Identité numérique : la base de la confiance en ligne

SOMMAIRE
  • SOMMAIRE

Identité numérique : la base de la confiance en ligne

L’identité numérique est au cœur de la confiance dans le cadre des échanges en ligne. Faute de disposer d’une identité forte sur le réseau et des moyens de protéger cette identité, le développement des échanges électroniques et des services de confiance est voué à l’échec. Cette notion est à la base de tous les processus d’authentification et de sécurisation des données – certificat électronique, certificat SSL, signature électronique. L’identité numérique, c’est donc l’incontournable socle sur lequel doit s’édifier la confiance en ligne de votre entreprise.

Qu’est-ce que l’identité numérique ?

La notion d’identité, au sens administratif, est relativement récente. En France, la carte d’identité nationale est apparue seulement en 1921, mais elle est restée facultative depuis lors (exception faite d’une brève période de temps pendant la Seconde Guerre mondiale), et n’a été généralisée qu’à la toute fin du XXe siècle. En tout état de cause, posséder un justificatif d’identité quel qu’il soit est indispensable pour effectuer la plupart des démarches, comme s’inscrire sur une liste électorale, ouvrir un compte bancaire ou acheter une voiture. L’identité permet à chacun de prouver qui il est dans les circonstances qui nécessitent d’apporter cette preuve, à travers une somme d’informations factuelles.

Cette problématique, transposée au monde digital, se complexifie toujours plus. La définition d’une identité numérique se heurte à nombre d’obstacles, à commencer par l’ampleur des éléments qui la constituent. Globalement, une identité numérique est formée par la somme des traces numériques laissées par un individu ou une entreprise. Ces traces peuvent avoir de multiples sources : les profils (sur les réseaux sociaux, par exemple), les données communiquées, les sites fréquentés, les contenus publiés, les comportements, les opinions déclaratives, etc. Elles peuvent être laissées volontairement ou non, consciemment ou non, et prendre tous les formats possibles, depuis les contenus jusqu’aux identifiants de connexion, en passant par les cookies et l’adresse IP.

Relier l’identité numérique à son propriétaire

Néanmoins, cette définition ne recouvre qu’un seul des aspects de l’identité numérique. Les traces laissées sur le web informent sur ce qu’une entité ou une personne semble être, mais pas sur ce qu’elle est réellement. Dans le contexte de la dématérialisation des services et des formalités administratives, la nuance est importante : quand un internaute achète sur un site e-commerce, quand un acteur commercial signe un contrat avec un autre, ils doivent être certains d’avoir affaire au bon site ou à la bonne entité.

L’essor des échanges électroniques tend à multiplier les risques. Pour une entreprise, la menace d’usurpation d’identité est majeure : elle doit absolument protéger son identité numérique et veiller à ce que ses interlocuteurs, eux aussi, soient vraiment ceux qu’ils prétendent être. L’enjeu, c’est donc de parvenir à relier l’identité numérique à son propriétaire. À faire en sorte que tout le monde puisse faire le lien entre l’identité régalienne (l’entreprise que vous êtes) et son équivalent digital (un certificat ou une signature électronique, par exemple). Cette démarche permet de garantir l’identité du signataire dans tous les cas de figure, qu’il s’agisse de protéger les échanges avec les internautes ou de donner une valeur légale à des documents électroniques.

Le besoin d’une identité numérique sécurisée

Le développement des échanges en ligne contraint les entreprises à disposer de moyens de s’authentifier numériquement aux yeux du public et de leurs partenaires. « Contraint » est le bon terme : depuis juillet 2016, le règlement eIDAS (electronic Identification, Authentification and trust Services) encadre l’identification électronique et les services de confiance au niveau européen. En imposant un socle sécuritaire commun dans le cadre des échanges de données, eIDAS oblige les entreprises à adopter des processus permettant de garantir leur identité numérique à travers plusieurs niveaux de fiabilité et de sécurité. Le règlement intègre également des exigences quant à la création d’une signature électronique, sur la base d’un certificat numérique délivré par une Autorité de Certification comme CertEurope (voir notre article au sujet d’eIDAS).

La signature électronique, justement, est la clé d’une identité numérique sécurisée. Cautionnée par un certificat électronique, elle protège votre entreprise contre toute tentative d’usurpation d’identité, garantit l’intégrité des documents échangés, et consolide votre présence en ligne. Grâce à cette signature, les démarches de consentement et d’engagement sont limitées au seul porteur du certificat numérique, tandis que le certificat en question sécurise les données échangées via une clé de chiffrement.

De son côté, l’authentification forte (l’utilisation de deux facteurs d’identification) permet aux entreprises de sécuriser leurs accès à leur système d’information depuis n’importe quel support, de façon à protéger des données sensibles ou confidentielles. L’authentification forte est soutenue par l’émission d’un certificat électronique signé par un tiers de confiance.

Enfin, l’obtention d’un certificat électronique intégrant le protocole SSL vise à protéger l’intégrité des données échangées entre un serveur et un client, mais aussi à garantir l’identité du possesseur du certificat (pour des certificats présentant un haut niveau de sécurité : OV ou EV).

L’adoption d’outils fiables de maîtrise de l’identité numérique, à l’image de la signature électronique et du certificat électronique, est donc un préalable indispensable à des échanges électroniques sécurisés. Et un gage de confiance incontournable.

 

Certificat SSL, SSL, certificat TLS… 5 questions pour tout comprendre

SOMMAIRE
  • SOMMAIRE

Certificat SSL, TLS… 5 questions pour tout comprendre

Les Français sont de plus en plus connectés : la moitié d’entre eux a l’habitude d’effectuer des achats en ligne, et ils sont 80 % à consulter leurs comptes bancaires depuis des interfaces web. Mais comment assurer la sécurité de leurs données personnelles ? La réponse, c’est le protocole SSL, permettant d’assurer la confidentialité des données échangées entre les internautes et les plateformes web. Voici 5 questions pour tout comprendre au sujet du fameux certificat SSL et de son successeur, le certificat TLS.

Le SSL, c’est quoi ?

Dans certificat SSL, il y a « SSL », abréviation de Secure Socket Layer. Il s’agit d’un protocole permettant de sécuriser les échanges entre un internaute et une plateforme (site web, serveur, application mobile) via le chiffrement des données. Ce protocole, inventé dans les années 90 par Netscape pour Mastercard dans le but de protéger les transactions effectuées en ligne, élimine les risques d’interception « en clair » des données par des personnes tierces. Les informations échangées sont donc cryptées et inaccessibles aux pirates informatiques.

Le protocole SSL a contribué à la sécurisation du web et au développement du commerce en ligne. Utilisé en grande partie pour sécuriser les données confidentielles et les coordonnées bancaires des internautes, et pour garantir leur intégrité, le SSL est également une méthode d’ « authentification forte ». À travers un certificat SSL, l’utilisateur peut s’assurer de l’identité du serveur avec lequel il communique.

Comment fonctionne un certificat SSL ?

Le certificat SSL est donc un certificat électronique qui intègre le protocole SSL. Il atteste du lien entre l’identité numérique et l’identité physique d’une personne ou d’une entreprise. Et garantit ainsi la confidentialité des données échangées entre le serveur et les internautes, par le biais d’une clé cryptographique.

Installé sur un serveur, le certificat SSL autorise des connexions sécurisées sur le navigateur. Celles-ci sont signalées par la présence du protocole HTTPS dans l’URL du serveur, et par l’affichage d’un cadenas de sécurité dans la barre d’adresse (à gauche ou à droite, en fonction des navigateurs).

Ce certificat de site web assure-t-il la sécurité des utilisateurs ?

Au départ, le certificat SSL est destiné à la sécurisation des données sensibles, essentiellement dans le cadre des paiements en ligne. Par la suite, le SSL s’est imposé comme la norme pour protéger l’accès aux comptes utilisateurs, l’envoi de documents dématérialisés ou les déclarations fiscales (entre autres). Même les réseaux sociaux ont adopté le protocole SSL : vous pouvez constater, en vous connectant sur Facebook, Twitter ou LinkedIn, que ces plateformes affichent bien le protocole HTTPS et le fameux cadenas.

Un certificat SSL permet ainsi de faire la distinction entre un site sécurisé et légitime, et un site mal protégé, voire malveillant, par exemple dans un cas de « phishing » (une forme d’attaque consistant à imiter une page web pour convaincre un internaute de livrer des informations confidentielles).

Toutefois, il ne faut pas oublier une chose : le SSL signifie que les données sont protégées par un chiffrement. Ce qui n’empêche nullement un pirate informatique d’acheter un certificat SSL à faible niveau de sécurité (un certificat DV, par exemple, est délivré au propriétaire d’un nom de domaine, sans plus de vérifications) afin d’afficher HTTPS et cadenas. Les données sont effectivement chiffrées, mais l’internaute n’est pas protégé pour autant.

Pour garantir une protection optimale, il est nécessaire d’installer un certificat SSL offrant un haut niveau de sécurisation, permettant de garantir l’identité de l’entreprise propriétaire et gestionnaire du site. C’est le cas des certificats à validation d’organisation ou à validation étendue.

Comment obtenir un certificat SSL ?

Un certificat SSL suppose une vérification préalable, dont la teneur est fonction du niveau de sécurisation demandée. Une entreprise qui souhaite adopter le protocole SSL doit s’adresser à une Autorité de Certification (AC), seule habilitée à fournir le certificat en question, de la même façon que seuls les services administratifs compétents sont en mesure de délivrer une carte d’identité ou un passeport. Les Autorités de Certification sont nombreuses, et CertEurope est l’une d’entre elles. Selon les AC, le niveau de fiabilité des procédures de vérification et d’émission des certificats diffère.
Notez qu’il est également possible de passer par des intermédiaires (les fournisseurs de certificats SSL) qui travaillent avec ces autorités.

Quelle différence entre un certificat SSL et un certificat TLS ?

Afin d’intégrer des algorithmes de chiffrement plus précis et plus robustes, et ainsi faire face aux évolutions des problématiques de sécurité, le SSL a connu des versions successives… Jusqu’à se transformer en TLS (Transport Layer Security).
Le protocole TLS est donc le successeur du SSL. L’arrivée du TLS en 1999 n’a pas mis au rebut les protocoles précédents (SSL 2.0 et 3.0), mais ceux-ci ont été progressivement désapprouvés par les autorités. Conséquence : un site web qui utilise un protocole trop ancien n’offre pas une expérience utilisateur sécurisée, et voit son préfixe HTTPS barré en guise d’avertissement aux internautes. Le TLS est donc le protocole en vigueur.
Pour autant, il faut savoir que protocole et certificat sont deux choses différentes – et indépendantes l’une de l’autre. Si le protocole TLS s’est imposé, on parle toujours de « SSL » par convention. Ce qui veut dire qu’un certificat SSL et un certificat TLS sont une seule et même chose.
Vous n’avez donc pas besoin de vous précipiter auprès de votre autorité compétente pour acheter un certificat TLS, dès lors que vous en possédez déjà un en version SSL !

