Bien implantées en Europe, les solutions de signature électronique qualifiée peinent à trouver leur place sur le marché français. En cause : les défis technologiques à relever pour répondre aux exigences de l’ANSSI, en particulier en ce qui concerne la vérification de l’identité du demandeur (de visu) et l’obligation d’utiliser un module cryptographique matériel notifié QSCD. C’est pourquoi le recours à des solutions offrant une moindre sécurité (signature « simple » ou « avancée »), mais reposant sur des certificats plus faciles à obtenir, est plus répandu dans l’Hexagone. Pour bien comprendre les enjeux relatifs à la signature qualifiée dans le Cloud, nous vous proposons de découvrir les défis qui se posent et de faire un état des lieux du marché.

Qu’est-ce qu’une signature électronique qualifiée ?

La signature électronique qualifiée (ou QES pour Qualified Electronic Signature) est la méthode la plus complète permettant de prouver l’identité numérique d’une personne (physique ou morale) dans le cadre d’une signature en ligne. Mais c’est aussi, et surtout, celle qui offre le plus haut degré de sécurité : elle confère une validité juridique plus élevée encore que la signature manuscrite, parce qu’elle est considérée comme inviolable et inaltérable. Ce faisant, elle garantit la meilleure protection juridique en cas de contentieux.

On distingue communément trois niveaux de signature qui correspondent à autant de degrés de sécurité :

  1. Signature électronique simple
  2. Signature électronique avancée
  3. Signature électronique qualifiée

La différence réside dans la rigueur avec laquelle on contrôle l’identité des demandeurs en amont de la délivrance des certificats électroniques. Ainsi, une signature qualifiée nécessite l’obtention préalable d’un certificat qualifié auprès d’un tiers de confiance, à l’image des autorités de certification (dont fait partie CertEurope).

Dans le cas d’une signature électronique qualifiée, les certificats sont reliés de manière univoque aux signataires, dont l’identité est contrôlée en face-à-face. Un certificat qualifié confère au seul signataire le contrôle exclusif des moyens employés pour signer électroniquement, et garantit l’intégrité du document signé.

En raison de cette sécurité accrue, la signature électronique qualifiée est la mieux adaptée à des opérations sensibles, qui présentent des risques importants, ou qui ont lieu dans des cadres légaux rigides. Quelques exemples d’applications : actes authentiques (rédigés par des notaires ou des huissiers de justice), actes dont les effets se produisent hors du territoire français, etc. Elle est, en outre, imposée dans le cadre des marchés publics lorsque la signature se fait sous forme dématérialisée, comme précisé sur cette page : seule une signature avancée (validée par un certificat qualifié) ou une signature qualifiée peut être employée dans ce contexte.

Quels sont les défis technologiques posés par la signature qualifiée ?

L’utilisation de la signature qualifiée dans le Cloud est soumise à des contraintes matérielles, qui sont autant de défis technologiques à relever. Le règlement eIDAS, dans son article 3, précise que cette signature doit être « créée à l’aide d’un dispositif de création de signature électronique qualifié (…) qui repose sur un certificat qualifié de signature électronique ». Toute la difficulté a trait au « dispositif » en question.

Ce dispositif, notifié QSCD (Qualified Electronic Signature Creation Device) auprès de la Commission européenne, est un module cryptographique matériel (HSM) qui permet à l’utilisateur de créer un cachet électronique qualifié. Il prend la forme d’une clé USB multifonction ou d’une carte à puce, remise en main propre par l’autorité de certification après vérification de l’identité du demandeur. Celui-ci devient alors responsable de son dispositif et doit utiliser un identifiant et un mot de passe pour accéder à l’outil de création de signature électronique. Le processus d’authentification peut se faire directement au niveau du module ou dans l’environnement de ce dernier. En outre, suivant les circonstances, il peut être nécessaire d’employer un service d’horodatage qualifié.

En France, où le marché de la signature qualifiée à distance est encore peu développé, les mécanismes conduisant à obtenir un HSM sont à bâtir de toutes pièces.

Quel est l’état du marché de la signature électronique en Europe et en France ?

Ces difficultés expliquent que la signature électronique qualifiée soit réservée, en France, à des usages strictement professionnels, alors que son utilisation est acquise dans une majorité de pays européens, y compris auprès du grand public. On constate ainsi que la part de marché dédiée à la signature qualifiée en France est marginale au regard des signatures de type « simple » et avancé », comme le montre le diagramme ci-dessous.

La complexité de la mise en œuvre de la signature qualifiée est la première raison de son faible taux de pénétration :

  • Face-à-face obligatoire pour la remise du HSM (il n’existe pas encore de PVID qualifié en France pour autoriser la vérification de l’identité à distance dans le cadre des certificats qualifiés).
  • Nécessité de recourir à un dispositif physique (solution coûteuse pour le grand public) et à un poste de travail qui ne fonctionne pas (ou très mal) avec les terminaux mobiles. Ainsi, seule la carte à puce est utilisée actuellement pour l’authentification.

Il faut y voir également un effet de la réglementation : dans l’Hexagone, il aura fallu attendre 2016 et l’application du règlement eIDAS pour que la QES prenne de l’ampleur, tandis que dans plusieurs États de l’UE ce processus était déjà autorisé par l’ancien cadre réglementaire.

Par conséquent, l’essor de la signature électronique qualifiée en France reste tributaire de la disponibilité de produits sécurisés, qualifiés par l’ANSSI (l’autorité nationale en matière de sécurité et de défense des systèmes d’information), afin d’offrir le niveau de sécurité attendu, mais aussi de la qualification de prestataires de services capables d’opérer ces produits en toute sécurité (c’est l’objet du référentiel PVID).

À ce titre, CertEurope s’engage fortement en faveur de la démocratisation des solutions de signature qualifiée à distance. Nous nous impliquons dans la création de dispositifs d’authentification pour le contrôle exclusif du signataire, aux côtés de constructeurs compétents. Contactez-nous pour plus d’informations !

L'équipe certeurope

L'équipe certeurope

Commander un certificat

User
Certificat électronique de personne physique
Corporate
Certificat électronique pour serveur
(authentification, chiffrement, cachet)