Qu’est-ce qu’un certificat x509 et quel est son rôle dans le cadre du protocole SSL ?

Élections municipales : comment obtenir un certificat électronique pour les maires ?

La sécurité informatique au sein de l’administration publique s’est largement renforcée ces dernières années, faisant naître ainsi la problématique de l’obtention de certificats électroniques pour les nouveaux maires. Les élections municipales c’est aussi, pour les nouveaux élus, l’obligation d’obtenir un certificat électronique et donc d’une identité numérique. On vous explique le pourquoi du comment.

Obtenir un certificat électronique. Pourquoi est-ce obligatoire pour les maires ?

Le certificat électronique est l’équivalent d’une carte d’identité aussi appelé certificat numérique ou de clé publique. Il permet d’identifier une personne et de l’authentifier (donner son identité et le prouver). Le certificat électronique se présente sous la forme d’une clé USB personnelle, servant à apporter la preuve d’une identité en ligne lors, notamment, de la signature d’un document informatique engageant la mairie. Cette authentification forte, offre ainsi une sécurité contre tout risque d’usurpation. Son utilisation est indispensable notamment dans l’administration publique.

La loi du 7 août 2015 rend obligatoire le raccordement au système d’information ACTES, et donc l’envoi dématérialisé pour toutes les collectivités. La législation laissait une période de 5 ans pour que l’obligation soit réellement effective, soit jusqu’au 7 août 2020. Les régions, les départements, les communes de plus de 50000 habitants ainsi que les établissements publics de coopération intercommunales télétransmettent déjà. Le passage à l’identité numérique des plus petites communes paraît de ce fait, inévitable. Obtenir un certificat électronique est donc un passage obligé pour les maires.

Se raccorder à ACTES nécessite plusieurs étapes :

Prise de contact avec sa préfecture de rattachement pour étudier les modalités de raccordement
Prendre une délibération autorisant l’exécutif à signer avec le représentant de l’Etat une convention pour la transmission dématérialisée des actes soumis au contrôle de légalité.
Choisir un opérateur de transmission homologué par le ministère de l’Intérieur
Obtenir des certificats électroniques RGS** pour les agents chargés de la transmission des actes
Signer une convention avec le préfet du département

La certification électronique : quelle utilité pour les maires et dans quel cadre ?

Un partenaire de confiance numérique au service du développement

Le certificat électronique permet aux maires de confirmer leur identité de manière sécurisée. Ils en ont l’utilité dans l’exercice de leur fonction en particulier sur le système d’information ACTES, permettant de transmettre aux représentants de l’Etat, par voie électronique, les actes soumis au contrôle de légalité et à la comptabilité. Dans ce cadre, les certificats électroniques sont à commander auprès d’une autorité de certification telle que CertEurope, conforme aux exigences de l’ANSSI (Agence Nationale de la Sécurité et des Systèmes d’Information). Cet organisme accompagne entreprises et administrations telles que les mairies dans le choix de leur solution de sécurité. Un label de confiance créé par l’ANSSI est attribué aux produits et entreprises fournissant un service de gestion de la donnée sensible.

Les clés fournies, appelées aussi clés cryptographiques sont de type RGS** (RGS 2 étoiles, pour Règlement Général de Sécurité), correspondant à un niveau de sécurité très élevé. Elles sont remises en face à face aux maires par une autorité légitime afin de vérifier son identité.

Après les élections municipales, afin d’éviter tout danger de faux en écriture publique, la clé du maire sortant est révoquée, interdisant ainsi son utilisation. L’administration publique se doit néanmoins d’assurer la continuité du contrôle de légalité dématérialisé.

Quelques cas pratiques décryptés en fonction de l’issue des élections :

Si le maire sortant est réélu et qu’il dispose déjà d’un certificat électronique, il peut continuer à l’utiliser pour le dépôt d’acte.
Le maire sortant n’est pas réélu. Un agent de la collectivité doit avoir un certificat électronique pour assurer la continuité du contrôle de légalité. Une commande de certificat devra être effectuée pour le nouveau maire.
Si des agents de la collectivité, en dehors du maire disposent de certificats électroniques, ils peuvent télétransmettre avant, pendant et après les élections.

Comment assurer la continuité du dépôt d’actes grâce au certificat électronique en période d’élection ?

Afin d’assurer la télétransmission des actes pendant et après les élections, les mairies doivent obtenir un certificat électronique au nom d’un agent de la collectivité pouvant télétransmettre sur ACTES. Dans le cas où le maire sortant n’est pas réélu, l’agent pourra continuer à mettre en œuvre le contrôle de légalité, au moins le temps de la création d’un certificat électronique pour le maire nouvellement élu.

Notez en fin qu’en cas d’urgence, en vue d’assurer les délibérations et la comptabilité sur la plateforme ACTES dans les plus brefs délais, il est possible d’obtenir un certificat électronique RGS** sous 1 jour ouvré grâce à des offres plus avantageuses comme celles de CertEurope.

Les élections municipales sont donc l’occasion idéale pour les collectivités françaises de mieux protéger l’identité numérique des élus.

Certificat d’appel d’offres : l’indispensable sésame pour participer aux marchés publics

La dématérialisation complète des appels d’offres publics est imminente : à partir du 1er octobre 2018 (et au-dessus d’un seuil fixé à 25 000 euros), les échanges d’informations devront être 100 % numériques. Conséquence : pour candidater dans le cadre d’un marché public, il vous faudra signer électroniquement les documents à transmettre. Donc obtenir un certificat de signature électronique dédié, ou certificat d’appel d’offres. Voici ce qui va changer au 1er octobre et comment vous y préparer avec le certificat adéquat.

La dématérialisation des marchés publics

La dématérialisation des marchés publics est en marche, et la date du 1er octobre 2018 a marqué le point de non-retour. Les centrales d’achat sont actuellement les seules concernées par les obligations relatives à la dématérialisation des processus (depuis le 1er avril 2017). Mais, cette fois, toutes les entreprises seront touchées.

Mis en œuvre par l’État français, ce calendrier est une transcription dans le droit national d’une directive européenne sur la passation des marchés publics. Plusieurs arrêtés ont fait suite à l’ordonnance du 23 juillet 2015 et au décret du 25 mars 2016, dont celui d’avril 2018 relatif à la signature électronique dans la commande publique.

Concrètement, qu’est-ce qui a changé ?

Tout appel d’offres public donnera lieu à la publication des documents de la consultation en ligne, dès que la valeur du besoin sera égale ou supérieure à 25 000 euros hors taxes.
Cette publication devra se faire sur des profils d’acheteurs, offrant un accès libre aux documents de consultation et aux contrats signés.
Les communications et les échanges d’informations devront être réalisés par voie électronique. Cela inclut les procédures de conclusion du marché, notamment par le biais de l’utilisation d’un certificat de signature électronique répondant aux exigences du règlement eIDAS, aussi appelé, pour l’occasion, certificat d’appel d’offres.

La loi sur les marchés publics suppose, pour les entreprises, de se familiariser au plus vite avec les obligations qui s’imposeront en octobre, principalement la nécessité de se doter d’un certificat d’appel d’offres afin de signer numériquement les réponses envoyées dans le cadre des candidatures aux marchés publics.

Analysons maintenant, dans les grandes lignes, les changements qui s’annoncent, du point de vue des acheteurs et des entreprises candidates.

Du côté des acheteurs et des autorités concédantes : la création d’un profil acheteur

Pour une collectivité qui poste un appel d’offres, la principale « nouvelle » obligation consiste à se doter d’un profil acheteur. En réalité, elle n’est pas totalement neuve, puisque ces profils sont déjà obligatoires au-dessus de 90 000 euros. Le seuil est simplement abaissé à 25 000 euros.

Le profil acheteur permet de recueillir et de présenter la totalité des documents de la consultation. Ces pièces sont mises (gratuitement) à la disposition des candidats. De la même façon, l’ensemble des données relatives aux contrats conclus dans le cadre des marchés publics doit être libre d’accès, pour une durée de cinq années au moins après la fin de l’exécution, et dans un format de téléchargement universel (XML ou JSON). Cette obligation ne concerne pas les données sensibles qui pourraient porter atteinte à l’ordre public ou à la sécurité.

Tous les échanges électroniques doivent nécessairement passer par ce profil. Notamment pour ce qui est des documents signés numériquement par les opérateurs économiques (signature adossée à l’obtention d’un certificat d’appel d’offres).

Dans certains cas de figure, acheteurs et autorités concédantes peuvent contourner cette exigence. Par exemple, si le besoin est d’une valeur inférieure à 25 000 euros, s’il s’agit d’une consultation lancée par des services sociaux, ou si l’acheteur rencontre des difficultés à mettre en place ou à utiliser les moyens de communication exigés.

Du côté des opérateurs économiques : la nécessité de se doter d’un certificat d’appel d’offres

Dans la logique de la dématérialisation des processus de marchés publics, les entreprises qui souhaitent répondre doivent le faire électroniquement. La loi du 1er octobre 2018 impose aux opérateurs économiques l’obligation de transmettre leurs candidatures par la voie digitale. De fait, les offres émises en version papier risquent d’être considérées comme irrégulières, tout comme elles le sont actuellement dans le cadre d’appels d’offres dématérialisés en l’absence d’une signature électronique valable.

Naturellement, la question de la validité des documents se pose. Comment certifier qu’un signataire de marché public a donné son consentement ? L’arrêté d’avril 2018, qui abroge celui de juin 2012 relatif à la signature électronique, apporte déjà une réponse en définissant les modalités d’utilisation de la signature et du certificat afférent :

Le certificat d’appel d’offres doit être délivré par un Tiers de Confiance, par exemple une Autorité de Certification comme CertEurope, ou par un prestataire de service de confiance qualifié (selon les termes de eIDAS).
La signature électronique doit être apposée à l’aide d’un parapheur digital.
La validité de la signature électronique passe par l’authentification de l’identité du signataire, gage de confiance.

Ces exigences s’appliquent pour toute réponse à un marché public lorsque la signature électronique, adossée à un certificat d’appel d’offres, est requise (donc à compter du 1er octobre).