Comment utiliser la plateforme de déclaration Synapse ?

SOMMAIRE
  • SOMMAIRE

Comment utiliser la plateforme de déclaration Synapse ?

Si vous êtes fabricant, vendeur, importateur, responsable de la mise sur le marché ou utilisateur de produits chimiques ou de préparations à risques, la plateforme de déclaration en ligne Synapse ne vous est sans doute pas inconnue. Dans le cadre de vos activités, vous êtes tenu de déclarer certains de ces produits, à des fins d’évaluation et de prévention des risques, auprès des organismes agréés. Comment fonctionne cette plateforme ? Quelles sont les étapes à suivre pour effectuer une déclaration sur Synapse ? Et pourquoi faut-il absolument être en possession d’un certificat RGS pour accéder à ce portail ?

Synapse, c’est quoi ?

La plateforme de déclaration Synapse est un outil mis en place conjointement par l’INRS (Institut national de recherche et de sécurité) et les CAPTV (Centres antipoison et de toxico-vigilance français). Accessible et utilisable en ligne, elle permet aux industriels qui vendent des produits chimiques et des préparations de les déclarer de façon simple et sécurisée, par le biais d’une interface dynamique. Le but ? Évaluer le niveau de risque présenté par ces substances et prévenir les éventuels risques toxicologiques.

Cette obligation s’applique :

  • Aux produits classés dangereux, en fonction de leur classification.
  • Aux produits phytopharmaceutiques (destinés à protéger les végétaux et à combattre les organismes nuisibles qui s’en prennent à eux).
  • Aux produits biocides (destinés à détruire ou repousser les nuisibles : désinfectants, produits de protection, substances permettant de lutter contre les nuisibles, etc.).
  • Aux produits classés dangereux considérés comme « nouveaux », c’est-à-dire mis sur le marché pour la première fois, issus d’une nouvelle composition, concernés par une évolution d’étiquetage, achetés auprès d’un fournisseur inédit, etc.).
  • À tout type de produit dès lors que la demande de déclaration émane directement de l’INRS.

Pour simplifier cette démarche, l’INRS se charge d’enregistrer les déclarations en ligne via une plateforme spécifique : Synapse. La déclaration sur Synapse est une obligation depuis l’arrêté du 25 janvier 2017. Mais comment se déroule-t-elle ?

Comment effectuer une déclaration sur Synapse ?

Le portail Synapse a été conçu pour faciliter et sécuriser les déclarations de produits et de préparations de façon dématérialisée. Une déclaration sur Synapse peut être prise en charge par l’industriel qui fabrique, vend ou utilise la substance en question, ou bien par un prestataire de service mandaté pour l’occasion.

Les démarches à suivre pour procéder à une déclaration sur Synapse sont les suivantes :

  • S’inscrire sur la plateforme Synapse (une étape préalable obligatoire conditionnée à l’utilisation d’un certificat électronique RGS délivré par un Tiers de Confiance : nous y reviendrons un peu plus loin) ;
  • Accéder à son espace personnel sur le portail (« Mes déclarations ») ;
  • Créer une « Nouvelle déclaration » ;
  • Remplir les onglets de la déclaration, dans l’ordre prédéfini ou non, chacun devant être validé individuellement en ayant pris soin d’inscrire les items obligatoires (signalés par un astérisque rouge), parmi lesquels : le contexte, l’identification, la nomenclature, l’usage du produit, les informations de commercialisation, les caractéristiques physico-chimiques, la composition des substances, l’étiquetage, etc.

Une fois la déclaration Synapse effectuée, il est possible de la consulter et d’en suivre le traitement depuis l’onglet « Mes déclarations », ou d’en changer l’affectation sur l’écran « Gestion des déclarations ».

Le certificat d’authentification RGS : une nécessité pour déclarer sur Synapse

Comme nous l’avons vu plus haut, la possession d’un certificat électronique est le préalable indispensable à toute inscription sur la plateforme, donc à toute déclaration. Mais pas n’importe quel certificat : un certificat RGS (pour « référentiel général de sécurité » : un texte qui fixe les règles à respecter pour garantir un certain niveau de sécurité lors des échanges dématérialisés d’informations).

Pour pouvoir effectuer une déclaration sur Synapse, l’industriel ou le prestataire de service mandaté doit nécessairement s’équiper d’un certificat RGS, afin de s’inscrire sur la plateforme, puis de s’authentifier à chaque fois qu’il souhaite se connecter. Ce certificat permet de garantir un niveau de sécurité élevé dans le cadre d’un accès à distance à une application ou un service en ligne. Il donne l’assurance que le déclarant est bien celui qu’il prétend être, et que les informations déposées et exploitées sont bien celles qui ont été antérieurement fournies par le possesseur dudit certificat.

L’accès au portail Synapse suppose d’obtenir un certificat deux étoiles (**) ou trois étoiles (***) auprès d’une Autorité de Certification comme CertEurope. Le nombre d’étoiles renvoie à l’obligation de remettre le support cryptographique contenant le certificat en mains propres au demandeur. Ces certificats servent à accéder à des espaces sécurisés sur des plateformes comme Synapse, et garantissent l’intégrité des documents signés électroniquement et des informations déposées en ligne.

Le certificat RGS** (au minimum) est donc l’indispensable sésame pour s’inscrire sur Synapse et commencer à effectuer des déclarations en ligne. L’inscription est validée par le gestionnaire de la plateforme après vérification du certificat. Si celui-ci expire, une mise à jour est alors nécessaire sur cette page. Renseignez-vous auprès de votre Tiers de Confiance pour en savoir plus.

Chorus Pro, l’indispensable outil pour transmettre vos factures électroniques aux entreprises publiques

SOMMAIRE
  • SOMMAIRE

Chorus Pro, l’indispensable outil pour transmettre vos factures électroniques aux entreprises publiques

Parmi vos clients, vous comptez des collectivités locales, des ministères, des hôpitaux ou tout autre établissement public ? Dans ce cas, vous êtes sans doute déjà passé à la facturation électronique – ou devrez y passer très prochainement si votre société est une PME ou une micro-entreprise. Depuis le 1er janvier 2017, les entreprises qui fournissent les organismes publics en biens ou en services ont l’obligation d’adopter la dématérialisation des factures. Une contrainte qui n’en est pas vraiment une, grâce à la mise en place de Chorus Pro, le portail gouvernemental qui simplifie la transmission des factures dématérialisées et le suivi de leur traitement, tout en garantissant la sécurité des échanges. Explications.

La facturation électronique obligatoire pour les fournisseurs du service public

Dans l’idée d’inciter les entreprises à adopter massivement la facturation électronique, le gouvernement a prévu d’imposer l’émission de factures dématérialisées à tous les fournisseurs de l’administration publique, pour l’ensemble des échanges de biens et de services. En toute logique, il a également obligé les établissements publics et les collectivités locales à adapter leurs environnements informatiques pour pouvoir recevoir les factures dématérialisées, grâce à un portail dédié.

Ce processus est progressif. Résultant de l’ordonnance n°2014-697 relative au développement de la facturation électronique (à lire sur cette page), dans le cadre du programme de simplification en faveur des entreprises, un calendrier a été mis en place avec les paliers suivants :

  • 1er janvier 2017 : entités publiques et grandes entreprises (plus de 5 000 salariés).
  • 1er janvier 2018 : entreprises de taille intermédiaire (entre 250 et 5 000 salariés).
  • 1er janvier 2019 : petites et moyennes entreprises (entre 10 et 250 salariés).
  • 1er janvier 2020 : micro-entreprises (moins de 10 salariés et entrepreneurs individuels).

En 2020, toutes les sociétés qui travaillent avec les entités publiques devront donc être passées à la facturation électronique. Mais rien ne vous empêche, si vous n’êtes pas encore concerné par cette obligation, de passer à la dématérialisation sans attendre. Le portail permettant d’accueillir les factures électroniques et de les acheminer vers les destinataires prévus existe depuis le 1er janvier 2017 : c’est Chorus Pro.

Chorus Pro : simplifier les échanges de factures dématérialisées

Mis en place par l’AIFE (l’Agence pour l’informatique financière de l’État, une émanation du ministère de l’Économie et des Finances) en remplacement de Chorus Factures, le portail Chorus Pro a été conçu pour faciliter les échanges entre les sociétés et les administrations publiques dans le cadre des demandes de paiement. La plateforme embarque deux fonctionnalités principales :

  • Elle sert de « hub » permettant de centraliser les factures dématérialisées de l’ensemble des fournisseurs, pour les distribuer aux administrations publiques destinataires.
  • Elle permet d’envoyer, de consulter et de télécharger les factures dématérialisées, et de suivre en temps réel l’avancement du traitement des demandes de paiement.

Une fois votre compte créé sur Chorus Pro, vous pouvez sélectionner un mode d’émission (portail, EDI ou service) et un format (PDF signé ou non signé, PDF mixte, fichier XML, format structuré ou mixte, mise à disposition des services du portail sous forme d’API, etc.). Comme nous le verrons plus tard, le choix dépend du volume de factures à envoyer.

De son côté, l’entité publique destinée à recevoir vos demandes de paiement doit elle aussi opter pour un mode de réception : portail (visualisation et téléchargement des factures), EDI (injection automatique du flux, visualisation des factures électroniques sur une feuille de style) ou service (fonctionnalités qui passent par une API).

Les avantages du portail Chorus Pro

Ce qui pourrait ressembler a priori à une contrainte est, en réalité, une opportunité. Car le passage à la dématérialisation des factures par le biais de Chorus Pro offre de nombreux avantages, notamment :

  • Le gain de temps, grâce à l’accélération du processus de transmission des factures.
  • Les économies, en raison de la réduction des coûts d’impression et d’envoi.
  • La confiance, renforcée par une plus grande transparence (la possibilité de suivre en temps réel l’avancement du traitement).
  • La tranquillité d’esprit, du fait d’une diminution des relances et des risques de litige.
  • La réduction de l’empreinte carbone (moindres émissions de CO2).

À tous ces bienfaits, il faut ajouter un gain en matière de sécurité et de confidentialité des échanges – comme nous allons le voir tout de suite.

Des modes de transmission de facture électronique 100 % sécurisés

La dématérialisation des factures, aussi attractive soit-elle, pose la question de la sécurité des échanges. Que deviennent les factures une fois que vous les avez envoyées ? Quelqu’un peut-il transmettre des factures en usurpant votre identité ?

Tout est prévu pour que cela n’arrive pas, en fonction du mode de transmission choisi (dépôt unitaire des factures sur le portail Chorus Pro ou envoi groupé de façon automatisée en EDI – échange de données informatisées).

