offertes par les fournisseurs, entre autres.

L’inscription des produits au registre est laissée aux bons soins des fournisseurs – fabricants, importateurs ou mandataires – qui commercialisent des appareils dans les pays membres de l’Union européenne. La liste des produits touchés par cette obligation s’agrandit au fil du temps : elle concerne aujourd’hui les réfrigérateurs, les congélateurs, les machines à laver le linge et la vaisselle, les appareils de cuisson à usage domestique, les dispositifs d’affichage électroniques, les climatiseurs, les pneumatiques, les lampes, les ampoules électriques, etc. On compte déjà plus d’un million de modèles enregistrés par quelque 8 000 fournisseurs.

Au-delà de l’information aux consommateurs, EPREL joue un autre rôle : il permet aux autorités nationales de surveillance du marché de s’assurer que les produits vendus au sein de l’Union européenne respectent les exigences relatives à l’étiquetage énergétique et à l’éco-conception.

Une nouveauté importante : le recours aux certificats qualifiés (cachet ou signature électronique)

Une nouveauté importante : le recours aux certificats qualifiés (cachet ou signature électronique)

Qui dit enregistrement en ligne, dit vérification de l’identité numérique. De fait, les fournisseurs amenés à enregistrer leurs produits sur EPREL doivent au préalable s’authentifier. Jusqu’à présent, le processus de vérification d’identité était assez simple puisqu’il consistait en une authentification à deux facteurs, sur le modèle du système traditionnellement employé par la Commission (appelé « EU Login »). Or ce mécanisme d’authentification pèche par son manque de fiabilité, dans la mesure où il ne fournit aucune information complémentaire au sujet de la personne (physique ou morale) qui se connecte au service.

Pour pallier ce manquement, la Commission a choisi de renforcer le mécanisme d’authentification lors de la connexion à EPREL. Cette volonté s’inscrit dans la démarche européenne de sécurisation des acteurs du marché nommée « Know Your Supplier » (KYS), que l’on pourrait traduire par « apprends à connaître ton fournisseur ». L’objectif est de vérifier l’authenticité des informations fournies par l’entité (en général : le signataire qui agit pour le compte du fournisseur).

Ce nouveau système prévoit que les fournisseurs s’authentifient à l’aide de certificats qualifiés, inspirés de ce qui se fait déjà pour les entreprises des secteurs bancaire et financier (la fameuse DSP2) :

Le recours à ces certificats qualifiés devait entrer en vigueur le 21 février 2022, après de nombreux mois de tests. Dès lors, les fournisseurs se retrouvent dans l’obligation d’obtenir au préalable un cachet ou une signature électronique pour accéder à EPREL.

Qui peut délivrer les certificats qualifiés nécessaires à l’authentification sur EPREL ?

Qui peut délivrer les certificats qualifiés nécessaires à l’authentification sur EPREL ?

Afin de vérifier l’authenticité des informations fournies par les utilisateurs de la base de données, EPREL s’appuie sur les tiers de confiance chargés de délivrer les certificats qualifiés aux fournisseurs. Ces tiers sont le plus souvent des autorités de certification (comme CertEurope) qui répondent aux demandes des particuliers et des entreprises souhaitant obtenir un cachet ou une signature électronique.

Les autorités de certification agissent conformément aux exigences du règlement eIDAS, qui instaure un mécanisme de reconnaissance mutuelle des moyens d’identification électronique entre les pays membres de l’Union européenne. (Par ailleurs, la certification eIDAS est un prérequis incontournable pour qu’un prestataire de services de confiance soit en droit de délivrer des certificats qualifiés, qui eux-mêmes correspondent au plus haut degré de garantie.)

Concrètement, pour répondre aux nouvelles exigences sécuritaires d’EPREL, les fournisseurs (ou leurs mandataires) doivent obtenir des certificats qualifiés auprès des autorités de certification compétentes. La connexion au registre se faisant désormais à l’aide d’un cachet électronique qualifié (pour une entreprise) ou d’une signature électronique qualifiée (pour un individu), seuls les fournisseurs dont l’identité a été dûment vérifiée sont en mesure d’enregistrer leurs produits dans la base de données… et, conséquemment, de les commercialiser sur le territoire européen.

Appels d’offres : Quels sont les avantages de la réponse dématérialisée ?

SOMMAIRE
  • SOMMAIRE

Appels d'offres : Quels sont les avantages de la réponse dématérialisée ?

La dématérialisation est un moyen qui consiste à effectuer des transactions,  des échanges et des stockages des documents par voie électronique. Les moyens électroniques utilisés pour dématérialiser les documents ne doivent avoir aucun impact sur le contenu et l’authenticité des informations. Un appel d’offres en ligne est devenu courant depuis le 1er janvier 2005. Les PME peuvent envoyer leurs candidatures et offres par voie électronique et les personnes publiques sont dans l’obligation d’accepter une candidature électronique d’après l’Article 56 du Code des Marchés Publics. Et depuis le 1er janvier 2010, les personnes publiques peuvent imposer la réponse électronique. Selon le type de procédure utilisée par les personnes publiques, un appel d’offres en ligne peut être ouvert ou fermé. La réponse des entreprises doit respecter quelques critères suivant deux phases : la « Candidature » et l’« Offre ». La partie « candidature » permet à l’entreprise de se présenter et répondre aux critères de sélection des candidatures. La partie « offre » va permettre à l’entreprise de soumettre son offre à l’acheteur. Ce dernier peut parfois demander aux entreprises l’envoi d’une mémoire technique pour appuyer son offre.

Comment répondre à un appel d’offre en ligne ?

Comment répondre à un appel d’offre en ligne ?

Répondre à un appel d’offre ne s’improvise pas. Il faut un minimum de connaissances et de pratique pour répondre à un marché public car les procédures sont figées. L’appel d’offre, appelé aussi marché public dans le langage des PME, doit être répondu à l’aide des documents contractuels que l’entreprise doit rédiger soigneusement. Appelés généralement « dossier de réponse à l’appel d’offre », ces documents regroupent des déclarations et des attestations comme le Règlement de Consultation (RC), l’acte d’engagement (DC3), les Cahiers des Clauses Particulières (CCP), le Cahier des Clauses Administratives et Financières (CCAP), le Cahier des Clauses Techniques Particulières (CCTP), le rapport de présentation, le contrat de maintenance mais aussi d’autres informations complémentaires comme le CV, éléments techniques et financiers, plaquette commerciale, etc. Un certain nombre de documents précis est aussi demandé : DC1 (Lettre de candidature et habilitation du mandataire par ses cotraitants), DC2 (Déclaration du candidat), DC3 (L’acte d’engagement), DC4 (Annexe à l’acte d’engagement relative à la présentation d’un sous-traitant ou Acte spécial), NOTI1, NOTI2, etc. L’entreprise doit aussi fournir un certificat électronique de signature dans le cadre d’une réponse à un appel d’offre en ligne pour les marchés publics aux montants supérieurs au seuil de 230 000 euros. Pour les marchés dits « à une procédure adaptée » (MAPA), dont le montant se situe en dessous de 230 000 euros, le recours à la signature électronique des réponses aux offres par voie électronique n’est pas obligatoire.

Répondre à un appel d’offre électroniquement

Réponse à un appel d’offres électronique

D’après l’article 56 du nouveau code des marchés publics, la réponse à un appel d’offres par voie électronique est possible dans le cadre de la dématérialisation des appels d’offres. Et conformément aux dispositions relatives à l’arrêté du 28 août 2006, la réponse dématérialisée aux appels d’offres requiert l’utilisation d’un certificat de signature électronique. Depuis le 1er janvier 2010, conformément à l’arrêté du 12 mars 2007, une réponse dématérialisée aux appels d’offres pouvait exiger par l’entité adjudicatrice. Les pièces nécessaires à la consultation des candidats sont envoyées par le pouvoir adjudicateur dans le Dossier de Consultation des Entreprises (DCE) : le Règlement de la consultation (RC), l’Acte d’engagement, le Cahier des clauses administratives particulières (CCAP), le Cahier des clauses techniques particulières (CCTP), le contrat de maintenance, le questionnaire technique et fonctionnel, et les pièces relatives aux prix. LeDCE comprend ainsi tous les documents que les entreprises doivent connaitre sur l’appel d’offres sur lequel elles vont répondre par voie électronique.

Les avantages pour répondre à un appel d'offre de manière dématérialisée

Les avantages offerts par la réponse dématérialisée aux appels d’offres

Les objectifs majeurs de la dématérialisation sont de favoriser l’échange de l’information par voie électronique, rendre les services plus rapides, garantir une meilleure gestion des services et préserver l’environnement. Du côté du pouvoir adjudicateur, les avantages de la dématérialisation sont  la rapidité de la circulation de l’information, l’accès simplifié, l’uniformité des candidatures, la collaboration à la réponse, la diminution des coûts indirects, etc.

