ChamberSign France

Protégez votre identité numérique professionnelle !

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Stéphane GASCH

Dans un monde devenu dig­i­tal, les cer­ti­fi­cats élec­tron­iques per­me­t­tant l’authentification forte et la sig­na­ture élec­tron­ique, sont désor­mais essen­tiels. Stéphane Gasch, Délégué général de Cham­ber­Sign France, nous présente ce tiers de con­fi­ance qui garan­tit l’identité numérique de l’entreprise, de l’entrepreneur et de ses collaborateurs.

En quoi consistent vos missions ?

Nous sommes une autorité de cer­ti­fi­ca­tion : nous délivrons des cer­ti­fi­cats électroniques !

Il s’agit d’une activ­ité régle­men­tée et régulée sous l’autorité de l’ANSSI, l’Agence nationale de la sécu­rité des sys­tèmes d’information.

Une autorité de cer­ti­fi­ca­tion con­trôle l’identité et les attrib­uts de la per­son­ne physique et/ou de la per­son­ne morale qui revendique la déten­tion d’un cer­ti­fi­cat numérique. Éventuelle­ment, elle peut ren­con­tr­er un col­lab­o­ra­teur de son entité ou son représen­tant légal pour lui remet­tre le cer­ti­fi­cat élec­tron­ique. Pour attribuer ce cer­ti­fi­cat, il y a un cer­tain nom­bre de règles à respecter aus­si bien sur le con­trôle des doc­u­ments que sur la méthode de remise de ce cer­ti­fi­cat numérique et sur les moyens de le protéger.

Ces cer­ti­fi­cats ont prin­ci­pale­ment deux rôles : la sig­na­ture élec­tron­ique et l’authentification.

Cette mis­sion se fait via notre réseau de cham­bres de com­merce et d’industrie. Nous avons donc la par­tic­u­lar­ité d’être présent sur l’ensemble du ter­ri­toire nation­al y com­pris les DOM.

Au cœur de votre activité, on retrouve la sécurisation de différents processus. Comment ces sujets ont-ils évolué au cours des dernières années ?

Nous notons trois axes d’évolutions majeures. D’abord, la mas­si­fi­ca­tion des besoins, notam­ment depuis la crise san­i­taire avec une réelle accéléra­tion des besoins et en par­ti­c­uli­er en ce qui con­cerne l’utilisation de sig­na­tures élec­tron­iques, ceci dans tous les secteurs. Et cette util­i­sa­tion mas­sive n’est pas tou­jours bien con­trôlée du point de vue de la qual­ité de ces sig­na­tures. Ensuite, la régle­men­ta­tion a aus­si beau­coup évolué ces dernières années. 

Le Par­lement européen et le Con­seil de l’Union Européenne ont adop­té, le 23 juil­let 2014, un règle­ment sur l’identification élec­tron­ique et les ser­vices de con­fi­ance pour les trans­ac­tions élec­tron­iques au sein du marché intérieur, dit règle­ment eIDAS. Ce dernier vient se sub­stituer au référen­tiel général de sécu­rité dit RGS, notam­ment sur tout ce qui con­cerne la sig­na­ture élec­tron­ique. La France était en avance sur le plan régle­men­taire et avait un cadre bien pré­cis et très cohérent des­tiné au secteur pub­lic, mais adop­té en grande par­tie par le secteur privé. Le rem­place­ment de ce cadre par le règle­ment eIDAS va don­ner, en trans­frontal­ier de nou­velles solu­tions de sig­na­ture, de con­trôle de sig­na­ture, d’archivage et de let­tre recommandée.

Enfin, dans le règle­ment eIDAS, nous retrou­vons deux volets, l’un sur les cer­ti­fi­cats et autres ser­vices de con­fi­ance et un sec­ond sur l’identité numérique, qui vient struc­tur­er la recon­nais­sance de l’identité des citoyens à tra­vers l’Europe et des moyens d’authentification. Cette prise de con­science régle­men­taire et tech­nique sur l’identité numérique est pour nous un sujet extrême­ment impor­tant. En effet, notre méti­er de délivrance de cer­ti­fi­cats élec­tron­iques a con­sisté à délivr­er une iden­tité numérique sans réelle­ment faire de dis­tinc­tion entre ces deux notions. 

Demain, l’identité élec­tron­ique va devenir une réal­ité pour chaque citoyen, en par­ti­c­uli­er avec l’évolution d’eIDAS. Et puis, nous atta­chons aus­si de plus en plus d’importance à la sécu­rité doc­u­men­taire. Par exem­ple, le QR Code que nous voyons aujourd’hui partout est égale­ment une nou­velle manière de sécuris­er les doc­u­ments élec­tron­iques dans la vie quo­ti­di­enne des utilisateurs.

Depuis le début de la pandémie, la dématérialisation et l’identité numérique ont gagné en visibilité et en importance. Qu’avez-vous pu observer ? Quels sont les principaux enjeux à ce niveau pour les entreprises ?