Enfin, il ne faut pas oublier que le reste du processus d’exécution est également dématérialisé. Cela concerne notamment la facturation électronique, déjà imposée aux autorités publiques, aux grandes entreprises et aux sociétés de taille intermédiaire. Et bientôt étendue aux PME, puis aux microentreprises.

La préparation au changement, c’est maintenant. Au 1er octobre, vous devrez vous conformer aux obligations relatives à la dématérialisation des marchés publics. Et, pour cela, être en mesure de signer électroniquement vos documents. N’attendez pas pour vous préparer : demandez d’ores et déjà votre certificat d’appel d’offres à une Autorité de Certification, ou assurez-vous d’avoir en votre possession un certificat qualifié pour les commandes publiques.

Portail Chorus Pro, Europe, marchés publics : où en est la facture électronique ?

En 2013 déjà, la Commission européenne affirmait que l’adoption de la facturation électronique dans le cadre des marchés publics dans l’ensemble de l’Union européenne pourrait générer jusqu’à 2.3 milliards d’euros d’économies. Mais les économies ne sont qu’un des bénéfices de cette solution. En France avec le portail Chorus Pro et en Europe, l’heure est à la dématérialisation des factures et les bénéfices qui en découlent sont nombreux.

Productivité, gain de temps, garantie d’intégrité, transparence, protection de l’environnement… Non seulement la facture électronique est simple à mettre en place mais en plus les bénéfices sont évidents.

L’accélération de l’usage de la facture électronique, dans les relations entre l’Etat, les collectivités territoriales et les établissements publics avec leurs fournisseurs, est identifiée par tous les acteurs comme une mesure essentielle de simplification en faveur des entreprises. La dématérialisation de ces échanges est en effet de nature à alléger la charge administrative pesant sur les opérateurs économiques, tout en facilitant les travaux des administrations.

Chorus Pro, Facture électronique : une tendance qui se confirme

En 2010, la Commission européenne plaidait pour une généralisation de la facturation électronique. Selon elle, ce mode de facturation devait permette aux entreprises de raccourcir les délais de paiement, de réduire les risques d’erreur et de diminuer les frais d’impression et d’envoi. Neuf ans plus tard, la dématérialisation est devenue une véritable tendance. Selon l’EESPA (Europe E-invoicing Service Providers Association), l’utilisation de la facture électronique a progressé de 23% en 2017.

La dématérialisation encouragée au niveau européen

En 2014, les membres de l’Union Européenne ont adopté de nouvelles lois sur les marchés publics. En parallèle, ils ont adopté une loi destinée à encourager les contractants européens à mettre en place la facturation électronique pour la livraison de travaux ou de biens au secteur public. Depuis le 17 avril 2019, et conformément à la directive 214/55/UE, les autorités publiques chargées des marchés publics dans l’UE doivent se conformer à la norme européenne en matière de facturation électronique et être en mesure de recevoir et de traiter des factures électroniques en conséquence.

Le texte européen ne contraint cependant pas les organisations publiques à recourir à la facture électronique. En revanche, grâce à cette directive, si une administration publique reçoit une facture électronique, elle n’a d’autre choix que de l’accepter. Quant aux prestataires en relation avec les acteurs publics, ils doivent s’assurer de la conformité de leurs factures électroniques avec les normes établies par la directive.

La directive européenne, précise, dans son article 6, les éléments essentiels d’une facture électronique :

Identifiants de processus et de facture
Période de facturation
Renseignements concernant le vendeur
Informations concernant l’acheteur
Renseignements concernant le payeur
Renseignements concernant le représentant fiscal du vendeur
Référence du contrat
Détail concernant la fourniture
Instructions relatives au paiement
Renseignements concernant les déductions ou frais supplémentaires
Informations concernant les postes figurant sur la facture
Montants totaux de la facture
Répartition par taux de TVA

La France se mobilise en faveur de la facture électronique (Chorus Pro)

La France se mobilise en faveur de la facture électronique

En France, la dématérialisation des factures s’accélère. En effet, la facture électronique s’impose de plus en plus dans les entreprises comme dans les administrations. Depuis 2017, la dématérialisation des factures est de plus en plus répandue au sein des organisations françaises devant demander le paiement de marchés publics. Une plateforme gouvernementale a été mise en place pour gérer le flux de factures : le portail Chorus Pro.

Portail Chorus Pro : des millions de factures traitées chaque année

L’Etat a l’obligation depuis le 1er janvier 2012, d’accepter les factures électroniques émises par ses fournisseurs. Sur les 4 millions de factures reçues chaque année par ses services, seules 34 000 l’ont toutefois été sous forme dématérialisée en 2013. En novembre 2018, le portail Chorus Pro a atteint les trois millions de factures traitées sur ce seul mois. Le nombre de factures dématérialisées a ainsi atteint les 36 millions depuis l’ouverture de la plateforme en juillet 2016.

Une dématérialisation par étapes

En début d’année, une nouvelle catégorie d’entreprises a dû se soumettre à l’ordonnance n°2014-697. Les grandes entreprises (selon la qualification de l’INSEE) et les personnes publiques depuis le 1er janvier 2017, les entreprises de taille intermédiaire (entre 250 et 5000 salariés, chiffre d’affaires inférieur à 1,5 Md€ ou bilan inférieur à 2Md€) depuis le 1er janvier 2018 et les PME (moins de 250 salariés, chiffre d’affaires inférieur à 50M€ ou bilan inférieur à 43M€) ont l’obligation de dématérialiser les factures adressées au secteur public. Au 1er janvier 2020, les micro-entreprises (moins de 10 salariés, chiffre d’affaires ou bilan inférieur à 2M€) seront également concernées.

Afin de faciliter les échanges entre les entreprises et les administrations publiques dans le cadre des demandes de paiement, l’AIFE (Agence pour l’informatique financière de l’Etat) a mis en place le portail Chorus Pro. Mais que savez-vous réellement sur cet outil mis à disposition par l’Etat via l’ordonnance du 26 juin 2014.

Portail Chorus Pro, facture électronique : que faut-il en retenir ?

Toutefois, la DSP 2 accepte des exceptions à l’authentification forte, suivant le niveau de risque, le montant ou la récurrence du paiement. Sont concernés : les opérations à risque faible et/ou à montant faible (moins de 30 €), les paiements par carte professionnelle, les abonnements et les paiements récurrents, les transactions MOTO, les listes blanches et les transactions interrégionales.

Que signifie marché public ?

L’ordonnance n°2015-899 du 23 juillet 2015 définit les marchés publics comme des contrats conclus à titre onéreux par un ou plusieurs acheteurs publics avec un ou plusieurs opérateurs économiques publics ou privés, pour répondre à leurs besoins en matière de travaux, de fournitures ou de services.

Qui sont les acheteurs publics ?

L’Etat, les collectivités territoriales et les établissements publics. D’autres organismes privés créés pour satisfaire des besoins d’intérêt général doivent aussi respecter les règles de passation des marchés publics ?

Quels sont les grands principes auxquels doit obéir la procédure de commande publique ?

Les procédures sont strictement encadrées et doivent obéir à trois grands principes :

Liberté d’accès à la commande publique
Egalité de traitement des candidats
Transparence des procédures

Qui peut se porter candidat à un marché public ?

Dans le respect du principe de libre accès à la commande publique, tout opérateur économique peut se porter candidat à l’attribution d’un marché public, même les micro-entrepreneurs.

Le portail Chorus Pro s’adresse à l’ensemble des acteurs de la commande publique. Côté émetteurs, il s’agit des fournisseurs tant privés que publics qui peuvent désormais transmettre de façon efficace et automatique leur factures à destination de la sphère publique. Ils ont accès à un certain nombre de fonctionnalités :

Dépôt ou saisie d’une facture
Suivi du traitement de leurs factures
Ajout de pièces complémentaires nécessaires au traitement de leurs factures
Consultation des engagements émis par les services de l’Etat

Portail Chorus Pro, facture électronique : CertEurope vous accompagne

Les certificats électroniques proposés par CertEurope sont conformes au référentiel général de sécurité (RGS). Ils permettent aux fournisseurs du secteur public de dématérialiser et de transmettre de façon sécurisée des factures via le portail Chorus Pro. De cette façon, ils sont en mesure de gagner du temps, de réduire les coûts et de simplifier le suivi de leurs factures.

Sur le portail Chorus Pro, il est possible de déposer manuellement, à l’attention des entités publiques, des factures au format PDF texte. En signant au préalable vos factures PDF, avec le certificat électronique RGS**/eIDAS de CertEurope il n’est plus nécessaire de mettre en place une piste d’audit fiable entre la facture émise et la prestation à laquelle elle se rattache. Cet usage convient parfaitement lorsque le nombre de facture à déposer est relativement faible.

En revanche, lorsque vous devez envoyer un nombre important de factures auprès des entités publiques, il est conseillé d’interfacer le portail Chorus Pro à votre outil de gestion de factures. Il sera nécessaire en API Oauth2 de passer par la plateforme PISTE (Plateforme d’Intermédiation des Services pour la Transformation de l’Etat), qui mutualise les services API de l’Etat et de la sphère publique, et qui a pour vocation à devenir un point d’entrée unique. En mode EDI, il faudra vous équiper d’un certificat SSL authentification serveur et/ou authentification serveur client. Le tableau ci-après récapitule le type de certificat nécessaire pour le raccordement que vous désirez.

Certificat RGS*

Obtenez votre certificat conforme au Référentiel Général de Sécurité et au règlement européen eIDAS

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat RGS*

Obtenez votre certificat conforme au Référentiel Général de Sécurité et au règlement européen eIDAS

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Identité numérique : la base de la confiance en ligne

L’identité numérique est au cœur de la confiance dans le cadre des échanges en ligne. Faute de disposer d’une identité forte sur le réseau et des moyens de protéger cette identité, le développement des échanges électroniques et des services de confiance est voué à l’échec. Cette notion est à la base de tous les processus d’authentification et de sécurisation des données – certificat électronique, certificat SSL, signature électronique. L’identité numérique, c’est donc l’incontournable socle sur lequel doit s’édifier la confiance en ligne de votre entreprise.

Qu’est-ce que l’identité numérique ?

Qu'est-ce que l'identité numérique ?

