Le renouveau de la signature lectronique_cabinet Alain Bensoussan_29 01 2014

  • Published on
    14-Sep-2014

  • View
    306

  • Download
    4

DESCRIPTION

 

Transcript

Diapositive 1

Signature lectronique 3.0 Le futur est dj prsent

Petit-djeuner dbat du 29 janvier 2014

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 1

Introduction

Contexte Le dploiement

Enjeux Les nouvelles formes de signature

Dfi La conformit

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 2

PLAN

1. Etat des lieux, par Dimitri

Mouton, Socit Demaeter

2. Choisir la bonne signature si cest possible

3. Dployer sans risque sous rserve de lapprciation souveraine des tribunaux

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 3

1. Etat des lieux, Dimitri Mouton, Demaeter

1. Un beau fouillis

2. Les fondamentaux

3. Les tendances

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 4

1.1 LE FOUILLIS

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 5

PKI

Signature lectronique

Authentification

Clef prive

Clef publique

Engagement

IGC

RSA

2048 bits

RGS

Certificat

AC

Classe 3+

2 toiles

Prsomption de fiabilit

Tablette

Signature scurise Signature avance

Certificat qualifi

Convention de preuve

Code PIN

Authentification forte

SMS

Usurpation didentit

CRL

Horodatage

OCSP

X.509 V3

Autorit dEnregistrement

PSCE

PSCO

RFC 3161

COFRAC

ANSSI

Politique de Signature Electronique

PAdES

PDF /A

XAdES

PKCS#7

PKCS#12

Loi du 13 mars 2000

Dcret du 30 mars 2001

Rglement europen

CMS

Signature dtache

Applet java

Propre au signataire

Contrle exclusif

SSCD

Rvocation

SHA256

Dlgation

Parapheur

A la vole

OTP

Intgrit

Non-rpudiation

Garantie de provenance

Traabilit

Prestataire qualifi

Force probante

Alice et Bob

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 6

Mais les usages sont l

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 7

Marchs publics

Contrats B to B

Immatriculations

Dclarations sociales

Commerce en ligne

Contrats grand public en agence

Actes notaris

PV lectroniques

Attestations de conformit

Diplmes Actes - Contrle de lgalit

Dlibrations

Hlios - Comptabilit publique

Dclarations de travaux

Rseaux et canalisations

Banque en ligne

Dmarches administratives

Rseau Priv Virtuel des Avocats

Rseau Priv Virtuel de la Justice

Tribunal de Commerce lectronique

Actes authentiques

Expertise comptable Chronotachygraphe

Contrats de travail

Emargements

Feuille de soins lectronique

Factures

Dlgation de pouvoirs bancaires

Lettre recommande lectronique

Vote lectronique

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 8

Les typologies

Signature scanne

Signature manuscrite sur tablette

Signature lectronique la vole

Signature lectronique

Avec ou sans

accrditation

Avec ou sans legal opinion

Avec ou sans toiles

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 9

Les composantes dun service dmatrialis

Dont la signature lectronique

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 10

1.2 LES FONDAMENTAUX

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 11

La signature lectronique :

Dfinition pratique

La signature lectronique est une signature

Qui porte sur un document de nature lectronique.

Lencre marque le papier La cryptographie garantit un lien entre le signataire et le document

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 12

A quoi sert un certificat

Le certificat est une carte

didentit dlivre par une

Autorit de Certification

ou Prestataire de Services

de Certification

lectronique

Il peut servir :

sauthentifier (contrle daccs)

signer (signature lectronique, cachet, horodatage)

chiffrer (confidentialit)

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 13

La PKI

PKI (Public Key Infrastructure), aussi appele Infrastructure clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) :

Lensemble des moyens techniques et humains mis en uvre pour la dlivrance de certificats

Autorit de Certification (AC) : responsable de la PKI dicte les rgles (Politique de Certification) Est garante de leur respect

Autorit dEnregistrement (AE) : procde lenregistrement des porteurs

Oprateur de Certification (OC) : exploite les machines

Autorit de Rvocation, Autorit de Validation : rles complmentaires.

