Du certibiocide à la déclaration Synapse : quelles sont les étapes à suivre ?

Dans le but de vendre sur le marché des produits conçus à partir de matières chimiques considérées comme étant dangereuses pour la santé, le ministère de la Transition Écologique impose aux entreprises spécialisées de passer le certibiocide, mais également d’effectuer la déclaration Synapse. Si le certibiocide est un certificat qui s’obtient à la suite d’une courte formation, les procédures actuellement en vigueur autour de la déclaration Synapse sont légèrement plus complexes à appréhender. L’occasion pour nous d’étudier dans cet article, l’ensemble des étapes à suivre afin d’effectuer sa déclaration sur la plateforme prévue à cet effet.

Certibiocide et déclaration synapse

Qu’est-ce que le certibiocide ?

Certibiocide et déclaration synapse

Le certibiocide est un certificat individuel et obligatoire que les professionnels souhaitant mettre en vente des produits biocides, donc nocifs pour certains êtres vivants, doivent obtenir. Ce certificat est délivré par le Ministère de la Transition Ecologique. Sans ce dernier, impossible de continuer son activité. Les produits concernés sont assez nombreux, allant des désinfectants de surface aux produits de lutte contre certains organismes, comme les termites, les rongeurs ou certains insectes.

Comment obtenir le certibiocide ?

Le certibiocide s’obtient à la suite d’une courte formation. Pour les détenteurs du certiphyto (certificat attestant de connaissances concernant l’utilisation de produits phytopharmaceutiques), cette formation ne durera qu’une seule journée. Pour les autres, il faudra compter sur un cycle de trois journées complètes. Celles-ci s’effectuent auprès d’un organisme spécialement agréé et habilité par le ministère de la Transition Écologique, dont les établissements sont répertoriés sur le site Simmbad. Une fois la formation passée, le certibiocide sera valide pour une durée de 5 ans, à compter du jour où il est officiellement délivré. Au cours de cette formation, les participants en apprendront plus au sujet des réglementations liées aux produits biocides ainsi que sur les usages de ces derniers, en fonction de la catégorie dans laquelle ils sont répertoriés (désinfectant, insecticide, rodenticide). Une partie de cette formation s’articule autour de la prévention de l’utilisation de ces produits et leurs impacts sur notre santé et notre environnement. Une autre partie concerne les stratégies alternatives vers lesquelles se tourner afin d’éviter de recourir à ces biocides. Mais ce certificat n’est pas une fin en soi et certains professionnels doivent aller plus loin, en se tournant notamment vers la plateforme Synapse.

Qu’est-ce que la déclaration Synapse

Depuis 2014, un arrêté invite les entreprises produisant et vendant sur le marché des produits chimiques considérés comme étant dangereux, à déclarer certains d’entre eux sur la plateforme Synapse. Celle-ci a été mise en place et est actuellement gérée par deux organismes : les Centres Antipoison et l’INRS (Institut National de Recherche et de Sécurité pour la prévention des accidents du travail et des maladies professionnelles).

Cette déclaration s’effectue en ligne, à travers le portail Synapse. Le gouvernement a décidé d’aller plus loin le 1er janvier 2019 en obligeant également les entreprises produisant et vendant sur le marché des mélanges considérés comme potentiellement dangereux pour la santé, à les déclarer. En 2022, c’est l’ensemble des mélanges présentant des risques physiques, qui seront à déclarer sur cette plateforme.

Cette déclaration, si elle n’est pas fondamentalement « compliquée », est un processus qui peut être chronophage et requiert des déclarants, qu’ils disposent du certificat RGS/eIDAS (Référentiel Général de Sécurité). Un processus que nous allons étudier plus en profondeur, dans la suite de cet article.

Déclaration synapse : notre guide en 4 étapes

Le certificat RGS, une condition sine qua non

Comme nous venons de l’évoquer, l’inscription sur la plateforme Synapse est conditionnée à l’obtention du certificat RGS. Ce certificat RGS vise à garantir un certain niveau de sécurité. À utiliser à chaque connexion sur Synapse, il sert de « carte d’identité électronique ». En l’utilisant, le professionnel va confirmer auprès de la plateforme, qu’il est bien la personne concernée par la déclaration. Ce certificat s’obtient auprès d’un organisme de certification tel que CertEurope, qui gère nos offres de la gamme Sign (signature numérique), afin de garantir la confiance dans vos échanges numériques.

Plusieurs documents sont demandés par les organismes tiers de certification. Ainsi, dans le but de compléter son dossier, il faut fournir :

Un extrait K-Bis de son entreprise. Celui-ci doit être daté de moins de 3 mois.
Un avis de situation de l’entreprise, afin de s’assurer que celle-ci est toujours en activité.
Une photocopie des statuts ainsi que des coordonnées de l’entreprise.
Un justificatif d’identité de la personne dont le nom figurera sur le certificat, afin de vérifier que celle-ci existe bel et bien et qu’elle sera la propriétaire de ce document.
Une confirmation signée par le représentant de la société concernée, confirmant l’identité de la personne à qui sera délivré le certificat.
Une participation financière, afin de régler ce service de certification.

La plateforme Synapse n’est plus accessible dès lors que son certificat RGS est périmé, soit après 3 années d’utilisation. Pour continuer à avoir accès à la plateforme et gérer au mieux ses déclarations, il est possible de remplir un formulaire dans lequel le déclarant joint l’empreinte de son nouveau certificat RGS. La mise à jour du compte est réalisée en back-office par les équipes Synapse. Le déclarant peut alors retourner sur son espace personnel, en toute sécurité. Attention, cette procédure, afin qu’elle soit menée à bien, doit être gérée par la personne en charge de la gestion de la déclaration Synapse, inscrite au préalable. Il faut donc fournir un nouveau certificat RGS, au même nom, faute de quoi, la procédure sera annulée. Une fois le certificat obtenu, reste à définir comment effectuer sa déclaration Synapse.

Comment faire sa déclaration Synapse depuis la plateforme ?

Passage obligatoire, le portail Synapse permet aux professionnels de déclarer leurs produits et leurs préparations, de manière totalement dématérialisée. La déclaration s’effectue directement sur la plateforme par le déclarant ou par une tierce personne mandatée pour l’occasion. Les démarches à suivre sont nombreuses, mais l’ensemble du processus est assez simple.

1- S’inscrire sur la plateforme Synapse

Afin de déclarer sur la plateforme Synapse, il faut avant toute chose, s’inscrire sur le portail. Comme nous avons pu le voir ci-dessus, cette inscription est directement conditionnée à l’obtention du certificat électronique RGS.

2- Accéder à son espace personnel

Une fois l’inscription terminée, un espace personnel est directement accessible. Cet espace personnel permet d’avoir accès à plusieurs catégories, comme :

L’espace nouvelle déclaration : comme son nom l’indique, cet espace permet la création d’une déclaration synapse.
Mes brouillons : cet espace permet de facilement retrouver, en quelques clics seulement, les dossiers en état d’avancement, mais qui ne sont pas encore terminés.
Mes déclarations : ce dossier permet le stockage de toutes les déclarations envoyées par le déclarant. C’est ici qu’il est possible de suivre l’évolution de sa déclaration.
Gestion : ce dossier permet le stockage de toutes les déclarations envoyées par l’unité déclarant. Cet écran permet également le changement d’affectation d’une ou plusieurs déclarations au sein d’une unité déclarante ainsi que le transfert d’une gamme de produits vers un autre déclarant.

3- Suivre l’onglet « Nouvelle déclaration »

Dans le but de créer une nouvelle déclaration Synapse, il convient de se rendre sur l’onglet « Nouvelle déclaration ». Il faut ensuite remplir les quelques cases obligatoires demandées. Parmi ces dernières, figurent notamment l’identification et l’usage du produit. Ces données sont importantes car elles permettent de rapidement retrouver le produit concerné et surtout, de savoir à quoi il sert. Son usage se déclare à l’aide du référentiel des classes d’utilisation générale qui dénombre 570 différents cas.

Les caractéristiques physiques ainsi que la composition du produit doivent également être détaillées. Ces données, comme la couleur, le pH et le point d’éclair ainsi que l’ensemble des éléments (classés comme dangereux ou non) doivent être présentés. Enfin, d’autres données, comme les informations de commercialisation ou l’étiquetage doivent être mises en avant par le déclarant.

Pour conclure, la déclaration Synapse requiert l’obtention d’un certificat RGS, délivré par un organisme de certification agréé, tel que CertEurope. En situation d’urgence, nous vous garantissons par ailleurs la livraison d’un certificat RGS sous 72 heures.
Pour plus d’informations, n’hésitez pas à visiter notre page dédiée : Comment utiliser la plateforme de déclaration Synapse ?

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

EBICS : la solution pour gérer vos échanges bancaires en toute sécurité

Les échanges bancaires représentent un risque majeur pour les organisations. C’est pourquoi les normes de sécurité qui les encadrent évoluent en continu, la plus récente étant EBICS : un protocole de communication bancaire standardisé et sécurisé qui garantit la confidentialité des données, permet l’identification des donneurs d’ordre et préserve l’intégrité des fichiers. Avec, en guise de bonus, un processus de validation 100 % automatisé grâce à la signature électronique. Revue de détail.

Qu’est-ce que EBICS ?

Qu'est-ce que EBICS ?

EBICS (en anglais : Electronic Banking Internet Communication Standard) est une norme européenne destinée au secteur bancaire. Il vient remplacer l’ancien protocole ETEBAC. Ce protocole standard est utilisé pour sécuriser les échanges de données en ligne entre les organisations et les établissements bancaires : envoi d’ordres de paiement ou d’encaissement, réception de relevés de comptes ou d’avis de bonne fin de traitement, etc. Il permet aussi de compresser les données, afin de transmettre des fichiers moins volumineux, et de signer électroniquement les demandes pour contourner tout risque de fraude.

Il existe deux modes de validation :

EBICS T (pour Transport) : les fichiers transmis sont placés en attente par la banque, jusqu’à réception de la confirmation signée par une personne autorisée au sein de l’organisation, transmise par un canal séparé. C’est cette confirmation qui permet l’exécution de l’ordre. Seul hic : depuis le 1er janvier 2017, les banques ne peuvent plus accepter les confirmations d’ordres transmises par fax, ce qui pousse les organisations à préférer EBICS TS.
EBICS TS (pour Transport et Signature) : les ordres sont signés électroniquement. On parle aussi de « validation jointe ». Les opérations sont ensuite exécutées directement, sans nécessiter de confirmation. Ce protocole offre le maximum de sécurité.

EBICS est aussi un protocole multi-bancaire. Une organisation peut travailler avec n’importe quelle banque ayant adopté EBICS en Europe.

Comment fonctionne le protocole EBICS ?

Les transactions EBICS impliquent quatre entités :
- Une organisation ou entreprise qui souhaite échanger des données avec un établissement bancaire ;
- Une banque, au sein de laquelle EBICS Banking Server est installé ;
- Un partenaire, l’unité interne à l’organisation qui interagit avec la banque ;
- Un utilisateur de l’organisation, qui effectue les transactions.
Pour transmettre des données, l’organisation se connecte à un serveur EBICS propre à l’établissement bancaire. Avant d’être envoyé, le fichier désiré est zippé, chiffré à l’aide d’une clé cryptographique, puis encodé en Base64. Il est ensuite découpé en fragments inférieurs à 1 Mo, insérés dans autant de messages XML. Il est possible de joindre la validation des fichiers ou de le faire ultérieurement en utilisant une signature électronique (selon le mode de validation privilégié). Dans ce dernier cas, la signature de l’ordre a pour conséquence la création d’un fichier de signature, qui permet à la banque de vérifier la conformité de l’ordre et la validité du certificat utilisé par l’organisation (vérification faite auprès de l’Autorité de Certification qui a délivré le certificat).
C’est toujours l’organisation qui est à l’initiative d’une transaction, qu’il s’agisse d’émettre ou de recevoir.

Quel est le niveau de sécurité des échanges ?

Le protocole EBICS garantit la sécurité de vos échanges bancaires à deux niveaux. D’une part, il utilise des messages XML véhiculés par une connexion TCP/IP sur HTTPS.

D’autre part, il sécurise les envois grâce à trois paires de clés RSA :

Une clé de signature qui permet de créer la signature électronique liée à la demande ;
Une clé de chiffrement qui permet de transmettre la clé AES de chiffrement de la demande ;
Et une clé d’authentification qui permet de signer le message XML.