La notion d’identité, au sens administratif, est relativement récente. En France, la carte d’identité nationale est apparue seulement en 1921, mais elle est restée facultative depuis lors (exception faite d’une brève période de temps pendant la Seconde Guerre mondiale), et n’a été généralisée qu’à la toute fin du XXe siècle. En tout état de cause, posséder un justificatif d’identité quel qu’il soit est indispensable pour effectuer la plupart des démarches, comme s’inscrire sur une liste électorale, ouvrir un compte bancaire ou acheter une voiture. L’identité permet à chacun de prouver qui il est dans les circonstances qui nécessitent d’apporter cette preuve, à travers une somme d’informations factuelles.

Cette problématique, transposée au monde digital, se complexifie toujours plus. La définition d’une identité numérique se heurte à nombre d’obstacles, à commencer par l’ampleur des éléments qui la constituent. Globalement, une identité numérique est formée par la somme des traces numériques laissées par un individu ou une entreprise. Ces traces peuvent avoir de multiples sources : les profils (sur les réseaux sociaux, par exemple), les données communiquées, les sites fréquentés, les contenus publiés, les comportements, les opinions déclaratives, etc. Elles peuvent être laissées volontairement ou non, consciemment ou non, et prendre tous les formats possibles, depuis les contenus jusqu’aux identifiants de connexion, en passant par les cookies et l’adresse IP.

Relier l’identité numérique à son propriétaire

Relier l'identité numérique à son propriétaire

Néanmoins, cette définition ne recouvre qu’un seul des aspects de l’identité numérique. Les traces laissées sur le web informent sur ce qu’une entité ou une personne semble être, mais pas sur ce qu’elle est réellement. Dans le contexte de la dématérialisation des services et des formalités administratives, la nuance est importante : quand un internaute achète sur un site e-commerce, quand un acteur commercial signe un contrat avec un autre, ils doivent être certains d’avoir affaire au bon site ou à la bonne entité.

L’essor des échanges électroniques tend à multiplier les risques. Pour une entreprise, la menace d’usurpation d’identité est majeure : elle doit absolument protéger son identité numérique et veiller à ce que ses interlocuteurs, eux aussi, soient vraiment ceux qu’ils prétendent être. L’enjeu, c’est donc de parvenir à relier l’identité numérique à son propriétaire. À faire en sorte que tout le monde puisse faire le lien entre l’identité régalienne (l’entreprise que vous êtes) et son équivalent digital (un certificat ou une signature électronique, par exemple). Cette démarche permet de garantir l’identité du signataire dans tous les cas de figure, qu’il s’agisse de protéger les échanges avec les internautes ou de donner une valeur légale à des documents électroniques.

Le besoin d’une identité numérique sécurisée

Le besoin d'une identité numérique sécurisée

Le développement des échanges en ligne contraint les entreprises à disposer de moyens de s’authentifier numériquement aux yeux du public et de leurs partenaires. « Contraint » est le bon terme : depuis juillet 2016, le règlement eIDAS (electronic Identification, Authentification and trust Services) encadre l’identification électronique et les services de confiance au niveau européen. En imposant un socle sécuritaire commun dans le cadre des échanges de données, eIDAS oblige les entreprises à adopter des processus permettant de garantir leur identité numérique à travers plusieurs niveaux de fiabilité et de sécurité. Le règlement intègre également des exigences quant à la création d’une signature électronique, sur la base d’un certificat numérique délivré par une Autorité de Certification comme CertEurope (voir notre article au sujet d’eIDAS).

La signature électronique, justement, est la clé d’une identité numérique sécurisée. Cautionnée par un certificat électronique, elle protège votre entreprise contre toute tentative d’usurpation d’identité, garantit l’intégrité des documents échangés, et consolide votre présence en ligne. Grâce à cette signature, les démarches de consentement et d’engagement sont limitées au seul porteur du certificat numérique, tandis que le certificat en question sécurise les données échangées via une clé de chiffrement.

De son côté, l’authentification forte (l’utilisation de deux facteurs d’identification) permet aux entreprises de sécuriser leurs accès à leur système d’information depuis n’importe quel support, de façon à protéger des données sensibles ou confidentielles. L’authentification forte est soutenue par l’émission d’un certificat électronique signé par un tiers de confiance.

Enfin, l’obtention d’un certificat électronique intégrant le protocole SSL vise à protéger l’intégrité des données échangées entre un serveur et un client, mais aussi à garantir l’identité du possesseur du certificat (pour des certificats présentant un haut niveau de sécurité : OV ou EV).

L’adoption d’outils fiables de maîtrise de l’identité numérique, à l’image de la signature électronique et du certificat électronique, est donc un préalable indispensable à des échanges électroniques sécurisés. Et un gage de confiance incontournable.

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat SSL, SSL, certificat TLS… 5 questions pour tout comprendre

Certificat SSL, TLS… 5 questions pour tout comprendre

Les Français sont de plus en plus connectés : la moitié d’entre eux a l’habitude d’effectuer des achats en ligne, et ils sont 80 % à consulter leurs comptes bancaires depuis des interfaces web. Mais comment assurer la sécurité de leurs données personnelles ? La réponse, c’est le protocole SSL, permettant d’assurer la confidentialité des données échangées entre les internautes et les plateformes web. Voici 5 questions pour tout comprendre au sujet du fameux certificat SSL et de son successeur, le certificat TLS.

Le SSL, c’est quoi ?

Le SSL, c'est quoi ?

Dans certificat SSL, il y a « SSL », abréviation de Secure Socket Layer. Il s’agit d’un protocole permettant de sécuriser les échanges entre un internaute et une plateforme (site web, serveur, application mobile) via le chiffrement des données. Ce protocole, inventé dans les années 90 par Netscape pour Mastercard dans le but de protéger les transactions effectuées en ligne, élimine les risques d’interception « en clair » des données par des personnes tierces. Les informations échangées sont donc cryptées et inaccessibles aux pirates informatiques.

Le protocole SSL a contribué à la sécurisation du web et au développement du commerce en ligne. Utilisé en grande partie pour sécuriser les données confidentielles et les coordonnées bancaires des internautes, et pour garantir leur intégrité, le SSL est également une méthode d’ « authentification forte ». À travers un certificat SSL, l’utilisateur peut s’assurer de l’identité du serveur avec lequel il communique.

Comment fonctionne un certificat SSL ?

Le certificat SSL est donc un certificat électronique qui intègre le protocole SSL. Il atteste du lien entre l’identité numérique et l’identité physique d’une personne ou d’une entreprise. Et garantit ainsi la confidentialité des données échangées entre le serveur et les internautes, par le biais d’une clé cryptographique.

Installé sur un serveur, le certificat SSL autorise des connexions sécurisées sur le navigateur. Celles-ci sont signalées par la présence du protocole HTTPS dans l’URL du serveur, et par l’affichage d’un cadenas de sécurité dans la barre d’adresse (à gauche ou à droite, en fonction des navigateurs).

Ce certificat de site web assure-t-il la sécurité des utilisateurs ?

Au départ, le certificat SSL est destiné à la sécurisation des données sensibles, essentiellement dans le cadre des paiements en ligne. Par la suite, le SSL s’est imposé comme la norme pour protéger l’accès aux comptes utilisateurs, l’envoi de documents dématérialisés ou les déclarations fiscales (entre autres). Même les réseaux sociaux ont adopté le protocole SSL : vous pouvez constater, en vous connectant sur Facebook, Twitter ou LinkedIn, que ces plateformes affichent bien le protocole HTTPS et le fameux cadenas.

Un certificat SSL permet ainsi de faire la distinction entre un site sécurisé et légitime, et un site mal protégé, voire malveillant, par exemple dans un cas de « phishing » (une forme d’attaque consistant à imiter une page web pour convaincre un internaute de livrer des informations confidentielles).

Toutefois, il ne faut pas oublier une chose : le SSL signifie que les données sont protégées par un chiffrement. Ce qui n’empêche nullement un pirate informatique d’acheter un certificat SSL à faible niveau de sécurité (un certificat DV, par exemple, est délivré au propriétaire d’un nom de domaine, sans plus de vérifications) afin d’afficher HTTPS et cadenas. Les données sont effectivement chiffrées, mais l’internaute n’est pas protégé pour autant.

Pour garantir une protection optimale, il est nécessaire d’installer un certificat SSL offrant un haut niveau de sécurisation, permettant de garantir l’identité de l’entreprise propriétaire et gestionnaire du site. C’est le cas des certificats à validation d’organisation ou à validation étendue.

Comment obtenir un certificat SSL ?

Un certificat SSL suppose une vérification préalable, dont la teneur est fonction du niveau de sécurisation demandée. Une entreprise qui souhaite adopter le protocole SSL doit s’adresser à une Autorité de Certification (AC), seule habilitée à fournir le certificat en question, de la même façon que seuls les services administratifs compétents sont en mesure de délivrer une carte d’identité ou un passeport. Les Autorités de Certification sont nombreuses, et CertEurope est l’une d’entre elles. Selon les AC, le niveau de fiabilité des procédures de vérification et d’émission des certificats diffère.
Notez qu’il est également possible de passer par des intermédiaires (les fournisseurs de certificats SSL) qui travaillent avec ces autorités.

Quelle différence entre un certificat SSL et un certificat TLS ?

Afin d’intégrer des algorithmes de chiffrement plus précis et plus robustes, et ainsi faire face aux évolutions des problématiques de sécurité, le SSL a connu des versions successives… Jusqu’à se transformer en TLS (Transport Layer Security).
Le protocole TLS est donc le successeur du SSL. L’arrivée du TLS en 1999 n’a pas mis au rebut les protocoles précédents (SSL 2.0 et 3.0), mais ceux-ci ont été progressivement désapprouvés par les autorités. Conséquence : un site web qui utilise un protocole trop ancien n’offre pas une expérience utilisateur sécurisée, et voit son préfixe HTTPS barré en guise d’avertissement aux internautes. Le TLS est donc le protocole en vigueur.
Pour autant, il faut savoir que protocole et certificat sont deux choses différentes – et indépendantes l’une de l’autre. Si le protocole TLS s’est imposé, on parle toujours de « SSL » par convention. Ce qui veut dire qu’un certificat SSL et un certificat TLS sont une seule et même chose.
Vous n’avez donc pas besoin de vous précipiter auprès de votre autorité compétente pour acheter un certificat TLS, dès lors que vous en possédez déjà un en version SSL !