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 14

Le cycle de vie du certificat

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 15

Calcul technique :

Empreinte du document

Scellement par la clef prive

Ajout dlments complmentaires :

Le certificat du signataire et la chane de certification correspondante

Un jeton dhorodatage

Une preuve de validit du certificat (LCR ou OCSP)

Cinmatique de la signature

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 16

Cinmatique de la vrification

Calcul technique :

Empreinte du document

Epreinte initialement scelle

Comparaison des deux valeurs

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 17

Validit du certificat

Le document a bien t sign par le porteur du certificat

Mais qui est-ce ?

Vrifier la validit technique du certificat.

Sil est invalide ALERTE !

Examiner lmetteur du certificat :

Si je nai pas confiance en cette AC

ALERTE !

Si jai confiance en cette AC :

Comparer la date de la signature aux dates de validit du certificat

Vrifier la Liste des Certificats Rvoqus

Si tout est bon : le nom contenu dans le certificat est celui du signataire.

Mais ce signataire avait-il le droit de signer ?

Le document sign est-il correct sur la forme ? Sur le fond ?

La vrification se poursuit sur le plan juridique ! 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 18

Exemple : affichage de signature par Adobe Reader

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 19

Les formats de signatures

AdES = Advanced Electronic Signature

3 formats : PAdES = format PDF

CAdES = format CMS / PKCS#7

XAdES = format XML

Le choix est faire en fonction des contraintes du projet

Tous permettent dinclure les mmes lments :

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 20

Les niveaux de certificats

Le niveau de scurit offert par un certificat dpend :

Des procdures denregistrement

Du support du certificat (matriel / logiciel)

Des engagements de lAutorit de Certification

Les niveaux du RGS rpondent des ralits juridiques :

* Enregistrement distance

Support logiciel

Signature lectronique

simple

** Enregistrement en face face

Support matriel

Signature lectronique

scurise

*** Enregistrement en face face

Support matriel scuris

Certificat qualifi

Signature lectronique

prsume fiable

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 21

Les principes de la confiance

La confiance est un sentiment de scurit

Elle doit saccompagner de la prudence !

Chane de confiance faible : Chane de confiance forte :

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 22

1.3 LES TENDANCES

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 23

La signature lectronique autonome

Le signataire a achet son certificat auprs dune AC du march

Il dispose sur son poste dun outil de signature lectronique

Il ralise ses signatures sur son poste, de manire autonome

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 24

La signature lectronique par applet

Le signataire a achet un certificat auprs dune AC du march

Loutil de signature est inclus dans le service appel

Le signataire ralise ses signatures sur son poste, dans le cadre du service

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 25

La signature lectronique la vole

Le signataire na pas de certificat, ni doutil de signature

lectronique

Le serveur lui prsente le contrat et

il donne son accord

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 26

Le serveur vrifie lidentit du signataire en lui envoyant un

dfi par SMS

La signature lectronique la vole

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 27

La signature lectronique la vole

Le serveur gnre une bi-clef de signature

Il gnre un certificat au nom du signataire

Il utilise la clef prive pour signer le document

Puis il dtruit la clef prive

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 28

La signature lectronique la vole

Le document est sign sur le serveur !

A la prochaine signature, un

nouveau certificat

sera gnr

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 29

La carte puce virtuelle

Le signataire na pas doutil de signature lectronique

Son certificat est conserv sur le serveur dans un espace scuris (HSM)

Le serveur lui prsente le contrat et il donne son accord

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 30

Le serveur vrifie lidentit du signataire en lui

envoyant un dfi par

SMS

La carte puce virtuelle

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 31

La carte puce virtuelle

Le document est sign sur le serveur !