Pour ce qui est des avantages offerts par la réponse dématérialisée aux appels d’offres proprement dit, les candidats bénéficient :

  • réduction des échanges de documents
  • suppression des frais de coursiers
  • optimisation de la productivité (réduction des tâches manuelles, confort de la télétransmission, accessibilité des informations à distance, etc.)
  • suppression des frais postaux, de coursiers, de reprographie
  • réduction des risques d’oubli de documents obligatoires, signatures, émargement
  • amélioration de l’image renvoyée aux acheteurs publics

Les outils de réponse électroniques proposent une application qui permet d’éviter les risques d’erreurs administratives sur la procédure de réponse et la gestion de dates de validité. Sur certaines plateformes, le soumissionnaire est appelé directement à intervenir sur une action ciblée grâce à des messages d’alertes.

Les avantages offerts par la réponse dématérialisée aux appels d’offres

Les conditions de notification d’un appel d’offre dématérialisé

Les conditions de notification d’un appel d’offre dématérialisé

La notification est une étape de la passation de marché public qui intervient après la signature du contrat entre l’acheteur public et le titulaire du marché l’exécution du marché. Ce n’est qu’après notification que l’exécution commence et que les délais contractuels prennent effet. Dans la procédure d’appel d’offres dématérialisé, le représentant du pouvoir adjudicateur (RPA) signe l’acte d’engagement et procède à la notification après avoir choisi le titulaire du marché alors que dans la procédure du marché négocié, les modalités des offres peuvent être modifiées après des discussions avant que le document soit signé par le RPA.

Point de départ du délai d’exécution

Point de départ du délai d’exécution

Le marché est notifié au titulaire par l’envoi électronique d’un exemplaire unique certifié conforme du marché que le représentant du pouvoir adjudicateur (RPA) et le titulaire du marché ont dument signé. La notification du marché marque le début du délai d’exécution. En effet, la date de réception de la notification par le titulaire du marché est la date d’entrée en vigueur du contrat et les délais d’exécution sont comptés à partir de cette date. Face à l’importance de la notification dans l’exécution du marché, l’acheteur public demande toujours un accusé de réception pour s’assurer que le titulaire du marché a bien reçu la notification. Toutefois, la date d’entrée en vigueur du contrat peut être postérieure à la date de sa notification si précisée dans les termes du contrat.

Les modalités de la notification

Les modalités de la notification

Selon l’Article 81 du Code des marchés publics, l’exécution du marché d’un montant supérieur à 15.000 € HT ne doit pas être réalisée avant la notification du marché. Un marché d’un montant égal ou supérieur à 15.000 € HT ne peut pas faire l’objet d’un commencement d’exécution qu’après notification. Le marché inférieur à ce montant peut par contre être exécuté avant notification.

Pour la passation des marchés selon une procédure formalisée, l’opérateur économique est notifié par une copie du contrat signé par l’autorité compétente et envoyé en recommandé, par remise directe contre récépissé ou par voie électronique avec accusé de réception. L’acheteur public doit impérativement connaitre la date de réception de la notification, car le contrat prend effet à compter de celle-ci. L’envoi électronique de la notification se fait sur le profil d’acheteur.

La notification doit être faite le plus tôt possible après la signature entre l’acheteur public et le titulaire du marché, car ce dernier doit attendre la réception de la notification avant l’exécution du contrat. Le non-respect de ce processus ne confère pas de base juridique sur les prestations exécutées qui dans la foulée pourrait entrainer un refus de paiement.

Sélection du titulaire du marché public

Sélection du titulaire du marché public

La notification du contrat au titulaire implique le commencement d’exécution du contrat. Avant d’aboutir à ces deux dernières étapes de la passation du marché public et d’appel d’offres, l’acheteur public doit choisir avant tout le titulaire du contrat après examen des offres et informer les autres candidats du rejet de leur offre. Vient ensuite la délibération pour autoriser la signature du contrat, la transmission de la délibération au contrôle de légalité et la signature du contrat.

Comment passer votre site en HTTPS ?

SOMMAIRE
  • SOMMAIRE

Comment passer votre site web en HTTPS ?

Le HTTPS est un protocole permettant de sécuriser les échanges de données entre un serveur et un client, et de valider l’identité d’un site visité. Cette double sécurisation est essentielle : elle garantit laconfidentialité des données et rassure les internautes qui se connectent à votre site web, tout en répondant aux exigences de Google. Vous n’avez pas encore affiché le HTTPS (et le petit cadenas vert qui l’accompagne) dans votre barre d’adresse ? Vous devez commencer par obtenir un certificat HTTPS auprès d’une Autorité de Certification avant de l’activer sur votre site. Voici la marche à suivre en 5 étapes.

Choisissez le certificat HTTPS adapté à vos besoins

Choisissez le certificat HTTPS adapté à vos besoins

Première chose à faire : choisir un certificat HTTPS (ou certificat SSL) adapté aux besoins de votre entreprise en matière de sécurité. C’est ce certificat électronique qui permet le chiffrement des donnéeséchangées entre un serveur et un client. Il est donc indispensable d’en obtenir un pour activer le protocole HTTPS sur votre site. Celui-ci s’obtient auprès d’une Autorité de Certification. Mais avant toute chose, il faut sélectionner le bon niveau de sécurisation parmi les certificats suivants :

  • À validation de domaine (certificat HTTPS rudimentaire qui chiffre les données sans vérifier l’identité du propriétaire du site).
  • À validation d’organisation (certificat SSL plus poussé qui nécessite l’authentification du propriétaire du site).
  • À validation étendue (certificat HTTPS offrant une sécurité optimale, particulièrement adapté aux sites qui collectent des données confidentielles et/ou des informations bancaires).

Il n’est pas forcément nécessaire d’acheter un certificat SSL trop pointu (à validation étendue) si votre domaine d’activité et le type de données collectées ne le justifient pas.

Générez une demande de certificat

Générez une demande de certificat

Une fois votre certificat HTTPS choisi, vous devez le demander auprès d’une Autorité de Certification (AC), un organisme chargé de délivrer des certificats et d’opérer les vérifications nécessaires (comme CertEurope). L’obtention de ce sésame passe par une étape préalable : une demande de signature de certificat (ou CSR certificat). Générer cette demande permet de soumettre votre besoin de certificat SSL à l’Autorité de Certification choisie, de manière à ce qu’elle enclenche les indispensables procédures de vérification exigées par le niveau de sécurité souhaité.

Une fois la demande validée par l’AC, celle-ci émet un certificat HTTPS que vous devez récupérer et installer sur vos serveurs, puis lier à votre site web. La procédure d’installation et d’activation du certificat SSLdépend du serveur et du langage utilisé. Si vous achetez votre certificat électronique auprès d’une Autorité de Certification, celle-ci peut vous proposer de prendre en charge cette étape.

Un conseil : avant de passer à l’étape suivante, effectuez une sauvegarde complète (back up) de votre site web. Cela vous permettra de revenir en arrière en cas de problème lors de l’activation du HTTPS.

Redirigez les pages de votre site web

Redirigez les pages de votre site web

Vous avez obtenu votre certificat HTTPS et activé le protocole sur votre serveur. Mais ce n’est pas terminé ! Car le fait de passer du HTTP au HTTPS s’apparente à une migration de site à part entière, puisque votre nom de domaine change. Aux yeux des moteurs de recherche, votre site en HTTPS est donc différent de votre site en HTTP, ce qui suppose de rediriger toutes vos pages vers le HTTPS pour contourner les risques liés aux contenus dupliqués.

(Différentes méthodes existent pour basculer vos pages en HTTPS, depuis la modification manuelle de chaque URL à la création de redirections permanentes depuis le fichier .htaccess à la racine de votre site, en passant par l’utilisation de plugins dédiés – sur un CMS comme WordPress, par exemple.)

Mettez à jour les différents éléments de votre site

Mettez à jour les différents éléments de votre site

Plusieurs éléments de votre site web doivent être mis à jour une fois votre certificat HTTPS activé, dans la mesure où certains fichiers peuvent continuer d’être chargés en HTTP, ce qui suppose de modifier les URL correspondantes. Cela concerne les liens internes (si vous utilisez des URL absolues) ainsi que les images.

Tous ces changements ne sont pas automatiquement pris en compte par Google : à ses yeux, votre site en HTTPS est un nouveau site. Quand tout est prêt, vous devez donc prévenir le moteur de recherche (via la Google Search Console) afin qu’il procède à une nouvelle indexation de vos URL. Plus vite vous indiquerez à Google le basculement de votre site, moins vous serez affecté par les conséquences de ce changement sur le positionnement SEO de vos pages.