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Comment utiliser la plateforme de déclaration Synapse ?

Si vous êtes fabricant, vendeur, importateur, responsable de la mise sur le marché ou utilisateur de produits chimiques ou de préparations à risques, la plateforme de déclaration en ligne Synapse ne vous est sans doute pas inconnue. Dans le cadre de vos activités, vous êtes tenu de déclarer certains de ces produits, à des fins d’évaluation et de prévention des risques, auprès des organismes agréés. Comment fonctionne cette plateforme ? Quelles sont les étapes à suivre pour effectuer une déclaration sur Synapse ? Et pourquoi faut-il absolument être en possession d’un certificat RGS pour accéder à ce portail ?

Synapse, c’est quoi ?

Synapse, c'est quoi ?

La plateforme de déclaration Synapse est un outil mis en place conjointement par l’INRS (Institut national de recherche et de sécurité) et les CAPTV (Centres antipoison et de toxico-vigilance français). Accessible et utilisable en ligne, elle permet aux industriels qui vendent des produits chimiques et des préparations de les déclarer de façon simple et sécurisée, par le biais d’une interface dynamique. Le but ? Évaluer le niveau de risque présenté par ces substances et prévenir les éventuels risques toxicologiques.

Cette obligation s’applique :

Aux produits classés dangereux, en fonction de leur classification.
Aux produits phytopharmaceutiques (destinés à protéger les végétaux et à combattre les organismes nuisibles qui s’en prennent à eux).
Aux produits biocides (destinés à détruire ou repousser les nuisibles : désinfectants, produits de protection, substances permettant de lutter contre les nuisibles, etc.).
Aux produits classés dangereux considérés comme « nouveaux », c’est-à-dire mis sur le marché pour la première fois, issus d’une nouvelle composition, concernés par une évolution d’étiquetage, achetés auprès d’un fournisseur inédit, etc.).
À tout type de produit dès lors que la demande de déclaration émane directement de l’INRS.

Pour simplifier cette démarche, l’INRS se charge d’enregistrer les déclarations en ligne via une plateforme spécifique : Synapse. La déclaration sur Synapse est une obligation depuis l’arrêté du 25 janvier 2017. Mais comment se déroule-t-elle ?

Comment effectuer une déclaration sur Synapse ?

Le portail Synapse a été conçu pour faciliter et sécuriser les déclarations de produits et de préparations de façon dématérialisée. Une déclaration sur Synapse peut être prise en charge par l’industriel qui fabrique, vend ou utilise la substance en question, ou bien par un prestataire de service mandaté pour l’occasion.

Les démarches à suivre pour procéder à une déclaration sur Synapse sont les suivantes :

S’inscrire sur la plateforme Synapse (une étape préalable obligatoire conditionnée à l’utilisation d’un certificat électronique RGS délivré par un Tiers de Confiance : nous y reviendrons un peu plus loin) ;
Accéder à son espace personnel sur le portail (« Mes déclarations ») ;
Créer une « Nouvelle déclaration » ;
Remplir les onglets de la déclaration, dans l’ordre prédéfini ou non, chacun devant être validé individuellement en ayant pris soin d’inscrire les items obligatoires (signalés par un astérisque rouge), parmi lesquels : le contexte, l’identification, la nomenclature, l’usage du produit, les informations de commercialisation, les caractéristiques physico-chimiques, la composition des substances, l’étiquetage, etc.

Une fois la déclaration Synapse effectuée, il est possible de la consulter et d’en suivre le traitement depuis l’onglet « Mes déclarations », ou d’en changer l’affectation sur l’écran « Gestion des déclarations ».

Le certificat d’authentification RGS : une nécessité pour déclarer sur Synapse

Le certificat d'authentification RGS : une nécessité pour déclarer sur Synapse

Comme nous l’avons vu plus haut, la possession d’un certificat électronique est le préalable indispensable à toute inscription sur la plateforme, donc à toute déclaration. Mais pas n’importe quel certificat : un certificat RGS (pour « référentiel général de sécurité » : un texte qui fixe les règles à respecter pour garantir un certain niveau de sécurité lors des échanges dématérialisés d’informations).

Pour pouvoir effectuer une déclaration sur Synapse, l’industriel ou le prestataire de service mandaté doit nécessairement s’équiper d’un certificat RGS, afin de s’inscrire sur la plateforme, puis de s’authentifier à chaque fois qu’il souhaite se connecter. Ce certificat permet de garantir un niveau de sécurité élevé dans le cadre d’un accès à distance à une application ou un service en ligne. Il donne l’assurance que le déclarant est bien celui qu’il prétend être, et que les informations déposées et exploitées sont bien celles qui ont été antérieurement fournies par le possesseur dudit certificat.

L’accès au portail Synapse suppose d’obtenir un certificat deux étoiles (**) ou trois étoiles (***) auprès d’une Autorité de Certification comme CertEurope. Le nombre d’étoiles renvoie à l’obligation de remettre le support cryptographique contenant le certificat en mains propres au demandeur. Ces certificats servent à accéder à des espaces sécurisés sur des plateformes comme Synapse, et garantissent l’intégrité des documents signés électroniquement et des informations déposées en ligne.

Le certificat RGS** (au minimum) est donc l’indispensable sésame pour s’inscrire sur Synapse et commencer à effectuer des déclarations en ligne. L’inscription est validée par le gestionnaire de la plateforme après vérification du certificat. Si celui-ci expire, une mise à jour est alors nécessaire sur cette page. Renseignez-vous auprès de votre Tiers de Confiance pour en savoir plus.

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Chorus Pro, l’indispensable outil pour transmettre vos factures électroniques aux entreprises publiques

Parmi vos clients, vous comptez des collectivités locales, des ministères, des hôpitaux ou tout autre établissement public ? Dans ce cas, vous êtes sans doute déjà passé à la facturation électronique – ou devrez y passer très prochainement si votre société est une PME ou une micro-entreprise. Depuis le 1er janvier 2017, les entreprises qui fournissent les organismes publics en biens ou en services ont l’obligation d’adopter la dématérialisation des factures. Une contrainte qui n’en est pas vraiment une, grâce à la mise en place de Chorus Pro, le portail gouvernemental qui simplifie la transmission des factures dématérialisées et le suivi de leur traitement, tout en garantissant la sécurité des échanges. Explications.

La facturation électronique obligatoire pour les fournisseurs du service public

Dans l’idée d’inciter les entreprises à adopter massivement la facturation électronique, le gouvernement a prévu d’imposer l’émission de factures dématérialisées à tous les fournisseurs de l’administration publique, pour l’ensemble des échanges de biens et de services. En toute logique, il a également obligé les établissements publics et les collectivités locales à adapter leurs environnements informatiques pour pouvoir recevoir les factures dématérialisées, grâce à un portail dédié.

Ce processus est progressif. Résultant de l’ordonnance n°2014-697 relative au développement de la facturation électronique (à lire sur cette page), dans le cadre du programme de simplification en faveur des entreprises, un calendrier a été mis en place avec les paliers suivants :

1er janvier 2017 : entités publiques et grandes entreprises (plus de 5 000 salariés).
1er janvier 2018 : entreprises de taille intermédiaire (entre 250 et 5 000 salariés).
1er janvier 2019 : petites et moyennes entreprises (entre 10 et 250 salariés).
1er janvier 2020 : micro-entreprises (moins de 10 salariés et entrepreneurs individuels).

En 2020, toutes les sociétés qui travaillent avec les entités publiques devront donc être passées à la facturation électronique. Mais rien ne vous empêche, si vous n’êtes pas encore concerné par cette obligation, de passer à la dématérialisation sans attendre. Le portail permettant d’accueillir les factures électroniques et de les acheminer vers les destinataires prévus existe depuis le 1er janvier 2017 : c’est Chorus Pro.

Chorus Pro : simplifier les échanges de factures dématérialisées

Mis en place par l’AIFE (l’Agence pour l’informatique financière de l’État, une émanation du ministère de l’Économie et des Finances) en remplacement de Chorus Factures, le portail Chorus Pro a été conçu pour faciliter les échanges entre les sociétés et les administrations publiques dans le cadre des demandes de paiement. La plateforme embarque deux fonctionnalités principales :

Elle sert de « hub » permettant de centraliser les factures dématérialisées de l’ensemble des fournisseurs, pour les distribuer aux administrations publiques destinataires.
Elle permet d’envoyer, de consulter et de télécharger les factures dématérialisées, et de suivre en temps réel l’avancement du traitement des demandes de paiement.

Une fois votre compte créé sur Chorus Pro, vous pouvez sélectionner un mode d’émission (portail, EDI ou service) et un format (PDF signé ou non signé, PDF mixte, fichier XML, format structuré ou mixte, mise à disposition des services du portail sous forme d’API, etc.). Comme nous le verrons plus tard, le choix dépend du volume de factures à envoyer.

De son côté, l’entité publique destinée à recevoir vos demandes de paiement doit elle aussi opter pour un mode de réception : portail (visualisation et téléchargement des factures), EDI (injection automatique du flux, visualisation des factures électroniques sur une feuille de style) ou service (fonctionnalités qui passent par une API).

Les avantages du portail Chorus Pro

Ce qui pourrait ressembler a priori à une contrainte est, en réalité, une opportunité. Car le passage à la dématérialisation des factures par le biais de Chorus Pro offre de nombreux avantages, notamment :

Le gain de temps, grâce à l’accélération du processus de transmission des factures.
Les économies, en raison de la réduction des coûts d’impression et d’envoi.
La confiance, renforcée par une plus grande transparence (la possibilité de suivre en temps réel l’avancement du traitement).
La tranquillité d’esprit, du fait d’une diminution des relances et des risques de litige.
La réduction de l’empreinte carbone (moindres émissions de CO2).

À tous ces bienfaits, il faut ajouter un gain en matière de sécurité et de confidentialité des échanges – comme nous allons le voir tout de suite.

