Rechercher
Rechercher
ChamberSign France

Protégez votre identité numérique professionnelle !

Vie des Entreprises
Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Stéphane GASCH

Dans un monde deve­nu digi­tal, les cer­ti­fi­cats élec­tro­niques per­met­tant l’authentification forte et la signa­ture élec­tro­nique, sont désor­mais essen­tiels. Sté­phane Gasch, Délé­gué géné­ral de Cham­ber­Si­gn France, nous pré­sente ce tiers de confiance qui garan­tit l’identité numé­rique de l’entreprise, de l’entrepreneur et de ses collaborateurs.

En quoi consistent vos missions ?

Nous sommes une auto­ri­té de cer­ti­fi­ca­tion : nous déli­vrons des cer­ti­fi­cats électroniques !

Il s’agit d’une acti­vi­té régle­men­tée et régu­lée sous l’autorité de l’ANSSI, l’Agence natio­nale de la sécu­ri­té des sys­tèmes d’information.

Une auto­ri­té de cer­ti­fi­ca­tion contrôle l’identité et les attri­buts de la per­sonne phy­sique et/ou de la per­sonne morale qui reven­dique la déten­tion d’un cer­ti­fi­cat numé­rique. Éven­tuel­le­ment, elle peut ren­con­trer un col­la­bo­ra­teur de son enti­té ou son repré­sen­tant légal pour lui remettre le cer­ti­fi­cat élec­tro­nique. Pour attri­buer ce cer­ti­fi­cat, il y a un cer­tain nombre de règles à res­pec­ter aus­si bien sur le contrôle des docu­ments que sur la méthode de remise de ce cer­ti­fi­cat numé­rique et sur les moyens de le protéger.

Ces cer­ti­fi­cats ont prin­ci­pa­le­ment deux rôles : la signa­ture élec­tro­nique et l’authentification.

Cette mis­sion se fait via notre réseau de chambres de com­merce et d’industrie. Nous avons donc la par­ti­cu­la­ri­té d’être pré­sent sur l’ensemble du ter­ri­toire natio­nal y com­pris les DOM.

Au cœur de votre activité, on retrouve la sécurisation de différents processus. Comment ces sujets ont-ils évolué au cours des dernières années ?

Nous notons trois axes d’évolutions majeures. D’abord, la mas­si­fi­ca­tion des besoins, notam­ment depuis la crise sani­taire avec une réelle accé­lé­ra­tion des besoins et en par­ti­cu­lier en ce qui concerne l’utilisation de signa­tures élec­tro­niques, ceci dans tous les sec­teurs. Et cette uti­li­sa­tion mas­sive n’est pas tou­jours bien contrô­lée du point de vue de la qua­li­té de ces signa­tures. Ensuite, la régle­men­ta­tion a aus­si beau­coup évo­lué ces der­nières années. 

Le Par­le­ment euro­péen et le Conseil de l’Union Euro­péenne ont adop­té, le 23 juillet 2014, un règle­ment sur l’identification élec­tro­nique et les ser­vices de confiance pour les tran­sac­tions élec­tro­niques au sein du mar­ché inté­rieur, dit règle­ment eIDAS. Ce der­nier vient se sub­sti­tuer au réfé­ren­tiel géné­ral de sécu­ri­té dit RGS, notam­ment sur tout ce qui concerne la signa­ture élec­tro­nique. La France était en avance sur le plan régle­men­taire et avait un cadre bien pré­cis et très cohé­rent des­ti­né au sec­teur public, mais adop­té en grande par­tie par le sec­teur pri­vé. Le rem­pla­ce­ment de ce cadre par le règle­ment eIDAS va don­ner, en trans­fron­ta­lier de nou­velles solu­tions de signa­ture, de contrôle de signa­ture, d’archivage et de lettre recommandée.

Enfin, dans le règle­ment eIDAS, nous retrou­vons deux volets, l’un sur les cer­ti­fi­cats et autres ser­vices de confiance et un second sur l’identité numé­rique, qui vient struc­tu­rer la recon­nais­sance de l’identité des citoyens à tra­vers l’Europe et des moyens d’authentification. Cette prise de conscience régle­men­taire et tech­nique sur l’identité numé­rique est pour nous un sujet extrê­me­ment impor­tant. En effet, notre métier de déli­vrance de cer­ti­fi­cats élec­tro­niques a consis­té à déli­vrer une iden­ti­té numé­rique sans réel­le­ment faire de dis­tinc­tion entre ces deux notions. 

Demain, l’identité élec­tro­nique va deve­nir une réa­li­té pour chaque citoyen, en par­ti­cu­lier avec l’évolution d’eIDAS. Et puis, nous atta­chons aus­si de plus en plus d’importance à la sécu­ri­té docu­men­taire. Par exemple, le QR Code que nous voyons aujourd’hui par­tout est éga­le­ment une nou­velle manière de sécu­ri­ser les docu­ments élec­tro­niques dans la vie quo­ti­dienne des utilisateurs.

Depuis le début de la pandémie, la dématérialisation et l’identité numérique ont gagné en visibilité et en importance. Qu’avez-vous pu observer ? Quels sont les principaux enjeux à ce niveau pour les entreprises ?

Les besoins de déma­té­ria­li­sa­tion et d’identité numé­rique sont crois­sants mais les réponses au niveau de la sécu­ri­té sont extrê­me­ment variables.

Il est en effet très com­pli­qué de faire la sym­biose entre un niveau de sécu­ri­té éle­vé et une bonne expé­rience uti­li­sa­teur. Les solu­tions de signa­tures fiables et user-friend­ly ne sont pas évi­dentes à développer.