Testez votre site en HTTPS

Testez votre site en HTTPS

Vous n’avez plus qu’à vous assurer que vos démarches ont abouti en testant votre nouvelle configuration. Explorez votre site page après page pour vérifier que le certificat HTTPS a bien été activé partout et que le cadenas vert apparaît chaque fois. Contrôlez aussi les redirections : est-ce qu’elles fonctionnent bien ? Des outils (comme celui-ci) vous permettent d’auditer votre site pour vous assurer de la qualité du certificat SSL installé.

 

N’oubliez pas qu’en matière de certificat HTTPS, c’est la sécurité qui prime. Passer votre site en HTTPS ne suffit pas à garantir la confidentialité des données et à rassurer vos internautes : vous devez également choisir un certificat électronique qui correspond à vos besoins, puis le demander auprès d’une Autorité de Certification digne de confiance.

Open Banking, ou comment la DSP2 chamboule l’écosystème du paiement

SOMMAIRE
  • SOMMAIRE

Open Banking, ou comment la DSP2 chamboule l’écosystème du paiement

DSP2 : la directive qui encourage l’Open Banking ?

Nous avons vu dans un billet de blog précédent que pour les usagers l’authentification forte devient obligatoire dans le cadre des transactions de paiement.  Mais ce n’est pas le seul élément lié à la sécurité qui a été prévu par la directive sur les services de paiement (DSP2). L’un des volets sur lequel porte la directive concerne les communications sécurisées entre les banques et des services tiers. En effet, le champ d’application de la DSP2 s’étend aux services de paiement innovants et aux nouveaux fournisseurs sur le marché, tels que les sociétés de technologie financières (les Fintechs). Bien que non visible pour le grand public, c’est tout l’écosystème du paiement qui est bouleversé par ces nouvelles exigences et qui se tourne vers l’Open Banking !

Les normes réglementaires techniques (RTS – Regulatory Technical Standards) prévues par la DSP2 sont les exigences détaillées par l’Autorité Bancaire Européenne (ABE), en collaboration avec la Banque Centrale Européenne (BCE) et les banques centrales nationales. Divers RTS sont prévus par la directive pour en harmoniser la mise en œuvre opérationnelle. L’entrée en application des RTS sur les règles d’authentification forte et sur la mise en service des API DSP2 est prévue le 14 septembre 2019.

Encourager la concurrence et l’innovation

Encourager la concurrence et l’innovation

Quel est le lien entre DSP2 et Open Banking ? L’un des objectifs principaux de la DSP2 est d’encadrer les nouveaux acteurs de paiements. La directive cherche notamment à stimuler la concurrence et l’innovation dans le secteur bancaire en favorisant l’arrivée de nouveaux acteurs (Third Party Providers, TPP).

La directive identifie de nouveaux types d’acteurs tiers (TPP) :

  • Les émetteurs d’instruments de paiement.

Ces prestataires (Payment Instrument Issuer Service Provider – PIISP) fournissent des cartes de paiement qui sont reliés au compte bancaire. Lorsqu’un usager effectue une transaction, le PIISP doit s’assurer de la disponibilité des fonds auprès de l’AISP.

  • Les prestataires de services d’initiation de paiement (PISP – Payment Initiation Service Provider).

Les services d’initiation de paiement sont définis par le directive comme suit : un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement.

  • Les prestataires de services d’information sur les comptes (AISP – Account Information Service Provider).

Aussi appelé agrégateur de comptes bancaires, ce prestataire permet à un usager de regrouper sur une seule interface les informations sur les soldes et les opérations réalisées sur plusieurs ou l’ensemble de ses comptes.

Une mutation en profondeur du secteur bancaire

Une mutation en profondeur du secteur bancaire

Pourquoi peut-on voir les mesures de sécurité prévues par la DSP2 comme une véritable révolution pour le secteur bancaire. Tout simplement parce que les banques traditionnelles responsables jusqu’alors de la tenue de compte, sont avec DSP2 « forcées » d’ouvrir l’accès aux informations de compte par le biais d’APIs. La DSP2 s’attache donc à organiser le droit d’accès aux informations de compte par les prestataires de paiement. C’est l’objet de cet article, l’Open Banking.

Les nouvelles exigences de la DSP2, qui entrent en application à compter de septembre 2019, permettront de renforcer la collaboration et d’améliorer l’interopérabilité entre les institutions financières et les nouveaux acteurs de la banque et du paiement.

Dans une étude récente, Deloitte explique que la révolution Open Banking incite les banques à ouvrir leurs systèmes d’information et à partager avec leurs concurrents une partie de leurs données clients. Un phénomène qui ne cesse de prendre de l’ampleur, notamment avec l’entrée en vigueur de la DSP2.

L’Open Banking : le monde bancaire de demain

L’Open Banking : le monde bancaire de demain

Mais qu’entend-on par Open Banking ?

« L’Open Banking repose sur l’ouverture des systèmes d’information des banques et le partage de données de leurs clients à des tiers. L’API (Application Programming Interface) est au cœur de ce modèle », a expliqué le cabinet d’audit. « Cette avancée technologique permet aux développeurs d’intégrer les données et les services de tierces-parties au sein de leurs applications ». Deloitte précise que cette solution permet à tous les acteurs du marché de se connecter aux services des banques traditionnelles pour y développer leurs propres applications.

Open Banking : un besoin d’adaptation pour les acteurs du secteur

Open Banking : un besoin d’adaptation pour les acteurs du secteur

La DSP2 reconnaît et réglemente les prestataires de services de paiement tiers qui sont autorisés à accéder aux comptes, à agréger leurs données et à initier les services de paiement et dont le rôle est d’accepter le paiement en ligne. La directive prévoit que les commerçants, les fintechs et les banques puissent communiquer via des API. Les banques devront proposer ce canal de communication sécurisé aux prestataires de services de paiement tiers souhaitant agréger les données des comptes bancaires et/ou initier des services de paiement.

Quelles obligations pour les banques avec l’Open Banking ?

Désormais, les clients souhaitent pouvoir disposer de leurs données bancaires partout et tout le temps, et simplement. Les banques sont donc contraintes de les mettre à disposition d’établissements financiers tiers, au travers d’interfaces de programmation (API). Nous sommes donc au coeur de l’Open Banking. L’objectif de cette mutation du secteur est de stimuler la concurrence et l’innovation.

Le site de Red Hat définit une API comme un ensemble d’outils, de définitions et de protocoles qui facilite la création et l’intégration de logiciels d’applications. Elle permet à un produit ou à un service de communiquer avec d’autres produits et services sans connaître les détails de leur mise en œuvre. D’après l’éditeur mondial de solutions logicielles Open Source, les API « constituent un moyen simplifié de connecter votre propre infrastructure au travers du développement d’applications natives pour le cloud. Elles vous permettent également de partager vos données avec vos clients et d’autres utilisateurs externes ».

Côté back-end, cela signifie que les communications entre les serveurs des différents acteurs de la chaine sont protégées grâce à des certificats électroniques.

Certifications électroniques : une obligation de s’équiper

Certifications électroniques : une obligation de s’équiper

Pour assurer le niveau de sécurité requis par la DSP2, les banques et les PSP doivent s’équiper de deux certificats électroniques :

  • Le certificat eIDAS QWAC (Qualified Website Authentication Certificate). Il permet aux serveurs d’un PSP et d’une banque de s’authentifier mutuellement et de maintenir les communications chiffrées.
  • Le certificat eIDAS QSEAL (Quailified electronic Seal Certificate). Il permet aux serveurs d’un PSP et d’une banque de sceller le contenu d’une transaction.

Ces certificats permettent aux banques et aux prestataires de services de paiement de sécuriser les transactions. Mais ce n’est pas tout. Ils permettent de protéger les données des comptes de paiement tout en garantissant la conformité avec la directive européenne. En outre, sécuriser les transactions entre les banques et les PSP assure la traçabilité des échanges et garantit une authentification mutuelle entre les deux parties.

HTTPS, SSL, TLS, certificat de chiffrement : Le guide pour y voir plus clair !

SOMMAIRE
  • SOMMAIRE

Certificats SSL, TLS, HTTPS, certificat de chiffrement : Le guide pour y voir plus clair !

Difficile d’y voir clair parmi les sigles et les termes qui peuplent le monde de la certification numérique. Certificats SSL, certificats TLS, HTTPS, chiffrement, authentification… Ce guide a pour but de vous simplifier la vie en matière de sécurisation de site web.

Les usagers sont plus attentifs que jamais à la protection des données : 9 Français sur 10 se disent préoccupés par l’utilisation de leurs informations personnelles sur le web. Garantir la sécurité des internautes quand ils naviguent sur votre site Internet n’est donc plus une option. Problème : le monde de la cybersécurité ressemble à un mauvais film de science-fiction, avec son jargon sibyllin et ses sigles énigmatiques (certificat SSL, certificat TLS, HTTPS…). Au risque de vous faire passer à côté de l’essentiel. Ce guide est là pour vous aider à y voir plus clair, à travers un focus sur trois notions essentielles.