Des modes de transmission de facture électronique 100 % sécurisés

La dématérialisation des factures, aussi attractive soit-elle, pose la question de la sécurité des échanges. Que deviennent les factures une fois que vous les avez envoyées ? Quelqu’un peut-il transmettre des factures en usurpant votre identité ?

Tout est prévu pour que cela n’arrive pas, en fonction du mode de transmission choisi (dépôt unitaire des factures sur le portail Chorus Pro ou envoi groupé de façon automatisée en EDI – échange de données informatisées).

Si vous émettez un nombre peu élevé de factures (par exemple moins de 50 par mois): vous pouvez signer vos factures avec un certificat RGS** pour personne physique, et les déposer de manière unitaire sur Chorus Pro. Vous devez d’abord vous procurer un certificat RGS**, puis signer votre facture dans Adobe Acrobat Reader, et enfin la déposer sur Chorus Pro. Cette solution permet de se passer de la piste d’audit fiable. Découvrez tout le processus de dépôt d’une facture unitaire sur la page dédiée du portail.
Si vous émettez un volume important de factures (par exemple plus de 50 par mois): vous pouvez automatiser la transmission de vos factures vers le serveur Chorus Pro.
- En mode EDI ou API Oauth : il est nécessaire au préalable de s’équiper d’un certificat SSL ce qui permet de procéder au dépôt groupé des factures en format EDI.
- En mode API Oauth2 : il faudra passer par la plateforme PISTE (Plateforme d’Intermédiation des Services pour la Transformation de l’Etat), qui mutualise les services API de l’Etat et de la sphère publique, et qui a pour vocation à devenir un point d’entrée unique.

Quel que soit le cas de figure que vous choisissez, il est nécessaire de vous équiper soit d’un certificat RGS** pour personne physique, soit d’un certificat d’authentification serveur RGS* auprès d’un Tiers de Confiance comme CertEurope, de manière à ce qu’il soit conforme au RGS.

Tel est l’indispensable socle de confiance sur lequel vous vous appuyez pour garantir la sécurité et la confidentialité de vos factures électroniques transmises via Chorus Pro.

Certificat RGS*

Obtenez votre certificat conforme au Référentiel Général de Sécurité et au règlement européen eIDAS

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat RGS*

Obtenez votre certificat conforme au Référentiel Général de Sécurité et au règlement européen eIDAS

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Du certibiocide à la déclaration Synapse : quelles sont les étapes à suivre ?

Dans le but de vendre sur le marché des produits conçus à partir de matières chimiques considérées comme étant dangereuses pour la santé, le ministère de la Transition Écologique impose aux entreprises spécialisées de passer le certibiocide, mais également d’effectuer la déclaration Synapse. Si le certibiocide est un certificat qui s’obtient à la suite d’une courte formation, les procédures actuellement en vigueur autour de la déclaration Synapse sont légèrement plus complexes à appréhender. L’occasion pour nous d’étudier dans cet article, l’ensemble des étapes à suivre afin d’effectuer sa déclaration sur la plateforme prévue à cet effet.

Certibiocide et déclaration synapse

Qu’est-ce que le certibiocide ?

Certibiocide et déclaration synapse

Le certibiocide est un certificat individuel et obligatoire que les professionnels souhaitant mettre en vente des produits biocides, donc nocifs pour certains êtres vivants, doivent obtenir. Ce certificat est délivré par le Ministère de la Transition Ecologique. Sans ce dernier, impossible de continuer son activité. Les produits concernés sont assez nombreux, allant des désinfectants de surface aux produits de lutte contre certains organismes, comme les termites, les rongeurs ou certains insectes.

Comment obtenir le certibiocide ?

Le certibiocide s’obtient à la suite d’une courte formation. Pour les détenteurs du certiphyto (certificat attestant de connaissances concernant l’utilisation de produits phytopharmaceutiques), cette formation ne durera qu’une seule journée. Pour les autres, il faudra compter sur un cycle de trois journées complètes. Celles-ci s’effectuent auprès d’un organisme spécialement agréé et habilité par le ministère de la Transition Écologique, dont les établissements sont répertoriés sur le site Simmbad. Une fois la formation passée, le certibiocide sera valide pour une durée de 5 ans, à compter du jour où il est officiellement délivré. Au cours de cette formation, les participants en apprendront plus au sujet des réglementations liées aux produits biocides ainsi que sur les usages de ces derniers, en fonction de la catégorie dans laquelle ils sont répertoriés (désinfectant, insecticide, rodenticide). Une partie de cette formation s’articule autour de la prévention de l’utilisation de ces produits et leurs impacts sur notre santé et notre environnement. Une autre partie concerne les stratégies alternatives vers lesquelles se tourner afin d’éviter de recourir à ces biocides. Mais ce certificat n’est pas une fin en soi et certains professionnels doivent aller plus loin, en se tournant notamment vers la plateforme Synapse.

Qu’est-ce que la déclaration Synapse

Depuis 2014, un arrêté invite les entreprises produisant et vendant sur le marché des produits chimiques considérés comme étant dangereux, à déclarer certains d’entre eux sur la plateforme Synapse. Celle-ci a été mise en place et est actuellement gérée par deux organismes : les Centres Antipoison et l’INRS (Institut National de Recherche et de Sécurité pour la prévention des accidents du travail et des maladies professionnelles).

Cette déclaration s’effectue en ligne, à travers le portail Synapse. Le gouvernement a décidé d’aller plus loin le 1er janvier 2019 en obligeant également les entreprises produisant et vendant sur le marché des mélanges considérés comme potentiellement dangereux pour la santé, à les déclarer. En 2022, c’est l’ensemble des mélanges présentant des risques physiques, qui seront à déclarer sur cette plateforme.

Cette déclaration, si elle n’est pas fondamentalement « compliquée », est un processus qui peut être chronophage et requiert des déclarants, qu’ils disposent du certificat RGS/eIDAS (Référentiel Général de Sécurité). Un processus que nous allons étudier plus en profondeur, dans la suite de cet article.

Déclaration synapse : notre guide en 4 étapes

Le certificat RGS, une condition sine qua non

Comme nous venons de l’évoquer, l’inscription sur la plateforme Synapse est conditionnée à l’obtention du certificat RGS. Ce certificat RGS vise à garantir un certain niveau de sécurité. À utiliser à chaque connexion sur Synapse, il sert de « carte d’identité électronique ». En l’utilisant, le professionnel va confirmer auprès de la plateforme, qu’il est bien la personne concernée par la déclaration. Ce certificat s’obtient auprès d’un organisme de certification tel que CertEurope, qui gère nos offres de la gamme Sign (signature numérique), afin de garantir la confiance dans vos échanges numériques.

Plusieurs documents sont demandés par les organismes tiers de certification. Ainsi, dans le but de compléter son dossier, il faut fournir :

Un extrait K-Bis de son entreprise. Celui-ci doit être daté de moins de 3 mois.
Un avis de situation de l’entreprise, afin de s’assurer que celle-ci est toujours en activité.
Une photocopie des statuts ainsi que des coordonnées de l’entreprise.
Un justificatif d’identité de la personne dont le nom figurera sur le certificat, afin de vérifier que celle-ci existe bel et bien et qu’elle sera la propriétaire de ce document.
Une confirmation signée par le représentant de la société concernée, confirmant l’identité de la personne à qui sera délivré le certificat.
Une participation financière, afin de régler ce service de certification.

La plateforme Synapse n’est plus accessible dès lors que son certificat RGS est périmé, soit après 3 années d’utilisation. Pour continuer à avoir accès à la plateforme et gérer au mieux ses déclarations, il est possible de remplir un formulaire dans lequel le déclarant joint l’empreinte de son nouveau certificat RGS. La mise à jour du compte est réalisée en back-office par les équipes Synapse. Le déclarant peut alors retourner sur son espace personnel, en toute sécurité. Attention, cette procédure, afin qu’elle soit menée à bien, doit être gérée par la personne en charge de la gestion de la déclaration Synapse, inscrite au préalable. Il faut donc fournir un nouveau certificat RGS, au même nom, faute de quoi, la procédure sera annulée. Une fois le certificat obtenu, reste à définir comment effectuer sa déclaration Synapse.

Comment faire sa déclaration Synapse depuis la plateforme ?

Passage obligatoire, le portail Synapse permet aux professionnels de déclarer leurs produits et leurs préparations, de manière totalement dématérialisée. La déclaration s’effectue directement sur la plateforme par le déclarant ou par une tierce personne mandatée pour l’occasion. Les démarches à suivre sont nombreuses, mais l’ensemble du processus est assez simple.

1- S’inscrire sur la plateforme Synapse

Afin de déclarer sur la plateforme Synapse, il faut avant toute chose, s’inscrire sur le portail. Comme nous avons pu le voir ci-dessus, cette inscription est directement conditionnée à l’obtention du certificat électronique RGS.

2- Accéder à son espace personnel

Une fois l’inscription terminée, un espace personnel est directement accessible. Cet espace personnel permet d’avoir accès à plusieurs catégories, comme :

L’espace nouvelle déclaration : comme son nom l’indique, cet espace permet la création d’une déclaration synapse.
Mes brouillons : cet espace permet de facilement retrouver, en quelques clics seulement, les dossiers en état d’avancement, mais qui ne sont pas encore terminés.
Mes déclarations : ce dossier permet le stockage de toutes les déclarations envoyées par le déclarant. C’est ici qu’il est possible de suivre l’évolution de sa déclaration.
Gestion : ce dossier permet le stockage de toutes les déclarations envoyées par l’unité déclarant. Cet écran permet également le changement d’affectation d’une ou plusieurs déclarations au sein d’une unité déclarante ainsi que le transfert d’une gamme de produits vers un autre déclarant.

3- Suivre l’onglet « Nouvelle déclaration »

Dans le but de créer une nouvelle déclaration Synapse, il convient de se rendre sur l’onglet « Nouvelle déclaration ». Il faut ensuite remplir les quelques cases obligatoires demandées. Parmi ces dernières, figurent notamment l’identification et l’usage du produit. Ces données sont importantes car elles permettent de rapidement retrouver le produit concerné et surtout, de savoir à quoi il sert. Son usage se déclare à l’aide du référentiel des classes d’utilisation générale qui dénombre 570 différents cas.