  • Si vous émettez un nombre peu élevé de factures (par exemple moins de 50 par mois): vous pouvez signer vos factures avec un certificat RGS** pour personne physique, et les déposer de manière unitaire sur Chorus Pro. Vous devez d’abord vous procurer un certificat RGS**, puis signer votre facture dans Adobe Acrobat Reader, et enfin la déposer sur Chorus Pro. Cette solution permet de se passer de la piste d’audit fiable. Découvrez tout le processus de dépôt d’une facture unitaire sur la page dédiée du portail.
  • Si vous émettez un volume important de factures (par exemple plus de 50 par mois): vous pouvez automatiser la transmission de vos factures vers le serveur Chorus Pro.
    • En mode EDI ou API Oauth : il est nécessaire au préalable de s’équiper d’un certificat SSL ce qui permet de procéder au dépôt groupé des factures en format EDI.
    • En mode API Oauth2 : il faudra passer par la plateforme PISTE (Plateforme d’Intermédiation des Services pour la Transformation de l’Etat), qui mutualise les services API de l’Etat et de la sphère publique, et qui a pour vocation à devenir un point d’entrée unique.

Quel que soit le cas de figure que vous choisissez, il est nécessaire de vous équiper soit d’un certificat RGS** pour personne physique, soit d’un certificat d’authentification serveur RGS* auprès d’un Tiers de Confiance comme CertEurope, de manière à ce qu’il soit conforme au RGS.

Tel est l’indispensable socle de confiance sur lequel vous vous appuyez pour garantir la sécurité et la confidentialité de vos factures électroniques transmises via Chorus Pro.

Du certibiocide à la déclaration Synapse : quelles sont les étapes à suivre ?

SOMMAIRE
  • SOMMAIRE

Du certibiocide à la déclaration Synapse : quelles sont les étapes à suivre ?

Dans le but de vendre sur le marché des produits conçus à partir de matières chimiques considérées comme étant dangereuses pour la santé, le ministère de la Transition Écologique impose aux entreprises spécialisées de passer le certibiocide, mais également d’effectuer la déclaration Synapse. Si le certibiocide est un certificat qui s’obtient à la suite d’une courte formation, les procédures actuellement en vigueur autour de la déclaration Synapse sont légèrement plus complexes à appréhender. L’occasion pour nous d’étudier dans cet article, l’ensemble des étapes à suivre afin d’effectuer sa déclaration sur la plateforme prévue à cet effet.

Certibiocide et déclaration synapse

Qu’est-ce que le certibiocide ?
Certibiocide et déclaration synapse

Le certibiocide est un certificat individuel et obligatoire que les professionnels souhaitant mettre en vente des produits biocides, donc nocifs pour certains êtres vivants, doivent obtenir. Ce certificat est délivré par le Ministère de la Transition Ecologique. Sans ce dernier, impossible de continuer son activité. Les produits concernés sont assez nombreux, allant des désinfectants de surface aux produits de lutte contre certains organismes, comme les termites, les rongeurs ou certains insectes.

Comment obtenir le certibiocide ?
Comment obtenir le certibiocide ?

Le certibiocide s’obtient à la suite d’une courte formation. Pour les détenteurs du certiphyto (certificat attestant de connaissances concernant l’utilisation de produits phytopharmaceutiques), cette formation ne durera qu’une seule journée. Pour les autres, il faudra compter sur un cycle de trois journées complètes. Celles-ci s’effectuent auprès d’un organisme spécialement agréé et habilité par le ministère de la Transition Écologique, dont les établissements sont répertoriés sur le site Simmbad. Une fois la formation passée, le certibiocide sera valide pour une durée de 5 ans, à compter du jour où il est officiellement délivré. Au cours de cette formation, les participants en apprendront plus au sujet des réglementations liées aux produits biocides ainsi que sur les usages de ces derniers, en fonction de la catégorie dans laquelle ils sont répertoriés (désinfectant, insecticide, rodenticide). Une partie de cette formation s’articule autour de la prévention de l’utilisation de ces produits et leurs impacts sur notre santé et notre environnement. Une autre partie concerne les stratégies alternatives vers lesquelles se tourner afin d’éviter de recourir à ces biocides. Mais ce certificat n’est pas une fin en soi et certains professionnels doivent aller plus loin, en se tournant notamment vers la plateforme Synapse.

Qu’est-ce que la déclaration Synapse

Depuis 2014, un arrêté invite les entreprises produisant et vendant sur le marché des produits chimiques considérés comme étant dangereux, à déclarer certains d’entre eux sur la plateforme Synapse. Celle-ci a été mise en place et est actuellement gérée par deux organismes : les Centres Antipoison et l’INRS (Institut National de Recherche et de Sécurité pour la prévention des accidents du travail et des maladies professionnelles).

Cette déclaration s’effectue en ligne, à travers le portail Synapse. Le gouvernement a décidé d’aller plus loin le 1er janvier 2019 en obligeant également les entreprises produisant et vendant sur le marché des mélanges considérés comme potentiellement dangereux pour la santé, à les déclarer. En 2022, c’est l’ensemble des mélanges présentant des risques physiques, qui seront à déclarer sur cette plateforme.

Cette déclaration, si elle n’est pas fondamentalement « compliquée », est un processus qui peut être chronophage et requiert des déclarants, qu’ils disposent du certificat RGS/eIDAS (Référentiel Général de Sécurité). Un processus que nous allons étudier plus en profondeur, dans la suite de cet article.

Déclaration synapse : notre guide en 4 étapes

Déclaration synapse : notre guide en 4 étapes

Le certificat RGS, une condition sine qua non

Comme nous venons de l’évoquer, l’inscription sur la plateforme Synapse est conditionnée à l’obtention du certificat RGS. Ce certificat RGS vise à garantir un certain niveau de sécurité. À utiliser à chaque connexion sur Synapse, il sert de « carte d’identité électronique ». En l’utilisant, le professionnel va confirmer auprès de la plateforme, qu’il est bien la personne concernée par la déclaration. Ce certificat s’obtient auprès d’un organisme de certification tel que CertEurope, qui gère nos offres de la gamme Sign (signature numérique), afin de garantir la confiance dans vos échanges numériques.

Plusieurs documents sont demandés par les organismes tiers de certification. Ainsi, dans le but de compléter son dossier, il faut fournir :

  • Un extrait K-Bis de son entreprise. Celui-ci doit être daté de moins de 3 mois.
  • Un avis de situation de l’entreprise, afin de s’assurer que celle-ci est toujours en activité.
  • Une photocopie des statuts ainsi que des coordonnées de l’entreprise.
  • Un justificatif d’identité de la personne dont le nom figurera sur le certificat, afin de vérifier que celle-ci existe bel et bien et qu’elle sera la propriétaire de ce document.
  • Une confirmation signée par le représentant de la société concernée, confirmant l’identité de la personne à qui sera délivré le certificat.
  • Une participation financière, afin de régler ce service de certification.

La plateforme Synapse n’est plus accessible dès lors que son certificat RGS est périmé, soit après 3 années d’utilisation. Pour continuer à avoir accès à la plateforme et gérer au mieux ses déclarations, il est possible de remplir un formulaire dans lequel le déclarant joint l’empreinte de son nouveau certificat RGS. La mise à jour du compte est réalisée en back-office par les équipes Synapse. Le déclarant peut alors retourner sur son espace personnel, en toute sécurité. Attention, cette procédure, afin qu’elle soit menée à bien, doit être gérée par la personne en charge de la gestion de la déclaration Synapse, inscrite au préalable. Il faut donc fournir un nouveau certificat RGS, au même nom, faute de quoi, la procédure sera annulée. Une fois le certificat obtenu, reste à définir comment effectuer sa déclaration Synapse.

Comment faire sa déclaration Synapse depuis la plateforme ?

Passage obligatoire, le portail Synapse permet aux professionnels de déclarer leurs produits et leurs préparations, de manière totalement dématérialisée. La déclaration s’effectue directement sur la plateforme par le déclarant ou par une tierce personne mandatée pour l’occasion. Les démarches à suivre sont nombreuses, mais l’ensemble du processus est assez simple.

1- S’inscrire sur la plateforme Synapse

Afin de déclarer sur la plateforme Synapse, il faut avant toute chose, s’inscrire sur le portail. Comme nous avons pu le voir ci-dessus, cette inscription est directement conditionnée à l’obtention du certificat électronique RGS.

2- Accéder à son espace personnel

Une fois l’inscription terminée, un espace personnel est directement accessible. Cet espace personnel permet d’avoir accès à plusieurs catégories, comme :

  • L’espace nouvelle déclaration : comme son nom l’indique, cet espace permet la création d’une déclaration synapse.
  • Mes brouillons : cet espace permet de facilement retrouver, en quelques clics seulement, les dossiers en état d’avancement, mais qui ne sont pas encore terminés.
  • Mes déclarations : ce dossier permet le stockage de toutes les déclarations envoyées par le déclarant. C’est ici qu’il est possible de suivre l’évolution de sa déclaration.
  • Gestion : ce dossier permet le stockage de toutes les déclarations envoyées par l’unité déclarant. Cet écran permet également le changement d’affectation d’une ou plusieurs déclarations au sein d’une unité déclarante ainsi que le transfert d’une gamme de produits vers un autre déclarant.

3- Suivre l’onglet « Nouvelle déclaration »

Dans le but de créer une nouvelle déclaration Synapse, il convient de se rendre sur l’onglet « Nouvelle déclaration ». Il faut ensuite remplir les quelques cases obligatoires demandées. Parmi ces dernières, figurent notamment l’identification et l’usage du produit. Ces données sont importantes car elles permettent de rapidement retrouver le produit concerné et surtout, de savoir à quoi il sert. Son usage se déclare à l’aide du référentiel des classes d’utilisation générale qui dénombre 570 différents cas.

Les caractéristiques physiques ainsi que la composition du produit doivent également être détaillées. Ces données, comme la couleur, le pH et le point d’éclair ainsi que l’ensemble des éléments (classés comme dangereux ou non) doivent être présentés. Enfin, d’autres données, comme les informations de commercialisation ou l’étiquetage doivent être mises en avant par le déclarant.

Pour conclure, la déclaration Synapse requiert l’obtention d’un certificat RGS, délivré par un organisme de certification agréé, tel que CertEurope. En situation d’urgence, nous vous garantissons par ailleurs la livraison d’un certificat RGS sous 72 heures.
Pour plus d’informations, n’hésitez pas à visiter notre page dédiée : Comment utiliser la plateforme de déclaration Synapse ?

EBICS : la solution pour gérer vos échanges bancaires en toute sécurité

SOMMAIRE
  • SOMMAIRE

EBICS : la solution pour gérer vos échanges bancaires en toute sécurité

ebics

Les échanges bancaires représentent un risque majeur pour les organisations. C’est pourquoi les normes de sécurité qui les encadrent évoluent en continu, la plus récente étant EBICS : un protocole de communication bancaire standardisé et sécurisé qui garantit la confidentialité des données, permet l’identification des donneurs d’ordre et préserve l’intégrité des fichiers. Avec, en guise de bonus, un processus de validation 100 % automatisé grâce à la signature électronique. Revue de détail.

