ChamberSign France

Protégez votre identité numérique professionnelle !

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Stéphane GASCH

Dans un monde deve­nu digi­tal, les cer­ti­fi­cats élec­tro­niques per­met­tant l’authentification forte et la signa­ture élec­tro­nique, sont désor­mais essen­tiels. Sté­phane Gasch, Délé­gué géné­ral de Cham­ber­Si­gn France, nous pré­sente ce tiers de confiance qui garan­tit l’identité numé­rique de l’entreprise, de l’entrepreneur et de ses collaborateurs.

En quoi consistent vos missions ?

Nous sommes une auto­ri­té de cer­ti­fi­ca­tion : nous déli­vrons des cer­ti­fi­cats électroniques !

Il s’agit d’une acti­vi­té régle­men­tée et régu­lée sous l’autorité de l’ANSSI, l’Agence natio­nale de la sécu­ri­té des sys­tèmes d’information.

Une auto­ri­té de cer­ti­fi­ca­tion contrôle l’identité et les attri­buts de la per­sonne phy­sique et/ou de la per­sonne morale qui reven­dique la déten­tion d’un cer­ti­fi­cat numé­rique. Éven­tuel­le­ment, elle peut ren­con­trer un col­la­bo­ra­teur de son enti­té ou son repré­sen­tant légal pour lui remettre le cer­ti­fi­cat élec­tro­nique. Pour attri­buer ce cer­ti­fi­cat, il y a un cer­tain nombre de règles à res­pec­ter aus­si bien sur le contrôle des docu­ments que sur la méthode de remise de ce cer­ti­fi­cat numé­rique et sur les moyens de le protéger.

Ces cer­ti­fi­cats ont prin­ci­pa­le­ment deux rôles : la signa­ture élec­tro­nique et l’authentification.

Cette mis­sion se fait via notre réseau de chambres de com­merce et d’industrie. Nous avons donc la par­ti­cu­la­ri­té d’être pré­sent sur l’ensemble du ter­ri­toire natio­nal y com­pris les DOM.

Au cœur de votre activité, on retrouve la sécurisation de différents processus. Comment ces sujets ont-ils évolué au cours des dernières années ?

Nous notons trois axes d’évolutions majeures. D’abord, la mas­si­fi­ca­tion des besoins, notam­ment depuis la crise sani­taire avec une réelle accé­lé­ra­tion des besoins et en par­ti­cu­lier en ce qui concerne l’utilisation de signa­tures élec­tro­niques, ceci dans tous les sec­teurs. Et cette uti­li­sa­tion mas­sive n’est pas tou­jours bien contrô­lée du point de vue de la qua­li­té de ces signa­tures. Ensuite, la régle­men­ta­tion a aus­si beau­coup évo­lué ces der­nières années. 

Le Par­le­ment euro­péen et le Conseil de l’Union Euro­péenne ont adop­té, le 23 juillet 2014, un règle­ment sur l’identification élec­tro­nique et les ser­vices de confiance pour les tran­sac­tions élec­tro­niques au sein du mar­ché inté­rieur, dit règle­ment eIDAS. Ce der­nier vient se sub­sti­tuer au réfé­ren­tiel géné­ral de sécu­ri­té dit RGS, notam­ment sur tout ce qui concerne la signa­ture élec­tro­nique. La France était en avance sur le plan régle­men­taire et avait un cadre bien pré­cis et très cohé­rent des­ti­né au sec­teur public, mais adop­té en grande par­tie par le sec­teur pri­vé. Le rem­pla­ce­ment de ce cadre par le règle­ment eIDAS va don­ner, en trans­fron­ta­lier de nou­velles solu­tions de signa­ture, de contrôle de signa­ture, d’archivage et de lettre recommandée.

Enfin, dans le règle­ment eIDAS, nous retrou­vons deux volets, l’un sur les cer­ti­fi­cats et autres ser­vices de confiance et un second sur l’identité numé­rique, qui vient struc­tu­rer la recon­nais­sance de l’identité des citoyens à tra­vers l’Europe et des moyens d’authentification. Cette prise de conscience régle­men­taire et tech­nique sur l’identité numé­rique est pour nous un sujet extrê­me­ment impor­tant. En effet, notre métier de déli­vrance de cer­ti­fi­cats élec­tro­niques a consis­té à déli­vrer une iden­ti­té numé­rique sans réel­le­ment faire de dis­tinc­tion entre ces deux notions. 

Demain, l’identité élec­tro­nique va deve­nir une réa­li­té pour chaque citoyen, en par­ti­cu­lier avec l’évolution d’eIDAS. Et puis, nous atta­chons aus­si de plus en plus d’importance à la sécu­ri­té docu­men­taire. Par exemple, le QR Code que nous voyons aujourd’hui par­tout est éga­le­ment une nou­velle manière de sécu­ri­ser les docu­ments élec­tro­niques dans la vie quo­ti­dienne des utilisateurs.

Depuis le début de la pandémie, la dématérialisation et l’identité numérique ont gagné en visibilité et en importance. Qu’avez-vous pu observer ? Quels sont les principaux enjeux à ce niveau pour les entreprises ?

Les besoins de déma­té­ria­li­sa­tion et d’identité numé­rique sont crois­sants mais les réponses au niveau de la sécu­ri­té sont extrê­me­ment variables.

Il est en effet très com­pli­qué de faire la sym­biose entre un niveau de sécu­ri­té éle­vé et une bonne expé­rience uti­li­sa­teur. Les solu­tions de signa­tures fiables et user-friend­ly ne sont pas évi­dentes à développer.

Par ailleurs, l’identité numé­rique, qui est le fon­de­ment de la signa­ture élec­tro­nique, ne se reven­dique pas. Il est en effet impos­sible de décla­rer soit même son iden­ti­té : il faut pas­ser par des tiers de confiance, des moyens de contrôle et tout un par­cours de déma­té­ria­li­sa­tion rela­ti­ve­ment contraignant.

Cepen­dant, aujourd’hui, il y a beau­coup de signa­tures que nous uti­li­sons qui consistent uni­que­ment à cocher une case ou à sai­sir un code. Avec ce genre de pro­ces­sus, l’identité de l’utilisateur n’est ni pro­té­gée ni garan­tie. Le règle­ment eIDAS, qui a per­mis de struc­tu­rer les solu­tions tech­niques et de les rendre inter­opé­rables, a aus­si intro­duit des notions de signa­tures élec­tro­niques de faible niveau. 

Ces notions de signa­ture de faible niveau sont reven­di­quées par cer­tains acteurs ou par cer­tains uti­li­sa­teurs qui consi­dèrent que les signa­tures qua­li­fiées sont des signa­tures beau­coup trop com­plexes, alors que le règle­ment n’a pas impo­sé un tel niveau de sécu­ri­té. Cette ouver­ture d’esprit du règle­ment doit tou­jours être mise dans un contexte d’utilisation. Le niveau de sécu­ri­té néces­saire pour réser­ver son billet au ciné­ma n’est pas le même que pour avoir accès à son compte bancaire !

Comment accompagnez-vous les entreprises dans leur démarche d’utilisation de la signature électronique ?

D’abord, nous met­tons en place tout un avant-pro­jet péda­go­gique pour leur expli­quer ce qu’est un cer­ti­fi­cat, ce qu’est une iden­ti­té numé­rique et quel est l’intérêt d’en posséder.

Pour pou­voir acqué­rir un cer­ti­fi­cat d’identité numé­rique, il faut pas­ser par une démarche par­ti­cu­liè­re­ment struc­tu­rée où l’on véri­fie les attri­buts deman­dés et en par­ti­cu­lier pro­fes­sion­nels (l’appartenance à une entre­prise, l’autorisation de cette entre­prise à don­ner un certificat…). 

Par ailleurs, les chambres de com­merce s’adressent prin­ci­pa­le­ment aux TPE et PME. Nous devons donc aus­si expli­quer aux entre­pre­neurs et à leurs col­la­bo­ra­teurs ce qu’est un cer­ti­fi­cat numé­rique et en quoi il va pro­té­ger l’entreprise, son iden­ti­té sur inter­net, ses docu­ments… Le cer­ti­fi­cat numé­rique est comme un cou­teau suisse : ses usages sont multiples.

Quelles pistes de réflexion pourriez-vous partager avec nos lecteurs dans ce cadre ?

Nous avons la convic­tion que l’ID per­son­nel et sa décli­nai­son pro­fes­sion­nelle sont struc­tu­rantes pour tout sys­tème d’information de l’entreprise mais aus­si au-delà, c’est-à-dire tout sys­tème d’information éta­tique. D’ailleurs, nous le voyons dans les autres pays euro­péens dotés depuis long­temps de cartes d’identité élec­tro­niques. Comme tout approche sys­té­mique, ce ser­vice se fait petit à petit : la maî­trise par le titu­laire de son iden­ti­té et sa com­pré­hen­sion des enjeux sont des fac­teurs déter­mi­nants pour son appro­pria­tion. Par ailleurs, la notion de sou­ve­rai­ne­té est aus­si très impor­tante. Il faut impé­ra­ti­ve­ment que ces tech­no­lo­gies soient fran­çaises et euro­péennes. Aujourd’hui, nous consta­tons que les acteurs majeurs sont capi­ta­li­sés par des fonds extra-euro­péens et cela doit changer.


En bref

Cham­ber­Si­gn France est une auto­ri­té de cer­ti­fi­ca­tion créée en 2000. Tiers de confiance, ils garan­tissent et délivrent aux enti­tés pri­vées et publiques des iden­ti­tés numé­riques pro­fes­sion­nelles déve­lop­pées, conçues, four­nies et héber­gées en France pour divers usages (signa­ture, scel­le­ment, authen­ti­fi­ca­tion…). Aujourd’hui, ils accom­pagnent plu­sieurs mil­liers d’entreprises et de col­lec­ti­vi­tés dans tous leurs pro­jets de déma­té­ria­li­sa­tion ain­si que dans le cadre de pro­cé­dures dématérialisées.


Poster un commentaire