Signature qualifiée dans le Cloud : défis technologiques et état du marché

SOMMAIRE
  • SOMMAIRE

Signature qualifiée dans le Cloud : défis technologiques et état du marché (en Europe et en France)

Bien implantées en Europe, les solutions de signature électronique qualifiée peinent à trouver leur place sur le marché français. En cause : les défis technologiques à relever pour répondre aux exigences de l’ANSSI. En particulier, ce qui concerne la vérification de l’identité du demandeur (de visu). Mais l’obligation d’utiliser un module cryptographique matériel notifié QSCD n’est pas en reste.

C’est pourquoi il est courant dans l’Hexagone d’avoir recours à des solutions offrant une moindre sécurité. Par exemple, une signature « simple » ou « avancée », mais reposant sur des certificats plus faciles à obtenir en France. Nous vous proposons on état des lieux concernant les enjeux relatifs à la signature qualifiée dans le Cloud. Découvrons ensemble les défis qui se posent.

Qu’est-ce qu’une signature électronique qualifiée ?

Les principes d’usage de l’horodatage électronique

Quelle est la meilleure méthode pour prouver l’identité d’une personne (physique ou morale) pour la signature en ligne ? En tout cas, la plus complète semble être la signature électronique qualifiée (ou QES pour Qualified Electronic Signature). Mais c’est aussi, et surtout, celle qui offre le plus haut degré de sécurité. Elle confère une validité juridique plus élevée encore que la signature manuscrite, parce qu’elle est inviolable et inaltérable. Devant un juge, elle est donc irréfutable. De ce fait, elle garantit la meilleure protection juridique en cas de contentieux.

On distingue communément trois niveaux de signature qui correspondent à autant de degrés de sécurité :

    • Signature électronique simple

    • Signature électronique avancée

    • Signature électronique qualifiée

 

Comment les différencier ?

Tout d’abord par la rigueur avec laquelle on contrôle l’identité des demandeurs. La délivrance des certificats électroniques prendra plus ou moins d’étapes selon votre niveau de sécurité. Une signature qualifiée nécessite l’obtention préalable d’un certificat qualifié auprès d’un tiers de confiance. Ainsi, vous devrez entrer en relation avec une autorité de certification (par exemple CertEurope).

Dans le cas d’une signature électronique qualifiée, les certificats se relient de manière univoque aux signataires. Pour cela, un contrôle de leur identité a lieu en face-à-face. Un certificat qualifié donne au signataire le contrôle exclusif des moyens employés pour signer électroniquement. Cela garantit l’intégrité du document signé.

En raison de cette sécurité accrue, la signature électronique qualifiée est la mieux adaptée à des opérations sensibles. Ils présentent des risques importants, ou ont lieu dans des cadres légaux rigides. Quelques exemples d’applications :

  • actes authentiques (rédigés par des notaires ou des huissiers de justice)
  • actes dont les effets se produisent hors du territoire français, etc.

En outre, imposée dans le cadre des marchés publics, lorsque la signature se fait sous forme dématérialisée, seule une signature avancée (validée par un certificat qualifié) ou une signature qualifiée peut être employée dans ce contexte (comme précisé sur cette page).

Quels sont les défis technologiques posés par la signature qualifiée ?

Assure l’intégrité d’un document électronique

L’utilisation de la signature qualifiée dans le Cloud est soumise à des contraintes matérielles, qui sont autant de défis technologiques à relever. Le règlement eIDAS, dans son article 3, précise que cette signature doit être « créée à l’aide d’un dispositif de création de signature électronique qualifié (…) qui repose sur un certificat qualifié de signature électronique ». Toute la difficulté a trait au « dispositif » en question.

Ce dispositif, notifié QSCD (Qualified Electronic Signature Creation Device) auprès de la Commission européenne, est un module cryptographique matériel (HSM) qui permet à l’utilisateur de créer un cachet électronique qualifié. Il prend la forme d’une clé USB multifonction ou d’une carte à puce, remise en main propre par l’autorité de certification après vérification de l’identité du demandeur. Celui-ci devient alors responsable de son dispositif et doit utiliser un identifiant et un mot de passe pour accéder à l’outil de création de signature électronique. Le processus d’authentification peut se faire directement au niveau du module ou dans l’environnement de ce dernier. En outre, suivant les circonstances, il peut être nécessaire d’employer un service d’horodatage qualifié.

En France, où le marché de la signature qualifiée à distance est encore peu développé, les mécanismes conduisant à obtenir un HSM sont à bâtir de toutes pièces.

Quel est l’état du marché de la signature électronique en Europe et en France ?

Utilisation du système d’horodatage des documents électroniques

Ces difficultés expliquent que la signature électronique qualifiée soit réservée, en France, à des usages strictement professionnels, alors que son utilisation est acquise dans une majorité de pays européens, y compris auprès du grand public. On constate ainsi que la part de marché dédiée à la signature qualifiée en France est marginale au regard des signatures de type « simple » et avancé », comme le montre le diagramme ci-dessous.

La complexité de la mise en œuvre de la signature qualifiée est la première raison de son faible taux de pénétration :

  • Face-à-face obligatoire pour la remise du HSM (il n’existe pas encore de PVID qualifié en France pour autoriser la vérification de l’identité à distance dans le cadre des certificats qualifiés).
  • Nécessité de recourir à un dispositif physique (solution coûteuse pour le grand public) et à un poste de travail qui ne fonctionne pas (ou très mal) avec les terminaux mobiles. Ainsi, seule la carte à puce est utilisée actuellement pour l’authentification.

Il faut y voir également un effet de la réglementation : dans l’Hexagone, il aura fallu attendre 2016 et l’application du règlement eIDAS pour que la QES prenne de l’ampleur, tandis que dans plusieurs États de l’UE ce processus était déjà autorisé par l’ancien cadre réglementaire.

Par conséquent, l’essor de la signature électronique qualifiée en France reste tributaire de la disponibilité de produits sécurisés, qualifiés par l’ANSSI (l’autorité nationale en matière de sécurité et de défense des systèmes d’information), afin d’offrir le niveau de sécurité attendu, mais aussi de la qualification de prestataires de services capables d’opérer ces produits en toute sécurité (c’est l’objet du référentiel PVID).

À ce titre, CertEurope s’engage fortement en faveur de la démocratisation des solutions de signature qualifiée à distance. Nous nous impliquons dans la création de dispositifs d’authentification pour le contrôle exclusif du signataire, aux côtés de constructeurs compétents. Contactez-nous pour plus d’informations !

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Icona Top