Par ailleurs, l’identité numé­rique, qui est le fon­de­ment de la signa­ture élec­tro­nique, ne se reven­dique pas. Il est en effet impos­sible de décla­rer soit même son iden­ti­té : il faut pas­ser par des tiers de confiance, des moyens de contrôle et tout un par­cours de déma­té­ria­li­sa­tion rela­ti­ve­ment contraignant.

Cepen­dant, aujourd’hui, il y a beau­coup de signa­tures que nous uti­li­sons qui consistent uni­que­ment à cocher une case ou à sai­sir un code. Avec ce genre de pro­ces­sus, l’identité de l’utilisateur n’est ni pro­té­gée ni garan­tie. Le règle­ment eIDAS, qui a per­mis de struc­tu­rer les solu­tions tech­niques et de les rendre inter­opé­rables, a aus­si intro­duit des notions de signa­tures élec­tro­niques de faible niveau. 

Ces notions de signa­ture de faible niveau sont reven­di­quées par cer­tains acteurs ou par cer­tains uti­li­sa­teurs qui consi­dèrent que les signa­tures qua­li­fiées sont des signa­tures beau­coup trop com­plexes, alors que le règle­ment n’a pas impo­sé un tel niveau de sécu­ri­té. Cette ouver­ture d’esprit du règle­ment doit tou­jours être mise dans un contexte d’utilisation. Le niveau de sécu­ri­té néces­saire pour réser­ver son billet au ciné­ma n’est pas le même que pour avoir accès à son compte bancaire !

Comment accompagnez-vous les entreprises dans leur démarche d’utilisation de la signature électronique ?

D’abord, nous met­tons en place tout un avant-pro­jet péda­go­gique pour leur expli­quer ce qu’est un cer­ti­fi­cat, ce qu’est une iden­ti­té numé­rique et quel est l’intérêt d’en posséder.

Pour pou­voir acqué­rir un cer­ti­fi­cat d’identité numé­rique, il faut pas­ser par une démarche par­ti­cu­liè­re­ment struc­tu­rée où l’on véri­fie les attri­buts deman­dés et en par­ti­cu­lier pro­fes­sion­nels (l’appartenance à une entre­prise, l’autorisation de cette entre­prise à don­ner un certificat…). 

Par ailleurs, les chambres de com­merce s’adressent prin­ci­pa­le­ment aux TPE et PME. Nous devons donc aus­si expli­quer aux entre­pre­neurs et à leurs col­la­bo­ra­teurs ce qu’est un cer­ti­fi­cat numé­rique et en quoi il va pro­té­ger l’entreprise, son iden­ti­té sur inter­net, ses docu­ments… Le cer­ti­fi­cat numé­rique est comme un cou­teau suisse : ses usages sont multiples.

Quelles pistes de réflexion pourriez-vous partager avec nos lecteurs dans ce cadre ?

Nous avons la convic­tion que l’ID per­son­nel et sa décli­nai­son pro­fes­sion­nelle sont struc­tu­rantes pour tout sys­tème d’information de l’entreprise mais aus­si au-delà, c’est-à-dire tout sys­tème d’information éta­tique. D’ailleurs, nous le voyons dans les autres pays euro­péens dotés depuis long­temps de cartes d’identité élec­tro­niques. Comme tout approche sys­té­mique, ce ser­vice se fait petit à petit : la maî­trise par le titu­laire de son iden­ti­té et sa com­pré­hen­sion des enjeux sont des fac­teurs déter­mi­nants pour son appro­pria­tion. Par ailleurs, la notion de sou­ve­rai­ne­té est aus­si très impor­tante. Il faut impé­ra­ti­ve­ment que ces tech­no­lo­gies soient fran­çaises et euro­péennes. Aujourd’hui, nous consta­tons que les acteurs majeurs sont capi­ta­li­sés par des fonds extra-euro­péens et cela doit changer.

En bref

Cham­ber­Si­gn France est une auto­ri­té de cer­ti­fi­ca­tion créée en 2000. Tiers de confiance, ils garan­tissent et délivrent aux enti­tés pri­vées et publiques des iden­ti­tés numé­riques pro­fes­sion­nelles déve­lop­pées, conçues, four­nies et héber­gées en France pour divers usages (signa­ture, scel­le­ment, authen­ti­fi­ca­tion…). Aujourd’hui, ils accom­pagnent plu­sieurs mil­liers d’entreprises et de col­lec­ti­vi­tés dans tous leurs pro­jets de déma­té­ria­li­sa­tion ain­si que dans le cadre de pro­cé­dures dématérialisées.



Articles similaires :

Default ThumbnailLa réforme du droit des contrats, un évé­ne­ment majeur dans la vie des affaires Grâce au procédé d’électrolyse fractionnée, ERGOSUP produit non seulement de l’hydrogène sous pression, mais propose également une solution de stockage ionique intéressante aussi bien sur le plan technique qu’économique.ERGOSUP : une solu­tion pour la pro­duc­tion et le sto­ckage de l’hydrogène SymbioSym­bio : le lea­der fran­çais et euro­péen de la pile à combustible Les datacenters, la première brique du numérique durableLes data­cen­ters, la pre­mière brique du numé­rique durable Sysnav : dispositif permettant un accès aux données de vieOpti­mi­ser l’accès aux don­nées de vie réelle pour des trai­te­ments plus efficaces

Poster un commentaire