Pour cela, une Autorité de Certification doit au préalable vous avoir délivré un certificat électronique compatible EBICS TS (c’est le cas de CertEurope).

Quelles sont les conditions préalables ?

Si vous souhaitez bénéficier du protocole EBICS pour vos transactions bancaires, votre entreprise doit suivre deux étapes.

Dans un premier temps, il vous faut signer un contrat avec l’établissement bancaire de votre choix par le biais de votre partenaire. Ce document définit les types de transactions ainsi que les autorisations et les droits d’accès. Il donne également des informations au sujet des comptes bancaires des utilisateurs.
Dans un second temps, vous devez échanger vos certificats et confirmer les paramètres bancaires. Conformément au contrat, l’établissement configure les données du partenaire et de l’utilisateur. Vous n’avez plus qu’à passer à la phase d’initialisation : l’échange et la vérification des certificats entre la banque et votre organisation.

Quels sont les avantages ?

Le protocole EBICS est massivement utilisé par les organisations pour leurs échanges bancaires. Cela, en raison de ses multiples avantages :

C’est une solution sécurisée permettant de procéder à des échanges bancaires en toute sérénité : les fichiers sont protégés par cryptage électronique au moment de l’envoi, et les opérations ne sont exécutées qu’après une confirmation émise par l’utilisateur (EBICS T), ou si elles sont validées par une signature électronique adéquate (EBICS TS).
EBICS permet de transporter tous les formats de fichiers bancaires en émission et en réception (SWIFT, XML, CFONB), y compris ceux qui contiennent de gros volumes d’opérations.
EBICS est compatible avec une large gamme de logiciels de communication bancaire, et avec les différents formats de virements et de prélèvements bancaires (comme SEPA au niveau européen).
Le protocole offre une grande souplesse, avec plusieurs solutions de validation disponibles et une définition des délégations de signatures adaptée aux besoins de l’entreprise. Vous pouvez choisir un ou plusieurs utilisateurs et définir des profils d’intervention différents. De plus, avec le protocole EBICS TS, l’utilisateur peut émettre des ordres depuis n’importe où dans le monde, dès lors qu’il est connecté à Internet, qu’il dispose de sa clé sécurisée et qu’il a un certificat électronique valide.

EBICS est donc LA solution pour gérer vos échanges bancaires en toute sécurité.

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat TLS : Comment instaurer un climat de confiance sur Internet ?

Toutes les organisations, entreprises et administrations présentent digitalement effectuent des transactions sur Internet. Que ce soit par l’intermédiaire d’un intranet, d’un extranet, d’un e-shop pour le commerce électronique, d’un site Web demandant des informations via un formulaire ou par un simple service de messagerie.

Désormais, les visiteurs et utilisateurs de ces portails Web interagissent avec ces derniers par l’intermédiaire d’un navigateur web également pour s’informer, communiquer, ou faire des achats.

Toutefois, Internet possède son lot de failles de sécurité, notamment en matière de confidentialité des échanges. En effet, il est essentiel pour l’image de votre entreprise et sa crédibilité de supprimer les risques d’interception de données sensibles par des individus malveillants. Pour cela, il est essentiel d’anticiper les problèmes et les traiter.

Les internautes prennent de plus en plus conscience du vol de données privées et n’envoient des informations sur Internet que si elles sont sûres que leurs données personnelles (mot de passe, numéro de carte de crédit, données financières, dossier médical, email, formulaire de demande de renseignement, etc.) sont entre de bonnes mains.

En installant un certificat TLS sur un serveur Web ou un serveur de messagerie électronique, les données confidentielles transitent en toute sécurité. Il garantit aux utilisateurs que leurs échanges sont chiffrés et donc sécurisés.

La confiance est un élément essentiel dans le domaine des échanges et des transactions en ligne. C’est pourquoi les signes visibles de la sécurisation d’un site Web font partie des éléments pris en compte par les internautes soucieux de protéger leurs informations en ligne.

Ce guide permet donc de faire le point sur :

Les enjeux de la sécurité sur Internet
Les notions de cryptographie et d’Autorité de Certification
La technologie des certificats TLS

Le protocole TLS et les certificats numériques

En 1995, la société Netscape a développé le protocole SSL (Secure Socket Layer). C’est depuis le mode de sécurisation privilégié des transmissions de données sur Internet.

L’IETF a poursuivi son développement en le rebaptisant Transport Layer Security (TLS). On utilise aussi les termes SSL/TLS pour désigner indifféremment SSL ou TLS. Intégré aux principaux navigateurs et serveurs Web, ce protocole utilise des techniques de cryptage qui s’appuient sur un système dit “asymétrique” : à clé publique et clé privée.

L’établissement d’une connexion TLS nécessite l’installation d’un fichier appelé “certificat numérique” sur le serveur Web.

Ce certificat, répondant à la norme X.509, utilise les clés publiques et privées pour le cryptage, et identifie le serveur de manière unique et définitive.

Les certificats numériques s’apparentent à une forme de carte d’identité électronique qui permet au client (le navigateur) d’authentifier le serveur avant l’établissement d’une communication cryptée.

Les risques encourus par un site Internet non sécurisé

La confiance et la sécurité des échanges sont les conditions nécessaires et essentielles pour le développement du commerce électronique et des transactions sur Internet.

Lors des transactions menées dans le monde physique, la sécurité se base sur des éléments tangibles. Les clients acceptent souvent les risques liés à l’utilisation de leurs cartes de crédit dans les magasins. Cela car ils peuvent voir, toucher la marchandise et se faire une opinion sur le vendeur.

Sur Internet, sans toutes ces données physiques, il est beaucoup plus difficile d’évaluer si un magasin est sérieux.

De plus, au cours des dernières années, d’importants risques de sécurité ont été mis au jour et il ne se passe pas une semaine sans qu’une fraude virtuelle ou un vol de données ne soit annoncé dans les médias.

Comment conserver la confiance des utilisateurs ?

Pour conserver la confiance des utilisateurs, les entreprises doivent prendre conscience des risques relatifs aux transactions en ligne. Il est important d’acquérir des solutions de sécurité performantes pour se protéger contre plusieurs types d’attaques :

Phishing : Le faible coût de développement d’un site Web et la facilité avec laquelle on peut copier des pages existantes favorisent l’émergence de sites pirates (technique du phishing). La technique du phishing consiste à créer un site vitrine à l’apparence professionnelle, qui imite des boutiques ou des plateformes administratives existantes. Ainsi des personnes malveillantes arrivent à obtenir illégalement des numéros de cartes de crédit ainsi que des mots de passe.
Divulgation non autorisée : Lorsque des informations de transaction sont transmises « en clair », les pirates peuvent les intercepter pour obtenir des informations confidentielles sur des utilisateurs et des clients.
Action non autorisée : Un hacker, un fraudeur peut modifier votre site Internet afin de refuser aux clients l’accès à ses services, ou simplement l’empêcher de fonctionner.
Modification des données : Le contenu d’une transaction peut être intercepté et altéré en cours d’acheminement. Les noms d’utilisateurs, les numéros de cartes de crédit…

Les études sur la cybercriminalité

L’ensemble des études montrent que la cybercriminalité augmente fortement et se renouvelle. Les enjeux et challenges changent, tout comme l’identité des hackers, selon une étude de 2022 de la PwC « Global Economic and Fraud ».

La cybercriminalité, véritable fléau qui touche désormais deux entreprises sur trois en France, est potentiellement synonyme de pertes financières pour les entreprises. Mais également de risques pour les utilisateurs de leurs services. Sans oublier qu’elle est globalement nuisible à la e-réputation d’une marque.

L’étude “Net Losses: Estimating the Global Cost of Cybercrime” réalisée en 2014 par McAfee évalue à plus de 400 milliards de dollars le coût de la cybercriminalité mondiale.

Reconnaître et consulter les informations d’un site Web sécurisé par un certificat SSL

On reconnaît facilement un site Web qui utilise un certificat SSL à cause du petit symbole de cadenas ou de clé dans la barre de statut des navigateurs web. Parfois également au préfixe « https:// » qui apparaît en tête des URL affichées dans la barre d’adresse des navigateurs.

La totalité des navigateurs du marché supporte le protocole SSL. L’affichage de la sécurisation par SSL varie cependant légèrement entre les différents navigateurs.

Pour consulter le détail des informations du certificat SSL, il suffit de cliquer sur l’icône du cadenas. Une fenêtre s’ouvre et vous donne les informations relatives au propriétaire du certificat et du site Web qui l’utilise.

Comment visualiser les informations

Pour visualiser les informations du certificat SSL, il suffit de cliquer sur le lien indiquant le domaine sécurisé. Par exemple *ssl-europa.com sur notre exemple ci-dessous. Puis de consulter les trois onglets “Général”, “Détails” et «Chemin d’accès de certification».

1- L’onglet «Général» fournit les informations relatives au certificat. Telles que: son utilisation (authentification d’un serveur), le nom du site originaire de la demande, l’Autorité de Certification validante et la période de validité. Dans le cas où une des informations est invalide (par exemple : autorité non reconnue, adresse du site ne correspondant pas, date de validité dépassée). Vous serez averti par le navigateur via un message d’alerte et la session ne s’ouvrira pas automatiquement.

2- L’onglet «Détails» permet de visualiser le contenu des différents champs du certificat :

Nom du domaine à certifier
Coordonnées de l’entreprise à qui appartient le certificat SSL
Clé publique du certificat (permettant le chiffrement)
Date de validité et d’expiration du certificat SSL
Nom de l’Autorité de Certification qui émet le certificat SSL
Signature de l’Autorité de Certification

3- L’onglet, «Chemin d’accès de certification» donne accès au chemin de certification. A noter que le navigateur précise que le certificat est valide. En plus de vérifier les informations obtenues via l’onglet général, le navigateur vérifie que la signature du certificat est valide. Ceci grâce à la clé publique de l’Autorité de Certification.

Notions d’Autorité de Certification

En cryptographie, une Autorité de Certification (AC) est un tiers de confiance qui permet de valider l’identité des correspondants. Il peut également s’appeler Certificate Authority (CA) en anglais. Une Autorité de Certification délivre des certificats décrivant des identités numériques. Elle met à disposition des moyens techniques pour vérifier la validité de ces derniers.

Les rôles d’une Autorité de Certification

Les services des Autorités de Certification s’utilisent notamment dans le cadre de la sécurisation des communications numériques. Il s’utilise via le protocole SSL/TLS pour sécuriser les communications web (HTTPS).

Lors de la délivrance du certificat, l’Autorité de Certification signe numériquement chaque certificat émis. Chaque navigateur contient une liste des Autorités de Certification dites “de confiance”. Une fois la connexion SSL établie, le navigateur vérifie que le certificat du serveur a pour origine une Autorité de Certification digne de confiance. Si cette autorité n’est pas digne de confiance, un message d’alerte s’affiche.

Les obligations d’une Autorité de Certification s’organisent autour de deux fonctions distinctes :

Fonction d’organisation : traitement des demandes de certificats, contrôle des informations, validation ou rejet des demandes, révocation des certificats.
Fonction technique : manipulation d’équipements cryptographiques, environnement sécurisé de bout en bout, maintien d’une capacité de production adaptée aux besoins de fonctionnement de l’Autorité de Certification.

Pour offrir son service de certificats SSL, l’Autorité de Certification peut s’appuyer d’une part sur une Autorité d’Enregistrement (AE). Ce dernier les aspects organisationnels. D’autre part, sur une unité de production (l’opérateur de services de certification), qui crée les certificats.

Une relation de confiance hiérarchique peut lier des AC successives. Une Autorité est à la base de toutes ces AC, c’est l’Autorité de Certification Racine (Root CA en anglais). C’est la référence pour la communauté d’utilisateurs des certificats émis par ces AC. La réputation de l’Autorité se lie au degré de confiance qui est accordée au certificat.

Comment reconnaître une Autorité de Certification (AC) de confiance ?

Les Autorités de Certification dites de confiance, sont des entités qui mettent en place des procédures de production de certificats SSL respectant des règles internationales du CAB Forum (https://cabforum.org/). Elles ont pour obligation de se soumettre à des audits annuels et doivent présenter leur certification aux éditeurs de confiance. Ci-dessous, la liste des AC racines de confiance.

La liste des Autorités de Certifications reconnues est accessible depuis n’importe quel navigateur internet. Dès lors que l’Autorité de certification fait partie de cette liste, elle est considérée comme étant de confiance.