Qu’est-ce que EBICS ?

EBICS (en anglais : Electronic Banking Internet Communication Standard) est une norme européenne destinée au secteur bancaire. Il vient remplacer l’ancien protocole ETEBAC. Ce protocole standard est utilisé pour sécuriser les échanges de données en ligne entre les organisations et les établissements bancaires : envoi d’ordres de paiement ou d’encaissement, réception de relevés de comptes ou d’avis de bonne fin de traitement, etc. Il permet aussi de compresser les données, afin de transmettre des fichiers moins volumineux, et de signer électroniquement les demandes pour contourner tout risque de fraude.

Il existe deux modes de validation :

  • EBICS T (pour Transport) : les fichiers transmis sont placés en attente par la banque, jusqu’à réception de la confirmation signée par une personne autorisée au sein de l’organisation, transmise par un canal séparé. C’est cette confirmation qui permet l’exécution de l’ordre. Seul hic : depuis le 1er janvier 2017, les banques ne peuvent plus accepter les confirmations d’ordres transmises par fax, ce qui pousse les organisations à préférer EBICS TS.
  • EBICS TS (pour Transport et Signature) : les ordres sont signés électroniquement. On parle aussi de « validation jointe ». Les opérations sont ensuite exécutées directement, sans nécessiter de confirmation. Ce protocole offre le maximum de sécurité.

EBICS est aussi un protocole multi-bancaire. Une organisation peut travailler avec n’importe quelle banque ayant adopté EBICS en Europe.

Comment fonctionne le protocole EBICS ?

  • Les transactions EBICS impliquent quatre entités :

    • Une organisation ou entreprise qui souhaite échanger des données avec un établissement bancaire ;
    • Une banque, au sein de laquelle EBICS Banking Server est installé ;
    • Un partenaire, l’unité interne à l’organisation qui interagit avec la banque ;
    • Un utilisateur de l’organisation, qui effectue les transactions.

    Pour transmettre des données, l’organisation se connecte à un serveur EBICS propre à l’établissement bancaire. Avant d’être envoyé, le fichier désiré est zippé, chiffré à l’aide d’une clé cryptographique, puis encodé en Base64. Il est ensuite découpé en fragments inférieurs à 1 Mo, insérés dans autant de messages XML. Il est possible de joindre la validation des fichiers ou de le faire ultérieurement en utilisant une signature électronique (selon le mode de validation privilégié). Dans ce dernier cas, la signature de l’ordre a pour conséquence la création d’un fichier de signature, qui permet à la banque de vérifier la conformité de l’ordre et la validité du certificat utilisé par l’organisation (vérification faite auprès de l’Autorité de Certification qui a délivré le certificat).

    C’est toujours l’organisation qui est à l’initiative d’une transaction, qu’il s’agisse d’émettre ou de recevoir.

Quel est le niveau de sécurité des échanges ?

Le protocole EBICS garantit la sécurité de vos échanges bancaires à deux niveaux. D’une part, il utilise des messages XML véhiculés par une connexion TCP/IP sur HTTPS.

D’autre part, il sécurise les envois grâce à trois paires de clés RSA :

  • Une clé de signature qui permet de créer la signature électronique liée à la demande ;
  • Une clé de chiffrement qui permet de transmettre la clé AES de chiffrement de la demande ;
  • Et une clé d’authentification qui permet de signer le message XML.

Pour cela, une Autorité de Certification doit au préalable vous avoir délivré un certificat électronique compatible EBICS TS (c’est le cas de CertEurope).

Quelles sont les conditions préalables ?

Si vous souhaitez bénéficier du protocole EBICS pour vos transactions bancaires, votre entreprise doit suivre deux étapes.

Dans un premier temps, il vous faut signer un contrat avec l’établissement bancaire de votre choix par le biais de votre partenaire. Ce document définit les types de transactions ainsi que les autorisations et les droits d’accès. Il donne également des informations au sujet des comptes bancaires des utilisateurs.
Dans un second temps, vous devez échanger vos certificats et confirmer les paramètres bancaires. Conformément au contrat, l’établissement configure les données du partenaire et de l’utilisateur. Vous n’avez plus qu’à passer à la phase d’initialisation : l’échange et la vérification des certificats entre la banque et votre organisation.

Quels sont les avantages ?


Le protocole EBICS est massivement utilisé par les organisations pour leurs échanges bancaires. Cela, en raison de ses multiples avantages :

  • C’est une solution sécurisée permettant de procéder à des échanges bancaires en toute sérénité : les fichiers sont protégés par cryptage électronique au moment de l’envoi, et les opérations ne sont exécutées qu’après une confirmation émise par l’utilisateur (EBICS T), ou si elles sont validées par une signature électronique adéquate (EBICS TS).
  • EBICS permet de transporter tous les formats de fichiers bancaires en émission et en réception (SWIFT, XML, CFONB), y compris ceux qui contiennent de gros volumes d’opérations.
  • EBICS est compatible avec une large gamme de logiciels de communication bancaire, et avec les différents formats de virements et de prélèvements bancaires (comme SEPA au niveau européen).
  • Le protocole offre une grande souplesse, avec plusieurs solutions de validation disponibles et une définition des délégations de signatures adaptée aux besoins de l’entreprise. Vous pouvez choisir un ou plusieurs utilisateurs et définir des profils d’intervention différents. De plus, avec le protocole EBICS TS, l’utilisateur peut émettre des ordres depuis n’importe où dans le monde, dès lors qu’il est connecté à Internet, qu’il dispose de sa clé sécurisée et qu’il a un certificat électronique valide.

EBICS est donc LA solution pour gérer vos échanges bancaires en toute sécurité.

Certificat TLS : Comment instaurer un climat de confiance sur Internet ?

SOMMAIRE
  • SOMMAIRE

Certificat TLS : Comment instaurer un climat de confiance sur Internet ?

certificat TLS

Toutes les organisations, entreprises et administrations présentent digitalement effectuent des transactions sur Internet. Que ce soit par l’intermédiaire d’un intranet, d’un extranet, d’un e-shop pour le commerce électronique, d’un site Web demandant des informations via un formulaire ou par un simple service de messagerie.

Désormais, les visiteurs et utilisateurs de ces portails Web interagissent avec ces derniers par l’intermédiaire d’un navigateur web également pour s’informer, communiquer, ou faire des achats.

Toutefois, Internet possède son lot de failles de sécurité, notamment en matière de confidentialité des échanges. En effet, il est essentiel pour l’image de votre entreprise et sa crédibilité de supprimer les risques d’interception de données sensibles par des individus malveillants. Pour cela, il est essentiel d’anticiper les problèmes et les traiter.

Les internautes prennent de plus en plus conscience du vol de données privées et n’envoient des informations sur Internet que si elles sont sûres que leurs données personnelles (mot de passe, numéro de carte de crédit, données financières, dossier médical, email, formulaire de demande de renseignement, etc.) sont entre de bonnes mains.

En installant un certificat TLS sur un serveur Web ou un serveur de messagerie électronique, les données confidentielles transitent en toute sécurité. Il garantit aux utilisateurs que leurs échanges sont chiffrés et donc sécurisés.

La confiance est un élément essentiel dans le domaine des échanges et des transactions en ligne. C’est pourquoi les signes visibles de la sécurisation d’un site Web font partie des éléments pris en compte par les internautes soucieux de protéger leurs informations en ligne.

Ce guide permet donc de faire le point sur :

  • Les enjeux de la sécurité sur Internet
  • Les notions de cryptographie et d’Autorité de Certification
  • La technologie des certificats TLS

Le protocole TLS et les certificats numériques

En 1995, la société Netscape a développé le protocole SSL (Secure Socket Layer).  C’est depuis le mode de sécurisation privilégié des transmissions de données sur Internet. 

L’IETF a poursuivi son développement en le rebaptisant Transport Layer Security (TLS). On utilise aussi les termes SSL/TLS pour désigner indifféremment SSL ou TLS. Intégré aux principaux navigateurs et serveurs Web, ce protocole utilise des techniques de cryptage qui s’appuient sur un système dit “asymétrique” :  à clé publique et clé privée.

L’établissement d’une connexion TLS nécessite l’installation d’un fichier appelé “certificat numérique” sur le serveur Web. 

Ce certificat, répondant à la norme X.509, utilise les clés publiques et privées pour le cryptage, et identifie le serveur de manière unique et définitive. 

Les certificats numériques s’apparentent à une forme de carte d’identité électronique qui permet au client (le navigateur) d’authentifier le serveur avant l’établissement d’une communication cryptée.

Les risques encourus par un site Internet non sécurisé

La confiance et la sécurité des échanges sont les conditions nécessaires et essentielles pour le développement du commerce électronique et des transactions sur Internet.

Lors des transactions menées dans le monde physique, la sécurité se base sur des éléments tangibles. Les clients acceptent souvent les risques liés à l’utilisation de leurs cartes de crédit dans les magasins. Cela car ils peuvent voir, toucher la marchandise et se faire une opinion sur le vendeur.

Sur Internet, sans toutes ces données physiques, il est beaucoup plus difficile d’évaluer si un magasin est sérieux. 

De plus, au cours des dernières années, d’importants risques de sécurité ont été mis au jour et il ne se passe pas une semaine sans qu’une fraude virtuelle ou un vol de données ne soit annoncé dans les médias.

Comment conserver la confiance des utilisateurs ? 

Pour conserver la confiance des utilisateurs, les entreprises doivent prendre conscience des risques relatifs aux transactions en ligne. Il est important d’acquérir des solutions de sécurité performantes pour se protéger contre plusieurs types d’attaques :

  • Phishing : Le faible coût de développement d’un site Web et la facilité avec laquelle on peut copier des pages existantes favorisent l’émergence de sites pirates (technique du phishing).  La technique du phishing consiste à créer un site vitrine à l’apparence professionnelle, qui imite des boutiques ou des plateformes administratives existantes. Ainsi des personnes malveillantes arrivent à obtenir illégalement des numéros de cartes de crédit ainsi que des mots de passe.
  • Divulgation non autorisée : Lorsque des informations de transaction sont transmises « en clair », les pirates peuvent les intercepter pour obtenir des informations confidentielles sur des utilisateurs et des clients.
  • Action non autorisée : Un hacker, un fraudeur peut modifier votre site Internet afin de refuser aux clients l’accès à ses services, ou simplement l’empêcher de fonctionner.
  • Modification des données : Le contenu d’une transaction peut être intercepté et altéré en cours d’acheminement. Les noms d’utilisateurs, les numéros de cartes de crédit…
Les études sur la cybercriminalité

L’ensemble des études montrent que la cybercriminalité augmente fortement et se renouvelle. Les enjeux et challenges changent, tout comme l’identité des hackers, selon une étude de 2022 de la PwC « Global Economic and Fraud ».