Le certificat de chiffrement et d’authentification

Le certificat de chiffrement et d’authentification

Vous y avez sans doute prêté attention : la barre d’adresse d’un navigateur web fournit des informations sur le niveau de sécurité des sites visités. On connaît notamment le petit cadenas qui s’affiche à côté de l’URL, signe que le détenteur du site a adopté le protocole de sécurité HTTPS (nous y reviendrons plus tard).

Cette sécurisation des serveurs (et donc des sites web) passe par des algorithmes de chiffrement. Ceux-ci consistent en la génération d’une clé cryptographique qui permet :

  • D’assurer la confidentialité des données échangées entre un poste client et un serveur. Dès qu’il est activé, seules ces deux entités peuvent décrypter les informations qui circulent entre elles.
  • De garantir l’intégrité des données.
  • D’authentifier le serveur web avec lequel l’utilisateur communique. Car une simple clé de chiffrement ne garantit aucunement l’identité de son détenteur !

Pour bénéficier de cette protection, un site web utilise un certificat de chiffrement – un certificat SSL ou TLS – relié au protocole HTTPS. Il est délivré par une Autorité de Certification (AC), chacune proposant des niveaux différents de fiabilité.

Le protocole HTTPS

Deux protocoles permettent de se connecter à un serveur web : le HTTP et le HTTPS. Entre les deux, une seule lettre de différence, mais un véritable gouffre en matière de sécurité.

Le protocole HTTP (pour HyperText Transfer Protocol) permet le transfert des données sur le web. C’est, en quelque sorte, le mode d’emploi d’une requête envoyée par le navigateur au serveur, préalable indispensable aux échanges d’informations. Le hic, c’est que ce type de connexion n’offre aucune sécurité. N’importe qui peut intercepter les données.

C’est là qu’intervient le HTTPS (avec le « S » de Secure en plus), qui adjoint au HTTP classique un protocole SSL / TLS. Celui-ci assure le chiffrement des données grâce à une clé de cryptage asymétrique, rendant les informations échangées illisibles pour une personne tierce et sécurisant la connexion. Il prouve également l’identité du détenteur du certificat SSL / TLS correspondant.

L’activation du protocole HTTPS fait apparaître un cadenas à côté de l’URL dans la barre d’adresse, auquel les internautes sont désormais habitués. Il s’affiche lorsqu’un site web est protégé par un certificat SSL ou un certificat TLS – ce qui en revient au même, comme nous allons le voir tout de suite.

Les certificats SSL (ou certificats TLS)

Pour afficher un site web en HTTPS, une entreprise doit d’abord obtenir un certificat SSL. Le SSL (Secure Socket Layer) est la technologie permettant de sécuriser les échanges de données entre le navigateur et le serveur. Il est particulièrement indiqué lorsqu’un utilisateur souhaite fournir des données confidentielles à un site web, par exemple pour effectuer un paiement. L’obtention d’un certificat SSL conduit à activer le protocole SSL, autorisant le site à ouvrir une connexion en HTTPS.

Le certificat TLS est le successeur du certificat SSL. Le TLS (Transport Layer Security) est une version plus sûre du SSL fonctionnant sur le même principe. Si votre site web utilise encore un ancien protocole SSL (2.0 ou 3.0), l’utilisateur en est prévenu par la présence d’un cadenas (ou du préfixe HTTPS) barré dans l’URL. Mais attention : par convention, on parle encore de certificat SSL plutôt que de certificat TLS, même si le protocole utilisé est bien le TLS. Vérifiez bien avant de changer quoi que ce soit !

Certificats SSL, TLS et HTTPS : une sécurisation indispensable

SSL, TLS et HTTPS : une sécurisation indispensable

Vous l’aurez compris : ces différents termes et sigles (certificats, SSL, TLS, HTTPS) englobent une seule et même chose, à savoir des protocoles de sécurisation des échanges entre les internautes et les sites web.

En quelques mots, l’affichage de votre site en HTTPS suppose de passer par le protocole TLS, lui-même nécessitant l’obtention d’un certificat SSL.

Le passage au HTTPS n’est plus une option. La protection des données est devenue un enjeu majeur pour les utilisateurs – notamment depuis la révélation des écoutes de la NSA – autant que pour Google. Afin d’inciter les acteurs du web à sécuriser leurs sites, le leader des moteurs de recherche a agi en trois temps :

  • À partir de 2014, en favorisant le positionnement des sites en HTTPS dans les résultats.
  • À partir de 2015, en pénalisant progressivement les sites non sécurisés par le biais d’un positionnement moins avantageux.
  • À partir de début 2018, en affichant un label « non sécurisé » sur les pages en HTTP.

Aujourd’hui, 70 % des pages web s’affichent en HTTPS, contre seulement 40 % en 2015. Un pourcentage qui n’ira qu’en augmentant. Car, à la suite de Google, d’autres plateformes en appellent à l’adoption d’un certificat SSL : depuis 2017, WordPress propose par exemple des fonctionnalités uniquement accessibles à des hôtes HTTPS.

Il est donc urgent de franchir le pas pour assurer la visibilité de son site et de sa marque, d’autant plus que cela participe au déploiement d’un Internet plus respectueux des droits des internautes !

Certificats DSP2 : la solution pour un écosystème Open Banking de confiance ?

SOMMAIRE
  • SOMMAIRE

Certificats DSP2 : la solution pour un écosystème Open Banking de confiance ?

DSP2 : un niveau de sécurité accru pour le services de paiement

La Directive sur les Services de Paiement 2 (DSP2), entrée en application le 13 janvier 2018, vise à harmoniser la réglementation sur les paiements au sein de l’Union européenne (UE). Elle doit permettre d’élargir et d’améliorer le choix des consommateurs sur le marché des paiements de détail. Dans le même temps, elle instaure des normes de sécurité plus strictes pour les paiements en ligne.

DSP1 : une première étape

DSP1 : une première étape

DSP2 est la deuxième version d’une directive européenne adoptée en 2007 et transposée en droit français en juillet 2009. La DSP1 a introduit un changement important dans le monde de la banque. En effet, depuis l’entrée en vigueur de la directive, des organismes qui ne sont pas des banques ont la possibilité de proposer la fourniture de certains moyens de paiement (cartes, virements, portes monnaies électroniques,services de paiement par le téléphone ou par internet, etc).

La nouvelle version de la directive (DSP2) vise à harmoniser davantage la réglementation sur les paiements en prenant en compte les avancées technologiques. Elle introduit notamment de nouvelles exigences en matière de sécurité pour l’initiation, le traitement des paiements électroniques, ainsi que la protection des données financières des consommateurs.

Qu’est ce qui change avec la DSP2 ?

Qu’est ce qui change avec la DSP2 ?

DSP2 porte sur trois sujets principaux à commencer par le renforcement des droits des consommateurs. Cela concerne notamment le remboursement sans délai des opérations contestées ou encore l’interdiction des surfacturations. Le second volet touche quant à lui à l’authentification forte pour la consultation des comptes et les opérations de paiement électronique.

L’authentification forte est la combinaison de deux facteurs d’authentification, minimum, parmi les trois catégories suivantes : possession (smartphone, appareil connecté, etc), connaissance (mot de passe, question secrète, etc) et inhérence (empreinte digitale, reconnaissance faciale, etc).

L’authentification numérique, et en particulier l’authentification forte, permet de créer ce socle de confiance. Elle apporte un niveau de garantie élevé quant à la personne (physique ou morale) rattachée à une identité numérique. Contrairement à une authentification dite « faible », elle participe à la création d’une identité qui réduit les risques d’usurpation, rendant les transactions électroniques plus sûres.

DSP2 : ouvrir le marché à de nouveaux acteurs

DSP2 : ouvrir le marché à de nouveaux acteurs

Le troisième sujet sur lequel porte DSP2 concerne les communications sécurisées entre les banques et des services tiers. En effet, le champ d’application de la directive s’étend aux services de paiement innovants et aux nouveaux fournisseurs sur le marché, tels que les sociétés de technologie financières (les Fintechs).

La directive européenne réglemente les prestataires de services de paiement tiers (PSP tiers). Ces derniers sont autorisés à accéder aux comptes, à agréger leurs données et à initier les services de paiement. Cet élément est une véritable révolution pour le marché des paiements. La DSP2 cherche ainsi à favoriser la concurrence, la transparence et l’innovation.

Les PSP tiers comprennent :

  • Les Prestataires de Services d’Initiation de Paiement (PSIP) qui offrent d’initier les paiements pour le compte de clients, donnant ainsi l’assurance aux détaillants que l’argent est en route.
  • Les agrégateurs et Prestataires de Services d’Information sur les Comptes (PSIC) qui fournissent à leurs clients une vue d’ensemble des comptes et soldes disponibles.