Ainsi, l’inconvénient majeur d’utiliser des certificats non délivrés par une Autorité mondialement reconnue (certificat auto-signé par exemple) est que l’internaute qui souhaite se connecter à un serveur web (non sécurisé avec un certificat dit « de confiance ») verra son navigateur afficher une fenêtre d’alerte avec un message lui indiquant qu’il n’est pas en mesure de vérifier ledit certificat car il ne connaît pas la clé publique de l’autorité.

Exemple dans le cas d’un certificat signé par une Autorité de Certification non reconnue.

Comment le certificat SSL sécurise les connexions et les transactions “Client/Serveur Web”

Notions cryptographiques

La cryptographie a pour objectif principal de protéger l’intégrité d’un message. Pour cela, elle chiffre son contenu pour le rendre uniquement lisible par son destinataire et incompréhensible aux autres. On distingue deux types de méthodes : celle employant des algorithmes à clés symétriques (clé secrète) et celle utilisant les algorithmes dits de clés asymétriques (ou clés publiques).

Le protocole de sécurisation SSL/TLS utilise un algorithme asymétrique. Il fonctionne à l’aide de deux clés, l’une publique (que l’on peut diffuser à volonté) et l’autre privée (que l’on garde pour soi). Ces deux clés se lie par une fonction mathématique appelée algorithme de chiffrement. Celui-ci utilise la clé publique (donc connue) d’une personne pour envoyer un message chiffré (donc confidentiel). Seule la personne disposant de la clé privée correspondante est alors en mesure de déchiffrer le message ainsi transmis.

Émission d’un certificat SSL

Le certificat SSL est un « document numérique » permettant d’authentifier une clé publique. C’est-à-dire prouver qu’elle appartient bien à une personne ou à une entité connue.

Un certificat associe donc une clé publique à une identité. Cette identité peut être celle :

D’une personne physique (on parle de certificat individuel) permettant par exemple à son titulaire de sécuriser son e-mail.
D’une machine (comme un serveur web). On parle alors de « certificat serveur ». Il s’utilise par la machine titulaire afin de prouver son identité aux clients qui souhaitent établir une connexion sécurisée avec elle.

Ainsi, un certificat numérique SSL fonctionne sur le même principe qu’une pièce d’identité classique. Les informations qu’il contient se certifie par l’Autorité de Certification (AC). Celui-ci signe le certificat avec sa clé privée de telle sorte que quiconque disposant de la clé publique de cette AC est en mesure de vérifier l’authenticité de chaque certificat délivré.

Comment mettre en place un serveur web sécurisé

Les navigateurs Web intègrent nativement une liste de certificats provenant de différentes Autorités de Certification selon des règles internes définies par les développeurs du navigateur. Notons que depuis 2014, pour assurer l’inviolabilité des informations chiffrées, la taille minimum de la clé privée de signature doit être de 2048 bits.

Lorsqu’une personne physique ou morale souhaite mettre en place un serveur web utilisant une communication HTTPS sécurisée par SSL/TLS, elle génère une clé publique, une clé privée puis envoie à l’une de ces Autorités de Certification une demande de signature de certificat (en anglais CSR : Certificate Signing Request) contenant sa clé publique ainsi que des informations sur son identité (coordonnées postales, téléphoniques, email…).

Après vérification de l’identité du demandeur du certificat par une Autorité d’Enregistrement (AE), l’Autorité de Certification signe le CSR grâce à sa propre clé privée qui devient alors un certificat puis le transmet en retour à la personne qui en a fait la demande.

Le certificat ainsi retourné sous forme de fichier informatique s’intègre dans le serveur web du demandeur. Lorsqu’un utilisateur se connecte à ce serveur web, celui-ci lui transmet à son tour le certificat fourni précédemment par l’Autorité de Certification.

Le protocole HTTPS

Le navigateur du client authentifie le certificat du serveur grâce au certificat de l’Autorité de Certification (intégré nativement dans le navigateur). Celui-ci signe précédemment le certificat. L’identité du serveur est ainsi confirmée à l’utilisateur par l’Autorité de Certification.

Le navigateur fait ensuite une demande de vérification OCSP en contactant l’Autorité de Certification afin de savoir si le certificat du serveur est toujours valide. Il s’agit d’une transaction de validation.

Sur le plan technique, cette infrastructure de gestion des clés permet ainsi de s’assurer que :

Les données transmises entre le serveur web et le poste du client n’ont pas été modifiées durant le transfert : intégrité par « hachage » des données.
Les données proviennent bien d’un serveur web connu et qu’il ne s’agit pas d’une réplique frauduleuse.
Les données ne peuvent pas être lisibles par un tiers grâce au chiffrement.

De quoi se compose un certificat SSL

Un certificat SSL se compose donc d’une clé publique et d’une clé privée. La clé publique s’utilise pour le chiffrement des informations et la clé privée s’utilise pour les déchiffrer. Lorsqu’un navigateur se connecte à un domaine sécurisé, une connexion SSL authentifie le serveur et le client (navigateur), puis définit une méthode de cryptage et une clé unique de session. Ils peuvent alors entamer une session sécurisée qui garantit la confidentialité et l’intégrité du message.

Le fonctionnement du protocole SSL peut se décliner selon deux modes distincts – étant entendu que le certificat peut se trouver sur le serveur et/ou sur le poste client :

Dans le premier cas, on authentifie le serveur
Dans le second cas, on authentifie le client/navigateur c’est-à-dire l’internaute destinataire

Techniquement, serveur et client utilisent le même format de certificats (x509) mais ils diffèrent par l’information qu’ils contiennent. Ainsi, un certificat côté navigateur sert à identifier un utilisateur et contient donc des informations sur cet utilisateur. Côté serveur, le certificat a pour but d’authentifier le serveur, mais aussi l’organisme auquel il appartient s’il s’agit d’un certificat OV ou EV. Le schéma ci-dessous illustre le procédé qui garantit la protection des communications entre serveur et client.

En résumé, lors d’une connexion SSL avec un certificat :

Authentification

Le serveur envoie au navigateur son certificat
Le navigateur reçoit ce certificat
Le navigateur remonte le chemin de confiance du certificat (il vérifie que le certificat reçu a bien été signé par une Autorité de Certification)

Chiffrement

Le certificat envoyé par le serveur vers le navigateur contient la clé publique du serveur. La clé privée du serveur reste cachée sur le serveur
Le navigateur génère de son côté une clé de session
Cette clé de session est envoyée par le navigateur vers le serveur sous forme chiffrée par le navigateur, en utilisant la clé publique (le certificat) du serveur.
Une fois reçue par le serveur, elle est ensuite déchiffrée à l’aide de la clé privée du serveur
Toutes les données sont alors chiffrées par cette clé de session par les deux parties

Les champs d’application des certificats SSL

En utilisant un certificat SSL, vos transactions sur Internet sont sûres. Vos clients ont confiance en votre système de protection et savent avec certitude où ils envoient les données. En retour, vous êtes assurés que votre entreprise reçoit des données fiables.
Une connexion sécurisée augmente l’indice de confiance de l’utilisateur, ce qui, en retour, améliore la fréquentation et l’utilisation de vos sites, surtout en ce qui concerne des actes d’achat. Lorsque vous installez un certificat SSL, les clients potentiels savent qu’ils se trouvent sur un site sécurisé. De plus, le référencement de votre site Web par le moteur de recherche Google est améliorée.

Le protocole SSL peut être utilisé de diverses façons et à des fins différentes :

Communications «de navigateur à serveur»: la plupart du temps le SSL sert à sécuriser les communications entre un serveur Web et un navigateur, notamment dans le cadre de transmissions d’informations sensibles (achats en ligne, dossiers médicaux ou transactions bancaires). La technologie SSL permet de confirmer à l’utilisateur l’identité du destinataire de ses informations personnelles, tout en assurant que seule cette entité autorisée y aura accès.
Communications « de serveur à serveur »: le protocole SSL peut également être utilisé pour sécuriser les communications entre deux serveurs, telles que les transactions entre deux entreprises. Dans ce scénario, les deux serveurs possèdent généralement un certificat qui leur permet de s’authentifier mutuellement et de sécuriser leurs communications bilatérales.
Respect des obligations réglementaires : de nombreuses réglementations juridiques et sectorielles exigent des niveaux d’authentification et de confidentialité que les certificats SSL permettent d’obtenir. Le standard PCI DSS (Payment Card Industry Data Security Standard) exige, par exemple, l’utilisation de technologies d’authentification et de cryptage pour tout paiement en ligne.

Comment obtenir un certificat SSL pour sécuriser son site Internet ou son serveur Web ?

Nous l’avons vu, une session SSL ne peut pas être ouverte si le serveur Web ne dispose pas d’un certificat permettant au navigateur (client) de vérifier l’identité du serveur. La vérification de cette identité se fait sur l’adresse DNS du serveur. Cela ne se fait pas sur l’identité du titulaire de certificat comme pour les certificats de personnes physique. Le processus de délivrance des certificats SSL est donc légèrement différent de celui d’un certificat client ou de messagerie.

Le demandeur de certificat doit générer tout d’abord une paire de clés publiques avec un algorithme de chiffrement (de type RSA). Ensuite il renseigne un formulaire concernant l’organisation (l’entreprise) titulaire du certificat. Par exemple contact technique, ville, département, etc. C’est à partir de ces informations que se créée ce qu’on appelle une RSC (pour Requête de Signature de Certificat). Sinon plus généralement une CSR (Certificate Signing Request) en anglais. La CSR doit se générer avec une clé de 2048 bits.

La génération de cette CSR dépend du serveur web que vous utilisez.

Avant de la générer, vous devez bien vous assurer que les champs du Distinguished Name (DN) dans le formulaire sont correctement renseignés.

Le DN est un fichier chiffré qui contient :

La clé publique de votre organisation
Le nom de votre organisation
Sa localité
Le nom de domaine enregistré

En générant une CSR, le serveur web créera deux fichiers :

Une clé privée (à conserver soigneusement et à ne pas divulguer)
Une requête de signature de certificat (CSR)

Lors de la saisie de votre formulaire en ligne, vous devrez rentrer un mot de passe qui servira à chiffrer la clé privée du serveur. La CSR se signe à l’aide de la clé privée du serveur pour laquelle elle se génère. Cela permet ainsi à l’Autorité de Certification d’être sûre que le demandeur est bien en possession de la clé privée en question.

La CSR contient ainsi toutes les informations saisies par le demandeur ainsi que la clé publique du serveur. C’est à partir de ces informations que l’Autorité de Certification (AC) signe et délivre le certificat après sa vérification. Il ne reste alors plus qu’à installer le certificat ainsi obtenu sur le serveur Web pour permettre l’utilisation du protocole SSL lors des transactions entre le site Web et les navigateurs des utilisateurs.

Voici un exemple de CSR :

—–BEGIN CERTIFICATE REQUEST—–

MIIBpTCCAQ4CAQAwZTELMAkGA1UEBhMCRlIxEjAQBgNVBAoTCUtFWU5FQ1RJUzEX

MBUGA1UECxMOMDAwMiA0NzgyMTczMTgxDTALBgNVBAsTBFRFU1QxGjAYBgNVBAMT

EXd3dy5rZXluZWN0aXMubmV0MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3

1XuFvLFtJMgzfpQfk5E4x2oTgAz74KKuBQ9GX2jzIKfJA5RRZ/j7jeXJJZgFT0+e

z8+89qgRxTwUH4yuJV3usegp+dtq0eHAXjClSgqwCPpEKMmQ3aAABM45lCKxQbMZ

k0ARyFHCKnhhFbHi3VMwye2tqjDwNS5kXktCYrQodwIDAQABoAAwDQYJKoZIhvcN

KdveiQ/lYtNn+/xJAavBYQ2O6CO8E85MmxzBVoQl2E5U+wot1cbDERI

—–END CERTIFICATE REQUEST—–

La génération de la CSR constitue donc l’étape préalable à toute demande en ligne d’un certificat SSL.

Une fois générée, cette CSR doit se copier dans le champ du formulaire de demande de certificats en ligne. Le serveur vérifie la bonne syntaxe du contenu puis demande la saisie des informations administratives relatives au titulaire du certificat.