A la prochaine signature, le mme

certificat sera utilis

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 32

La signature sur tablette

En agence, le client visualise le contrat

Il appose sa signature manuscrite sur la tablette

Une signature lectronique la vole est ralise en plus de la signature manuscrite

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 33

Le cachet lectronique

Les documents sont produits dans un processus automatis et envoys au serveur

Le serveur dispose dun certificat, au nom de la personne morale

Le cachet lectronique est une signature lectronique de personne morale

Il peut tre appos automatiquement

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 34

La tendance des tendances la rematrialisation

Prnom Nom

Adresse

Facture de prestations

De lentreprise Tartempion

Valant justificatif de domicile

Prestations123

Prnom Nom Adresse Tartempion 123

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 35

Prnom Nom

Adresse

Facture de prestations

De lentreprise Tartempion

Valant justificatif de domicile

Prestations123

Exploitation du code 2D-DOC

Prnom Nom Adresse Tartempion 123

Vrification technique Vrification

visuelle

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 36

2. Quelle signature lectronique choisir ?

1. Le droit de la dmat

2. Labsence de choix

3. Le choix

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 37

2.1 LE DROIT DE LA DEMATERIALISATION

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 38

Les prrequis : Le droit de la dmat

Le papier sauf Le droit llectronique

Le papier sauf Lobligation de dmatrialiser

Le droit la

dmatrialisation

Loi du 13 mars

2000

Avant 2000 Loi du 21 juin 2004

(LCEN) Loi du 4 aot

2008 de

modernisation

de lconomie

Convention de

preuve

ad

probationem

LEtat soblige a recevoir les factures

dmatrialises

ad

validitatem

Ordonnance du 8

dcembre 2005

(e-administration)

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 39

Oui mais 3 hypothses

Le prmch

Ex : Bull. Paie ou DPI

Limpos Ex : LRe

Le libre pour linstant

40 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014

Et mme si cest possible Il ny a pas que 1316-4 dans la vie

Attendu que l'employeur fait grief l'arrt de dire le licenciement sans cause relle et srieuse,

alors, selon le moyen, que si une partie conteste l'authenticit d'un courrier lectronique, il appartient

au juge de vrifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil la validit de

l'crit ou de la signature lectroniques sont satisfaites ;

qu'en affirmant que le grant de la socit AGL finances est bien l'auteur et l'expditeur d'un

courrier lectronique dont l'authenticit tait conteste, aux motifs que l'employeur ne rapport (ait)

pas la preuve que l'adresse de l'expditeur mentionne sur le courriel soit errone ou que la bote

d'expdition de la messagerie de l'entreprise ait t dtourne et qu' en tout tat de cause, un tel

dtournement ne pourrait tre imput Mme X... , sans vrifier, comme elle y tait tenue, si ledit

courriel avait t tabli et conserv dans des conditions de nature en garantir l'intgrit et s'il

comportait une signature lectronique rsultant de l'usage d'un procd fiable d'identification, la cour

d'appel a priv sa dcision de base lgale au regard des articles 287 du code de procdure civile,

1316-1 et 1316-4 du code civil ;

Mais attendu que les dispositions invoques par le moyen ne sont pas applicables au courrier

lectronique produit pour faire la preuve d'un fait, dont l'existence peut tre tablie par tous moyens de

preuve, lesquels sont apprcis souverainement par les juges du fond ; que le moyen n'est pas

fond

Cass Soc 25 sept 2013

41 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014

Mais rappelons demble que

Preuve dun droit ou preuve dun fait ?