La cybercriminalité, véritable fléau qui touche désormais deux entreprises sur trois en France, est potentiellement synonyme de pertes financières pour les entreprises. Mais également de risques pour les utilisateurs de leurs services. Sans oublier qu’elle est globalement nuisible à la e-réputation d’une marque.

L’étude “Net Losses: Estimating the Global Cost of Cybercrime” réalisée en 2014 par McAfee évalue à plus de 400 milliards de dollars le coût de la cybercriminalité mondiale.

Reconnaître et consulter les informations d’un site Web sécurisé par un certificat SSL

On reconnaît facilement un site Web qui utilise un certificat SSL à cause du petit symbole de cadenas ou de clé dans la barre de statut des navigateurs web. Parfois également au préfixe « https:// » qui apparaît en tête des URL affichées dans la barre d’adresse des navigateurs.

La totalité des navigateurs du marché supporte le protocole SSL. L’affichage de la sécurisation par SSL varie cependant légèrement entre les différents navigateurs.

Pour consulter le détail des informations du certificat SSL, il suffit de cliquer sur l’icône du cadenas. Une fenêtre s’ouvre et vous donne les informations relatives au propriétaire du certificat et du site Web qui l’utilise.

Comment visualiser les informations

Pour visualiser les informations du certificat SSL, il suffit de cliquer sur le lien indiquant le domaine sécurisé. Par exemple *ssl-europa.com sur notre exemple ci-dessous. Puis de consulter les trois onglets “Général”, “Détails” et «Chemin d’accès de certification».

1- L’onglet «Général» fournit les informations relatives au certificat. Telles que: son utilisation (authentification d’un serveur), le nom du site originaire de la demande, l’Autorité de Certification validante et la période de validité. Dans le cas où une des informations est invalide (par exemple : autorité non reconnue, adresse du site ne correspondant pas, date de validité dépassée). Vous serez averti par le navigateur via un message d’alerte et la session ne s’ouvrira pas automatiquement.

2- L’onglet «Détails» permet de visualiser le contenu des différents champs du certificat :

  • Nom du domaine à certifier
  • Coordonnées de l’entreprise à qui appartient le certificat SSL
  • Clé publique du certificat (permettant le chiffrement)
  • Date de validité et d’expiration du certificat SSL
  • Nom de l’Autorité de Certification qui émet le certificat SSL
  • Signature de l’Autorité de Certification

3- L’onglet, «Chemin d’accès de certification» donne accès au chemin de certification. A noter que le navigateur précise que le certificat est valide. En plus de vérifier les informations obtenues via l’onglet général, le navigateur vérifie que la signature du certificat est valide. Ceci grâce à la clé publique de l’Autorité de Certification.

Notions d’Autorité de Certification

En cryptographie, une Autorité de Certification (AC) est un tiers de confiance qui permet de valider l’identité des correspondants. Il peut également s’appeler Certificate Authority (CA) en anglais. Une Autorité de Certification délivre des certificats décrivant des identités numériques. Elle met à disposition des moyens techniques pour vérifier la validité de ces derniers.

Les rôles d’une Autorité de Certification

Les services des Autorités de Certification s’utilisent notamment dans le cadre de la sécurisation des communications numériques. Il s’utilise via le protocole SSL/TLS pour sécuriser les communications web (HTTPS).

Lors de la délivrance du certificat, l’Autorité de Certification signe numériquement chaque certificat émis. Chaque navigateur contient une liste des Autorités de Certification dites “de confiance”. Une fois la connexion SSL établie, le navigateur vérifie que le certificat du serveur a pour origine une Autorité de Certification digne de confiance. Si cette autorité n’est pas digne de confiance, un message d’alerte s’affiche.

Les obligations d’une Autorité de Certification s’organisent autour de deux fonctions distinctes :

  • Fonction d’organisation : traitement des demandes de certificats, contrôle des informations, validation ou rejet des demandes, révocation des certificats.
  • Fonction technique : manipulation d’équipements cryptographiques, environnement sécurisé de bout en bout, maintien d’une capacité de production adaptée aux besoins de fonctionnement de l’Autorité de Certification.

Pour offrir son service de certificats SSL, l’Autorité de Certification peut s’appuyer d’une part sur une Autorité d’Enregistrement (AE). Ce dernier les aspects organisationnels. D’autre part, sur une unité de production (l’opérateur de services de certification), qui crée les certificats.

Une relation de confiance hiérarchique peut lier des AC successives. Une Autorité est à la base de toutes ces AC, c’est l’Autorité de Certification Racine (Root CA en anglais). C’est la référence pour la communauté d’utilisateurs des certificats émis par ces AC. La réputation de l’Autorité se lie au degré de confiance qui est accordée au certificat.

Comment reconnaître une Autorité de Certification (AC) de confiance ?

Les Autorités de Certification dites de confiance, sont des entités qui mettent en place des procédures de production de certificats SSL respectant des règles internationales du CAB Forum (https://cabforum.org/). Elles ont pour obligation de se soumettre à des audits annuels et doivent présenter leur certification aux éditeurs de confiance. Ci-dessous, la liste des AC racines de confiance.

La liste des Autorités de Certifications reconnues est accessible depuis n’importe quel navigateur internet. Dès lors que l’Autorité de certification fait partie de cette liste, elle est considérée comme étant de confiance.

Ainsi, l’inconvénient majeur d’utiliser des certificats non délivrés par une Autorité mondialement reconnue (certificat auto-signé par exemple) est que l’internaute qui souhaite se connecter à un serveur web (non sécurisé avec un certificat dit « de confiance ») verra son navigateur afficher une fenêtre d’alerte avec un message lui indiquant qu’il n’est pas en mesure de vérifier ledit certificat car il ne connaît pas la clé publique de l’autorité.

Exemple dans le cas d’un certificat signé par une Autorité de Certification non reconnue.

Comment le certificat SSL sécurise les connexions et les transactions “Client/Serveur Web”

Notions cryptographiques

La cryptographie a pour objectif principal de protéger l’intégrité d’un message. Pour cela, elle chiffre son contenu pour le rendre uniquement lisible par son destinataire et incompréhensible aux autres. On distingue deux types de méthodes : celle employant des algorithmes à clés symétriques (clé secrète) et celle utilisant les algorithmes dits de clés asymétriques (ou clés publiques).

Le protocole de sécurisation SSL/TLS utilise un algorithme asymétrique. Il fonctionne à l’aide de deux clés, l’une publique (que l’on peut diffuser à volonté) et l’autre privée (que l’on garde pour soi). Ces deux clés se lie par une fonction mathématique appelée algorithme de chiffrement. Celui-ci utilise la clé publique (donc connue) d’une personne pour envoyer un message chiffré (donc confidentiel). Seule la personne disposant de la clé privée correspondante est alors en mesure de déchiffrer le message ainsi transmis.

Émission d’un certificat SSL

Le certificat SSL est un « document numérique » permettant d’authentifier une clé publique. C’est-à-dire prouver qu’elle appartient bien à une personne ou à une entité connue.

Un certificat associe donc une clé publique à une identité. Cette identité peut être celle :

  • D’une personne physique (on parle de certificat individuel) permettant par exemple à son titulaire de sécuriser son e-mail.
  • D’une machine (comme un serveur web). On parle alors de « certificat serveur ». Il s’utilise par la machine titulaire afin de prouver son identité aux clients qui souhaitent établir une connexion sécurisée avec elle.

Ainsi, un certificat numérique SSL fonctionne sur le même principe qu’une pièce d’identité classique. Les informations qu’il contient se certifie par l’Autorité de Certification (AC). Celui-ci signe le certificat avec sa clé privée de telle sorte que quiconque disposant de la clé publique de cette AC est en mesure de vérifier l’authenticité de chaque certificat délivré.

Comment mettre en place un serveur web sécurisé

Les navigateurs Web intègrent nativement une liste de certificats provenant de différentes Autorités de Certification selon des règles internes définies par les développeurs du navigateur. Notons que depuis 2014, pour assurer l’inviolabilité des informations chiffrées, la taille minimum de la clé privée de signature doit être de 2048 bits.

Lorsqu’une personne physique ou morale souhaite mettre en place un serveur web utilisant une communication HTTPS sécurisée par SSL/TLS, elle génère une clé publique, une clé privée puis envoie à l’une de ces Autorités de Certification une demande de signature de certificat (en anglais CSR : Certificate Signing Request) contenant sa clé publique ainsi que des informations sur son identité (coordonnées postales, téléphoniques, email…).

Après vérification de l’identité du demandeur du certificat par une Autorité d’Enregistrement (AE), l’Autorité de Certification signe le CSR grâce à sa propre clé privée qui devient alors un certificat puis le transmet en retour à la personne qui en a fait la demande.

Le certificat ainsi retourné sous forme de fichier informatique s’intègre dans le serveur web du demandeur. Lorsqu’un utilisateur se connecte à ce serveur web, celui-ci lui transmet à son tour le certificat fourni précédemment par l’Autorité de Certification.

Le protocole HTTPS

Le navigateur du client authentifie le certificat du serveur grâce au certificat de l’Autorité de Certification (intégré nativement dans le navigateur). Celui-ci signe précédemment le certificat. L’identité du serveur est ainsi confirmée à l’utilisateur par l’Autorité de Certification.

Le navigateur fait ensuite une demande de vérification OCSP en contactant l’Autorité de Certification afin de savoir si le certificat du serveur est toujours valide. Il s’agit d’une transaction de validation.

Sur le plan technique, cette infrastructure de gestion des clés permet ainsi de s’assurer que :

  • Les données transmises entre le serveur web et le poste du client n’ont pas été modifiées durant le transfert : intégrité par « hachage » des données.
  • Les données proviennent bien d’un serveur web connu et qu’il ne s’agit pas d’une réplique frauduleuse.
  • Les données ne peuvent pas être lisibles par un tiers grâce au chiffrement.
De quoi se compose un certificat SSL

Un certificat SSL se compose donc d’une clé publique et d’une clé privée. La clé publique s’utilise pour le chiffrement des informations et la clé privée s’utilise pour les déchiffrer. Lorsqu’un navigateur se connecte à un domaine sécurisé, une connexion SSL authentifie le serveur et le client (navigateur), puis définit une méthode de cryptage et une clé unique de session. Ils peuvent alors entamer une session sécurisée qui garantit la confidentialité et l’intégrité du message.

Le fonctionnement du protocole SSL peut se décliner selon deux modes distincts – étant entendu que le certificat peut se trouver sur le serveur et/ou sur le poste client :

  • Dans le premier cas, on authentifie le serveur
  • Dans le second cas, on authentifie le client/navigateur c’est-à-dire l’internaute destinataire

Techniquement, serveur et client utilisent le même format de certificats (x509) mais ils diffèrent par l’information qu’ils contiennent. Ainsi, un certificat côté navigateur sert à identifier un utilisateur et contient donc des informations sur cet utilisateur. Côté serveur, le certificat a pour but d’authentifier le serveur, mais aussi l’organisme auquel il appartient s’il s’agit d’un certificat OV ou EV. Le schéma ci-dessous illustre le procédé qui garantit la protection des communications entre serveur et client.