Une fois l’ensemble des champs correctement renseignés, la demande de certificat s’envoie au service clients de l’Autorité de Certification qui procède à un certain nombre de vérifications administratives et téléphoniques avant de la valider et de déclencher sa fabrication. Ces vérifications dépendent du type de certificat : vérification du domaine Internet dans le cas d’un certificat SSL “Domain Validated” (DV SSL), à laquelle s’ajoutent les vérifications concernant l’organisation (l’entreprise) pour les certificats SSL “Organization Validated” (OV SSL) et “Extended Validation” (EV SSL).

Si l’étape de vérification se passe correctement, l’Autorité de Certification génère alors le certificat SSL puis le signe avec sa clé privée. Le certificat peut alors être récupéré par le demandeur sur une URL spécifique qui lui aura été communiquée.

Il faut ensuite établir le chemin de certification jusqu’au certificat sur le serveur web. Il est alors nécessaire de télécharger :

Le certificat de l’Autorité de Certification Racine : reconnu par tous comme autorité du niveau le plus élevé et figurant de manière native dans les navigateurs
Le certificat de l’Autorité de Certification SSL : celui signé par l’AC délivrant des certificats SSL.

www.ssl-europa.com/solutions/certificats-ssl

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Pourquoi Helios a-t-il été mis en place par la direction générale de la comptabilité publique ?

Pourquoi la direction générale de la comptabilité publique a mis en place Hélios ?

Depuis le 1er janvier 2015, la dématérialisation de la chaîne comptable et financière est obligatoire. Cela implique que les collectivités territoriales transmettent les pièces comptables au trésorier par voie électronique. Cela concerne les budgets, les mandats, les titres de recettes, les bordereaux et les pièces justificatives des dépenses et recettes. Pour faciliter la gestion informatique de la transmission dématérialisée des pièces comptables des collectivités locales et des établissements publics locaux, la direction générale des Finances publiques (DGFiP) a mis en place une application informatique de gestion comptable et financière : Hélios.

Qu’est-ce que la transmission Hélios ?

Qu'est-ce que la transmission Hélios ?

Hélios est une application qui facilite la gestion des flux financiers. Elle concerne les collectivités locales et les établissements publics locaux. Par exemple les établissements publics de santé, les établissements publics sociaux et médico-sociaux, ainsi que les établissements publics d’habitations à loyer modéré. Hélios est la télétransmission des données comptables qui repose sur la modernisation du système de gestion informatique et sur l’avènement d’Internet. L’application est paramétrable. Elle devra améliorer dans l’immédiat la gestion quotidienne des comptables. Ainsi, les comptables et les ordonnateurs peuvent suivre l’ordonnancement et l’exécution des dépenses et des recettes des collectivités.

Un outil moderne au service des gestionnaires publics

Internet étant un outil de développement technologique d’échange, il est logique que la DGFiP suive le changement pour la dématérialisation complète de la chaîne budgétaire et comptable entre les collectivités et le trésorier. Cette nouvelle application de gestion comptable et financière des collectivités locales et établissements publics locaux apporte donc beaucoup plus d’avantages que les autres applications utilisées précédemment par la DGFiP. Les données comptables et financières provenant des collectivités territoriales sont présentées en fichier XML, d’après le Protocole d’Échange standard (PES). Ces données se transmettent dans le système Hélios après transmission et contrôle en trésorerie.

Hélios apporte de la modernisation des échanges entre les collectivités locales et les comptables publics. Cela se traduit par la dématérialisation des pièces comptables et par la mise en place de la signature électronique. Hélios garantie ainsi une rapidité, une simplicité, une efficacité et une souplesse dans les échanges. Les collectivités locales et la trésorerie bénéficient toutes les deux des avantages proposés par Hélios. Ce dernier garantit des échanges enrichis. Cela que ce soit pour les situations de trésorerie, le paiement des mandats de dépense ou encore le recouvrement des titres de recette. Il en est de même pour la qualité d’information qui s’échange sur le suivi des marchés publics et l’inventaire des éléments d’actif.

En somme, la mise en place de l’application Hélios permet d’accélérer les paiements et les recouvrements. En effet, l’échange entre les collectivités locales et les comptables publics pour l’exécution des budgets constitue près de 550 millions de documents papier chaque année. Cette dématérialisation des pièces d’exécution budgétaire et comptables permet de réduire le coût, de fiabiliser la transmission, et d’améliorer le contenu des missions d’exécution et sa gestion.

L’exploitation du traitement Helios

Hélios permet le suivi du recouvrement des titres de recette, des dépenses, des régies et la gestion des ressources des personnes hébergées. Pour le suivi du recouvrement des titres de recette, Hélios permet de traiter diverses informations telles que les caractéristiques du titre, le suivi des encaissements et du recouvrement et l’identification du débiteur. Pour les dépenses, les informations sont les caractéristiques du mandat, l’identification et référence bancaire des fournisseurs. Mais aussi l’identification des titulaires et caractéristiques des marchés, les cessions-oppositions éventuelles, le suivi des paiements …

Pour le suivi des régies, les informations relatives à la régie, au régisseur et à ses mandataires. L’accès aux données est réservé aux personnels utilisateurs habilités. Ceux-ci émanent du poste comptable gestionnaire des collectivités locales, des trésoreries générales et des recettes des finances chargées de la gestion. Mais également du pôle spécialisé de la DGCP chargé du recouvrement contentieux, des services chargés de l’audit et de l’organisme ordonnateur des collectivités locales.

Pour les données à caractère personnel, quelques destinataires peuvent exploiter le traitement Hélios. Les organismes bancaires peuvent être des destinataires des données pour le règlement des dépenses, le recouvrement et les prélèvements. C’est aussi le cas pour les huissiers dans la procédure des actes de saisie. Egalement des gérants des établissements de santé pour les personnes hébergées concernées. Cependant, l’accès sur l’application HELIOS se limite aux données relatives au domaine de compétence des utilisateurs. Les ordonnateurs ne peuvent pas consulter par exemple que les données qu’eux-mêmes ont transmis au Trésor public.

Identifier les numéros de marché en cohérence avec Hélios

Lors de la transmission des données entre ordonnateur et comptable vers le trésorier (Hélios), il faut créer un identifiant unique qui figurera sur la pièce d’ordonnancement (titre ou mandat) pour lier les pièces justificatives dématérialisées et les pièces comptables.

Deux modes de référencement s’offrent aux ordonnateurs pour créer un lien entre les pièces justificatives « papier » et les titres ou mandats dématérialisés avec le Protocole d’échange standard d’Hélios : un référencement par identifiant unique et un référencement par numéro de mandat ou de titre.

L’identifiant unique doit comporter au minimum un certain nombre d’informations précises à savoir le SIRET du budget collectivité, l’année d’origine, le domaine conformément aux « objets comptables » d’Hélios (dépense, recette…) ou le domaine principal pour des pièces justificatives, le numéro chronologique (identification des numéros de marché en cohérence avec Hélios) et les autres données d’identification choisies par l’ordonnateur pour garantir le lien entre les pièces justificatives dématérialisées et les pièces comptables.

Le référencement par identifiant unique permet l’apposition d’un identifiant unique sur chaque pièce justificative. Ce type de référencement s’effectue selon les modalités techniques que l’ordonnateur a définies. Par exemple des étiquettes ou une référence manuscrite à la pièce justificative.

Pour faciliter le classement, l’identifiant unique doit comporter l’année d’origine, le domaine et le numéro chronologique. L’ordonnateur effectue le classement selon l’ordre de l’identifiant pour assurer un classement chronologique par domaine. Ce type de référencement reste le même avant et après l’arrivée de la dématérialisation au niveau des pièces justificatives.

Le référencement par numéro de mandat ou de titre incombe à l’ordonnateur Il doit accompagner les pièces justificatives du numéro du mandat ou de titre rattaché. Ainsi, pour ce deuxième mode de référencement il assure le classement des pièces justificatives par numéro d’objet comptable.

Le Protocole d’Echange Standard Version 2 (PES V2)

Le Protocole d'Echange Standard Version 2 (PES V2)

Tous les autres protocoles de transmission des titres et mandats qui existent précédemment seront remplacés petit à petit par le Protocole d’Echange Standard d’Hélios (PES). Il est actuellement dans sa version 2. Et la dématérialisation de la chaine comptable et financière doit adopter le PES V2 à compter du 1er janvier 2015. Par rapport à la première version, le PES V2 d’Hélios offre la possibilité de dématérialiser des pièces justificatives.

Les formats des pièces et signatures

Dans le cadre d’Hélios, on privilégie le format des fichiers électroniques dématérialisés par l’émetteur. Cependant, il existe des formats référencés par la Direction générale des Finances publiques (DGFiP). Ils sont à destination des collectivités et de leurs établissements publics. Le but est qu’ils puissent fluidifier les échanges avec le comptable du Trésor. Hélios privilégie le format XML. Il doit cependant respecter les schémas référencés ou validés par la convention cadre nationale relative à la dématérialisation des documents de la chaîne comptable et financière des collectivités, établissements publics locaux et établissements publics de santé.

L’utilisation du format PDF est aussi sollicitée surtout dans sa version PDF-A. Il existe aussi des formats qui sont temporairement acceptés comme :

le format CSV (comma separated value)
le format Open Document (ODT) pour les documents « texte » (norme ISO 26300) et le format bureautique « Word RTF ».

Comme pour les pièces comptables, les formats XML et PDF sont aussi privilégiés pour la dématérialisation des pièces justificatives. Et pour faciliter la transmission des documents, il est conseillé d’utiliser les formats ZIP, TAR ou GTAR pour les documents liés. Ces formats de compression garantissent l’archivage des documents et la préservation des noms des fichiers durant la transmission.

Que requiert Hélios ?

Hélios requiert la signature électronique des pièces comptables et des pièces justificatives liées comme les bordereaux de mandats/titres, acte d’engagement des marchés publics, etc. XadES est le format de signatures privilégié pour les fichiers XML selon l’article 289V du CGI. La signature PADES est le format utilisé pour signer les pièces justificatives au format PDF-A telles que les documents contractuels et les factures. Les pièces comptables au format XML simplifié PES (PES facture) se visualisent avec XéMéLios.

Pour les fichiers PES, la signature XadES est le format de signature conseillé. L’utilisation d’un certificat électronique est indispensable pour signer un document dématérialisé. Le certificat délivré par la DGFiP est reconnu pour la signature des fichiers Protocole d’échange standard d’Hélios. Ces certificats électroniques permettent pour rappel de garantir l’identité du signataire et l’intégrité du document. Ainsi, tous les certificats de signature électronique dans les marchés publics se référencent dans la liste de catégories de certificats « listes de confiance » selon l’arrêté du ministre de l’Économie et des Finances en date du 15 juin 2012

Hélios et la notification de l’horodatage

L’horodatage permet d’associer un fichier à sa date de création ou de réception. Dans les cas où les collectivités et établissements publics locaux(CEPL) utilisent un horodatage, les documents notifiés sont accompagnés d’un lien permanent. Les documents accompagnant la notification sont ainsi signés par le titulaire. Un jeton d’horodatage (Dont le format RFC3161 est le plus privilégié) accompagne la signature électronique.

Il représente la date de notification. Cette préconisation devenue obligatoire s’établie pour qu’un tiers horodateur puisse toujours avoir une vision objective. Surtout si la CEPL exploite la plate-forme de dématérialisation. Selon les dispositions des articles 12 et 81 du code des marchés publics, les dispositifs de l’horodatage doivent permettre de déterminer la date de réception de la notification par le titulaire. Le jeton d’horodatage doit être stocké dans une signature électronique.

Que proposent les services de certification et d’horodatage

Les services de certification et d’horodatage proposent différents types de services pour la dématérialisation des marchés publics. Déjà, le certificat numérique permet d’authentifier le titulaire de la signature. Ainsi que l’identifier lors de la connexion sur le Portail de la gestion publique. Les services de certification et d’horodatage permettent aux ordonnateurs des flux comptables des collectivités locales de sceller et de protéger un document contre toute altération ultérieure. Ceci grâce à la signature électronique ou à l’horodatage.

Le scellage du document permet de garantir son intégrité. L’horodatage électronique permet d’enregistrer la date et l’heure de création ou de réception du document. L’horodatage est comme le cachet de la poste faisant foi de la date d’envoi. Et enfin, le certificat électronique peut garantir la confidentialité d’un document et le protéger contre les consultations non autorisées.

L’application Helios permet en somme un gain de temps significatif pour ce qui est de la procédure de validation et de signature de toutes les pièces comptables et financières. La solution Hélios permet aussi de garantir la confidentialité, l’intégrité, la traçabilité et la non-répudiation des documents.

