Protégez votre identité numérique professionnelle !

Vie des Entreprises

Dossier : CybersécuritéMagazine N°773 Mars 2022

Dans un monde devenu digital, les certificats électroniques permettant l’authentification forte et la signature électronique, sont désormais essentiels. Stéphane Gasch, Délégué général de ChamberSign France, nous présente ce tiers de confiance qui garantit l’identité numérique de l’entreprise, de l’entrepreneur et de ses collaborateurs.

En quoi consistent vos missions ?

Nous sommes une autorité de certification : nous délivrons des certificats électroniques !

Il s’agit d’une activité réglementée et régulée sous l’autorité de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information.

Une autorité de certification contrôle l’identité et les attributs de la personne physique et/ou de la personne morale qui revendique la détention d’un certificat numérique. Éventuellement, elle peut rencontrer un collaborateur de son entité ou son représentant légal pour lui remettre le certificat électronique. Pour attribuer ce certificat, il y a un certain nombre de règles à respecter aussi bien sur le contrôle des documents que sur la méthode de remise de ce certificat numérique et sur les moyens de le protéger.

Ces certificats ont principalement deux rôles : la signature électronique et l’authentification.

Cette mission se fait via notre réseau de chambres de commerce et d’industrie. Nous avons donc la particularité d’être présent sur l’ensemble du territoire national y compris les DOM.

Au cœur de votre activité, on retrouve la sécurisation de différents processus. Comment ces sujets ont-ils évolué au cours des dernières années ?

Nous notons trois axes d’évolutions majeures. D’abord, la massification des besoins, notamment depuis la crise sanitaire avec une réelle accélération des besoins et en particulier en ce qui concerne l’utilisation de signatures électroniques, ceci dans tous les secteurs. Et cette utilisation massive n’est pas toujours bien contrôlée du point de vue de la qualité de ces signatures. Ensuite, la réglementation a aussi beaucoup évolué ces dernières années.

Le Parlement européen et le Conseil de l’Union Européenne ont adopté, le 23 juillet 2014, un règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement eIDAS. Ce dernier vient se substituer au référentiel général de sécurité dit RGS, notamment sur tout ce qui concerne la signature électronique. La France était en avance sur le plan réglementaire et avait un cadre bien précis et très cohérent destiné au secteur public, mais adopté en grande partie par le secteur privé. Le remplacement de ce cadre par le règlement eIDAS va donner, en transfrontalier de nouvelles solutions de signature, de contrôle de signature, d’archivage et de lettre recommandée.

Enfin, dans le règlement eIDAS, nous retrouvons deux volets, l’un sur les certificats et autres services de confiance et un second sur l’identité numérique, qui vient structurer la reconnaissance de l’identité des citoyens à travers l’Europe et des moyens d’authentification. Cette prise de conscience réglementaire et technique sur l’identité numérique est pour nous un sujet extrêmement important. En effet, notre métier de délivrance de certificats électroniques a consisté à délivrer une identité numérique sans réellement faire de distinction entre ces deux notions.

Demain, l’identité électronique va devenir une réalité pour chaque citoyen, en particulier avec l’évolution d’eIDAS. Et puis, nous attachons aussi de plus en plus d’importance à la sécurité documentaire. Par exemple, le QR Code que nous voyons aujourd’hui partout est également une nouvelle manière de sécuriser les documents électroniques dans la vie quotidienne des utilisateurs.

Depuis le début de la pandémie, la dématérialisation et l’identité numérique ont gagné en visibilité et en importance. Qu’avez-vous pu observer ? Quels sont les principaux enjeux à ce niveau pour les entreprises ?

Les besoins de dématérialisation et d’identité numérique sont croissants mais les réponses au niveau de la sécurité sont extrêmement variables.

Il est en effet très compliqué de faire la symbiose entre un niveau de sécurité élevé et une bonne expérience utilisateur. Les solutions de signatures fiables et user-friendly ne sont pas évidentes à développer.

Par ailleurs, l’identité numérique, qui est le fondement de la signature électronique, ne se revendique pas. Il est en effet impossible de déclarer soit même son identité : il faut passer par des tiers de confiance, des moyens de contrôle et tout un parcours de dématérialisation relativement contraignant.

Cependant, aujourd’hui, il y a beaucoup de signatures que nous utilisons qui consistent uniquement à cocher une case ou à saisir un code. Avec ce genre de processus, l’identité de l’utilisateur n’est ni protégée ni garantie. Le règlement eIDAS, qui a permis de structurer les solutions techniques et de les rendre interopérables, a aussi introduit des notions de signatures électroniques de faible niveau.

Ces notions de signature de faible niveau sont revendiquées par certains acteurs ou par certains utilisateurs qui considèrent que les signatures qualifiées sont des signatures beaucoup trop complexes, alors que le règlement n’a pas imposé un tel niveau de sécurité. Cette ouverture d’esprit du règlement doit toujours être mise dans un contexte d’utilisation. Le niveau de sécurité nécessaire pour réserver son billet au cinéma n’est pas le même que pour avoir accès à son compte bancaire !

Comment accompagnez-vous les entreprises dans leur démarche d’utilisation de la signature électronique ?

D’abord, nous mettons en place tout un avant-projet pédagogique pour leur expliquer ce qu’est un certificat, ce qu’est une identité numérique et quel est l’intérêt d’en posséder.

Pour pouvoir acquérir un certificat d’identité numérique, il faut passer par une démarche particulièrement structurée où l’on vérifie les attributs demandés et en particulier professionnels (l’appartenance à une entreprise, l’autorisation de cette entreprise à donner un certificat…).

Par ailleurs, les chambres de commerce s’adressent principalement aux TPE et PME. Nous devons donc aussi expliquer aux entrepreneurs et à leurs collaborateurs ce qu’est un certificat numérique et en quoi il va protéger l’entreprise, son identité sur internet, ses documents… Le certificat numérique est comme un couteau suisse : ses usages sont multiples.

Quelles pistes de réflexion pourriez-vous partager avec nos lecteurs dans ce cadre ?

Nous avons la conviction que l’ID personnel et sa déclinaison professionnelle sont structurantes pour tout système d’information de l’entreprise mais aussi au-delà, c’est-à-dire tout système d’information étatique. D’ailleurs, nous le voyons dans les autres pays européens dotés depuis longtemps de cartes d’identité électroniques. Comme tout approche systémique, ce service se fait petit à petit : la maîtrise par le titulaire de son identité et sa compréhension des enjeux sont des facteurs déterminants pour son appropriation. Par ailleurs, la notion de souveraineté est aussi très importante. Il faut impérativement que ces technologies soient françaises et européennes. Aujourd’hui, nous constatons que les acteurs majeurs sont capitalisés par des fonds extra-européens et cela doit changer.

En bref

ChamberSign France est une autorité de certification créée en 2000. Tiers de confiance, ils garantissent et délivrent aux entités privées et publiques des identités numériques professionnelles développées, conçues, fournies et hébergées en France pour divers usages (signature, scellement, authentification…). Aujourd’hui, ils accompagnent plusieurs milliers d’entreprises et de collectivités dans tous leurs projets de dématérialisation ainsi que dans le cadre de procédures dématérialisées.