Preuve libre ou preuve contrainte

La preuve contrainte = civile

La preuve libre +- tout le reste

Pnal, administratif, prud'homal

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 42

La question est donc

1. En ai-je besoin ? (gestion investissement)

2. Qui peut le plus peut le moins (gestion de risque)

43 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014

2.2 LABSENCE DE CHOIX

44 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014

Un exemple de non discussion

Pour que les procds de signature lectronique mis la

disposition des magistrats, des agents du greffe et des

personnes habilites en vertu de l'article R. 123-14 du code de

l'organisation judiciaire soient prsums fiables au sens

de l'article 2 du dcret du 30 mars 2001 susvis, ils doivent

respecter les exigences du rfrentiel gnral de scurit du

niveau trois toiles (***). En outre, la signature doit tre

scurise et tre cre par un dispositif scuris certifi dans

les conditions prvues l'article 3 du dcret prcit.

La procdure d'inscription et d'enregistrement des donnes

d'identification et d'habilitation de ces personnes est l'initiative

et sous la responsabilit du ministre de la justice.

Arrt du 18 octobre 2013 relatif la signature lectronique des dcisions de justice rendues en

matire civile par la Cour de cassation

45 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014

Un autre exemple moins violent

Les actes des autorits administratives peuvent faire l'objet d'une signature lectronique. Celle-ci n'est valablement appose que par l'usage d'un procd, conforme aux rgles du rfrentiel gnral de scurit mentionn au I de l'article 9, qui permette l'identification du signataire, garantisse le lien de la signature avec l'acte auquel elle s'attache et assure l'intgrit de cet acte.

Ord. 2005-1516 du 8-12-2005 relative aux changes lectroniques entre les usagers et

les autorits administratives (Art 8)

Les certificats lectroniques dlivrs aux autorits administratives et leurs agents en

vue d'assurer leur identification dans le cadre d'un systme d'information font l'objet d'une

validation par l'Etat dans des conditions prcises par dcret.

46 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014

2.3 LHEURE DU CHOIX !

47 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise

Une ralit complexe

4 concepts juridiques (Dcret du 30 mars 2001) Simple Scurise + Numrique Prsume fiable

des approches gographiques : Avance (Dir 1999/93/CE du 13 dcembre 1999) Scurise (Dcret du

30 mars 2001)

Digital signature / Electronic signature

3 ralits techniques au moins : RGS : une toile (*) RGS : deux toiles (**) RGS : trois toiles (***)

3 DEGRS DE FIABILIT

=

3 SIGNATURES

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 48

Lorsque le choix est possible

Clic

Signature lectronique

Signature lectronique scurise

Signature numrique

Signature lectronique prsume fiable

49 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014

La mthode de base

Cration de la preuve

Un signataire / des signataires Un document / une succession de documents Mono canal / Multicanal Eloignement gographique

Administration de la preuve

Produire durgence (rfr) Produire dans des conditions particulires (pnal ; entits de contrle)

Gestion de la contestation

La SE prsume fiable Risque fort de remise en cause de la preuve Montant important et risque de sclrose du dossier Le montant nest pas llment dterminant (risque fort de remise en cause de contrat en masse de faible montant)

Attention aux faux espoirs - Expertise technique en perspective

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 50

Le choix dune solution cest aussi le choix dun prestataire

Pr-requis juridiques

Engagements contractuels

Dispositions

lgales cf LCEN

secteur

public/priv

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 51

Le choix dune solution cest aussi le choix.. dun prestataire

Dcision

Pr-requis

juridiques

& techniques

Engagements contractuels

Maintien de normes et

certifications

Couverture assurantielle

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 52

3. Scurisation juridique

1. La pierre angulaire

2. Scurisation amont

3. Scurisation en aval

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 53

3.1 LA PIERRE ANGULAIRE :

LA CONVENTION DE PREUVE

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 54

Approche lgale

Lorsque la loi n'a pas fix d'autres principes, et

dfaut de convention valable entre les parties,

le juge rgle les conflits de preuve littrale en

dterminant par tous moyens le titre le plus

vraisemblable, quel qu'en soit le support.