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Authentification forte : un gage de confiance pour vos transactions électroniques

Les transactions électroniques se développent rapidement… tout comme les risques qui pèsent sur elles (à l’instar de l’usurpation d’identité). Pour sécuriser les échanges dématérialisés, la confiance numérique s’impose alors comme un socle indispensable. Or, il ne peut pas y avoir de confiance sans une garantie : celle que les parties disposent d’une identité mutuellement reconnaissable. L’authentification forte, en opposition à sa version « faible » qui repose généralement sur l’utilisation d’un simple mot de passe, permet de répondre pleinement à ces enjeux.

Qu’est-ce que l’authentification forte ?

Qu'est-ce que l'authentification forte ?

La notion d’identité numérique soulève une question d’importance. Comment s’assurer que le tiers avec lequel on souhaite échanger électroniquement est bien celui qu’il prétend être ? L’interrogation est d’autant plus cruciale dans le cadre des transactions électroniques entre deux entreprises, ou bien entre une entreprise et un particulier.

La confiance numérique est le socle indispensable sur lequel s’appuie une transaction électronique sécurisée. Pour que deux parties puissent réaliser une transaction digitale sûre, qu’il s’agisse d’un acte commercial, d’une procédure administrative ou d’un simple échange de données, elles ont besoin d’une garantie : celle que l’interlocuteur est bien celui qu’il prétend être. Pour cela, il faut que l’identité de chacun soit immédiatement reconnaissable. Que chaque partie puisse « prouver » son identité en ligne.

L’authentification numérique, et en particulier l’authentification forte, permet de créer ce socle de confiance. Elle apporte un niveau de garantie élevé quant à la personne (physique ou morale) rattachée à une identité numérique. Contrairement à une authentification dite « faible », elle participe à la création d’une identité qui réduit les risques d’usurpation, rendant les transactions électroniques plus sûres.

Vérification : forte VS faible

L’identité d’une entité en ligne peut être vérifiée de trois façons :

Par le biais d’une information connue seulement de cette entité (mot de passe, question secrète, etc.) ;
Par le biais d’un dispositif électronique détenu exclusivement par l’entité et permettant de l’authentifier (one-time-password, carte à puce, clé USB, carte magnétique, token, certificat électronique, etc.) ;
Par le biais d’une information biométrique physique ou comportementale (pour un individu uniquement : empreinte digitale ou rétinienne, signature manuscrite, reconnaissance par la voix, comportement, etc.).

D’autres facteurs d’authentification émergent doucement : la géolocalisation, le réseau ou le profilage comportemental. Mais ces trois-là sont les plus communs et les plus utilisés dans le cadre des transactions électroniques.

Le mot de passe est le facteur d’authentification le plus fréquemment utilisé : c’est lui qui vous permet d’accéder à votre boîte mail, à votre session informatique ou à votre réseau. Il s’agit d’une authentification faible, basée sur un unique facteur. Mais elle offre des garanties limitées, étant très vulnérable aux usurpations d’identité.

Basée sur plusieurs facteurs d’authentification distincts, l’authentification forte (aussi appelée « authentification multi-facteurs ») fonctionne comme une porte à double verrou : pour une personne malveillante, la forcer est plus difficile et exige plus de temps. Elle garantit un niveau de sécurité élevé dans le cadre des transactions numériques. C’est le niveau de sécurité optimal pour les organisations.

L’utilisation de l’authentification forte garantit une protection accrue contre les risques d’usurpation d’identité. C’est le cas, par exemple, des certificats électroniques qualifiés, délivrés par un Tiers de Confiance comme CertEurope. Un certificat de ce type assure un niveau de garantie élevé quant à l’identité de son titulaire, lorsqu’il s’authentifie dans le but d’accéder à un service en ligne. L’authentification forte est ainsi l’élément clé d’une base de confiance numérique, indispensable au développement des échanges dématérialisés.

L’authentification forte comme fondement de la notion d’identité numérique

L'authentification forte comme fondement de la notion d'identité numérique

Les enjeux de l’authentification forte sont directement liés à la problématique de l’identité numérique et de sa protection. Plus les échanges électroniques se développent, et plus la question de la vulnérabilité des systèmes informatiques se pose. Comment sécuriser son identité en ligne ? Garantir la provenance d’une information ? Et créer un socle de confiance ?

Les besoins en matière de renforcement de la sécurité informatique ont permis à la problématique de l’identité numérique d’éclore. Les mécanismes d’authentification découlent de la multiplication des points d’entrée dans les SI et de la prise de conscience de l’importance de la confiance digitale. Jean-Pierre Quémard, président de l’Alliance pour la confiance numérique, a bien exprimé les choses : « L’identité numérique est au cœur de la confiance numérique : sans gestion fiable de l’identité numérique, il est illusoire de croire au développement des services de confiance ». Autrement dit, sans identité digitale forte, impossible de créer de la confiance entre les parties prenantes.

Au-delà de la seule authentification lors des échanges numériques, l’identité numérique d’une entreprise est constituée de l’ensemble des éléments qui lui sont associés (contenus, ressources, réputation) et des valeurs que le public lui attribuent. En somme, l’identité numérique est fortement liée à la notion de réputation (ou de notoriété) digitale. C’est donc un ensemble d’éléments à protéger.

L’authentification forte, garantie par un certificat électronique qualifié, protège votre entreprise contre les risques d’usurpation d’identité. Mais elle fait bien plus que cela : elle consolide votre identité numérique et renforce votre image de marque. C’est donc bien plus qu’un outil stratégique : un gage de confiance.

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Qu’est-ce qu’un OTP (One Time Password) ?

Qu'est-ce qu'un mot de passe à usage unique (OTP : One Time Password), quand l'utiliser et comment le générer ?

À une époque où la numérisation nous permet d’accéder à une multitude de services à distance, les processus d’authentification et d’enregistrement requièrent un haut degré de sécurité. Il peut également être atteint grâce à un OTP password (mot de passe OTP).

Qu'est-ce qu'un mot de passe à usage unique (OTP) ?

OTP signifie « One Time Password » (mot de passe à usage unique).

En effet, un code OTP est une chaîne aléatoire de caractères alphanumériques générée par un système d’authentification. Il a pour but d’accorder l’accès à un service de manière sécurisée. Comme son nom l’indique, il s’agit d’un mot de passe à usage unique. Il ne peut être utilisé qu’une seule fois et est généralement valable pour une durée limitée (TOTP, Time-based One-Time Password). Une signature électronique OTP a une valeur légale.

Quand les codes OTP sont-ils utilisés ?

Un OTP token font donc partie des systèmes d’authentification à plusieurs facteurs et sont utilisés dans plusieurs domaines. Par exemple :

l’accès aux services de l’administration publique,
les transactions via la banque à domicile,
l’accès aux réseaux sociaux,
l’enregistrement d’un nouveau compte,
la modification des paramètres de sécurité de ses comptes,
la vérification de l’identité,
le commerce électronique et les achats en ligne.

Ainsi, dans de nombreux cas, on demande à l’utilisateur une signature OTP. Cela en plus de la saisie de ses identifiants de connexion (nom d’utilisateur et mot de passe). En effet le mot de passe OTP s’envoie directement sur votre numéro de téléphone sous format SMS, par exemple.

Comment les mots de passe jetables sont-ils générés ?

Les codes OTP se génèrent à l’aide d’algorithmes de cryptage à clé partagée. La clé partagée est une chaîne de caractères que les deux parties utilisent (client et serveur) pour chiffrer et déchiffrer les données. Cela forme une signature électronique OTP.

Dans le cas du mot de passe à usage unique OTP, la clé se génère de manière aléatoire au moment de l’action de l’utilisateur et est stockée sur le serveur.

L’algorithme de cryptage à clé partagée permet de générer une signature OTP sur la base de la clé partagée et de la date du jour. Ainsi, le OTP password s’utilisent pour l’accès qu’à ce moment précis : une fois la durée de validité expirée, il n’est plus utilisable.

Au-delà des aspects techniques, il existe donc plusieurs méthodes par lesquelles un utilisateur peut obtenir un OTP token. En voici quelques-unes :

Les applications pour smartphone : il existe diverses applications, tant pour Android que pour iOS, qui permettent de générer un code à usage unique OTP (OTP password);
Les tokens/jetons : il s’agit de petits dispositifs portables, généralement au format clé USB ou carte à puce, capables de générer un mot de passe OTP ;
SMS ou e-mail : dans certains cas, le code peut être envoyé par SMS ou par e-mail ;
Services en ligne : certaines entreprises proposent des services en ligne pour générer des OTP token.

Il est important que l’utilisateur utilise le mot de passe OTP dans un laps de temps plutôt court et qu’il le supprime immédiatement après utilisation, afin de l’invalider. En général, le système de génération lui-même considère le mot de passe jetable comme invalide après quelques secondes.

Quels sont les avantages du code OTP ?

Les OTP token ont pour origine le besoin de garantir la sécurité des processus d’authentification. Puisque ce sont des mots de passe dynamiques, les pirates ne peuvent ni les mémoriser ni les prévoir.

De plus, leur durée limitée laisse aux cybercriminels trop peu de temps pour procéder au vol des identifiants.

Dans le cas où ils parviendraient à récupérer l’OTP password, ils ne seraient pas en capacité de l’utiliser. En effet, ayant déjà été utilisé pour un accès ou une transaction, le système d’authentification le reconnaîtrait comme n’étant plus valide. Une solution MFA (Multi Factor Authentification) à deux facteurs est donc efficace pour se protéger contre l’usurpation d’identité en ligne.

L’utilisation d’un OTP token pour accéder à des services sensibles garantit un niveau de sécurité plus élevé qu’une simple authentification à deux facteurs. Dans ce dernier cas, l’utilisateur doit seulement fournir un nom d’utilisateur et un mot de passe. L’OTP token permet de surmonter les problèmes de sécurité des mots de passe.

De plus, comme nous l’avons vu, il peut s’utiliser à des fins diverses. De l’accès aux services en ligne à la vérification de l’identité… mais également pour éviter d’avoir besoin de réinitialiser vos mots de passe à chaque oubli. Dans une entreprise, cela permet ainsi également d’optimiser le temps de travail des équipes de support IT.

Tous ces avantages l’emportent largement sur les quelques inconvénients des codes OTP. Essentiellement, ceux ci sont principalement liés à leur gestion. En effet, la durée de validité limitée peut être un problème dans certains cas : si vous oubliez d’enregistrer votre mot de passe OTP ou si vous avez une interruption de connexion pendant que vous le tapez, vous risquez de devoir générer un nouveau code.

Qu'est-ce que l'authentification multi-facteurs ?

Il convient de terminer cet article en consacrant quelques mots à l’authentification multifactorielle.

Également appelée authentification multi-facteurs (MFA/2FA), il s’agit d’une méthode d’authentification qui exige de l’utilisateur qu’il fournisse non seulement ses propres informations de connexion, mais aussi un élément supplémentaire, qui peut être un code OTP ou une clé biométrique (par exemple, une empreinte digitale).

En d’autres termes, le MFA est un système d’authentification reposant sur plusieurs couches de sécurité, ce qui rend plus difficile l’accès des cybercriminels aux services et données sensibles. En effet, même si un pirate parvenait à obtenir des informations d’accès, il ne serait pas en mesure de surmonter la couche de sécurité supplémentaire que représente, par exemple, le code OTP.

L’utilisation d’un mot de passe à usage unique OTP est donc un excellent moyen de mettre en œuvre le MFA dans ses processus d’authentification. Et quelle que soit la méthode choisie pour générer les codes, le plus important est de toujours accorder la plus grande attention à la sécurité de son appareil et de ses données personnelles.

La plateforme de signature électronique GoSign

Faites le choix de la seule solution européenne leader du marché pour créer, signer et gérer des parcours de signature.

Selon le processus et le niveau de confiance requis, choisissez le niveau de signature adapté à votre besoin : signature simple, avancée ou qualifiée.

La plateforme de signature électronique GoSign

Faites le choix de la seule solution européenne leader du marché pour créer, signer et gérer des parcours de signature.

Selon le processus et le niveau de confiance requis, choisissez le niveau de signature adapté à votre besoin : signature simple, avancée ou qualifiée.

Comment mettre en place le BPE – bulletin de paie électronique ?

Comment mettre en place le BPE - bulletin de paie électronique ?

La dématérialisation des échanges dans les entreprises se démocratise. Mais à y regarder de plus près, la route sera encore longue avant de pouvoir parler de généralisation.