En résumé, lors d’une connexion SSL avec un certificat :

Authentification

  • Le serveur envoie au navigateur son certificat
  • Le navigateur reçoit ce certificat
  • Le navigateur remonte le chemin de confiance du certificat (il vérifie que le certificat reçu a bien été signé par une Autorité de Certification)

Chiffrement

  • Le certificat envoyé par le serveur vers le navigateur contient la clé publique du serveur. La clé privée du serveur reste cachée sur le serveur
  • Le navigateur génère de son côté une clé de session
  • Cette clé de session est envoyée par le navigateur vers le serveur sous forme chiffrée par le navigateur, en utilisant la clé publique (le certificat) du serveur.
  • Une fois reçue par le serveur, elle est ensuite déchiffrée à l’aide de la clé privée du serveur
  • Toutes les données sont alors chiffrées par cette clé de session par les deux parties

Les champs d’application des certificats SSL

  • En utilisant un certificat SSL, vos transactions sur Internet sont sûres. Vos clients ont confiance en votre système de protection et savent avec certitude où ils envoient les données. En retour, vous êtes assurés que votre entreprise reçoit des données fiables.

  • Une connexion sécurisée augmente l’indice de confiance de l’utilisateur, ce qui, en retour, améliore la fréquentation et l’utilisation de vos sites, surtout en ce qui concerne des actes d’achat. Lorsque vous installez un certificat SSL, les clients potentiels savent qu’ils se trouvent sur un site sécurisé. De plus, le référencement de votre site Web par le moteur de recherche Google est améliorée.

Le protocole SSL peut être utilisé de diverses façons et à des fins différentes :

  • Communications «de navigateur à serveur»: la plupart du temps le SSL sert à sécuriser les communications entre un serveur Web et un navigateur, notamment dans le cadre de transmissions d’informations sensibles (achats en ligne, dossiers médicaux ou transactions bancaires). La technologie SSL permet de confirmer à l’utilisateur l’identité du destinataire de ses informations personnelles, tout en assurant que seule cette entité autorisée y aura accès.
  • Communications « de serveur à serveur »: le protocole SSL peut également être utilisé pour sécuriser les communications entre deux serveurs, telles que les transactions entre deux entreprises. Dans ce scénario, les deux serveurs possèdent généralement un certificat qui leur permet de s’authentifier mutuellement et de sécuriser leurs communications bilatérales.
  • Respect des obligations réglementaires : de nombreuses réglementations juridiques et sectorielles exigent des niveaux d’authentification et de confidentialité que les certificats SSL permettent d’obtenir. Le standard PCI DSS (Payment Card Industry Data Security Standard) exige, par exemple, l’utilisation de technologies d’authentification et de cryptage pour tout paiement en ligne.

Comment obtenir un certificat SSL pour sécuriser son site Internet ou son serveur Web ?

Nous l’avons vu, une session SSL ne peut pas être ouverte si le serveur Web ne dispose pas d’un certificat permettant au navigateur (client) de vérifier l’identité du serveur. La vérification de cette identité se fait sur l’adresse DNS du serveur. Cela ne se fait pas sur l’identité du titulaire de certificat comme pour les certificats de personnes physique. Le processus de délivrance des certificats SSL est donc légèrement différent de celui d’un certificat client ou de messagerie.

Le demandeur de certificat doit générer tout d’abord une paire de clés publiques avec un algorithme de chiffrement (de type RSA). Ensuite il renseigne un formulaire concernant l’organisation (l’entreprise) titulaire du certificat. Par exemple contact technique, ville, département, etc. C’est à partir de ces informations que se créée ce qu’on appelle une RSC (pour Requête de Signature de Certificat). Sinon plus généralement une CSR (Certificate Signing Request) en anglais. La CSR doit se générer avec une clé de 2048 bits.

La génération de cette CSR dépend du serveur web que vous utilisez.

Avant de la générer, vous devez bien vous assurer que les champs du Distinguished Name (DN) dans le formulaire sont correctement renseignés.

Le DN est un fichier chiffré qui contient :

  • La clé publique de votre organisation
  • Le nom de votre organisation
  • Sa localité
  • Le nom de domaine enregistré

En générant une CSR, le serveur web créera deux fichiers :

  • Une clé privée (à conserver soigneusement et à ne pas divulguer)
  • Une requête de signature de certificat (CSR)

Lors de la saisie de votre formulaire en ligne, vous devrez rentrer un mot de passe qui servira à chiffrer la clé privée du serveur. La CSR se signe à l’aide de la clé privée du serveur pour laquelle elle se génère. Cela permet ainsi à l’Autorité de Certification d’être sûre que le demandeur est bien en possession de la clé privée en question.

La CSR contient ainsi toutes les informations saisies par le demandeur ainsi que la clé publique du serveur. C’est à partir de ces informations que l’Autorité de Certification (AC) signe et délivre le certificat après sa vérification. Il ne reste alors plus qu’à installer le certificat ainsi obtenu sur le serveur Web pour permettre l’utilisation du protocole SSL lors des transactions entre le site Web et les navigateurs des utilisateurs.

Voici un exemple de CSR :

—–BEGIN CERTIFICATE REQUEST—–

MIIBpTCCAQ4CAQAwZTELMAkGA1UEBhMCRlIxEjAQBgNVBAoTCUtFWU5FQ1RJUzEX

MBUGA1UECxMOMDAwMiA0NzgyMTczMTgxDTALBgNVBAsTBFRFU1QxGjAYBgNVBAMT

EXd3dy5rZXluZWN0aXMubmV0MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3

1XuFvLFtJMgzfpQfk5E4x2oTgAz74KKuBQ9GX2jzIKfJA5RRZ/j7jeXJJZgFT0+e

z8+89qgRxTwUH4yuJV3usegp+dtq0eHAXjClSgqwCPpEKMmQ3aAABM45lCKxQbMZ

k0ARyFHCKnhhFbHi3VMwye2tqjDwNS5kXktCYrQodwIDAQABoAAwDQYJKoZIhvcN

KdveiQ/lYtNn+/xJAavBYQ2O6CO8E85MmxzBVoQl2E5U+wot1cbDERI

—–END CERTIFICATE REQUEST—–

La génération de la CSR constitue donc l’étape préalable à toute demande en ligne d’un certificat SSL.

Une fois générée, cette CSR doit se copier dans le champ du formulaire de demande de certificats en ligne. Le serveur vérifie la bonne syntaxe du contenu puis demande la saisie des informations administratives relatives au titulaire du certificat.

Une fois l’ensemble des champs correctement renseignés, la demande de certificat s’envoie au service clients de l’Autorité de Certification qui procède à un certain nombre de vérifications administratives et téléphoniques avant de la valider et de déclencher sa fabrication. Ces vérifications dépendent du type de certificat : vérification du domaine Internet dans le cas d’un certificat SSL “Domain Validated” (DV SSL), à laquelle s’ajoutent les vérifications concernant l’organisation (l’entreprise) pour les certificats SSL “Organization Validated” (OV SSL) et “Extended Validation” (EV SSL).

Si l’étape de vérification se passe correctement, l’Autorité de Certification génère alors le certificat SSL puis le signe avec sa clé privée. Le certificat peut alors être récupéré par le demandeur sur une URL spécifique qui lui aura été communiquée.

Il faut ensuite établir le chemin de certification jusqu’au certificat sur le serveur web. Il est alors nécessaire de télécharger :

  • Le certificat de l’Autorité de Certification Racine : reconnu par tous comme autorité du niveau le plus élevé et figurant de manière native dans les navigateurs
  • Le certificat de l’Autorité de Certification SSL : celui signé par l’AC délivrant des certificats SSL.

www.ssl-europa.com/solutions/certificats-ssl

Authentification forte : un gage de confiance pour vos transactions électroniques

SOMMAIRE
  • SOMMAIRE

Authentification forte : un gage de confiance pour vos transactions électroniques

Les transactions électroniques se développent rapidement… tout comme les risques qui pèsent sur elles (à l’instar de l’usurpation d’identité). Pour sécuriser les échanges dématérialisés, la confiance numérique s’impose alors comme un socle indispensable. Or, il ne peut pas y avoir de confiance sans une garantie : celle que les parties disposent d’une identité mutuellement reconnaissable. L’authentification forte, en opposition à sa version « faible » qui repose généralement sur l’utilisation d’un simple mot de passe, permet de répondre pleinement à ces enjeux.

Qu’est-ce que l’authentification forte ?

La notion d’identité numérique soulève une question d’importance. Comment s’assurer que le tiers avec lequel on souhaite échanger électroniquement est bien celui qu’il prétend être ? L’interrogation est d’autant plus cruciale dans le cadre des transactions électroniques entre deux entreprises, ou bien entre une entreprise et un particulier.

La confiance numérique est le socle indispensable sur lequel s’appuie une transaction électronique sécurisée. Pour que deux parties puissent réaliser une transaction digitale sûre, qu’il s’agisse d’un acte commercial, d’une procédure administrative ou d’un simple échange de données, elles ont besoin d’une garantie : celle que l’interlocuteur est bien celui qu’il prétend être. Pour cela, il faut que l’identité de chacun soit immédiatement reconnaissable. Que chaque partie puisse « prouver » son identité en ligne.

L’authentification numérique, et en particulier l’authentification forte, permet de créer ce socle de confiance. Elle apporte un niveau de garantie élevé quant à la personne (physique ou morale) rattachée à une identité numérique. Contrairement à une authentification dite « faible », elle participe à la création d’une identité qui réduit les risques d’usurpation, rendant les transactions électroniques plus sûres.

Vérification : forte VS faible

L’identité d’une entité en ligne peut être vérifiée de trois façons :

  • Par le biais d’une information connue seulement de cette entité (mot de passe, question secrète, etc.) ;
  • Par le biais d’un dispositif électronique détenu exclusivement par l’entité et permettant de l’authentifier (one-time-password, carte à puce, clé USB, carte magnétique, token, certificat électronique, etc.) ;
  • Par le biais d’une information biométrique physique ou comportementale (pour un individu uniquement : empreinte digitale ou rétinienne, signature manuscrite, reconnaissance par la voix, comportement, etc.).

D’autres facteurs d’authentification émergent doucement : la géolocalisation, le réseau ou le profilage comportemental. Mais ces trois-là sont les plus communs et les plus utilisés dans le cadre des transactions électroniques.

Le mot de passe est le facteur d’authentification le plus fréquemment utilisé : c’est lui qui vous permet d’accéder à votre boîte mail, à votre session informatique ou à votre réseau. Il s’agit d’une authentification faible, basée sur un unique facteur. Mais elle offre des garanties limitées, étant très vulnérable aux usurpations d’identité.