Les caractéristiques physiques ainsi que la composition du produit doivent également être détaillées. Ces données, comme la couleur, le pH et le point d’éclair ainsi que l’ensemble des éléments (classés comme dangereux ou non) doivent être présentés. Enfin, d’autres données, comme les informations de commercialisation ou l’étiquetage doivent être mises en avant par le déclarant.

Pour conclure, la déclaration Synapse requiert l’obtention d’un certificat RGS, délivré par un organisme de certification agréé, tel que CertEurope. En situation d’urgence, nous vous garantissons par ailleurs la livraison d’un certificat RGS sous 72 heures.
Pour plus d’informations, n’hésitez pas à visiter notre page dédiée : Comment utiliser la plateforme de déclaration Synapse ?

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

EBICS : la solution pour gérer vos échanges bancaires en toute sécurité

Les échanges bancaires représentent un risque majeur pour les organisations. C’est pourquoi les normes de sécurité qui les encadrent évoluent en continu, la plus récente étant EBICS : un protocole de communication bancaire standardisé et sécurisé qui garantit la confidentialité des données, permet l’identification des donneurs d’ordre et préserve l’intégrité des fichiers. Avec, en guise de bonus, un processus de validation 100 % automatisé grâce à la signature électronique. Revue de détail.

Qu’est-ce que EBICS ?

Qu'est-ce que EBICS ?

EBICS (en anglais : Electronic Banking Internet Communication Standard) est une norme européenne destinée au secteur bancaire. Il vient remplacer l’ancien protocole ETEBAC. Ce protocole standard est utilisé pour sécuriser les échanges de données en ligne entre les organisations et les établissements bancaires : envoi d’ordres de paiement ou d’encaissement, réception de relevés de comptes ou d’avis de bonne fin de traitement, etc. Il permet aussi de compresser les données, afin de transmettre des fichiers moins volumineux, et de signer électroniquement les demandes pour contourner tout risque de fraude.

Il existe deux modes de validation :

EBICS T (pour Transport) : les fichiers transmis sont placés en attente par la banque, jusqu’à réception de la confirmation signée par une personne autorisée au sein de l’organisation, transmise par un canal séparé. C’est cette confirmation qui permet l’exécution de l’ordre. Seul hic : depuis le 1er janvier 2017, les banques ne peuvent plus accepter les confirmations d’ordres transmises par fax, ce qui pousse les organisations à préférer EBICS TS.
EBICS TS (pour Transport et Signature) : les ordres sont signés électroniquement. On parle aussi de « validation jointe ». Les opérations sont ensuite exécutées directement, sans nécessiter de confirmation. Ce protocole offre le maximum de sécurité.

EBICS est aussi un protocole multi-bancaire. Une organisation peut travailler avec n’importe quelle banque ayant adopté EBICS en Europe.

Comment fonctionne le protocole EBICS ?

Les transactions EBICS impliquent quatre entités :
- Une organisation ou entreprise qui souhaite échanger des données avec un établissement bancaire ;
- Une banque, au sein de laquelle EBICS Banking Server est installé ;
- Un partenaire, l’unité interne à l’organisation qui interagit avec la banque ;
- Un utilisateur de l’organisation, qui effectue les transactions.
Pour transmettre des données, l’organisation se connecte à un serveur EBICS propre à l’établissement bancaire. Avant d’être envoyé, le fichier désiré est zippé, chiffré à l’aide d’une clé cryptographique, puis encodé en Base64. Il est ensuite découpé en fragments inférieurs à 1 Mo, insérés dans autant de messages XML. Il est possible de joindre la validation des fichiers ou de le faire ultérieurement en utilisant une signature électronique (selon le mode de validation privilégié). Dans ce dernier cas, la signature de l’ordre a pour conséquence la création d’un fichier de signature, qui permet à la banque de vérifier la conformité de l’ordre et la validité du certificat utilisé par l’organisation (vérification faite auprès de l’Autorité de Certification qui a délivré le certificat).
C’est toujours l’organisation qui est à l’initiative d’une transaction, qu’il s’agisse d’émettre ou de recevoir.

Quel est le niveau de sécurité des échanges ?

Le protocole EBICS garantit la sécurité de vos échanges bancaires à deux niveaux. D’une part, il utilise des messages XML véhiculés par une connexion TCP/IP sur HTTPS.

D’autre part, il sécurise les envois grâce à trois paires de clés RSA :

Une clé de signature qui permet de créer la signature électronique liée à la demande ;
Une clé de chiffrement qui permet de transmettre la clé AES de chiffrement de la demande ;
Et une clé d’authentification qui permet de signer le message XML.

Pour cela, une Autorité de Certification doit au préalable vous avoir délivré un certificat électronique compatible EBICS TS (c’est le cas de CertEurope).

Quelles sont les conditions préalables ?

Si vous souhaitez bénéficier du protocole EBICS pour vos transactions bancaires, votre entreprise doit suivre deux étapes.

Dans un premier temps, il vous faut signer un contrat avec l’établissement bancaire de votre choix par le biais de votre partenaire. Ce document définit les types de transactions ainsi que les autorisations et les droits d’accès. Il donne également des informations au sujet des comptes bancaires des utilisateurs.
Dans un second temps, vous devez échanger vos certificats et confirmer les paramètres bancaires. Conformément au contrat, l’établissement configure les données du partenaire et de l’utilisateur. Vous n’avez plus qu’à passer à la phase d’initialisation : l’échange et la vérification des certificats entre la banque et votre organisation.

Quels sont les avantages ?

Le protocole EBICS est massivement utilisé par les organisations pour leurs échanges bancaires. Cela, en raison de ses multiples avantages :

C’est une solution sécurisée permettant de procéder à des échanges bancaires en toute sérénité : les fichiers sont protégés par cryptage électronique au moment de l’envoi, et les opérations ne sont exécutées qu’après une confirmation émise par l’utilisateur (EBICS T), ou si elles sont validées par une signature électronique adéquate (EBICS TS).
EBICS permet de transporter tous les formats de fichiers bancaires en émission et en réception (SWIFT, XML, CFONB), y compris ceux qui contiennent de gros volumes d’opérations.
EBICS est compatible avec une large gamme de logiciels de communication bancaire, et avec les différents formats de virements et de prélèvements bancaires (comme SEPA au niveau européen).
Le protocole offre une grande souplesse, avec plusieurs solutions de validation disponibles et une définition des délégations de signatures adaptée aux besoins de l’entreprise. Vous pouvez choisir un ou plusieurs utilisateurs et définir des profils d’intervention différents. De plus, avec le protocole EBICS TS, l’utilisateur peut émettre des ordres depuis n’importe où dans le monde, dès lors qu’il est connecté à Internet, qu’il dispose de sa clé sécurisée et qu’il a un certificat électronique valide.

EBICS est donc LA solution pour gérer vos échanges bancaires en toute sécurité.

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat TLS : Comment instaurer un climat de confiance sur Internet ?

Toutes les organisations, entreprises et administrations présentent digitalement effectuent des transactions sur Internet. Que ce soit par l’intermédiaire d’un intranet, d’un extranet, d’un e-shop pour le commerce électronique, d’un site Web demandant des informations via un formulaire ou par un simple service de messagerie.

Désormais, les visiteurs et utilisateurs de ces portails Web interagissent avec ces derniers par l’intermédiaire d’un navigateur web également pour s’informer, communiquer, ou faire des achats.

Toutefois, Internet possède son lot de failles de sécurité, notamment en matière de confidentialité des échanges. En effet, il est essentiel pour l’image de votre entreprise et sa crédibilité de supprimer les risques d’interception de données sensibles par des individus malveillants. Pour cela, il est essentiel d’anticiper les problèmes et les traiter.

Les internautes prennent de plus en plus conscience du vol de données privées et n’envoient des informations sur Internet que si elles sont sûres que leurs données personnelles (mot de passe, numéro de carte de crédit, données financières, dossier médical, email, formulaire de demande de renseignement, etc.) sont entre de bonnes mains.

En installant un certificat TLS sur un serveur Web ou un serveur de messagerie électronique, les données confidentielles transitent en toute sécurité. Il garantit aux utilisateurs que leurs échanges sont chiffrés et donc sécurisés.

La confiance est un élément essentiel dans le domaine des échanges et des transactions en ligne. C’est pourquoi les signes visibles de la sécurisation d’un site Web font partie des éléments pris en compte par les internautes soucieux de protéger leurs informations en ligne.

Ce guide permet donc de faire le point sur :

Les enjeux de la sécurité sur Internet
Les notions de cryptographie et d’Autorité de Certification
La technologie des certificats TLS

Le protocole TLS et les certificats numériques

En 1995, la société Netscape a développé le protocole SSL (Secure Socket Layer). C’est depuis le mode de sécurisation privilégié des transmissions de données sur Internet.

L’IETF a poursuivi son développement en le rebaptisant Transport Layer Security (TLS). On utilise aussi les termes SSL/TLS pour désigner indifféremment SSL ou TLS. Intégré aux principaux navigateurs et serveurs Web, ce protocole utilise des techniques de cryptage qui s’appuient sur un système dit “asymétrique” : à clé publique et clé privée.

L’établissement d’une connexion TLS nécessite l’installation d’un fichier appelé “certificat numérique” sur le serveur Web.

Ce certificat, répondant à la norme X.509, utilise les clés publiques et privées pour le cryptage, et identifie le serveur de manière unique et définitive.

Les certificats numériques s’apparentent à une forme de carte d’identité électronique qui permet au client (le navigateur) d’authentifier le serveur avant l’établissement d’une communication cryptée.

Les risques encourus par un site Internet non sécurisé

La confiance et la sécurité des échanges sont les conditions nécessaires et essentielles pour le développement du commerce électronique et des transactions sur Internet.

Lors des transactions menées dans le monde physique, la sécurité se base sur des éléments tangibles. Les clients acceptent souvent les risques liés à l’utilisation de leurs cartes de crédit dans les magasins. Cela car ils peuvent voir, toucher la marchandise et se faire une opinion sur le vendeur.

Sur Internet, sans toutes ces données physiques, il est beaucoup plus difficile d’évaluer si un magasin est sérieux.