Le bulletin de paie électronique (BPE) est un bon exemple de cette situation. Afin de simplifier et d’alléger les procédures inscrites dans le Code du travail, le bulletin de paie dématérialisé a été rendu légal le 12 mai 2009.

La loi autorise ainsi un employeur à remettre au salarié son bulletin de paie sous forme électronique. Cela a condition d’obtenir son accord et de garantir l’intégrité des données. Dans ce domaine, la France est en retard par rapport à de nombreux pays européens. Le BPE a pourtant de nombreux avantages qui jouent en sa faveur.

Le taux de dématérialisation des bulletins de paie en France est de 15%, contre 95% en Allemagne, 73% en Grande-Bretagne et 54% en Belgique. Le BPE est pourtant annoncé depuis plus de 10 ans. Mais ce n’est qu’en 2009 que les salariés ont pu bénéficier d’un cadre légal plus protecteur vis-à-vis de la dématérialisation de leurs fiches de salaire. Cela fait suite à la loi n°2009-526 de simplification et de clarification du droit et d’allègement des procédures. Cependant, ce texte n’autorisait pas une entreprise à imposer cette solution. Elle devait obtenir l’accord préalable de ses collaborateurs.

Pourquoi mettre en place le bulletin de paie électronique – BPE ?

Pourquoi mettre en place le bulletin de paie électronique - BPE ?

De nouveaux textes pour favoriser l’adoption du bulletin de paie électronique

Malgré certaines avancées juridiques, le bulletin de paie papier continue pourtant de faire de la résistance sur le territoire français. A partir du 1er janvier 2017, de nouveaux textes vont permettre aux entreprises privées comme au secteur public de généraliser ce système.

Et c’est l’administration qui ouvre la marche avec un décret du 3 août 2016. Au 1er janvier 2020 au plus tard, les bulletins de paie des agents civils de l’Etat, des magistrats et des militaires devront être mis à disposition des intéressés. Ils le seront sous forme électronique, dans un espace numérique propre, créé et administré par la Direction générale des finances publiques.
Pour les entreprises, les nouveautés se trouvent dans la loi Travail publiée le 9 août 2016 au Journal officiel après sa validation par le Conseil constitutionnel. A partir du 1er janvier 2017 et sauf opposition du salarié, un employeur pourra « procéder à la remise du bulletin sous forme électronique ». Cela peut se faire par email et/ou via le futur compte personnel d’activité (CPA). En revanche, si le salarié en fait la demande, son employeur aura l’obligation de lui remettre une version papier.

Les avantages du bulletin de paie électronique – BPE

Les avantages du bulletin de paie électronique - BPE

Sur le principe, le bulletin de paie électronique (BPE) comporte de nombreux avantages pour les entreprises et leurs salariés :

Il permet de réduire le papier et les coûts liés à sa transmission (impression, affranchissement, etc), une économie non négligeable. Un rapport gouvernemental estime que « la dématérialisation du bulletin de salaire occasionne des économies immédiates de l’ordre de 33 à 67% ».
Il n’est pas falsifiable car il est signé électroniquement.
Il est plus facile à conserver car il occupe moins de place et est à l’abri des pertes et destructions (en cas de sinistre, de déménagement, de maladresse).
Il facilite les interactions avec les administrations ou autres entités exigeant la production des bulletins de paie.
Il permet une meilleure utilisation des ressources humaines : au lieu de se consacrer à des tâches comme la mise sous pli, le classement des documents, les salariés chargés de la gestion des bulletins de paie peuvent ainsi se recentrer sur des activités à forte valeur ajoutée pour l’entreprise.
Le BPE véhicule une image de modernité.
Il constitue un atout à l’heure où l’on incite les entreprises à être éco-responsables.

BPE – Des économies à la clé

Le certificat SSL est un « document numérique » permettant d’authentifier une clé publique. C’est-à-dire prouver qu’elle appartient bien à une personne ou à une entité connue.

Un certificat associe donc une clé publique à une identité. Cette identité peut être celle :

D’une personne physique (on parle de certificat individuel) permettant par exemple à son titulaire de sécuriser son e-mail.
D’une machine (comme un serveur web). On parle alors de « certificat serveur ». Il s’utilise par la machine titulaire afin de prouver son identité aux clients qui souhaitent établir une connexion sécurisée avec elle.

Comment mettre en place un meilleur serveur web

Mise en place du bulletin de salaire en ligne ?

Dématérialisation et cycle de vie du bulletin de paie

La mise en place du bulletin de paie électronique dans les entreprises pose plusieurs questions.

Obtention du consentement – La remise d’un bulletin de salaire en ligne ne peut s’effectuer que si le salarié y a préalablement consenti. Cela signifie d’abord que l’employeur doit trouver une manière de recueillir ce consentement sans contestation possible. En effet, la loi n’explicite pas les modalités de recueil. Avenant au contrat de travail, procédure dématérialisée avec signature électronique ? Par ailleurs, le consentement est obtenu de manière individuelle. Cela signifie que la plupart du temps, il y aura coexistence au sein d’une même entreprise d’un dispositif papier et d’un dispositif électronique.
Remise du bulletin de paie – Sauf disposition contraire, chaque employeur est libre de décider des modalités de remise du bulletin de salaire. Qu’il s’agisse de le donner en main propre ou de l’envoyer par courrier. Dans le cas du BPE, la loi ne spécifie pas non plus sous quelle forme le bulletin doit être transmis. Cela qui crée un flou pour les entreprises : envoyer le bulletin de paie par e-mail est-il suffisant ? Comment s’assurer de l’intégrité du document pour qu’il ne puisse pas être falsifié ?
Archivage – Le bulletin de paie fait partie des documents que l’on doit conserver à long terme. Le salarié doit le garder de manière illimitée tandis que l’entreprise a l’obligation légale de le conserver durant au moins cinq ans, une exigence inscrite dans le Code du Travail et dans celui de la Sécurité Sociale. L’archivage pose d’autres questions : comment assurer un stockage sécurisé des bulletins de paie en préservant la confidentialité requise ? Comment garantir leur lisibilité dans le temps en dépit des changements technologiques ? Quelles procédures mettre en place pour veiller à la pérennité des documents quel que soit le devenir de l’entreprise ?

Comment proposer le bulletin de salaire en ligne ?

Les solutions technologiques existent et répondent à toutes ces questions :

On peut garantir l’intégrité des données en signant électroniquement le BPE avec un certificat électronique délivré par un Tiers de Confiance comme CertEurope.
L’employeur peut assurer la conservation du bulletin de salaire électronique en toute confidentialité en le mettant à la disposition du salarié dans un espace personnel de stockage sécurisé en ligne. Appelé « coffre-fort numérique », ce dispositif garantit l’archivage sur le long terme des documents. On peut marquer chacun d’entre eux à l’aide d’un jeton d’horodatage : comparable au cachet de la poste, il permet de prouver que le document a été mis à disposition à une date précise dans le coffre-fort.

Comment favoriser le passage au bulletin de salaire en ligne ?

Le bulletin de paie français reste plus complexe que celui de nos voisins européens. Il peut atteindre 50 lignes là où il n’en fait que 15 en Allemagne. Un vaste chantier de réflexion s’engage afin de le simplifier. La question de la dématérialisation va de pair avec cette volonté de clarifier et d’alléger les procédures administratives.

Les technologies existent et sont accessibles en terme de coûts et d’implémentation. Elles permettent à la fois d’apporter les garanties juridiques exigées par la loi mais offrent aussi un dispositif sécurisé, pérenne et facile d’accès aussi bien pour l’employeur que pour le salarié. Une manière, sans doute, d’installer la confiance nécessaire à une dématérialisation réussie. Comme toujours dans les processus de dématérialisation, les utilisateurs apprécient…

Pour aller plus loin

L’AFNOR a créé des normes qui préconisent de bonnes pratiques, tant sur le plan technique que fonctionnel.

La norme Z 42-013 : elle vise à favoriser l’archivage et les échanges de fichiers en assurant leur traçabilité et leur intégrité.
La norme Z 42-025 : elle définit les processus à mettre en place pour recueillir le consentement du salarié, créer le bulletin de paie électronique, le remettre et le conserver.
La FNTC (Fédération des Tiers de Confiance) a également rédigé des guides sur le BPE à l’attention de l’employeur et du salarié.

La plateforme de signature électronique GoSign

Faites le choix de la seule solution européenne leader du marché pour créer, signer et gérer des parcours de signature.

Selon le processus et le niveau de confiance requis, choisissez le niveau de signature adapté à votre besoin : signature simple, avancée ou qualifiée.

La plateforme de signature électronique GoSign

Faites le choix de la seule solution européenne leader du marché pour créer, signer et gérer des parcours de signature.

Selon le processus et le niveau de confiance requis, choisissez le niveau de signature adapté à votre besoin : signature simple, avancée ou qualifiée.

4 questions autour du certificat d’authentification de serveur

Mettez-vous à la place des visiteurs de votre site web, de vos clients ou de vos partenaires dans le cadre d’échanges de données en ligne : pourquoi devraient-ils faire confiance d’emblée à votre serveur ? La question est d’autant plus légitime si les données échangées sont confidentielles. Pour que la confiance existe entre deux entités en ligne, il est indispensable que les « clients » (au sens informatique du terme) puissent s’assurer de l’identité du propriétaire du serveur et de la confidentialité des échanges. Dans ce cas, c’est précisément à cela que sert un certificat de serveur : authentifier les organisations et sécuriser les sessions en ligne lors des échanges de données. L’autre cas que nous allons considérer concerne la signature en masse de documents : ici un certificat de cachet serveur permet de les figer pour garantir leur intégrité. C’est un peu comme si une entreprise apposait un tampon sur un lot de documents. Entrons dans le détail de ces cas d’usage.

Qu’est-ce qu’un certificat de serveur ?

Un certificat de serveur est un certificat électronique qui joue le rôle de carte d’identité pour un serveur ou une application. Son propriétaire est une personne morale. Son but ? Identifier ledit serveur (ou ladite application) auprès de serveurs ou d’applications tiers(ces). Rattaché à un nom d’hôte ou à un nom de domaine, le certificat de serveur permet aux clients d’authentifier les serveurs auxquels ils se connectent. De la sorte, l’utilisateur est certain :

Que le propriétaire du serveur est bien celui qu’il prétend être.
Que la session est sécurisée et que les échanges de données resteront confidentiels.
Que les documents transmis par voie électronique ont bien été signés par le propriétaire du serveur et que leur intégrité est assurée.

Cette sécurisation du serveur est critique dans de nombreux cas de figure : pour les visiteurs d’un site web qui fournissent des données personnelles ou qui utilisent des identifiants de connexion ; pour les clients d’une plateforme e-commerce souhaitant payer à l’aide de leurs informations bancaires ; pour deux serveurs qui ont besoin de s’échanger des documents ou des données (par exemple, une facture électronique).

Quels sont les différents certificats ?

On distingue communément trois types de certificats de serveur :

Le certificat SSL. Installé sur un serveur web, le certificat SSL sécurise les échanges d’informations entre un serveur et un navigateur tout en permettant au propriétaire du site web de « prouver » son identité aux visiteurs. Ce certificat SSL active le protocole HTTPS et affiche un cadenas dans la barre d’adresse du navigateur. Il en existe plusieurs types, en fonction du niveau de certification : à validation de domaine (DV), à validation d’organisation (OV), à validation étendue (EV).
Le certificat Cachet Serveur. Il s’agit d’un certificat de serveur d’authentification et de signature pour les personnes morales, conforme aux réglementations eIDAS et au RGS. Il permet de signer d’importants volumes de documents en simultané pour garantir leur intégrité et leur authenticité – par exemple pour des factures électroniques.
Le certificat SSL authentification Serveur – Client. Grâce à ce certificat, deux serveurs sont en mesure de s’authentifier mutuellement, dès lors qu’ils sont tous les deux équipés. Un certificat de serveur est utilisé, par exemple, par les copropriétés qui doivent s’immatriculer auprès du registre en ligne, afin de pouvoir connecter leur logiciel de gestion à la plateforme publique d’enregistrement.

Quelles sont les spécificités du certificat ?