Basée sur plusieurs facteurs d’authentification distincts, l’authentification forte (aussi appelée « authentification multi-facteurs ») fonctionne comme une porte à double verrou : pour une personne malveillante, la forcer est plus difficile et exige plus de temps. Elle garantit un niveau de sécurité élevé dans le cadre des transactions numériques. C’est le niveau de sécurité optimal pour les organisations.

L’utilisation de l’authentification forte garantit une protection accrue contre les risques d’usurpation d’identité. C’est le cas, par exemple, des certificats électroniques qualifiés, délivrés par un Tiers de Confiance comme CertEurope. Un certificat de ce type assure un niveau de garantie élevé quant à l’identité de son titulaire, lorsqu’il s’authentifie dans le but d’accéder à un service en ligne. L’authentification forte est ainsi l’élément clé d’une base de confiance numérique, indispensable au développement des échanges dématérialisés.

L’authentification forte comme fondement de la notion d’identité numérique

Les enjeux de l’authentification forte sont directement liés à la problématique de l’identité numérique et de sa protection. Plus les échanges électroniques se développent, et plus la question de la vulnérabilité des systèmes informatiques se pose. Comment sécuriser son identité en ligne ? Garantir la provenance d’une information ? Et créer un socle de confiance ?

Les besoins en matière de renforcement de la sécurité informatique ont permis à la problématique de l’identité numérique d’éclore. Les mécanismes d’authentification découlent de la multiplication des points d’entrée dans les SI et de la prise de conscience de l’importance de la confiance digitale. Jean-Pierre Quémard, président de l’Alliance pour la confiance numérique, a bien exprimé les choses : « L’identité numérique est au cœur de la confiance numérique : sans gestion fiable de l’identité numérique, il est illusoire de croire au développement des services de confiance ». Autrement dit, sans identité digitale forte, impossible de créer de la confiance entre les parties prenantes.

Au-delà de la seule authentification lors des échanges numériques, l’identité numérique d’une entreprise est constituée de l’ensemble des éléments qui lui sont associés (contenus, ressources, réputation) et des valeurs que le public lui attribuent. En somme, l’identité numérique est fortement liée à la notion de réputation (ou de notoriété) digitale. C’est donc un ensemble d’éléments à protéger.

 

L’authentification forte, garantie par un certificat électronique qualifié, protège votre entreprise contre les risques d’usurpation d’identité. Mais elle fait bien plus que cela : elle consolide votre identité numérique et renforce votre image de marque. C’est donc bien plus qu’un outil stratégique : un gage de confiance.

Comment mettre en place le BPE – bulletin de paie électronique ?

SOMMAIRE
  • SOMMAIRE

Comment mettre en place le BPE - bulletin de paie électronique ?

bulletin de paie électronique

La dématérialisation des échanges dans les entreprises se démocratise. Mais à y regarder de plus près, la route sera encore longue avant de pouvoir parler de généralisation. 

Le bulletin de paie électronique (BPE) est un bon exemple de cette situation. Afin de simplifier et d’alléger les procédures inscrites dans le Code du travail, le bulletin de paie dématérialisé a été rendu légal le 12 mai 2009.

La loi autorise ainsi un employeur à remettre au salarié son bulletin de paie sous forme électronique. Cela a condition d’obtenir son accord et de garantir l’intégrité des données. Dans ce domaine, la France est en retard par rapport à de nombreux pays européens. Le BPE a pourtant de nombreux avantages qui jouent en sa faveur.

Le taux de dématérialisation des bulletins de paie en France est de 15%, contre 95% en Allemagne, 73% en Grande-Bretagne et 54% en Belgique. Le BPE est pourtant annoncé depuis plus de 10 ans. Mais ce n’est qu’en 2009 que les salariés ont pu bénéficier d’un cadre légal plus protecteur vis-à-vis de la dématérialisation de leurs fiches de salaire. Cela fait suite à la loi n°2009-526 de simplification et de clarification du droit et d’allègement des procédures. Cependant, ce texte n’autorisait pas une entreprise à imposer cette solution. Elle devait obtenir l’accord préalable de ses collaborateurs.

Pourquoi mettre en place le bulletin de paie électronique – BPE ?

De nouveaux textes pour favoriser l’adoption du bulletin de paie électronique

Malgré certaines avancées juridiques, le bulletin de paie papier continue pourtant de faire de la résistance sur le territoire français. A partir du 1er janvier 2017, de nouveaux textes vont permettre aux entreprises privées comme au secteur public de généraliser ce système.


Et c’est l’administration qui ouvre la marche avec un décret du 3 août 2016. Au 1er janvier 2020 au plus tard, les bulletins de paie des agents civils de l’Etat, des magistrats et des militaires devront être mis à disposition des intéressés. Ils le seront sous forme électronique, dans un espace numérique propre, créé et administré par la Direction générale des finances publiques.
Pour les entreprises, les nouveautés se trouvent dans la loi Travail publiée le 9 août 2016 au Journal officiel après sa validation par le Conseil constitutionnel. A partir du 1er janvier 2017 et sauf opposition du salarié, un employeur pourra « procéder à la remise du bulletin sous forme électronique ». Cela peut se faire par email et/ou via le futur compte personnel d’activité (CPA). En revanche, si le salarié en fait la demande, son employeur aura l’obligation de lui remettre une version papier.

Les avantages du bulletin de paie électronique – BPE

Sur le principe, le bulletin de paie électronique (BPE) comporte de nombreux avantages pour les entreprises et leurs salariés :

  • Il permet de réduire le papier et les coûts liés à sa transmission (impression, affranchissement, etc), une économie non négligeable. Un rapport gouvernemental estime que « la dématérialisation du bulletin de salaire occasionne des économies immédiates de l’ordre de 33 à 67% ».
  • Il n’est pas falsifiable car il est signé électroniquement.
  • Il est plus facile à conserver car il occupe moins de place et est à l’abri des pertes et destructions (en cas de sinistre, de déménagement, de maladresse).
  • Il facilite les interactions avec les administrations ou autres entités exigeant la production des bulletins de paie.
  • Il permet une meilleure utilisation des ressources humaines : au lieu de se consacrer à des tâches comme la mise sous pli, le classement des documents, les salariés chargés de la gestion des bulletins de paie peuvent ainsi se recentrer sur des activités à forte valeur ajoutée pour l’entreprise.
  • Le BPE véhicule une image de modernité.
  • Il constitue un atout à l’heure où l’on incite les entreprises à être éco-responsables.

BPE – Des économies à la clé

Le certificat SSL est un « document numérique » permettant d’authentifier une clé publique. C’est-à-dire prouver qu’elle appartient bien à une personne ou à une entité connue.

Un certificat associe donc une clé publique à une identité. Cette identité peut être celle :

  • D’une personne physique (on parle de certificat individuel) permettant par exemple à son titulaire de sécuriser son e-mail.
  • D’une machine (comme un serveur web). On parle alors de « certificat serveur ». Il s’utilise par la machine titulaire afin de prouver son identité aux clients qui souhaitent établir une connexion sécurisée avec elle.

Ainsi, un certificat numérique SSL fonctionne sur le même principe qu’une pièce d’identité classique. Les informations qu’il contient se certifie par l’Autorité de Certification (AC). Celui-ci signe le certificat avec sa clé privée de telle sorte que quiconque disposant de la clé publique de cette AC est en mesure de vérifier l’authenticité de chaque certificat délivré.

 

Les navigateurs Web intègrent nativement une liste de certificats provenant de différentes Autorités de Certification selon des règles internes définies par les développeurs du navigateur. Notons que depuis 2014, pour assurer l’inviolabilité des informations chiffrées, la taille minimum de la clé privée de signature doit être de 2048 bits.

 

Comment mettre en place un meilleur serveur web

Lorsqu’une personne physique ou morale souhaite mettre en place un serveur web utilisant une communication HTTPS sécurisée par SSL/TLS, elle génère une clé publique, une clé privée puis envoie à l’une de ces Autorités de Certification une demande de signature de certificat (en anglais CSR : Certificate Signing Request) contenant sa clé publique ainsi que des informations sur son identité (coordonnées postales, téléphoniques, email…).

Après vérification de l’identité du demandeur du certificat par une Autorité d’Enregistrement (AE), l’Autorité de Certification signe le CSR grâce à sa propre clé privée qui devient alors un certificat puis le transmet en retour à la personne qui en a fait la demande.

Le certificat ainsi retourné sous forme de fichier informatique s’intègre dans le serveur web du demandeur. Lorsqu’un utilisateur se connecte à ce serveur web, celui-ci lui transmet à son tour le certificat fourni précédemment par l’Autorité de Certification.

Mise en place du bulletin de salaire en ligne ?

Dématérialisation et cycle de vie du bulletin de paie

La mise en place du bulletin de paie électronique dans les entreprises pose plusieurs questions.
  • Obtention du consentement – La remise d’un bulletin de salaire en ligne ne peut s’effectuer que si le salarié y a préalablement consenti. Cela signifie d’abord que l’employeur doit trouver une manière de recueillir ce consentement sans contestation possible. En effet, la loi n’explicite pas les modalités de recueil. Avenant au contrat de travail, procédure dématérialisée avec signature électronique ? Par ailleurs, le consentement est obtenu de manière individuelle. Cela signifie que la plupart du temps, il y aura coexistence au sein d’une même entreprise d’un dispositif papier et d’un dispositif électronique.
  • Remise du bulletin de paie – Sauf disposition contraire, chaque employeur est libre de décider des modalités de remise du bulletin de salaire. Qu’il s’agisse de le donner en main propre ou de l’envoyer par courrier. Dans le cas du BPE, la loi ne spécifie pas non plus sous quelle forme le bulletin doit être transmis. Cela qui crée un flou pour les entreprises : envoyer le bulletin de paie par e-mail est-il suffisant ? Comment s’assurer de l’intégrité du document pour qu’il ne puisse pas être falsifié ?
  • Archivage – Le bulletin de paie fait partie des documents que l’on doit conserver à long terme. Le salarié doit le garder de manière illimitée tandis que l’entreprise a l’obligation légale de le conserver durant au moins cinq ans, une exigence inscrite dans le Code du Travail et dans celui de la Sécurité Sociale. L’archivage pose d’autres questions : comment assurer un stockage sécurisé des bulletins de paie en préservant la confidentialité requise ? Comment garantir leur lisibilité dans le temps en dépit des changements technologiques ? Quelles procédures mettre en place pour veiller à la pérennité des documents quel que soit le devenir de l’entreprise ?

Comment proposer le bulletin de salaire en ligne ?

Les solutions technologiques existent et répondent à toutes ces questions :

  • On peut garantir l’intégrité des données en signant électroniquement le BPE avec un certificat électronique délivré par un Tiers de Confiance comme CertEurope.
  • L’employeur peut assurer la conservation du bulletin de salaire électronique en toute confidentialité en le mettant à la disposition du salarié dans un espace personnel de stockage sécurisé en ligne. Appelé « coffre-fort numérique », ce dispositif garantit l’archivage sur le long terme des documents. On peut marquer chacun d’entre eux à l’aide d’un jeton d’horodatage : comparable au cachet de la poste, il permet de prouver que le document a été mis à disposition à une date précise dans le coffre-fort.