De plus, au cours des dernières années, d’importants risques de sécurité ont été mis au jour et il ne se passe pas une semaine sans qu’une fraude virtuelle ou un vol de données ne soit annoncé dans les médias.

Comment conserver la confiance des utilisateurs ?

Pour conserver la confiance des utilisateurs, les entreprises doivent prendre conscience des risques relatifs aux transactions en ligne. Il est important d’acquérir des solutions de sécurité performantes pour se protéger contre plusieurs types d’attaques :

Phishing : Le faible coût de développement d’un site Web et la facilité avec laquelle on peut copier des pages existantes favorisent l’émergence de sites pirates (technique du phishing). La technique du phishing consiste à créer un site vitrine à l’apparence professionnelle, qui imite des boutiques ou des plateformes administratives existantes. Ainsi des personnes malveillantes arrivent à obtenir illégalement des numéros de cartes de crédit ainsi que des mots de passe.
Divulgation non autorisée : Lorsque des informations de transaction sont transmises « en clair », les pirates peuvent les intercepter pour obtenir des informations confidentielles sur des utilisateurs et des clients.
Action non autorisée : Un hacker, un fraudeur peut modifier votre site Internet afin de refuser aux clients l’accès à ses services, ou simplement l’empêcher de fonctionner.
Modification des données : Le contenu d’une transaction peut être intercepté et altéré en cours d’acheminement. Les noms d’utilisateurs, les numéros de cartes de crédit…

Les études sur la cybercriminalité

L’ensemble des études montrent que la cybercriminalité augmente fortement et se renouvelle. Les enjeux et challenges changent, tout comme l’identité des hackers, selon une étude de 2022 de la PwC « Global Economic and Fraud ».

La cybercriminalité, véritable fléau qui touche désormais deux entreprises sur trois en France, est potentiellement synonyme de pertes financières pour les entreprises. Mais également de risques pour les utilisateurs de leurs services. Sans oublier qu’elle est globalement nuisible à la e-réputation d’une marque.

L’étude “Net Losses: Estimating the Global Cost of Cybercrime” réalisée en 2014 par McAfee évalue à plus de 400 milliards de dollars le coût de la cybercriminalité mondiale.

Reconnaître et consulter les informations d’un site Web sécurisé par un certificat SSL

On reconnaît facilement un site Web qui utilise un certificat SSL à cause du petit symbole de cadenas ou de clé dans la barre de statut des navigateurs web. Parfois également au préfixe « https:// » qui apparaît en tête des URL affichées dans la barre d’adresse des navigateurs.

La totalité des navigateurs du marché supporte le protocole SSL. L’affichage de la sécurisation par SSL varie cependant légèrement entre les différents navigateurs.

Pour consulter le détail des informations du certificat SSL, il suffit de cliquer sur l’icône du cadenas. Une fenêtre s’ouvre et vous donne les informations relatives au propriétaire du certificat et du site Web qui l’utilise.

Comment visualiser les informations

Pour visualiser les informations du certificat SSL, il suffit de cliquer sur le lien indiquant le domaine sécurisé. Par exemple *ssl-europa.com sur notre exemple ci-dessous. Puis de consulter les trois onglets “Général”, “Détails” et «Chemin d’accès de certification».

1- L’onglet «Général» fournit les informations relatives au certificat. Telles que: son utilisation (authentification d’un serveur), le nom du site originaire de la demande, l’Autorité de Certification validante et la période de validité. Dans le cas où une des informations est invalide (par exemple : autorité non reconnue, adresse du site ne correspondant pas, date de validité dépassée). Vous serez averti par le navigateur via un message d’alerte et la session ne s’ouvrira pas automatiquement.

2- L’onglet «Détails» permet de visualiser le contenu des différents champs du certificat :

Nom du domaine à certifier
Coordonnées de l’entreprise à qui appartient le certificat SSL
Clé publique du certificat (permettant le chiffrement)
Date de validité et d’expiration du certificat SSL
Nom de l’Autorité de Certification qui émet le certificat SSL
Signature de l’Autorité de Certification

3- L’onglet, «Chemin d’accès de certification» donne accès au chemin de certification. A noter que le navigateur précise que le certificat est valide. En plus de vérifier les informations obtenues via l’onglet général, le navigateur vérifie que la signature du certificat est valide. Ceci grâce à la clé publique de l’Autorité de Certification.

Notions d’Autorité de Certification

En cryptographie, une Autorité de Certification (AC) est un tiers de confiance qui permet de valider l’identité des correspondants. Il peut également s’appeler Certificate Authority (CA) en anglais. Une Autorité de Certification délivre des certificats décrivant des identités numériques. Elle met à disposition des moyens techniques pour vérifier la validité de ces derniers.

Les rôles d’une Autorité de Certification

Les services des Autorités de Certification s’utilisent notamment dans le cadre de la sécurisation des communications numériques. Il s’utilise via le protocole SSL/TLS pour sécuriser les communications web (HTTPS).

Lors de la délivrance du certificat, l’Autorité de Certification signe numériquement chaque certificat émis. Chaque navigateur contient une liste des Autorités de Certification dites “de confiance”. Une fois la connexion SSL établie, le navigateur vérifie que le certificat du serveur a pour origine une Autorité de Certification digne de confiance. Si cette autorité n’est pas digne de confiance, un message d’alerte s’affiche.

Les obligations d’une Autorité de Certification s’organisent autour de deux fonctions distinctes :

Fonction d’organisation : traitement des demandes de certificats, contrôle des informations, validation ou rejet des demandes, révocation des certificats.
Fonction technique : manipulation d’équipements cryptographiques, environnement sécurisé de bout en bout, maintien d’une capacité de production adaptée aux besoins de fonctionnement de l’Autorité de Certification.

Pour offrir son service de certificats SSL, l’Autorité de Certification peut s’appuyer d’une part sur une Autorité d’Enregistrement (AE). Ce dernier les aspects organisationnels. D’autre part, sur une unité de production (l’opérateur de services de certification), qui crée les certificats.

Une relation de confiance hiérarchique peut lier des AC successives. Une Autorité est à la base de toutes ces AC, c’est l’Autorité de Certification Racine (Root CA en anglais). C’est la référence pour la communauté d’utilisateurs des certificats émis par ces AC. La réputation de l’Autorité se lie au degré de confiance qui est accordée au certificat.

Comment reconnaître une Autorité de Certification (AC) de confiance ?

Les Autorités de Certification dites de confiance, sont des entités qui mettent en place des procédures de production de certificats SSL respectant des règles internationales du CAB Forum (https://cabforum.org/). Elles ont pour obligation de se soumettre à des audits annuels et doivent présenter leur certification aux éditeurs de confiance. Ci-dessous, la liste des AC racines de confiance.

La liste des Autorités de Certifications reconnues est accessible depuis n’importe quel navigateur internet. Dès lors que l’Autorité de certification fait partie de cette liste, elle est considérée comme étant de confiance.

Ainsi, l’inconvénient majeur d’utiliser des certificats non délivrés par une Autorité mondialement reconnue (certificat auto-signé par exemple) est que l’internaute qui souhaite se connecter à un serveur web (non sécurisé avec un certificat dit « de confiance ») verra son navigateur afficher une fenêtre d’alerte avec un message lui indiquant qu’il n’est pas en mesure de vérifier ledit certificat car il ne connaît pas la clé publique de l’autorité.

Exemple dans le cas d’un certificat signé par une Autorité de Certification non reconnue.

Comment le certificat SSL sécurise les connexions et les transactions “Client/Serveur Web”

Notions cryptographiques

La cryptographie a pour objectif principal de protéger l’intégrité d’un message. Pour cela, elle chiffre son contenu pour le rendre uniquement lisible par son destinataire et incompréhensible aux autres. On distingue deux types de méthodes : celle employant des algorithmes à clés symétriques (clé secrète) et celle utilisant les algorithmes dits de clés asymétriques (ou clés publiques).

Le protocole de sécurisation SSL/TLS utilise un algorithme asymétrique. Il fonctionne à l’aide de deux clés, l’une publique (que l’on peut diffuser à volonté) et l’autre privée (que l’on garde pour soi). Ces deux clés se lie par une fonction mathématique appelée algorithme de chiffrement. Celui-ci utilise la clé publique (donc connue) d’une personne pour envoyer un message chiffré (donc confidentiel). Seule la personne disposant de la clé privée correspondante est alors en mesure de déchiffrer le message ainsi transmis.

Émission d’un certificat SSL

Le certificat SSL est un « document numérique » permettant d’authentifier une clé publique. C’est-à-dire prouver qu’elle appartient bien à une personne ou à une entité connue.

Un certificat associe donc une clé publique à une identité. Cette identité peut être celle :

D’une personne physique (on parle de certificat individuel) permettant par exemple à son titulaire de sécuriser son e-mail.
D’une machine (comme un serveur web). On parle alors de « certificat serveur ». Il s’utilise par la machine titulaire afin de prouver son identité aux clients qui souhaitent établir une connexion sécurisée avec elle.

Ainsi, un certificat numérique SSL fonctionne sur le même principe qu’une pièce d’identité classique. Les informations qu’il contient se certifie par l’Autorité de Certification (AC). Celui-ci signe le certificat avec sa clé privée de telle sorte que quiconque disposant de la clé publique de cette AC est en mesure de vérifier l’authenticité de chaque certificat délivré.

Comment mettre en place un serveur web sécurisé

Les navigateurs Web intègrent nativement une liste de certificats provenant de différentes Autorités de Certification selon des règles internes définies par les développeurs du navigateur. Notons que depuis 2014, pour assurer l’inviolabilité des informations chiffrées, la taille minimum de la clé privée de signature doit être de 2048 bits.

Lorsqu’une personne physique ou morale souhaite mettre en place un serveur web utilisant une communication HTTPS sécurisée par SSL/TLS, elle génère une clé publique, une clé privée puis envoie à l’une de ces Autorités de Certification une demande de signature de certificat (en anglais CSR : Certificate Signing Request) contenant sa clé publique ainsi que des informations sur son identité (coordonnées postales, téléphoniques, email…).