C. civ. art 1316-2

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 55

Gradation des pouvoirs

Loi

Convention

Juge

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 56

Notion de validit

Fond

Opposabilit

Accs

B to C

B to B

A to C

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 57

Une vraie organisation

Convention de preuve

Politique de traabilit

Politique dhorodatage

Politique de scurit

Politique de certification

Politique darchivage

Politique

XXX

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 58

Une autre question ...

Clause ?

Contrat ?

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 59

Organisation dune convention de preuve

Prambule

Article 1 Dfinitions

Article 2 Porte - Opposabilit

Article 3 Dure Prescription

Article 4 Objet

Article 5 Champ dapplication

Article 6 - Identification

Article 7 - Authentification

Article 8 - Intgrit

Article 9 Prennit

Article 10 Conservation

Article 11 - Horodatage

Article 12 Traabilit

Article 13 Signature

Article 14 Responsabilit

Article 15

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 60

La convention de preuve ne suffit pas, il faut

organiser la preuve et laccs la preuve

Dossier de preuve

Chemin de preuve

Convention de preuve

Vision mise

en situation

Justification

technique

Socle

juridique Fondement

Organisation

de la preuve

Accs la

preuve

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 61

3.2 LE BUILD JURIDIQUE

(SCURISATION AMONT)

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 62

Etude de faisabilit

(possible ou non)

Etude dimpact juridique

(Go no GO)

Socle juridique

(Secteur public Administration lectronique)

Audit juridique de conformit

(legal opinion)

Politique de gestion des documents

lectroniques

Conditions daccs plate-

forme

(on line)

Information du personnel

Cnil

Assurances

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 63

Un risque de bug juridique

Ne pas confondre

Convention de preuve

Convention de dmatrialisation

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 64

3.3 LE RUN JURIDIQUE

(SCURISATION EN AVAL)

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 65

Dlgation de signature

lectronique

Conditions dutilisation du

parapheur lectronique

Charte du SI (adaptation)

Audit interne (piste daudit fiable)

Gouvernance prestataire

Audit prestataires

Veille juridique

Cellule droit daccs

Gestion de crise

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 66

4. MAIS EST-CE SUFFISANT ?

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 67

Les fonctions de scurit de la

dmatrialisation

Signature lectronique

Gestion didentits

Certificats

Confidentialit

Archivage

Traabilit

Horodatage

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 68

La scurit : le rle de chacun

Les concepteurs dapplications doivent prendre en compte la scurit

Mais une vision globale simpose !

Une implication et une attitude responsable de chacun des intervenants est indispensable lefficacit des mesures de scurit techniques et juridiques.

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 69

Pour en savoir plus

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 70

Prochain petit-djeuner dbat

Elus locaux:

Comment protger votre e-rputation

et le nom de votre collectivit

12 fvrier 2014

anim par:

Virginie Bensoussan-Brul & Claudine Salomon

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 71

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 72

Informations

Crdits Photos et illustrations NetworkingScott Maxwell-Fotolia.com informatique data room runion

binary streamMike Kiev-Fotolia.com

Emblme Franceillustrez-vous-Fotolia.com

Road to Success - Up ArrowiQoncept-Fotolia.com

Businessman entering the labyrinthScanrail-Fotolia.com

Dessins tirs de Scurit de la dmatrialisation Stphane Torossian http://graphiste-free-lance-sato.jimdo.com

Lexing est une marque dpose par Alain Bensoussan Selas Demaeter est une marque dpose par Demaeter Sarl

Me Eric Barbry

Directeur du Ple Droit du numrique

Tel 06 13 28 91 28

eric-barbry@alain-bensoussan.com

Me Polyanna Bigle

Directeur du Dpartement SSI & Dmatrialisation

Tel 06 42 32 16 09

polyanna-bigle@alain-bensoussan.com

M. Dimitri Mouton Demaeter Consultant expert en dmatrialisation & scurit

Tel 06 59 10 99 37

dimitri.mouton@demaeter.fr www.demaeter.fr

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 73

Recommended

View more >