Comment favoriser le passage au bulletin de salaire en ligne ?

Le bulletin de paie français reste plus complexe que celui de nos voisins européens. Il peut atteindre 50 lignes là où il n’en fait que 15 en Allemagne. Un vaste chantier de réflexion s’engage afin de le simplifier. La question de la dématérialisation va de pair avec cette volonté de clarifier et d’alléger les procédures administratives.

Les technologies existent et sont accessibles en terme de coûts et d’implémentation. Elles permettent à la fois d’apporter les garanties juridiques exigées par la loi mais offrent aussi un dispositif sécurisé, pérenne et facile d’accès aussi bien pour l’employeur que pour le salarié. Une manière, sans doute, d’installer la confiance nécessaire à une dématérialisation réussie. Comme toujours dans les processus de dématérialisation, les utilisateurs apprécient…

Pour aller plus loin

L’AFNOR a créé des normes qui préconisent de bonnes pratiques, tant sur le plan technique que fonctionnel.

La norme Z 42-013 : elle vise à favoriser l’archivage et les échanges de fichiers en assurant leur traçabilité et leur intégrité.
La norme Z 42-025 : elle définit les processus à mettre en place pour recueillir le consentement du salarié, créer le bulletin de paie électronique, le remettre et le conserver.
La FNTC (Fédération des Tiers de Confiance) a également rédigé des guides sur le BPE à l’attention de l’employeur et du salarié.

De la DSP1 à la DSP2 : comment évolue la sécurité de vos transactions ?

SOMMAIRE
  • SOMMAIRE

De la DSP1 à la DSP2 : comment évolue la sécurité de vos transactions ?

Par rapport aux débuts de la directive, cette « version 2 » permet de faire évoluer les habitudes ainsi que la sécurité de tous : consommateurs, banques et prestataires. Voici comment.

Le premier cap franchi avec la DSP1

La DSP1 (Directive sur les Services de Paiement 1) a été conçue par l’Union européenne pour réglementer les services de paiement. Cette réglementation concerne tous les États membres de l’UE ainsi que l’Espace économique européen (EEE). Elle est entrée en vigueur en décembre 2009. Objectif : encourager la concurrence entre banques/prestataires en Europe, afin de proposer de meilleurs services, et ainsi protéger les consommateurs.

Ce qu’a apporté la DSP1

La DSP1 a permis :

  • D’améliorer la sécurité des paiements et des opérations en ligne, et de limiter les risques de fraudes (notamment l’usurpation d’identité).
  • D’introduire officiellement le statut de prestataire de services de paiement (PSP), et de l’encadrer. Ainsi des sociétés autres que des banques, banques centrales et agences gouvernementales ont maintenant le droit de s’occuper de transactions financières.
  • D’établir une transparence des banques et PSP sur leurs services, leurs délais d’exécution et leurs frais (taux de charge, etc.).
  • D’accélérer la création de la SEPA (« Single Euro Payments Area »), une zone unique de paiement. Grâce à cela, les virements bancaires et prélèvements automatiques en UE et dans l’EEE sont plus faciles et moins chers.

Avec le temps, la DSP1 ne suffit plus

En conséquence, durant les dix années d’application de la DSP1, de nouveaux intermédiaires sont apparus. Par exemple, les « fintechs » (contraction de « financial technology ») offrent des services et des moyens de paiements innovants, tirant parti des applications mobiles ou d’Internet, à des prix toujours plus bas. Les transactions électroniques se multiplient de plus en plus, entraînant une  incertitude grandissante sur la sécurité des paiements et autres opérations en ligne (dont l’usurpation d’identité constitue la menace numéro une).

La sécurité au cœur des changements par rapport à la DSP1

La sécurité au cœur des changements par rapport à la DSP1

La sécurité et la confidentialité des données sont devenues la préoccupation principale de tous, qu’il s’agisse d’échanges entre entreprises, ou entre entreprises et particuliers. Selon les normes établies par la DSP1, un niveau d’authentification dit « faible » demeure acceptable. Sauf qu’avec toujours plus de nouveaux moyens de paiement, de nouveaux intervenants et de nouvelles offres en la matière, les possibilités de fraude et de perte de visibilité grandissent.

Malheureusement, la DSP1 n’impose aucune condition concernant le niveau de vérification d’une identité, lors d’un paiement ou d’un virement. Un simple mot de passe ou une question secrète suffisent pour respecter la réglementation. Or cela n’est plus assez maintenant.

Aujourd’hui, si les utilisateurs, les banques et les prestataires veulent assurer la privacité et la sécurité de leurs transactions, il faut passer par une authentification « forte ». Il faut pouvoir vérifier au moins doublement l’identité digitale d’un interlocuteur afin d’autoriser une opération, et ainsi maintenir une confiance réciproque. C’est là qu’entre en jeu la DSP2.

L’authentification forte, une obligation de la DSP2

Qu’il s’agisse d’un achat, d’une procédure administrative ou d’un échange de données, il faut d’autant plus garantir que l’interlocuteur correspond bien à la personne physique ou morale attendue. C’est pourquoi à partir de septembre 2019, l’authentification forte va devenir une obligation.

Une authentification multi-facteurs

L’authentification forte est également appelée « authentification multi-facteurs », et il n’y a rien de plus sécurisé à l’heure actuelle. Pour prouver son identité en ligne, il faudra maintenant s’identifier via deux facteurs minimum, et non plus un seul comme sous l’application de la DSP1. Il faut au moins deux des trois preuves suivantes :

  • Une information connue de l’interlocuteur seul (l’habituel mot de passe, la réponse à une question secrète, etc.) ;
  • La reconnaissance d’un équipement électronique appartenant à l’utilisateur (smartphone, ordinateur, clé USB, carte à puce, carte magnétique, certificat électronique, etc.) ;
  • La biométrie physique ou comportementale de l’utilisateur, via un trait unique à chaque individu (empreinte digitale, scan rétinien, reconnaissance vocale ou faciale, etc.).

Profitons-en pour ajouter que d’autres facteurs d’authentification apparaissent peu à peu, comme la géolocalisation ou le profilage comportemental. Mais ils ne sont pas encore suffisamment employés.

Les exceptions autorisées par la DSP2

Toutefois, la DSP2 accepte des exceptions à l’authentification forte, suivant le niveau de risque, le montant ou la récurrence du paiement. Sont concernés : les opérations à risque faible et/ou à montant faible (moins de 30 €), les paiements par carte professionnelle, les abonnements et les paiements récurrents, les transactions MOTO, les listes blanches et les transactions interrégionales.

Une nouvelle dynamique dans les échanges sécurisés

Avec la DSP1, l’authentification forte était facultative. En la rendant obligatoire, la DSP2 a un impact conséquent sur la santé et le fonctionnement du système de paiement en vigueur.

Du côté des consommateurs

Du côté des consommateurs, la directive 2 :

  • Interdit la surfacturation, autrement dit l’application de suppléments sur les paiements par carte bancaire. Cette interdiction vaut aussi bien pour les achats en ligne que dans un commerce physique.
  • Aide à restaurer la confiance des consommateurs dans les achats en ligne de biens et de services. Les gens usent de plus en plus du paiement instantané, mobile ou sans contact. La DSP2 permet de lutter plus efficacement contre la fraude, et de confirmer l’identité de l’utilisateur quel que soit le type de transaction (à distance ou de proximité) et le support employé.

Selon Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l’union des marchés des capitaux : « Les consommateurs de l’UE pourraient économiser plus de 550 millions d’euros par an. »

Les conséquences pour les banques et les prestataires

Du côté des  banques et des nouveaux acteurs fintech du paiement, la DSP2 :

  • Encourage toujours plus l’innovation ;
  • Plus que la DSP1, elle renforce la compétition avec les nouveaux prestataires (notamment les fameuses fintechs) ;
  • Enfin, elle oblige les banques et prestataires de services de paiement à partager leurs données de transaction. Si des clients souhaitent faire migrer leurs comptes vers de nouveaux opérateurs financiers, leur démarche est facilitée. Plus que la DSP1, la DSP2 favorise donc une concurrence équitable dans un marché en constante évolution.

La prise en compte de nouvelles prestations

Depuis la création de la DSP1, les besoins et les technologies ont beaucoup évolué. Les nouvelles règles de la directive 2, notamment sur la facilité des échanges de données, permettent de réglementer deux nouveaux types de services de paiement :

  • Les services d’initiation de paiement (statut PISP) : le prestataire permet aux nouveaux acteurs d’initier des paiements au nom du payeur. En clair, cela veut dire qu’au lieu de donner l’ordre de paiement à sa banque, l’utilisateur peut passer par le PISP, qui va à son tour faire la demande à la banque.
  • Les services d’information sur les comptes (statut AISP) : ici, le prestataire permet aux nouveaux acteurs de consulter leurs comptes de manière centralisée. Via une interface unique (application, portail web, etc.), l’utilisateur peut consulter les soldes et les transactions d’un ou de plusieurs comptes issus de banques différentes.

La mise en place de nouvelles infrastructures

C’est un gros changement par rapport au temps de la DSP1. Pour que tout ceci fonctionne, les banques et les PSP sont forcées de mettre en place de nouvelles infrastructures. Pour s’y conformer, banques et fintechs doivent :

Échanger via des API

Les API (« Applications Programming Interface ») offrent un canal de communication sécurisé. Il faut donc qu’elles adaptent leurs structures informatiques en conséquence. C’est via ces API que les prestataires de services de paiement peuvent accéder aux données bancaires des consommateurs, et/ou autoriser des règlements.

Obtenir les certificats électroniques appropriés

Ces certificats permettent d’échanger des données sécurisées entre leurs serveurs et ceux des PSP (ou des agrégateurs d’informations). Deux types de certificats sont requis par la DSP2 :

  • Le certificat eIDAS QWAC (qui veut dire « Qualified Website Authentication Certificate »). Il permet aux serveurs d’un PSP et d’une banque de s’authentifier l’un l’autre.
  • Le certificat eIDAS Qseal (pour « Qualified electronic Seal Certificate »). Il permet aux serveurs de sécuriser une transaction.

Ces certificats permettent en outre la traçabilité des échanges.

Le label eIDAS est la meilleure garantie de qualité et de sécurité pour l’identification électronique, les services de confiance et l’échange de documents numériques. Seuls des prestataires approuvés par l’Europe, ou QTSP (« Qualified Trust Service Providers ») peuvent founir ces certificats QWAC et QSEAL. CertEurope fait partie des meilleurs prestataires de confiance reconnus. Elle fait d’ailleurs partie de la liste de confiance des QTSP de l’Open Banking Europe.

La DSP2 pousse donc davantage le principe établi par sa grande sœur la DSP1. Les échanges d’informations entre consommateurs, banques et PSP sont encore simplifiés, et leur sécurité est accrue.

Icona Top