Après vérification de l’identité du demandeur du certificat par une Autorité d’Enregistrement (AE), l’Autorité de Certification signe le CSR grâce à sa propre clé privée qui devient alors un certificat puis le transmet en retour à la personne qui en a fait la demande.

Le certificat ainsi retourné sous forme de fichier informatique s’intègre dans le serveur web du demandeur. Lorsqu’un utilisateur se connecte à ce serveur web, celui-ci lui transmet à son tour le certificat fourni précédemment par l’Autorité de Certification.

Le protocole HTTPS

Le navigateur du client authentifie le certificat du serveur grâce au certificat de l’Autorité de Certification (intégré nativement dans le navigateur). Celui-ci signe précédemment le certificat. L’identité du serveur est ainsi confirmée à l’utilisateur par l’Autorité de Certification.

Le navigateur fait ensuite une demande de vérification OCSP en contactant l’Autorité de Certification afin de savoir si le certificat du serveur est toujours valide. Il s’agit d’une transaction de validation.

Sur le plan technique, cette infrastructure de gestion des clés permet ainsi de s’assurer que :

Les données transmises entre le serveur web et le poste du client n’ont pas été modifiées durant le transfert : intégrité par « hachage » des données.
Les données proviennent bien d’un serveur web connu et qu’il ne s’agit pas d’une réplique frauduleuse.
Les données ne peuvent pas être lisibles par un tiers grâce au chiffrement.

De quoi se compose un certificat SSL

Un certificat SSL se compose donc d’une clé publique et d’une clé privée. La clé publique s’utilise pour le chiffrement des informations et la clé privée s’utilise pour les déchiffrer. Lorsqu’un navigateur se connecte à un domaine sécurisé, une connexion SSL authentifie le serveur et le client (navigateur), puis définit une méthode de cryptage et une clé unique de session. Ils peuvent alors entamer une session sécurisée qui garantit la confidentialité et l’intégrité du message.

Le fonctionnement du protocole SSL peut se décliner selon deux modes distincts – étant entendu que le certificat peut se trouver sur le serveur et/ou sur le poste client :

Dans le premier cas, on authentifie le serveur
Dans le second cas, on authentifie le client/navigateur c’est-à-dire l’internaute destinataire

Techniquement, serveur et client utilisent le même format de certificats (x509) mais ils diffèrent par l’information qu’ils contiennent. Ainsi, un certificat côté navigateur sert à identifier un utilisateur et contient donc des informations sur cet utilisateur. Côté serveur, le certificat a pour but d’authentifier le serveur, mais aussi l’organisme auquel il appartient s’il s’agit d’un certificat OV ou EV. Le schéma ci-dessous illustre le procédé qui garantit la protection des communications entre serveur et client.

En résumé, lors d’une connexion SSL avec un certificat :

Authentification

Le serveur envoie au navigateur son certificat
Le navigateur reçoit ce certificat
Le navigateur remonte le chemin de confiance du certificat (il vérifie que le certificat reçu a bien été signé par une Autorité de Certification)

Chiffrement

Le certificat envoyé par le serveur vers le navigateur contient la clé publique du serveur. La clé privée du serveur reste cachée sur le serveur
Le navigateur génère de son côté une clé de session
Cette clé de session est envoyée par le navigateur vers le serveur sous forme chiffrée par le navigateur, en utilisant la clé publique (le certificat) du serveur.
Une fois reçue par le serveur, elle est ensuite déchiffrée à l’aide de la clé privée du serveur
Toutes les données sont alors chiffrées par cette clé de session par les deux parties

Les champs d’application des certificats SSL

En utilisant un certificat SSL, vos transactions sur Internet sont sûres. Vos clients ont confiance en votre système de protection et savent avec certitude où ils envoient les données. En retour, vous êtes assurés que votre entreprise reçoit des données fiables.
Une connexion sécurisée augmente l’indice de confiance de l’utilisateur, ce qui, en retour, améliore la fréquentation et l’utilisation de vos sites, surtout en ce qui concerne des actes d’achat. Lorsque vous installez un certificat SSL, les clients potentiels savent qu’ils se trouvent sur un site sécurisé. De plus, le référencement de votre site Web par le moteur de recherche Google est améliorée.

Le protocole SSL peut être utilisé de diverses façons et à des fins différentes :

Communications «de navigateur à serveur»: la plupart du temps le SSL sert à sécuriser les communications entre un serveur Web et un navigateur, notamment dans le cadre de transmissions d’informations sensibles (achats en ligne, dossiers médicaux ou transactions bancaires). La technologie SSL permet de confirmer à l’utilisateur l’identité du destinataire de ses informations personnelles, tout en assurant que seule cette entité autorisée y aura accès.
Communications « de serveur à serveur »: le protocole SSL peut également être utilisé pour sécuriser les communications entre deux serveurs, telles que les transactions entre deux entreprises. Dans ce scénario, les deux serveurs possèdent généralement un certificat qui leur permet de s’authentifier mutuellement et de sécuriser leurs communications bilatérales.
Respect des obligations réglementaires : de nombreuses réglementations juridiques et sectorielles exigent des niveaux d’authentification et de confidentialité que les certificats SSL permettent d’obtenir. Le standard PCI DSS (Payment Card Industry Data Security Standard) exige, par exemple, l’utilisation de technologies d’authentification et de cryptage pour tout paiement en ligne.

Comment obtenir un certificat SSL pour sécuriser son site Internet ou son serveur Web ?

Nous l’avons vu, une session SSL ne peut pas être ouverte si le serveur Web ne dispose pas d’un certificat permettant au navigateur (client) de vérifier l’identité du serveur. La vérification de cette identité se fait sur l’adresse DNS du serveur. Cela ne se fait pas sur l’identité du titulaire de certificat comme pour les certificats de personnes physique. Le processus de délivrance des certificats SSL est donc légèrement différent de celui d’un certificat client ou de messagerie.

Le demandeur de certificat doit générer tout d’abord une paire de clés publiques avec un algorithme de chiffrement (de type RSA). Ensuite il renseigne un formulaire concernant l’organisation (l’entreprise) titulaire du certificat. Par exemple contact technique, ville, département, etc. C’est à partir de ces informations que se créée ce qu’on appelle une RSC (pour Requête de Signature de Certificat). Sinon plus généralement une CSR (Certificate Signing Request) en anglais. La CSR doit se générer avec une clé de 2048 bits.

La génération de cette CSR dépend du serveur web que vous utilisez.

Avant de la générer, vous devez bien vous assurer que les champs du Distinguished Name (DN) dans le formulaire sont correctement renseignés.

Le DN est un fichier chiffré qui contient :

La clé publique de votre organisation
Le nom de votre organisation
Sa localité
Le nom de domaine enregistré

En générant une CSR, le serveur web créera deux fichiers :

Une clé privée (à conserver soigneusement et à ne pas divulguer)
Une requête de signature de certificat (CSR)

Lors de la saisie de votre formulaire en ligne, vous devrez rentrer un mot de passe qui servira à chiffrer la clé privée du serveur. La CSR se signe à l’aide de la clé privée du serveur pour laquelle elle se génère. Cela permet ainsi à l’Autorité de Certification d’être sûre que le demandeur est bien en possession de la clé privée en question.

La CSR contient ainsi toutes les informations saisies par le demandeur ainsi que la clé publique du serveur. C’est à partir de ces informations que l’Autorité de Certification (AC) signe et délivre le certificat après sa vérification. Il ne reste alors plus qu’à installer le certificat ainsi obtenu sur le serveur Web pour permettre l’utilisation du protocole SSL lors des transactions entre le site Web et les navigateurs des utilisateurs.

Voici un exemple de CSR :

—–BEGIN CERTIFICATE REQUEST—–

MIIBpTCCAQ4CAQAwZTELMAkGA1UEBhMCRlIxEjAQBgNVBAoTCUtFWU5FQ1RJUzEX

MBUGA1UECxMOMDAwMiA0NzgyMTczMTgxDTALBgNVBAsTBFRFU1QxGjAYBgNVBAMT

EXd3dy5rZXluZWN0aXMubmV0MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3

1XuFvLFtJMgzfpQfk5E4x2oTgAz74KKuBQ9GX2jzIKfJA5RRZ/j7jeXJJZgFT0+e

z8+89qgRxTwUH4yuJV3usegp+dtq0eHAXjClSgqwCPpEKMmQ3aAABM45lCKxQbMZ

k0ARyFHCKnhhFbHi3VMwye2tqjDwNS5kXktCYrQodwIDAQABoAAwDQYJKoZIhvcN

KdveiQ/lYtNn+/xJAavBYQ2O6CO8E85MmxzBVoQl2E5U+wot1cbDERI

—–END CERTIFICATE REQUEST—–

La génération de la CSR constitue donc l’étape préalable à toute demande en ligne d’un certificat SSL.

Une fois générée, cette CSR doit se copier dans le champ du formulaire de demande de certificats en ligne. Le serveur vérifie la bonne syntaxe du contenu puis demande la saisie des informations administratives relatives au titulaire du certificat.

Une fois l’ensemble des champs correctement renseignés, la demande de certificat s’envoie au service clients de l’Autorité de Certification qui procède à un certain nombre de vérifications administratives et téléphoniques avant de la valider et de déclencher sa fabrication. Ces vérifications dépendent du type de certificat : vérification du domaine Internet dans le cas d’un certificat SSL “Domain Validated” (DV SSL), à laquelle s’ajoutent les vérifications concernant l’organisation (l’entreprise) pour les certificats SSL “Organization Validated” (OV SSL) et “Extended Validation” (EV SSL).

Si l’étape de vérification se passe correctement, l’Autorité de Certification génère alors le certificat SSL puis le signe avec sa clé privée. Le certificat peut alors être récupéré par le demandeur sur une URL spécifique qui lui aura été communiquée.

Il faut ensuite établir le chemin de certification jusqu’au certificat sur le serveur web. Il est alors nécessaire de télécharger :

Le certificat de l’Autorité de Certification Racine : reconnu par tous comme autorité du niveau le plus élevé et figurant de manière native dans les navigateurs
Le certificat de l’Autorité de Certification SSL : celui signé par l’AC délivrant des certificats SSL.

www.ssl-europa.com/solutions/certificats-ssl

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise