Du marché de la sécurité au marché de la confiance

Le déve­lop­pe­ment du com­merce élec­tro­nique repose sur le prin­cipe que les échanges élec­tro­niques ont une vali­di­té équi­va­lente à celle des échanges « physiques ».
Suite à la direc­tive euro­péenne du 12 décembre 1999, les pou­voirs publics ont donc créé les condi­tions juri­diques néces­saires, avec les décrets sur la signa­ture élec­tro­nique¹.

Le mar­ché de la preuve élec­tro­nique, comme celui de l’e-busi­ness, reste cepen­dant un mar­ché rela­ti­ve­ment jeune. De nou­veaux acteurs (spé­cia­listes de la sécu­ri­té, start-up, etc.) cherchent encore à s’y posi­tion­ner, appuyant leur mar­ke­ting sur leur image tech­no­lo­gique et fai­sant réfé­rence aux concepts de la sécu­ri­té informatique.

Or, la sécu­ri­té n’est pas aisé­ment asso­ciable à une image valo­ri­sante puis­qu’il s’a­git, par essence, d’une stra­té­gie défen­sive de pré­ven­tion de l’agression.

Elle sera sou­vent per­çue comme un coût, plu­tôt que comme une pers­pec­tive de pro­fit. C’est donc un domaine dif­fi­cile à « mar­que­ter » au-delà du cercle des seuls techniciens.

Les acteurs émer­gents, dont les dis­cours mélangent les aspects tech­no­lo­giques de la sécu­ri­té et les carac­té­ris­tiques fonc­tion­nelles de la preuve élec­tro­nique, entre­tiennent en outre cette confu­sion. Ils espèrent ain­si se posi­tion­ner face à d’autres acteurs ayant fait leurs preuves dans l’é­co­no­mie classique.

Cette confu­sion peut d’au­tant plus faci­le­ment être entre­te­nue que les stan­dards tech­no­lo­giques mis en œuvre défi­nissent par­fois des aspects fonc­tion­nels, par exemple la ges­tion des clés.

Il convient pour­tant d’en appe­ler, ici, à des prin­cipes fon­da­men­taux : les exi­gences de qua­li­té du mar­ché de la confiance sont liées à la capa­ci­té des acteurs à res­pec­ter des enga­ge­ments à très long terme (trente ans, voire davan­tage pour cer­taines obli­ga­tions légales).

Toute confu­sion contri­bue dès lors à gêner le décol­lage du mar­ché de la preuve élec­tro­nique, et par consé­quent, à limi­ter la crois­sance des échanges élec­tro­niques au sens large.

Créer « l’In­ter­net de confiance », c’est offrir un mes­sage de confiance basé sur une approche claire et com­pré­hen­sible des dif­fé­rents métiers. Et ce mes­sage se situe à l’op­po­sé d’une approche tech­no­lo­gique de la sécurité.

Ce qui n’empêche pas, bien évi­dem­ment, une rigueur totale sur un strict plan tech­nique. Il est à ce titre par­ti­cu­liè­re­ment éclai­rant que l’Af­nor ait enfin entre­pris de nor­ma­li­ser la preuve élec­tro­nique comme organe de base du mar­ché de la confiance. Il est en effet clair qu’une stan­dar­di­sa­tion des for­mats et des usages de preuve, à l’ins­tar de ce qui se fit hier dans l’é­change de don­nées élec­tro­nique (EDI), est de nature à péren­ni­ser les inves­tis­se­ments des entre­prises dans la déma­té­ria­li­sa­tion des échanges.

Ces tra­vaux ont pour objet d’ai­der l’en­semble des pro­fes­sion­nels – opé­ra­teurs d’in­fra­struc­tures de sécu­ri­té, auto­ri­tés de confiance, tiers de confiance et uti­li­sa­teurs – à struc­tu­rer et orga­ni­ser le mar­ché au-delà des aspects tech­no­lo­giques avec l’op­ti­mum de trans­pa­rence et de règles de jeu connues et construites par tous.

Organisation du marché de la confiance

Après Télé-TVA et Télé-IR pour la DGI, le déve­lop­pe­ment de la lettre recom­man­dée élec­tro­nique par La Poste per­met aujourd’­hui un pre­mier retour d’ex­pé­rience du mar­ché nais­sant de la confiance.

La modé­li­sa­tion pro­po­sée ci-après a pour objet d’a­na­ly­ser l’or­ga­ni­sa­tion du mar­ché de la confiance, de com­prendre com­ment la tota­li­té de ses com­po­santes inter­vient dans un ser­vice public de confiance comme la lettre recom­man­dée élec­tro­nique de La Poste et de conclure, enfin, sur les condi­tions qui faci­li­te­raient la via­bi­li­té éco­no­mique du mar­ché de la confiance.

Principes fondateurs de la création d’un Internet de confiance

La confiance est un capi­tal qui résulte de trois com­po­santes : le sta­tut, l’au­to­ri­té² et la com­pé­tence. Elle est offerte sur le mar­ché par des acteurs qui ont légi­ti­mi­té à four­nir les usages et pro­cé­dures liés à l’exer­cice de la confiance. Ce sont les tiers de confiance statutaires.

Les tiers de confiance se dotent des moyens de preuve néces­saires (les « com­pé­tences ») à leurs enga­ge­ments et res­pon­sa­bi­li­tés de tiers garant en s’ap­puyant sur la « chaîne de la confiance » (voir schéma).

À l’ins­tar de ce qui existe dans l’é­co­no­mie phy­sique, un tiers garant sera recon­nu comme tiers de confiance dans le monde élec­tro­nique si et seule­ment s’il répond aux condi­tions cumu­la­tives suivantes :

• il devra dis­po­ser sta­tu­tai­re­ment de pro­cé­dures qui font foi légalement ;
• il devra démon­trer sa com­pé­tence, c’est-à-dire la capa­ci­té à offrir ce ser­vice quel qu’en soit le support ;
• enfin, son auto­ri­té devra être recon­nue et consa­crée par l’u­sage, seul moyen pour ce tiers d’être dura­ble­ment accep­té comme réfé­rent sur la pro­cé­dure pour laquelle il entend faire foi.

De fait, il y a encore rela­ti­ve­ment peu d’ac­teurs en mesure aujourd’­hui de satis­faire à ces trois exi­gences. Des alliances sont donc pro­bables à court terme, avec l’ob­jec­tif pour cer­tains d’entre eux de com­plé­ter leur dis­po­si­tif de ser­vices de tiers de confiance, en s’ap­puyant, par exemple, sur des pres­ta­taires ou opé­ra­teurs capables de déli­vrer la « com­pé­tence » dans les canaux électroniques.

Rôle de chacun des acteurs dans la chaîne de la confiance

L’en­semble des acteurs pré­sen­tés ci-des­sous sont liés dans une chaîne contrac­tuelle conti­nue au sein de laquelle chaque acteur est plei­ne­ment res­pon­sable du niveau de ser­vice qu’il repré­sente dans la chaîne.

L’u­ti­li­sa­teur final contracte pour un ser­vice de confiance glo­bal (par exemple une télé­pro­cé­dure) auprès du tiers de confiance ayant délé­ga­tion pour l’exer­cice de cette procédure.

1^er niveau : les équipementiers

Les équi­pe­men­tiers four­nissent le maté­riel tech­nique néces­saire à la mise en œuvre des infra­struc­tures de confiance

2^e niveau : les opérateurs d’infrastructures de confiance

Les opé­ra­teurs mettent en œuvre et exploitent les infra­struc­tures de confiance. Ils sont garants de la conti­nui­té et de la qua­li­té tech­nique du ser­vice offert (listes de révo­ca­tion des cer­ti­fi­cats, archi­vages éven­tuels des cer­ti­fi­cats, etc.). Ils fabriquent aus­si les pro­duits dont les tiers cer­ti­fi­ca­teurs ont besoin.

3^ème niveau : les tiers certificateurs

Les tiers cer­ti­fi­ca­teurs consti­tuent le back-office des ser­vices de confiance : il s’a­git d’au­to­ri­tés de cer­ti­fi­ca­tion, d’ar­chi­vage, d’en­re­gis­tre­ment ou encore d’ho­ro­da­tage. Ils prennent donc la res­pon­sa­bi­li­té de la bonne fin de la pro­cé­dure pour laquelle ils sont éta­blis en auto­ri­té, en confor­mi­té avec « l’é­tat de l’art » du domaine d’ex­per­tise considéré.

Les auto­ri­tés de cer­ti­fi­ca­tion sont, par exemple, res­pon­sables des pro­cé­dures de déli­vrance de cer­ti­fi­cats. Elles doivent être ain­si en mesure d’ef­fec­tuer des contrôles cor­res­pon­dant aux garan­ties offertes (contrôle d’i­den­ti­té en face à face par exemple). Elles se portent garantes de l’i­den­ti­té des por­teurs de cer­ti­fi­cats et de la vali­di­té des cer­ti­fi­cats uti­li­sés, en confor­mi­té avec la poli­tique de cer­ti­fi­ca­tion qui les engage.

4^ème niveau : les tiers de confiance

Les tiers de confiance sont, de par leur sta­tut, leur auto­ri­té et leur com­pé­tence à même de pro­po­ser des ser­vices de confiance (« fai­sant foi ») qui uti­lisent les infra­struc­tures et cer­ti­fi­cats déli­vrés par les tiers cer­ti­fi­ca­teurs. Ils peuvent s’ap­puyer sur une ou plu­sieurs auto­ri­tés qu’ils agréent, afin d’as­su­rer un usage valide et contrô­lé de la signa­ture élec­tro­nique pour leurs besoins appli­ca­tifs, garan­tis­sant ain­si la vali­di­té et l’i­den­ti­fi­ca­tion du signa­taire de téléprocédures.

Premiers retours d’expérience…

Créer un langage unique

Une démarche est actuel­le­ment en cours auprès de l’en­semble des acteurs de l’In­ter­net de confiance pour cla­ri­fier le mar­ché et stan­dar­di­ser la chaîne de la confiance, sur la seule base de pro­cé­dures de contrôles et d’un voca­bu­laire unique.

La construc­tion de la chaîne de la confiance ne pour­ra en effet abou­tir si les acteurs ne se dotent pas d’un sché­ma de contrôle tota­le­ment fiable – un réfé­ren­tiel – qui atteste de la qua­li­té des pres­ta­taires pré­sents sur le mar­ché. Ce réfé­ren­tiel doit être unique, et pré­sen­ter bien évi­dem­ment une par­faite neu­tra­li­té vis-à-vis des tiers à cer­ti­fier. En effet, c’est bien ce réfé­ren­tiel, et les règles qui le com­posent, qui consti­tue­ront le fon­de­ment des régu­la­tions et garan­ties de l’In­ter­net de confiance.

L’exis­tence même de ce réfé­ren­tiel unique pour­rait être le prix à payer pour que s’ins­talle la confiance en un monde dématérialisé.

Alléger la charge financière reposant sur les tiers certificateurs

Si la créa­tion d’un réfé­ren­tiel unique est à l’é­vi­dence une condi­tion néces­saire, elle ne suf­fit pas pour autant à faire du mar­ché de la confiance un mar­ché fluide et pro­fi­table, au strict plan économique.

En effet, à la lec­ture du sché­ma d’or­ga­ni­sa­tion du mar­ché pré­sen­té ci-des­sus, le lec­teur aura com­pris que les auto­ri­tés de cer­ti­fi­ca­tion, en tant que back-office, ont des dif­fi­cul­tés impor­tantes d’ac­cès au marché.

Or, ces « tiers cer­ti­fi­ca­teurs« ³ doivent non seule­ment faire face à leurs charges d’o­pé­ra­teur sous-trai­tant mais éga­le­ment assu­mer le niveau de res­pon­sa­bi­li­té induit par les textes de lois. Ceux-ci engagent en effet leur res­pon­sa­bi­li­té au regard de la sécu­ri­té des tran­sac­tions pour les­quelles des cer­ti­fi­cats ont été four­nis. Cette res­pon­sa­bi­li­té implique donc des risques finan­ciers importants.

Les pra­tiques com­mer­ciales tra­di­tion­nelles veulent que la res­pon­sa­bi­li­té d’un ser­vice ou d’un pro­duit en incombe à son four­nis­seur. Si celui-ci sous-traite une par­tie de la réa­li­sa­tion du pro­duit ou du ser­vice four­ni, il en reste néan­moins entiè­re­ment res­pon­sable. Pour assu­rer cette res­pon­sa­bi­li­té, il doit défi­nir et contrô­ler les niveaux néces­saires et suf­fi­sants des pres­ta­tions qu’il choi­sit de sous-trai­ter, afin d’of­frir le niveau de qua­li­té atten­du au regard de sa pres­ta­tion finale. Il est dès lors pos­sible de se retour­ner contre un sous-trai­tant res­pon­sable d’une défaillance qui aurait mis en cause sa res­pon­sa­bi­li­té. Ces pra­tiques per­mettent une adap­ta­tion des niveaux de pres­ta­tions et une maî­trise des risques par chaque maillon de la chaîne de valeur.

Dans le cas des tiers cer­ti­fi­ca­teurs, il importe pro­ba­ble­ment de pon­dé­rer plus pré­ci­sé­ment l’é­ten­due de cette res­pon­sa­bi­li­té par rap­port à celle des tiers de confiance, afin d’al­lé­ger des charges finan­cières trop impor­tantes, liées aux pro­duits d’as­su­rance néces­sai­re­ment contractés.

Des dif­fé­rences d’in­ter­pré­ta­tion de la Direc­tive euro­péenne de décembre 1999 ayant, sur cette ques­tion, créé une situa­tion pour le moins dis­pa­rate entre les États membres, il s’a­gi­ra là aus­si de poser les fon­da­tions d’un lan­gage commun.

Les tiers de confiance doivent créer les applications permettant l’usage de la signature électronique

Lieu d’é­change pri­vi­lé­gié des flux d’af­faires, dans un Inter­net pro­fes­sion­na­li­sé et régu­lé, le mar­ché de la confiance ou l’In­ter­net de confiance consti­tuent un mar­ché extrê­me­ment prometteur.

Dans ce contexte, la signa­ture élec­tro­nique et les tech­no­lo­gies d’in­fra­struc­tures à clés publiques (dites PKI) ne consti­tuent dans ce mar­ché qu’un attri­but de sécu­ri­sa­tion de la preuve électronique.

Les dis­po­si­tifs des tiers cer­ti­fi­ca­teurs ont donc voca­tion à être inté­grés dans les ser­vices légi­times des tiers de confiance qui, seuls, leur donnent sens auprès des usa­gers et clients. En effet, seuls ces ser­vices sont capables de géné­rer les usages suf­fi­sam­ment nom­breux et fré­quents pour pou­voir éta­blir un modèle éco­no­mique stable et pérenne.

À ce titre, il convient de construire sans délais une éco­no­mie où les usages déma­té­ria­li­sés pro­po­sés par les tiers de confiance viennent s’ins­crire comme le véri­table front-office des ser­vices de confiance, dans des condi­tions per­met­tant le finan­ce­ment des centres de coûts et back-office que consti­tuent les tiers certificateurs.

Il appar­tient désor­mais aux tiers de confiance de pro­po­ser aux entre­prises ces ser­vices utiles, recon­nus juri­di­que­ment, qui engen­dre­ront le confort et les éco­no­mies atten­dus dans le trai­te­ment déma­té­ria­li­sé des contrats, des actes ou encore des rela­tions avec l’ad­mi­nis­tra­tion. Gageons que nous ne man­que­rons pas ce ren­dez-vous his­to­rique de la moder­ni­sa­tion des échanges qu’est l’é­mer­gence de l’In­ter­net de confiance et de l’é­crit élec­tro­nique « authentique ».

________________________________________
1. Un autre moyen accep­table juri­di­que­ment est la conven­tion de preuve telle qu’elle se pra­tique par exemple pour les échanges EDI. Ceci sup­pose que les rela­tions d’af­faires sont éta­blies sur une longue période. Il ne répond donc pas à toutes les confi­gu­ra­tions du com­merce électronique.
2. La marque, de ce point de vue, est une repré­sen­ta­tion de l’autorité.
3. Ou PSCE.