Pour être valide, un certificat de serveur doit répondre à un certain nombre d’exigences qui sont autant de spécificités. D’abord, il doit être émis par une Autorité de Certification, comme CertEurope, suite à une demande de signature de certificat (CSR). Ce Tiers de Confiance s’assure de l’adéquation entre le demandeur et le serveur à sécuriser en s’appuyant sur les informations contenues dans la demande (nom de domaine, adresse mail de contact, infos sur l’entreprise…) et en opérant ses propres vérifications, celles-ci étant fonction du niveau de certification désiré. Ces vérifications permettent à l’AC de garantir l’existence d’un cercle de confiance, matérialisé par l’émission d’un certificat valide.

Ensuite, ce certificat de serveur doit se composer d’un ensemble de données d’identification, comme son nom et sa localisation, son numéro de série unique, l’identité de l’Autorité de Confiance qui l’a émis, l’algorithme utilisé pour créer la signature, etc.

Enfin, il est courant qu’un certificat de serveur contienne une clé asymétrique de chiffrement, utilisée pour sécuriser les échanges entre un serveur et un client, ou entre deux serveurs. Le rattachement d’une clé publique à une clé privée permet de garantir la confidentialité des échanges et l’identité du propriétaire du serveur. On peut aussi y associer une signature électronique garantissant l’intégré des données qui sont hébergées sur le serveur.

À quels besoins répond un certificat d’authentification de serveur ?

Un certificat de serveur permet d’authentifier le propriétaire d’un serveur, de sécuriser les échanges de données – entre ce serveur et un navigateur web, entre ce serveur et un autre serveur, etc. – et de garantir la confidentialité des données échangées entre deux entités. Lorsqu’on utilise un cachet serveur, c’est l’intégrité des données ou des documents qui est assurée, car toute modification ultérieure est repérable.

Il répond donc à un besoin très concret pour les entreprises : créer un socle de confiance pour leurs utilisateurs. Pour toutes les organisations qui pratiquent l’échange des données sur le web ou qui travaillent avec des documents dématérialisés (contrats ou factures électroniques, par exemple), le certificat de serveur offre des garanties fortes quant à l’identité des propriétaires du serveur, et protège contre les risques en assurant la confidentialité des échanges ainsi que l’intégrité des données.

Puisqu’il est associé à son propriétaire, le certificat de serveur est particulièrement adapté aux besoins d’authentification des entreprises. Pour les serveurs web, une fois installé le certificat, la reconnaissance au sein des navigateurs est transparente pour les utilisateurs. Pour le certificat de cachet serveur, la configuration initiale permet ensuite la signature des documents en lots, de façon automatique. Pour faire simple, une fois l’installation et la configuration effectives, une entreprise peut automatiser ses processus et bénéficier d’un niveau de sécurité accru.

Ce qui fait du certificat de serveur une protection incontournable, à l’heure où les échanges et les services en ligne sont de plus en plus nombreux.

Certificats TLS/SSL Client RGS* et eIDAS

Ces certificats sont dédiés aux échanges avec l’administration française, afin d’apporter la preuve de votre identité et de sécuriser les transactions

Certificats TLS/SSL Client RGS* et eIDAS

Ces certificats sont dédiés aux échanges avec l’administration française, afin d’apporter la preuve de votre identité et de sécuriser les transactions

Comment déposer une facture sur Chorus Pro ?

À partir du 1er janvier 2020, toutes les entreprises (y compris les entrepreneurs individuels) doivent utiliser la facturation électronique dans leurs transactions avec les organismes publics. Pour faciliter ce processus, le gouvernement a créé Chorus Pro, un portail dédié à l’envoi des factures dématérialisées et au suivi de leur traitement. Cet outil est conçu pour être utilisé par tous, mais il nécessite une période d’adaptation. Afin de vous aider à vous familiariser avec ce portail, nous vous expliquerons comment déposer une facture sur Chorus Pro étape par étape.

Comprendre le fonctionnement de Chorus Pro

La transition vers la facturation entièrement électronique pour les échanges de biens et de services avec les organismes publics a été mise en place progressivement depuis le 1er janvier 2017. Les grandes entreprises et les entités publiques ont été les premières concernées, suivies par les ETI, puis les PME. Les micro-entreprises et les entrepreneurs individuels ont été les derniers à adopter cette pratique à partir du 1er janvier 2020.

Pour accompagner cette obligation progressive, l’État a développé Chorus Pro, un portail permettant de gérer les factures électroniques en ligne. Successeur de Chorus Factures, Chorus Pro a été créé par l’Agence pour l’informatique financière de l’État (AIFE) dans le but de simplifier le processus. Les entreprises doivent utiliser Chorus Pro pour envoyer et consulter les factures, télécharger des documents ou des justificatifs de paiement, et suivre en temps réel le traitement de leurs factures. Pour les organismes publics, cette solution mutualisée facilite la centralisation des factures émises par les fournisseurs pour une meilleure distribution aux destinataires appropriés.

Chorus Pro est le seul outil reconnu par la réglementation pour transmettre des factures électroniques aux organismes publics. Les titulaires de contrats, les sous-traitants admis au paiement direct, les EPN, les collectivités territoriales et leurs établissements publics peuvent émettre des factures. La plateforme permet aux entités publiques, y compris l’État, les établissements publics nationaux, les collectivités territoriales et leurs groupements, ainsi que les établissements publics locaux (plus de 140 000 entités au total), de recevoir des factures via le portail.

Cela offre de nombreux avantages, tels que des gains de temps, des économies, une réduction des litiges et une diminution de l’empreinte carbone. Il garantit également la sécurité des échanges de documents en permettant l’utilisation d’une signature électronique adossée à un certificat d’authentification serveur RGS* ou à un certificat pour personne physique RGS**, fourni par un tiers de confiance comme CertEurope. Cette étape assure toutes les garanties nécessaires.

Maintenant, passons à la manière de déposer une facture sur Chorus Pro.

Comment déposer une facture sur Chorus Pro, étape par étape

Chorus Pro propose trois modes d’utilisation : le mode Portail (pour déposer ou saisir une facture directement sur la plateforme), le mode EDI (pour envoyer des factures par flux de données depuis un SI) et le mode Service (pour intégrer les fonctionnalités de Chorus Pro à son propre SI). Ce guide vous expliquera comment déposer une facture sur Chorus Pro via le mode Portail.

Création d’un compte sur Chorus Pro

Avant de pouvoir déposer une facture sur Chorus Pro, vous devez commencer par créer un compte utilisateur sur le portail Chorus Pro. Cela nécessite de fournir une adresse e-mail et un numéro SIRET. Une fois le formulaire d’inscription rempli, vous recevrez un e-mail de confirmation à l’adresse indiquée. Cliquez sur le lien d’activation et choisissez un mot de passe sécurisé (et une question secrète de secours). Vous aurez alors accès à votre compte personnel sur la plateforme.

Rattachement du compte à l’entreprise

Ensuite, vous devez associer votre compte personnel à l’entreprise au nom de laquelle les factures seront émises. Vous devrez renseigner la raison sociale et l’identifiant ou le libellé de la structure concernée. Si la fiche de la structure n’existe pas, vous devrez la créer. Chorus Pro vous permet également de vous rattacher à plusieurs structures ou d’associer plusieurs utilisateurs à une même structure.

Navigation sur Chorus Pro

Une fois connecté à votre compte utilisateur, vous trouverez une barre d’onglets en haut de la page d’accueil. Ces onglets vous permettent d’accéder aux différentes fonctionnalités de la plateforme. Pour déposer une facture sur Chorus Pro, nous nous concentrerons sur l’espace « Factures émises » et plus précisément sur l’envoi d’une facture unitaire au format PDF.

Transmettre une facture

Pour transmettre une facture sur Chorus Pro, vous avez deux options :

– Déposer une facture existante convertie au format PDF ou XML : Choisissez le format en fonction du nombre de factures à envoyer simultanément. Utilisez le format PDF pour une seule facture ou le format XML pour un dépôt par lot. La facture sera transmise avec sa mise en forme d’origine.
– Saisir manuellement les données de la facture via un formulaire : Chorus Pro générera automatiquement la facture finale. Cette option nécessite de souscrire un mandat de facturation.

Les deux possibilités sont accessibles depuis l’onglet « Factures émises » : « Dépôt factures » ou « Saisir facture ». Sélectionnez le cadre de facturation, identifiez la structure au nom de laquelle la facture est émise et suivez les instructions.

Quelles données indiquer pour transmettre une facture ?

Chorus Pro permet d’envoyer des factures au format PDF signées électroniquement pour garantir leur validité et leur intégrité pendant le traitement. Cela est obligatoire pour les entreprises qui n’ont pas de mécanisme de contrôle entre les prestations ou les livraisons facturées et les factures émises. Pour signer un PDF, utilisez un outil de signature électronique.

Informations requises pour transmettre une facture

Lors de la transmission d’une facture, veuillez fournir les informations suivantes :

– Le SIRET du destinataire (pour identifier la structure publique concernée par la facturation).
– Le code service (pour identifier le service concerné par la facturation au sein de la structure, obligation pour les structures rattachées à l’État).
– Le numéro d’engagement (obligatoire uniquement pour les structures rattachées à l’État, fourni par le client lors de la commande).

Vérifier la facture pré-remplie

Une fois terminé le traitement d’un document au format PDF, une facture pré-remplie vous est soumise. Elle est basée sur les données reconnues par la plateforme et contient les champs suivants :

Le cadre de la facturation (choix fait par l’utilisateur à l’étape précédente)
L’identification de la facture (numéro et date)
Le destinataire de la facture (SIRET du destinataire)
L’identification du fournisseur (SIRET de l’émetteur de la facture)
Les références (notamment le numéro d’engagement s’il est obligatoire)
Les montants totaux
Les éventuelles pièces jointes

Cette facture pré-remplie doit être vérifiée soigneusement et, au besoin, corrigée et/ou complétée. Elle ne fait pas office de facture originale (seul votre PDF en tient lieu), mais sert à faciliter le traitement de la demande et son envoi au bon destinataire.

Soumettre la facture

Si toutes les informations sont confirmées, il ne reste plus qu’à valider et envoyer la facture. Une fenêtre de confirmation s’affiche à l’écran : il est possible d’annuler pour revenir en arrière ou de cliquer sur « Confirmer et envoyer ». La facture est alors transmise au destinataire, et un récapitulatif des éléments de facturation apparaît. Avant de quitter le portail, vous pouvez visualiser la facture et/ou exporter le certificat de dépôt.

Si vous quittez le formulaire sans avoir envoyé la facture, ou sans l’avoir enregistrée, Chorus Pro en garde une copie. Elle peut être retrouvée dans l’onglet « Synthèse », affublée d’un numéro provisoire.

Suivre le traitement d’une facture

Maintenant que vous savez comment déposer une facture sur Chorus Pro, il vous faut découvrir comment en suivre le traitement. Cela se passe dans l’onglet « Synthèse » (toujours dans « Factures émises »). Il est possible qu’une facture nécessite une action de la part de l’utilisateur :

Si la facture est « à recycler », il faut modifier les coordonnées du destinataire sans recommencer l’opération.
Si la facture est « suspendue », c’est qu’il manque un complément sous forme de pièce(s) jointe(s).
Si la facture est « rejetée », c’est qu’une erreur s’est glissée dans le document initial ou lors de la saisie. Il faut éditer une nouvelle facture et renouveler l’opération.

L’onglet « Tableau de bord » permet d’accéder à l’ensemble des factures émises (celles qui ont été traitées depuis plus de deux ans sont archivées).

Vous savez désormais comment déposer une facture sur Chorus Pro. Notez que les étapes sont les mêmes pour envoyer un lot de factures via un fichier XML, avec un champ supplémentaire à remplir : la « syntaxe de dépôt », qui dépend du format du fichier.

Captures d’écran disponibles sur le guide interne.

Certificat RGS*

Obtenez votre certificat conforme au Référentiel Général de Sécurité et au règlement européen eIDAS

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat RGS*

Obtenez votre certificat conforme au Référentiel Général de Sécurité et au règlement européen eIDAS

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

De la DSP1 à la DSP2 : comment évolue la sécurité de vos transactions ?

Par rapport aux débuts de la directive, cette « version 2 » permet de faire évoluer les habitudes ainsi que la sécurité de tous : consommateurs, banques et prestataires. Voici comment.

Le premier cap franchi avec la DSP1

La DSP1 (Directive sur les Services de Paiement 1) a été conçue par l’Union européenne pour réglementer les services de paiement. Cette réglementation concerne tous les États membres de l’UE ainsi que l’Espace économique européen (EEE). Elle est entrée en vigueur en décembre 2009. Objectif : encourager la concurrence entre banques/prestataires en Europe, afin de proposer de meilleurs services, et ainsi protéger les consommateurs.