Donner accès aux données via un canal de communication sécurisé

Donner accès aux données via un canal de communication sécurisé

DSP2 prévoit que les commerçants, les fintechs et les banques puissent communiquer via des API (Interface de Programmation Applicative). En ce qui concerne les banques, elles devront donc proposer ce canal de communication sécurisé aux prestataires de services de paiement tiers souhaitant agréger les données des comptes bancaires et/ou initier des services de paiement. Cela permettra de renforcer la collaboration et d’améliorer l’interopérabilité entre les institutions financières et les nouveaux acteurs de la banque et du paiement.

Les API doivent être mises en place par les banques dans le respect des standards techniques (RTS -Regulary Technical Standards). L’Autorité Bancaire Européenne (ABE) était chargée de la rédaction de ces normes techniques, qui ont ensuite été validées par la Commission européenne. Le règlement européen relatif aux normes techniques réglementaires a été publié au Journal officiel de la Commission européenne du 13 mars 2018. Les mesures de sécurisation des données spécifiées par ces RTS seront applicables à compter du 14 septembre 2019, au plus tard.

Les certificats eIDAS DSP2, pour renforcer la sécurité

Les certificats eIDAS DSP2, pour renforcer la sécurité

Pour assurer le niveau de sécurité requis par la DSP2, les banques et les PSP doivent s’équiper de deux certificats électroniques :

  • Le certificat eIDAS QWAC (Qualified Website Authentication Certificate) qui permet aux serveurs d’un PSP et d’une banque de s’authentifier mutuellement et de maintenir les communications chiffrées.
  • Le certificat eIDAS Qseal (Qualified electronic Seal Certificate) qui permet aux serveurs d’un PSP et d’une banque de sceller le contenu d’une transaction.

Ces certificats permettent aux banques et aux prestataires de services de paiement de sécuriser les transactions, de protéger les données de comptes de paiement tout en garantissant la conformité avec la directive européenne. En outre, sécuriser les transactions entre les banques et les PSP permet d’assurer la traçabilité des échanges et de garantir une authentification mutuelle entre les deux parties.

Pourquoi des certificats eIDAS dans la DSP2 ?

Pourquoi des certificats eIDAS dans la DSP2 ?

Les certificats qualifiés eIDAS fournissent le plus haut niveau de garantie et de sécurité. Ils permettent d’obtenir un certain nombres d’informations comme le numéro d’agrément délivré par l’autorité nationale compétente (ACPR pour la France). Autre élément très important : ces certificats mettent en exergue les rôles tenus par les entités (services d’initiation de paiement, services d’initiation de paiement, services d’information sur les comptes et/ou émission d’instruments de paiement).

Ces 2 types de certificats doivent être émis par un QTSP (Qualified Trust Service Provider), c’est-à-dire un prestataire de services de confiance qualifié eIDAS ayant été auditée pour la norme ETSI TS 119 495. Le règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques. L’enjeu du règlement eIDAS est de créer un cadre européen de reconnaissance mutuelle et d’interopérabilité pour l’identification électronique et les services de confiance.

Le règlement eIDAS concerne principalement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union Européenne. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Il couvre notamment le sujet de la signature électronique et abroge la directive 1999/93/CE. L’ANSSI est l’organisme chargé de la mise en œuvre de ce règlement en France. eIDAS est applicable depuis le 1er juillet 2016 pour la majorité de ses dispositions, incluant celles relatives aux « services de confiance ».

Qu’entend-on par prestataire de confiance au sens d’eIDAS ?

Qu’entend-on par prestataire de confiance au sens d’eIDAS ?

Un prestataire de services de confiance qualifié est un prestataire de services de confiance offrant au moins un service de confiance qualifié. Le règlement européen formule des exigences générales applicables à l’ensemble des prestataires de services de confiance qualifiés, ainsi que des exigences spécifiques à chaque service de confiance qualifié.Un prestataire de services de confiance qualifié doit avoir fait l’objet d’une évaluation de la conformité aux exigences du règlement, avoir obtenu son statut qualifié de l’organe de contrôle désigné par l’Etat membre dans lequel il est établi, et être identifié sur la liste de confiance avant de pouvoir commencer à fournir des services qualifiés.

Construire un écosystème Open Banking

Construire un écosystème Open Banking

Avec les nouvelles règles mises en place par DSP2, les acteurs du paiement peuvent désormais construire un écosystème Open Banking qui offre un niveau de sécurité élevé, facilite l’interopérabilité tout en préparant les services de demain.

« L’Open Banking fait enfin apparaitre de nouveaux standards pour l’octroi de crédit et l’accompagnement du consommateur dans sa gestion bancaire et ses finances. Les nouvelles règles permettront notamment de mieux protéger les consommateurs lorsqu’ils effectuent des paiements. Elles encourageront le développement et l’utilisation de modes de paiement mobiles et en ligne innovants et elles rendront les services européens de paiement plus sûrs », a déclaré Béatrice Larregle, Présidente France et Benelux d’Experian, dans une tribune publiée dans Les Echos début 2019.

Les deux types de certificats nécessaires dans le cadre de la DSP2 sont délivrés par des QTSP (Qualified Trust Services Providers). Ce sont des autorités de certification, comme CertEurope, reconnues par l’Europe pour délivrer des certificats eIDAS.

CertEurope est la première autorité de certification en France et Tiers de Confiance, conforme à la réglementation eIDAS, référencé sur la « Trust List » des prestataires qualifiés eIDAS autorisés à fournir des certificats QWAC et QSEAL, ainsi que sur la liste des QSTP de l’Open Banking Europe

DSP2 : la directive qui accompagne la mutation numérique des services de paiement

SOMMAIRE
  • SOMMAIRE

DSP2 : la directive qui accompagne la mutation numérique des services de paiement

Directive DSP2 : comment l’écosystème du paiement évolue ?

La directive sur les services de paiement (DSP2) vise à harmoniser la réglementation sur les paiements au sein de l’Union européenne (UE) tout en prenant en compte les avancées technologiques. Le texte a pour objectif également d’introduire de nouvelles exigences en matière de sécurité.

Aujourd’hui, les besoins des utilisateurs sont de plus en plus orientés vers le paiement instantané, mobile ou le sans contact. Cette directive doit ainsi « favoriser l’innovation, la concurrence et l’efficience », selon la Commission européenne. Elle doit également « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide ».

DSP2 : une mutation numérique des services de paiement

DSP2 : une mutation numérique des services de paiement

DSP2 est la deuxième version de la Directive sur les services de paiement. La 1ère version de la directive a permis une intégration croissante du marché intérieur des services de paiement. Cependant, le législateur a jugé qu’il fallait aller plus loin, notamment en matière de sécurité. L’UE a adopté le 2nd texte le 25 novembre 2015. Et il est entré en vigueur dans tout l’UE le 13 janvier 2018. Cependant, certaines dispositions n’entreront en vigueur qu’au cours de l’année 2019.

« Le marché des services de paiement de l’UE reste fragmenté et cher, coûtant 130 milliards d’euros par an, soit plus de 1% du PIB de l’UE. L’économie européenne ne peut pas se permettre ces coûts si elle veut rester mondialement compétitive », déclarait en 2015 Antonio Tajani, le député en chargé du dossier, lors du vote de la directive. « Le nouveau cadre réglementaire réduira les coûts, augmentera la sécurité des paiements et facilitera l’arrivée de nouveaux acteurs et de nouvelles méthodes innovantes de paiements mobiles et en ligne ».

Pourquoi une directive sur les services de paiement ?

Pourquoi une directive sur les services de paiement ?

Dans un communiqué de presse en date de janvier 2018 a expliqué que grâce à cette directive DSP2, les consommateurs vont profiter de tous les avantages qu’offrent les paiements en ligne pour l’achat de biens et de services. Les nouvelles règles rendent ces paiement moins chers, plus simples et plus sûrs. « La directive révisée sur les services de paiement (DSP2) […] vise à moderniser les services de paiement en Europe au profit tant de consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide », précise le communiqué.

Directive DSP2 : de nouveaux enjeux de sécurité

Directive DSP2 : de nouveaux enjeux de sécurité

Les principales mesures introduites par la directive DSP2 sont les suivantes :

  • Interdire la surfacturation

    C’est-à-dire l’application de suppléments en cas de paiement par carte de débit ou de crédit. Cela est valable aussi bien dans un commerce physique qu’en ligne.

  • Ouvrir le marché des paiements de l’UE

    Aux entreprises offrant des services de paiement, en leur donnant accès aux informations sur les comptes de paiement.

  • Instaurer des exigences de sécurité strictes

    Pour les paiements électroniques et la protection des données financières des consommateurs. Cela implique par exemple une obligation d’authentification forte pour les paiements en ligne de plus de 30 euros. Le but étant de réduire la fraude dans l’e-commerce.

La sécurité : une priorité de la directive DSP2

La sécurité : une priorité de la directive DSP2

La sécurité est l’un des éléments forts de la nouvelle directive DSP2 par rapport à la première version. Un effort important a été fait sur ces questions. Les acteurs du marché ayant besoin de règles claires et précises pour se conformer aux nouvelles exigences, la Commission européenne a adopté des normes techniques de réglementation.

Ces normes techniques instaurent des exigences de sécurité que les prestataires de services de paiement doivent respecter lorsqu’ils traitent des opérations de paiement ou fournissent des services connexes. Ces normes définissent les exigences à remplir pour permettre une authentification forte des clients.

« Un objectif clé est de stimuler la concurrence ainsi que l’innovation sur le marché des paiements de détail. Dans ce contexte, les normes techniques de réglementation incluent deux nouveaux types de services de paiement, à savoir les services d’initiation de paiement et les services d’information sur les comptes », a précisé Bruxelles.

Authentification forte : une obligation dès septembre 2019 avec DSP2

Authentification forte : une obligation dès septembre 2019 avec DSP2

Les règles imposées par la directive intègrent des dispositions strictes en matière de sécurité. L’objectif est d’abord de réduire de manière significative les niveaux de la fraude en matière de paiement. Il s’agit ensuite de protéger la confidentialité des données financières des utilisateurs, particulièrement importante pour les paiements en ligne.

La directive DSP2 définit l’authentification forte comme suit. Il s’agit d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories :
Connaissance soit quelque chose que seul l’utilisateur connaît
Possession soit quelque chose que seul l’utilisateur possède
Inhérence soit quelque chose que l’utilisateur est
Ces éléments doivent être indépendants, c’est-à-dire que la compromission de l’un ne remet pas en question la fiabilité des autres, et est conçue de manière à protéger la confidentialité des données d’authentification.

L’authentification forte (deux facteurs au moins) fait partie des mesures applicables à compter de septembre 2019. Avant la directive, cette technique était seulement recommandée. Elle sera bientôt obligatoire. Dans le but de protéger le consommateur, la directive DSP2 exige des banques la mise en œuvre d’une authentification multi-facteurs. Le but est de vérifier l’identité de l’utilisateur pour toutes les transactions à distance et de proximité, et ce quel que soit le canal utilisé. Avec un objectif clair de renforcer la sécurisation des données, la directive DSP2 impose, côté back-end, que les communications entre les serveurs des différents acteurs de la chaine de valeur soient protégées, en ayant recours aux certificats électroniques.

Directive DSP2 : une amélioration de l’expérience utilisateur

Directive DSP2 : une amélioration de l’expérience utilisateur

En effet, la directive DSP2 demande aux banques de mettre en place des mesures de sécurité qui sont « compatibles avec le niveau de risque associé aux services de paiement ». Vous connaissez déjà la version une de la DSP : cette page de redirection sur laquelle vous atterrissez après un achat pour saisir un code que votre banque vous envoie par téléphone. La directive DSP2 en est la version ultra-sécurisée et ergonomique pour confirmer votre identité en ligne.

Directive DSP2 : une approche Open Banking

Directive DSP2 : une approche Open Banking

La directive européenne prévoit que les commerçants, les fintechs et les banques puissent communiquer et échanger via des API. C’est pour cette raison que les banques doivent adapter leurs structures informatiques à la directive DSP2 et mettre en place des API. Ce canal de communication sécurisé sera accessible par les prestataires de services de paiement tiers qui souhaitent agréger les données des comptes bancaires et/ou initier des services de paiement.

Les communications entre les serveurs des détenteurs de comptes (les banques), des agrégateurs d’information ou des prestataires de paiement doivent être sécurisées. Concrètement, ces acteurs doivent équiper leur serveur d’un certificat de cachet serveur.

Une nouvelle étape dans la création du marché unique numérique

Une nouvelle étape dans la création du marché unique numérique

«Cet acte législatif constitue une nouvelle étape dans la création d’un marché unique numérique dans l’UE. Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l’économie et la croissance. Avec l’entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs deviendra interdite. Les consommateurs de l’UE pourraient ainsi économiser plus de 550 millions d’euros par an. Ils bénéficieront aussi d’une protection accrue lorsqu’ils effectuent des paiements », a déclaré Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l’union des marchés des capitaux.

Tout savoir sur les certificats SSL ou TLS

SOMMAIRE
  • SOMMAIRE

Tout savoir sur les certificats SSL ou TLS

Qu’est-ce qu’un certificat TLS ou SSL ?

Respecter la réglementation des appels d’offres et optimiser les process

Un certificat SSL (Secure Sockets Layer) est un certificat numérique que l’on associe à un nom de domaine ou une URL. Egalement nommé certificat TLS (Transport Layer Security), il permet d’établir avec certitude le lien entre le site internet et son propriétaire (entreprise, marchand ou individu). L’authentification du site Internet permet de sécuriser les échanges électroniques avec les utilisateurs qui s’y connectent via Internet.

Le Domain Name System est un service permettant de traduire un nom de domaine en informations, notamment en adresses IP du serveur hébergeant ce nom de domaine.

Un nom de domaine (DN) est l’identifiant d’un site internet (www.monsite.com par exemple).

Un sous-domaine est l’adresse internet d’une partie de votre site internet (par exemple mail.monsite.com)

Le certificat TLS / SSL permet d’instaurer la confiance :

  • en authentifiant un site
  • en chiffrant l’ensemble des informations (personnelles, bancaires, etc.) entre ce site et la personne qui s’y connecte. Il garantit ainsi la confidentialité des échanges.

Les visiteurs peuvent ainsi laisser en toute sécurité et confiance leur numéro de carte bancaire ainsi que des informations personnelles. Ce certificat SSL permet en outre de sécuriser les transactions en ligne ; les informations données par le client ne peuvent pas être interceptées, détournées ou déchiffrées par une autre personne.

Comment fonctionne un certificat SSL ?

Comment fonctionne un certificat SSL ?

Sur un plan technique, les identifications numériques ou certificats numériques permettent d’associer une clé publique à son véritable propriétaire. La clé publique du site permet l’échange d’une clé de session secrète ; celle-ci va chiffrer les informations transmises entre le client et ce site Internet. Elle permet également, via un module de contrôle d’intégrité inclus dans les fonctions de chiffrement, de vérifier que le message n’a pas été modifié au cours de son passage sur Internet.

L’Autorité de Certification, l’organisme qui délivre le certificat SSL, agit en quelque sorte comme une Préfecture ou une Mairie qui délivre des cartes d’identité ; Elle engage une série de vérifications selon des règles très strictes, afin d’établir avec certitude l’identité de l’entreprise et du serveur web ; l’Autorité de Certification émet alors le certificat SSL et le retourne à l’administrateur du site web certifié.

Votre certificat TLS / SSL, véritable passeport électronique de votre site web, contient les informations suivantes :

  • L’url du site à certifier (ex: www.monsite.fr)
  • Les coordonnées de votre entreprise
  • Votre clé publique (qui permet le chiffrement des informations)
  • Le nom de l’Autorité de Certification, qui émet ce passeport électronique
  • La date d’expiration de ce certificat SSL
  • La signature de l’Autorité de Certification

Pourquoi a-t-on besoin d’un certificat TLS / SSL ?

Pourquoi a-t-on besoin d’un certificat SSL ?

Les utilisateurs réalisent leurs transactions sur les sites qu’ils savent certifiés et sécurisés ; ils s’assurent ainsi que l’activité de l’entreprise est réelle et que les communications chiffrées, de manière à rester confidentielles.

Les certificats SSL permettent également de prouver l’identité du propriétaire du site web aux utilisateurs qui se connectent, et empêcher un site malveillant d’usurper l’identité de celui-ci et détourner ses clients ou visiteurs.

L’Autorité de certification s’engage sur une série de vérifications selon des règles très strictes, afin d’établir avec certitude l’identité d’une entreprise et de son serveur web. Le certificat SSL, une fois fabriqué, donnera aux clients les assurances suivantes :

  • La preuve de l’identité de l’entreprise : un passeport électronique unique est délivré pour un site Internet, assurant aux clients l’authenticité du site, permettant le chiffrement et garantissant ainsi la confidentialité des communications.
  • Une forte sécurité : reposant sur le modèle de chiffrement à « clé publique », dérivé des technologies militaires, les certificats SSL, procurent un très haut niveau de sécurité. La technologie de chiffrement SSL étant déjà implémentée sur un serveur, l’entreprise doit se procurer un certificat SSL.
  • Une utilisation simple : Transparence pour les clients

Qu’est-ce que le protocole SSL ?

Pourquoi a-t-on besoin d’un certificat SSL ?

Secure Socket Layer – SSL – est un protocole d’authentification et de chiffrement de sessions Internet, également appelé aujourd’hui Transport Layer Security – TLS.

Netscape a développé cette technologie. Tous les fabricants de matériels informatiques et les logiciels d’accès à l’Internet, en particulier, tous les serveurs web et navigateurs courants du marché ont aujourd’hui adopté ce standard.

Ce protocole permet les fonctions essentielles :

  • D’authentification du serveur web et, le cas échéant, des personnes qui s’y connectent
  • De chiffrement
  • De contrôle d’intégrité des données, afin de sécuriser les informations qui transitent sur internet

Qui utilise un certificat TLS / SSL ?

Qui utilise des certificats SSL ?

De plus en plus d’entreprises utilisent un certificat TLS / SSL afin de sécuriser leur site internet. Cela et de susciter la confiance de l’internaute.

Les premiers certificats déjà émis ont concerné en premier lieu :

  • Les sites de commerce électronique pour sécuriser les transactions de vente sur Internet
  • Les banques qui offrent à leurs clients un accès sécurisé à leurs informations (compte bancaire, portefeuille boursier, …)
  • Les administrations pour leurs échanges internes ou pour des applications de téléprocédures
  • Les sociétés industrielles qui sécurisent leurs intranets, extranets, applications EDI, …
  • Les services de messagerie web et les réseaux sociaux (Google, Yahoo, Facebook,…)

En effet, le certificat TLS / SSL sert notamment à :

  • Chiffrer des informations confidentielles et stratégiques :
    • envoyées par un client vers un site marchand (informations client, numéros de carte bancaire, etc.) ;
    • qu’une entreprise transmet à ses partenaires ou à ses employés distants connectés à Internet ;
    • présentes et les échanges sur l’intranet d’une entreprise ;
  • Sécuriser les échanges et les transactions sur les services de messagerie ;
  • Donner confiance aux utilisateurs connectés grâce à l’authentification et à l’exactitude du contenu des informations présentes : serveur d’informations, de banque, d’administration, d’intranet ou d’extranet, de vente en ligne, etc.

Les certificats SSL, plusieurs choix possibles :

Les certificats SSL, plusieurs choix possibles :

En fonction de la configuration de vos serveurs web et de vos sites internet il existe plusieurs types de certificats:

Il existe 4 types de certificats SSL :

  • DV : “Domain validated” permet de sécuriser un site internet.
  • OV : “Organisation validated” sécurise le site internet institutionnel de votre organisation.
  • EV : “Extended validated” permet une sécurité renforcée de votre site par la présence d’une barre verte sur la ligne d’URL du browser
  • Certificat RGS* : Ce certificat s’adresse aux organisations du secteur public. Il respecte la norme RGS et est reconnu par l’administration française.

Les options Wilcard ou SAN : Si vous avez plusieurs noms de domaines à protéger, vous avez la possibilité de choisir entre l’option Wildcard ou l’option SAN. Ces options vous permettent d’inclure dans un même certificat plusieurs noms de domaines.

L’option “wildcard” (*. avant votre nom de domaine) permet de sécuriser l’ensemble des sous domaines de votre site internet avec le même certificat.

Par exemple, si le nom de domaine est https://www.monsite.fr, il est possible de positionner dans un certificat Wildcard les adresses URL suivantes :

  • https://intranet.monsite.fr
  • https://secure.monsite.fr
  • https://webmail.monsite.fr

L’option SAN (Subject Alternative Name) permet de sécuriser plusieurs noms de domaines différents appartenant à mon organisation.

Par exemple, si le nom de domaine est https://www.monsite.fr, il est possible de positionner dans un même certificat les adresses suivantes :

  • https://www.monsite.com
  • https://www.monsite2.com

Quelle est la différence entre un certificat SSL DV et un certificat SSL OV ?

Les caractéristiques techniques du certificat restent les mêmes que ce soit pour un DV ou un OV ; à savoir un niveau de sécurité maximal de 256 bits avec une clé RSA de 2048 bits et un algorithme de hachage SHA-2.

La différence repose sur les vérifications effectuées par l’Autorité de Certification ; dans le cas d’un certificat SSL DV,  l’équipe de production dédiée vérifie que le demandeur de certificat est bien propriétaire du nom de domaine donné, à l’aide des informations figurant dans le WHOIS. Pour émettre un certificat SSL OV, l’équipe de production dédiée vérifie non seulement que le demandeur du certificat est bien propriétaire du nom de domaine mais également propriétaire de l’entreprise. L’entreprise doit figurer dans la base de données du registre du commerce correspondant. Qui plus est, le nom de l’entreprise apparaîtra dans l’intitulé même du certificat SSL OV.

Quelle est la différence entre un certificat SSL OV et un certificat SSL EV ?

Pour émettre un certificat SSL EV, l’équipe de production dédiée procède à un audit poussé de l’entreprise assurant ainsi le niveau de fiabilité le plus élevé. Le certificat SSL EV est en général utilisé par les leaders mondiaux du commerce électronique. Avec ce certificat, la barre de navigateur s’affiche en vert ce qui garantit une sécurité et une légitimité maximale pour un site. L’acquisition d’un certificat SSL EV n’est pas plus complexe qu’un certificat SSL OV. Il renforce néanmoins la confiance des internautes quant à la sécurité de votre site web, ce qui peut favoriser la hausse de vos ventes en ligne.

Que veut dire « clé de 256 ou de 2048 bits »?

Une clé est un nombre ou un couple de nombres. Le nombre de bits d’une clé correspond à la taille de la clé, c’est à dire la grandeur du nombre. Plus la taille d’une clé est importante, plus le niveau de sécurité est élevé.

Il y a deux types de clé, utilisable chacune pour un type d’algorithme bien précis : symétrique ou asymétrique.

Lorsque l’on parle de clés de 256 bits, il s’agit de « clés de session », symétriques, qui chiffrent les informations confidentielles selon un algorithme symétrique – les plus fréquents sont les algorithmes AES. On parle alors de « clé AES de 256 bits ».

Lorsque l’on parle de clés de 2048 bits, il s’agit de « clés de signature » ou de « clés de chiffrement de clés de session », utilisées par des algorithmes asymétriques – le plus fréquent est RSA. On parle alors de « clé RSA de 2048 bits ».

En effet, pour des raisons de performance, il est plus rapide de chiffrer un message avec une clé symétrique qu’avec une clé asymétrique de résistance comparable. Il faut donc pouvoir transmettre en toute confidentialité la clé symétrique à son interlocuteur ; la clé symétrique sert en effet à la fois au chiffrement et au déchiffrement du message. C’est au moyen de la clé publique du destinataire que la clé de session est chiffrée et transmise au destinataire en toute confidentialité. La sécurisation d’un site internet au moyen d’un certificat SSL devient alors essentielle et un incontournable du marché.

Qui délivre un certificat TLS / SSL ?

Qui délivre des certificats SSL ?

Un tiers de confiance certifié peut émettre un certificat. Acteur du développement de la confiance dans le monde numérique, il intervient dans la protection de l’identité, des documents, des transactions et de la mémoire numérique. Il engage sa responsabilité juridique dans les opérations qu’il effectue pour le compte de son client.

Les organismes qui produisent les certificats SSL sont appelés des Autorités de Certification (AC ou CA en anglais pour Certification Authority).

Identité numérique d’entreprise : quels sont les risques et comment s’en prémunir ?

SOMMAIRE
  • SOMMAIRE

Identité numérique d’entreprise : quels sont les risques et comment s’en prémunir ?

À de nombreux égards, l’identité numérique est une force pour l’entreprise : elle témoigne d’une image de marque bien établie et d’un nom reconnaissable, qu’il s’agisse de vendre des produits/services ou d’échanger des documents. Mais, faute d’être maîtrisée, cette identité immatérielle peut rapidement se transformer en faiblesse, et fragiliser ce que l’organisation a mis des années à forger – le socle de confiance sur lequel repose sa pérennité. Vol de données, modification ou altération de documents, pillage d’informations sensibles ou de secrets de fabrication, manipulation ou usurpation d’identité… Les risques que fait peser la numérisation de l’identité sur l’entreprise sont nombreux et doivent être pris au sérieux. Quels sont-ils ? Comment s’en prémunir ?

Identité numérique de l’entreprise : une définition

Identité numérique de l’entreprise : une définition

Dans Qu’est-ce que l’identité numérique ? (OpenEdition Press, 2013), Olivier Ertzscheid définit l’identité numérique comme « la collection des traces (…) que nous laissons derrière nous, consciemment ou inconsciemment, au fil de nos navigations sur le réseau et le reflet de cet ensemble de traces, tel qu’il apparaît “remixé” par les moteurs de recherche ». À cela, il faut ajouter une autre dimension liée à la dématérialisation des échanges : l’identité numérique désigne l’identité assumée, en ligne, par l’émetteur d’un document ou d’un ordre de décision. Cela fonctionne de la même manière pour les personnes physiques et morales. Par exemple, un DRH qui signe un contrat d’embauche et l’envoie par email à la personne recrutée utilise son identique numérique – à ceci près que, dans une entreprise, chaque collaborateur est garant de l’intégrité de l’identité de l’ensemble de la structure.