Les besoins de dématéri­al­i­sa­tion et d’identité numérique sont crois­sants mais les répons­es au niveau de la sécu­rité sont extrême­ment variables.

Il est en effet très com­pliqué de faire la sym­biose entre un niveau de sécu­rité élevé et une bonne expéri­ence util­isa­teur. Les solu­tions de sig­na­tures fiables et user-friend­ly ne sont pas évi­dentes à développer.

Par ailleurs, l’identité numérique, qui est le fonde­ment de la sig­na­ture élec­tron­ique, ne se revendique pas. Il est en effet impos­si­ble de déclar­er soit même son iden­tité : il faut pass­er par des tiers de con­fi­ance, des moyens de con­trôle et tout un par­cours de dématéri­al­i­sa­tion rel­a­tive­ment contraignant.

Cepen­dant, aujourd’hui, il y a beau­coup de sig­na­tures que nous util­isons qui con­sis­tent unique­ment à cocher une case ou à saisir un code. Avec ce genre de proces­sus, l’identité de l’utilisateur n’est ni pro­tégée ni garantie. Le règle­ment eIDAS, qui a per­mis de struc­tur­er les solu­tions tech­niques et de les ren­dre interopérables, a aus­si intro­duit des notions de sig­na­tures élec­tron­iques de faible niveau. 

Ces notions de sig­na­ture de faible niveau sont revendiquées par cer­tains acteurs ou par cer­tains util­isa­teurs qui con­sid­èrent que les sig­na­tures qual­i­fiées sont des sig­na­tures beau­coup trop com­plex­es, alors que le règle­ment n’a pas imposé un tel niveau de sécu­rité. Cette ouver­ture d’esprit du règle­ment doit tou­jours être mise dans un con­texte d’utilisation. Le niveau de sécu­rité néces­saire pour réserv­er son bil­let au ciné­ma n’est pas le même que pour avoir accès à son compte bancaire !

Comment accompagnez-vous les entreprises dans leur démarche d’utilisation de la signature électronique ?

D’abord, nous met­tons en place tout un avant-pro­jet péd­a­gogique pour leur expli­quer ce qu’est un cer­ti­fi­cat, ce qu’est une iden­tité numérique et quel est l’intérêt d’en posséder.

Pour pou­voir acquérir un cer­ti­fi­cat d’identité numérique, il faut pass­er par une démarche par­ti­c­ulière­ment struc­turée où l’on véri­fie les attrib­uts demandés et en par­ti­c­uli­er pro­fes­sion­nels (l’appartenance à une entre­prise, l’autorisation de cette entre­prise à don­ner un certificat…). 

Par ailleurs, les cham­bres de com­merce s’adressent prin­ci­pale­ment aux TPE et PME. Nous devons donc aus­si expli­quer aux entre­pre­neurs et à leurs col­lab­o­ra­teurs ce qu’est un cer­ti­fi­cat numérique et en quoi il va pro­téger l’entreprise, son iden­tité sur inter­net, ses doc­u­ments… Le cer­ti­fi­cat numérique est comme un couteau suisse : ses usages sont multiples.

Quelles pistes de réflexion pourriez-vous partager avec nos lecteurs dans ce cadre ?

Nous avons la con­vic­tion que l’ID per­son­nel et sa décli­nai­son pro­fes­sion­nelle sont struc­turantes pour tout sys­tème d’information de l’entreprise mais aus­si au-delà, c’est-à-dire tout sys­tème d’information éta­tique. D’ailleurs, nous le voyons dans les autres pays européens dotés depuis longtemps de cartes d’identité élec­tron­iques. Comme tout approche sys­témique, ce ser­vice se fait petit à petit : la maîtrise par le tit­u­laire de son iden­tité et sa com­préhen­sion des enjeux sont des fac­teurs déter­mi­nants pour son appro­pri­a­tion. Par ailleurs, la notion de sou­veraineté est aus­si très impor­tante. Il faut impéra­tive­ment que ces tech­nolo­gies soient français­es et européennes. Aujourd’hui, nous con­sta­tons que les acteurs majeurs sont cap­i­tal­isés par des fonds extra-européens et cela doit changer.


En bref

Cham­ber­Sign France est une autorité de cer­ti­fi­ca­tion créée en 2000. Tiers de con­fi­ance, ils garan­tis­sent et délivrent aux entités privées et publiques des iden­tités numériques pro­fes­sion­nelles dévelop­pées, conçues, fournies et hébergées en France pour divers usages (sig­na­ture, scelle­ment, authen­tifi­ca­tion…). Aujourd’hui, ils accom­pa­g­nent plusieurs mil­liers d’entreprises et de col­lec­tiv­ités dans tous leurs pro­jets de dématéri­al­i­sa­tion ain­si que dans le cadre de procé­dures dématérialisées.


Poster un commentaire