Ce qu’a apporté la DSP1

La DSP1 a permis :

D’améliorer la sécurité des paiements et des opérations en ligne, et de limiter les risques de fraudes (notamment l’usurpation d’identité).
D’introduire officiellement le statut de prestataire de services de paiement (PSP), et de l’encadrer. Ainsi des sociétés autres que des banques, banques centrales et agences gouvernementales ont maintenant le droit de s’occuper de transactions financières.
D’établir une transparence des banques et PSP sur leurs services, leurs délais d’exécution et leurs frais (taux de charge, etc.).
D’accélérer la création de la SEPA (« Single Euro Payments Area »), une zone unique de paiement. Grâce à cela, les virements bancaires et prélèvements automatiques en UE et dans l’EEE sont plus faciles et moins chers.

Avec le temps, la DSP1 ne suffit plus

En conséquence, durant les dix années d’application de la DSP1, de nouveaux intermédiaires sont apparus. Par exemple, les « fintechs » (contraction de « financial technology ») offrent des services et des moyens de paiements innovants, tirant parti des applications mobiles ou d’Internet, à des prix toujours plus bas. Les transactions électroniques se multiplient de plus en plus, entraînant une incertitude grandissante sur la sécurité des paiements et autres opérations en ligne (dont l’usurpation d’identité constitue la menace numéro une).

La sécurité au cœur des changements par rapport à la DSP1

La sécurité et la confidentialité des données sont devenues la préoccupation principale de tous, qu’il s’agisse d’échanges entre entreprises, ou entre entreprises et particuliers. Selon les normes établies par la DSP1, un niveau d’authentification dit « faible » demeure acceptable. Sauf qu’avec toujours plus de nouveaux moyens de paiement, de nouveaux intervenants et de nouvelles offres en la matière, les possibilités de fraude et de perte de visibilité grandissent.

Malheureusement, la DSP1 n’impose aucune condition concernant le niveau de vérification d’une identité, lors d’un paiement ou d’un virement. Un simple mot de passe ou une question secrète suffisent pour respecter la réglementation. Or cela n’est plus assez maintenant.

Aujourd’hui, si les utilisateurs, les banques et les prestataires veulent assurer la privacité et la sécurité de leurs transactions, il faut passer par une authentification « forte ». Il faut pouvoir vérifier au moins doublement l’identité digitale d’un interlocuteur afin d’autoriser une opération, et ainsi maintenir une confiance réciproque. C’est là qu’entre en jeu la DSP2.

L’authentification forte, une obligation de la DSP2

Qu’il s’agisse d’un achat, d’une procédure administrative ou d’un échange de données, il faut d’autant plus garantir que l’interlocuteur correspond bien à la personne physique ou morale attendue. C’est pourquoi à partir de septembre 2019, l’authentification forte va devenir une obligation.

Une authentification multi-facteurs

L’authentification forte est également appelée « authentification multi-facteurs », et il n’y a rien de plus sécurisé à l’heure actuelle. Pour prouver son identité en ligne, il faudra maintenant s’identifier via deux facteurs minimum, et non plus un seul comme sous l’application de la DSP1. Il faut au moins deux des trois preuves suivantes :

Une information connue de l’interlocuteur seul (l’habituel mot de passe, la réponse à une question secrète, etc.) ;
La reconnaissance d’un équipement électronique appartenant à l’utilisateur (smartphone, ordinateur, clé USB, carte à puce, carte magnétique, certificat électronique, etc.) ;
La biométrie physique ou comportementale de l’utilisateur, via un trait unique à chaque individu (empreinte digitale, scan rétinien, reconnaissance vocale ou faciale, etc.).

Profitons-en pour ajouter que d’autres facteurs d’authentification apparaissent peu à peu, comme la géolocalisation ou le profilage comportemental. Mais ils ne sont pas encore suffisamment employés.

Les exceptions autorisées par la DSP2

Toutefois, la DSP2 accepte des exceptions à l’authentification forte, suivant #006F98le niveau de risque, le montant ou la récurrence du paiement. Sont concernés : les opérations à risque faible et/ou à montant faible (moins de 30 €), les paiements par carte professionnelle, les abonnements et les paiements récurrents, les transactions MOTO, les listes blanches et les transactions interrégionales.

Une nouvelle dynamique dans les échanges sécurisés

Avec la DSP1, l’authentification forte était facultative. En la rendant obligatoire, la DSP2 a un impact conséquent sur la santé et le fonctionnement du système de paiement en vigueur.

Du côté des consommateurs

Du côté des consommateurs, la directive 2 :

Interdit la surfacturation, autrement dit l’application de suppléments sur les paiements par carte bancaire. Cette interdiction vaut aussi bien pour les achats en ligne que dans un commerce physique.
Aide à restaurer la confiance des consommateurs dans les achats en ligne de biens et de services. Les gens usent de plus en plus du paiement instantané, mobile ou sans contact. La DSP2 permet de lutter plus efficacement contre la fraude, et de confirmer l’identité de l’utilisateur quel que soit le type de transaction (à distance ou de proximité) et le support employé.

Selon Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l’union des marchés des capitaux : « Les consommateurs de l’UE pourraient économiser plus de 550 millions d’euros par an. »

Les conséquences pour les banques et les prestataires

Du côté des banques et des nouveaux acteurs fintech du paiement, la DSP2 :

Encourage toujours plus l’innovation ;
Plus que la DSP1, elle renforce la compétition avec les nouveaux prestataires (notamment les fameuses fintechs) ;
Enfin, elle oblige les banques et prestataires de services de paiement à partager leurs données de transaction. Si des clients souhaitent faire migrer leurs comptes vers de nouveaux opérateurs financiers, leur démarche est facilitée. Plus que la DSP1, la DSP2 favorise donc une concurrence équitable dans un marché en constante évolution.

La prise en compte de nouvelles prestations

Depuis la création de la DSP1, les besoins et les technologies ont beaucoup évolué. Les nouvelles règles de la directive 2, notamment sur la facilité des échanges de données, permettent de réglementer deux nouveaux types de services de paiement :

Les services d’initiation de paiement (statut PISP) : le prestataire permet aux nouveaux acteurs d’initier des paiements au nom du payeur. En clair, cela veut dire qu’au lieu de donner l’ordre de paiement à sa banque, l’utilisateur peut passer par le PISP, qui va à son tour faire la demande à la banque.
Les services d’information sur les comptes (statut AISP) : ici, le prestataire permet aux nouveaux acteurs de consulter leurs comptes de manière centralisée. Via une interface unique (application, portail web, etc.), l’utilisateur peut consulter les soldes et les transactions d’un ou de plusieurs comptes issus de banques différentes.

La mise en place de nouvelles infrastructures

C’est un gros changement par rapport au temps de la DSP1. Pour que tout ceci fonctionne, les banques et les PSP sont forcées de mettre en place de nouvelles infrastructures. Pour s’y conformer, banques et fintechs doivent :

Échanger via des API

Les API (« Applications Programming Interface ») offrent un canal de communication sécurisé. Il faut donc qu’elles adaptent leurs structures informatiques en conséquence. C’est via ces API que les prestataires de services de paiement peuvent accéder aux données bancaires des consommateurs, et/ou autoriser des règlements.

Obtenir les certificats électroniques appropriés

Ces certificats permettent d’échanger des données sécurisées entre leurs serveurs et ceux des PSP (ou des agrégateurs d’informations). Deux types de certificats sont requis par la DSP2 :

Le certificat eIDAS QWAC (qui veut dire « Qualified Website Authentication Certificate »). Il permet aux serveurs d’un PSP et d’une banque de s’authentifier l’un l’autre.
Le certificat eIDAS Qseal (pour « Qualified electronic Seal Certificate »). Il permet aux serveurs de sécuriser une transaction.

Ces certificats permettent en outre la traçabilité des échanges.

Le label eIDAS est la meilleure garantie de qualité et de sécurité pour l’identification électronique, les services de confiance et l’échange de documents numériques. Seuls des prestataires approuvés par l’Europe, ou QTSP (« Qualified Trust Service Providers ») peuvent founir ces certificats QWAC et QSEAL. CertEurope fait partie des meilleurs prestataires de confiance reconnus. Elle fait d’ailleurs partie de la liste de confiance des QTSP de l’Open Banking Europe.

La DSP2 pousse donc davantage le principe établi par sa grande sœur la DSP1. Les échanges d’informations entre consommateurs, banques et PSP sont encore simplifiés, et leur sécurité est accrue.

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Du certibiocide à la déclaration Synapse : quelles sont les étapes à suivre ?

Certibiocide et déclaration synapse

Qu’est-ce que le certibiocide ?

Certibiocide et déclaration synapse

Comment obtenir le certibiocide ?

Comment obtenir le certibiocide ?

Qu’est-ce que la déclaration Synapse

Déclaration synapse : notre guide en 4 étapes

Déclaration synapse : notre guide en 4 étapes

Le certificat RGS, une condition sine qua non

Comment faire sa déclaration Synapse depuis la plateforme ?

Certificat RGS**/eIDAS

Certificat RGS**/eIDAS

EBICS : la solution pour gérer vos échanges bancaires en toute sécurité

Qu’est-ce que EBICS ?

Qu'est-ce que EBICS ?

Comment fonctionne le protocole EBICS ?

Comment fonctionne le protocole EBICS ?

Quel est le niveau de sécurité des échanges ?

Quel est le niveau de sécurité des échanges ?

Quelles sont les conditions préalables ?

Quelles sont les conditions préalables ?

Quels sont les avantages ?

Quels sont les avantages ?

Certificat RGS**/eIDAS

Certificat RGS**/eIDAS

Certificat TLS : Comment instaurer un climat de confiance sur Internet ?

Le protocole TLS et les certificats numériques

Le protocole TLS et les certificats numériques

Les risques encourus par un site Internet non sécurisé

Les risques encourus par un site Internet non sécurisé

Comment conserver la confiance des utilisateurs ?

Les études sur la cybercriminalité

Reconnaître et consulter les informations d’un site Web sécurisé par un certificat SSL

Comment visualiser les informations

Notions d’Autorité de Certification

Les rôles d’une Autorité de Certification

Comment reconnaître une Autorité de Certification (AC) de confiance ?

Comment le certificat SSL sécurise les connexions et les transactions “Client/Serveur Web”

Notions cryptographiques

Émission d’un certificat SSL

Comment mettre en place un serveur web sécurisé

Le protocole HTTPS

De quoi se compose un certificat SSL

En résumé, lors d’une connexion SSL avec un certificat :

Authentification

Chiffrement

Les champs d’application des certificats SSL

Le protocole SSL peut être utilisé de diverses façons et à des fins différentes :

Comment obtenir un certificat SSL pour sécuriser son site Internet ou son serveur Web ?

La génération de cette CSR dépend du serveur web que vous utilisez.

La génération de la CSR constitue donc l’étape préalable à toute demande en ligne d’un certificat SSL.

Certificat SSL

Certificat SSL

Pourquoi la direction générale de la comptabilité publique a mis en place Hélios ?

Qu’est-ce que la transmission Hélios ?

Qu'est-ce que la transmission Hélios ?

Un outil moderne au service des gestionnaires publics

L’exploitation du traitement Helios

Identifier les numéros de marché en cohérence avec Hélios

Le Protocole d’Echange Standard Version 2 (PES V2)

Le Protocole d'Echange Standard Version 2 (PES V2)

Les formats des pièces et signatures

Que requiert Hélios ?

Hélios et la notification de l’horodatage

Que proposent les services de certification et d’horodatage

Certificat RGS**/eIDAS

Certificat RGS**/eIDAS

Authentification forte : un gage de confiance pour vos transactions électroniques

Qu’est-ce que l’authentification forte ?

Qu'est-ce que l'authentification forte ?

Vérification : forte VS faible

Vérification : forte VS faible

L’authentification forte comme fondement de la notion d’identité numérique

L'authentification forte comme fondement de la notion d'identité numérique

Certificat RGS**/eIDAS

Certificat RGS**/eIDAS

Qu'est-ce qu'un mot de passe à usage unique (OTP : One Time Password), quand l'utiliser et comment le générer ?

Qu'est-ce qu'un mot de passe à usage unique (OTP) ?​

Qu'est-ce qu'un mot de passe à usage unique (OTP) ?

Qu'est-ce qu'un mot de passe à usage unique (OTP) ?