Les différentes couches de l’identité numérique

Les différentes couches de l’identité numérique

L’identité numérique est constituée d’une succession de trois couches informatives :

  • La 1ère couche est l’identité déclarative. Elle englobe les données qui sont partagées par l’entreprise sur les réseaux, de façon volontaire : sur ses supports web (site internet, blog, profils sociaux), sur des supports tiers (sites d’actualités, annuaires professionnels, forums, sites informatifs…), via des photos ou des vidéos, etc. Tous les collaborateurs de l’entreprise participent à la constitution de l’identité numérique déclarative, directement ou indirectement (par exemple, en indiquant sur leur profil LinkedIn qu’ils travaillent pour telle société).
  • La 2e couche est l’identité agissante. Elle regroupe toutes les traces laissées par les individus sur les réseaux, à l’exemple de la géolocalisation, des habitudes de navigation sur Internet (via les cookies), des échanges personnels et professionnels (par mail, via une messagerie instantanée, etc.), ou des ressources consultées sur le web (musique, vidéo, etc.). Cette facette de l’identité numérique est uniquement le fait des personnes physiques, mais l’ « empreinte digitale » ainsi laissée peut impacter la notoriété de l’entreprise.
  • La 3e couche est l’identité calculée. Elle est forgée par des algorithmes qui interprètent les données collectées pour recomposer les différentes facettes d’une identité individuelle ou collective. Ces outils extrapolent dans le but de prévoir les besoins et d’y répondre de façon anticipée.

Là encore, il est possible d’ajouter une pierre à l’édifice et de compléter le mille-feuille avec une 4e couche : l’identité légale. Elle désigne à la fois l’identité dématérialisée d’un individu ou d’une entreprise (nom et prénom, ou dénomination sociale) et les outils utilisées pour la justifier légalement (certificat électronique, signature électronique, authentification forte, etc. – voir plus bas).

Les enjeux liés à l’identité numérique des entreprises

Les enjeux liés à l’identité numérique des entreprises

Les problématiques qui entourent l’identité numérique de l’entreprise ne peuvent plus être ignorées. Tous les secteurs d’activité sont touchés, ainsi que toutes les tailles d’entreprises. Toutes les organisations laissent des traces sur le web et sont susceptibles d’envoyer ou de recevoir des documents sensibles. Pour cette raison, toutes sont concernées par les enjeux liés à l’identité digitale, qui se déploient à trois niveaux : branding, notoriété et cybersécurité.

Le branding. L’image que l’entreprise projette d’elle-même à travers ses ressources propres (logo, site web, visuels, publicités) est dépassée par l’image bâtie par les utilisateurs (prospects, clients, partenaires, fournisseurs, concurrents, détracteurs…). Résorber ou, du moins, contrôler l’écart qui existe entre ces deux images est l’un des enjeux majeurs de ce début de XXIe siècle en termes de maîtrise de l’identité numérique. Le risque étant de laisser la parole aux utilisateurs et de négliger les contenus malveillants et les erreurs d’interprétation.

La notoriété. Si la réputation a toujours été un enjeu déterminant pour les entreprises, l’essor du web a accentué son importance. Avec les réseaux sociaux, notamment, un bad buzz est vite arrivé. Les mauvaises nouvelles se répandent comme une traînée de poudre, et la prolifération des fake news fait qu’il n’est même plus nécessaire qu’une information soit vraie pour convaincre une large audience. Internet est soumis à la puissance de la rumeur, avec, à la clé, des dégâts potentiellement irréversibles sur l’entreprise – son e-réputation étant le socle sur lequel est édifiée la confiance des tiers. Malheureusement, la notoriété ne dépend pas du bon vouloir des organisations, mais de la communauté de leurs défenseurs et de leurs détracteurs. Il est donc essentiel de suivre l’évolution de cette image de marque et d’être prêt à intervenir en cas de situation de crise.

La cybersécurité. Les risques pesant sur la sécurité des systèmes d’information ne cessent d’augmenter, mettant en danger à la fois les entreprises et leurs utilisateurs. Le nombre de cyberattaques contre les organisations a augmenté de 25 % en 2019 (1), et quatre sociétés sur cinq en France sont mal préparées à se défendre contre ces risques (2). Partout dans le monde, les attaques contre les grandes entreprises se multiplient. Les hackers profitent de failles de sécurité pour dérober des données personnelles ou lancer des logiciels malveillants, comme par exemple :

  • Le vol des données personnelles de 106 millions de clients de la banque américaine Capital One – données d’identification, informations financières, données de transaction, numéros de sécurité sociale, numéros de comptes.
  • Plus récemment, l’infection du SI d’Edenred (éditeur des Tickets Restaurants) par un malware. L’annonce de l’attaque a fait chuter le titre de 6 % à la Bourse en quelques heures.

Sachant qu’un vol de données, en France, coûte en moyenne 3,54 millions d’euros (3)… et que son impact sur l’image de l’entreprise peut revenir bien plus cher à long terme. Sans même parler d’un autre problème, systématiquement sous-estimé : le vol de données des employés. Alors que l’accès d’une personne malveillante à des informations internes (adresses mail, conversations, fiches de paie, numéros de sécurité sociale….) peut avoir des conséquences majeures, notamment en donnant par la suite accès aux SI lui-même via les mots de passe dérobés (4).

Les risques cyber qui pèsent sur les entreprises

Les risques cyber qui pèsent sur les entreprises

Les institutions montent au créneau pour contraindre les organisations à prendre les mesures qui s’imposent. C’est le cas à travers deux directives européennes : le RGPD (règlement général sur la protection des données) qui encadre la gestion des données personnelles des utilisateurs, donc leur sécurité ; et le règlement eIDAS (electronic Identification, Authentification and trust Services) qui régit l’identification électronique et les services de confiance à travers un socle sécuritaire commun.

Les risques ? Ils sont de trois ordres :

  • La manipulation de l’information (avis négatifs, diffusion de fausses informations, rumeurs, campagnes de dénigrement dirigées contre une entreprise spécifique, etc.)
  • La manipulation de l’identité numérique de l’entreprise (détournement du logo ou du slogan, usurpation ou détournement de marque, usurpation d’identité, fabrication de contrefaçons, vol de données, altération de documents, etc.)
  • Le vol de données (souvent) sensibles via l’utilisation de brèches de sécurité (manipulation technique).

Les solutions à adopter pour protéger l’identité numérique de l’entreprise

Les solutions à adopter pour protéger l’identité numérique de l’entreprise

Les enjeux liés à l’identité numérique et les risques relatifs à sa non-maîtrise contraignent les entreprises à prendre des mesures concrètes pour se protéger. On peut distinguer deux grandes familles de solutions à adopter :

  1. Les bonnes pratiques à faire appliquer au quotidien par les collaborateurs de l’entreprise (sous la houlette de la DSI). Garants de l’image de marque de leur employeur, les salariés sont les premiers concernés par les bons gestes à adopter, à la fois pour conserver le contrôle de l’identité numérique de l’entreprise (attention portée aux publications et aux échanges, maîtrise de l’empreinte numérique, utilisation d’outils sécurisés pour se connecter aux réseaux, veille stratégique pour repérer les contenus négatifs et malveillants) et pour garantir l’intégrité de cette identité lors des échanges (utilisation de mots de passe complexes changés régulièrement, connexions uniquement depuis des réseaux sécurisés, soin porté aux échanges de documents sensibles, etc.).
  2. Les solutions logicielles et applicatives à implémenter. Par exemple : les certificats SSL pour sécuriser l’accès au site web et aux serveurs, et ainsi garantir la confidentialité des données échangées entre les utilisateurs et l’entreprise. Les outils de signature électronique qui authentifient les émetteurs et confèrent une valeur légale aux documents digitalisés, en supprimant les risques d’altération de ces documents ou d’usurpation d’identité. Ou encore l’utilisation d’un mécanisme d’authentification forte, qui requiert la consécution d’au moins deux facteurs d’identification afin de renforcer la sécurité des accès aux SI de l’entreprise. Tous ces outils sont rattachés à des certificats électroniques délivrés par des tiers de confiance (à l’image de CertEurope).

En somme, l’identité numérique de l’entreprise doit s’appuyer en simultané sur un ensemble de bonnes pratiques internes et sur l’utilisation d’outils sécurisés et 100 % fiables, adaptés au niveau de risque. C’est la seule façon qu’ont les organisations de reprendre le contrôle de leur identité digitale – pierre angulaire de leur pérennité.

Sources :

(1) https://www.accenture.com/fr-fr/insights/security/invest-cyber-resilience
(2) https://www.globalsecuritymag.fr/Cybersecurite-les-entreprises,20190423,86425.html

Icona Top