Du marché de la sécurité au marché de la confiance

Dossier : La confiance électroniqueMagazine N°582 Février 2003
Par Youval ECHED
Par Olivier ARGAUT (95)

Le marché de la preuve élec­tron­ique, comme celui de l’e-busi­ness, reste cepen­dant un marché rel­a­tive­ment jeune. De nou­veaux acteurs (spé­cial­istes de la sécu­rité, start-up, etc.) cherchent encore à s’y posi­tion­ner, appuyant leur mar­ket­ing sur leur image tech­nologique et faisant référence aux con­cepts de la sécu­rité informatique.

Or, la sécu­rité n’est pas aisé­ment asso­cia­ble à une image val­orisante puisqu’il s’ag­it, par essence, d’une stratégie défen­sive de préven­tion de l’agression.

Elle sera sou­vent perçue comme un coût, plutôt que comme une per­spec­tive de prof­it. C’est donc un domaine dif­fi­cile à “mar­queter” au-delà du cer­cle des seuls techniciens.

Les acteurs émer­gents, dont les dis­cours mélan­gent les aspects tech­nologiques de la sécu­rité et les car­ac­téris­tiques fonc­tion­nelles de la preuve élec­tron­ique, entre­ti­en­nent en out­re cette con­fu­sion. Ils espèrent ain­si se posi­tion­ner face à d’autres acteurs ayant fait leurs preuves dans l’é­conomie classique.

Cette con­fu­sion peut d’au­tant plus facile­ment être entretenue que les stan­dards tech­nologiques mis en œuvre définis­sent par­fois des aspects fonc­tion­nels, par exem­ple la ges­tion des clés.

Il con­vient pour­tant d’en appel­er, ici, à des principes fon­da­men­taux : les exi­gences de qual­ité du marché de la con­fi­ance sont liées à la capac­ité des acteurs à respecter des engage­ments à très long terme (trente ans, voire davan­tage pour cer­taines oblig­a­tions légales).

Toute con­fu­sion con­tribue dès lors à gên­er le décol­lage du marché de la preuve élec­tron­ique, et par con­séquent, à lim­iter la crois­sance des échanges élec­tron­iques au sens large.

Créer “l’In­ter­net de con­fi­ance”, c’est offrir un mes­sage de con­fi­ance basé sur une approche claire et com­préhen­si­ble des dif­férents métiers. Et ce mes­sage se situe à l’op­posé d’une approche tech­nologique de la sécurité.

Ce qui n’empêche pas, bien évidem­ment, une rigueur totale sur un strict plan tech­nique. Il est à ce titre par­ti­c­ulière­ment éclairant que l’Afnor ait enfin entre­pris de nor­malis­er la preuve élec­tron­ique comme organe de base du marché de la con­fi­ance. Il est en effet clair qu’une stan­dard­i­s­a­tion des for­mats et des usages de preuve, à l’in­star de ce qui se fit hier dans l’échange de don­nées élec­tron­ique (EDI), est de nature à péren­nis­er les investisse­ments des entre­pris­es dans la dématéri­al­i­sa­tion des échanges.

Ces travaux ont pour objet d’aider l’ensem­ble des pro­fes­sion­nels — opéra­teurs d’in­fra­struc­tures de sécu­rité, autorités de con­fi­ance, tiers de con­fi­ance et util­isa­teurs — à struc­tur­er et organ­is­er le marché au-delà des aspects tech­nologiques avec l’op­ti­mum de trans­parence et de règles de jeu con­nues et con­stru­ites par tous.

Fondement de la confiance

Organisation du marché de la confiance

Après Télé-TVA et Télé-IR pour la DGI, le développe­ment de la let­tre recom­mandée élec­tron­ique par La Poste per­met aujour­d’hui un pre­mier retour d’ex­péri­ence du marché nais­sant de la confiance.

La mod­éli­sa­tion pro­posée ci-après a pour objet d’analyser l’or­gan­i­sa­tion du marché de la con­fi­ance, de com­pren­dre com­ment la total­ité de ses com­posantes inter­vient dans un ser­vice pub­lic de con­fi­ance comme la let­tre recom­mandée élec­tron­ique de La Poste et de con­clure, enfin, sur les con­di­tions qui facilit­eraient la via­bil­ité économique du marché de la confiance.

Principes fondateurs de la création d’un Internet de confiance

La con­fi­ance est un cap­i­tal qui résulte de trois com­posantes : le statut, l’au­torité2 et la com­pé­tence. Elle est offerte sur le marché par des acteurs qui ont légitim­ité à fournir les usages et procé­dures liés à l’ex­er­ci­ce de la con­fi­ance. Ce sont les tiers de con­fi­ance statutaires.

Les tiers de con­fi­ance se dotent des moyens de preuve néces­saires (les “com­pé­tences”) à leurs engage­ments et respon­s­abil­ités de tiers garant en s’ap­puyant sur la “chaîne de la con­fi­ance” (voir schéma).

À l’in­star de ce qui existe dans l’é­conomie physique, un tiers garant sera recon­nu comme tiers de con­fi­ance dans le monde élec­tron­ique si et seule­ment s’il répond aux con­di­tions cumu­la­tives suivantes :

  • il devra dis­pos­er statu­taire­ment de procé­dures qui font foi légalement ;
  • il devra démon­tr­er sa com­pé­tence, c’est-à-dire la capac­ité à offrir ce ser­vice quel qu’en soit le support ;
  • enfin, son autorité devra être recon­nue et con­sacrée par l’usage, seul moyen pour ce tiers d’être durable­ment accep­té comme référent sur la procé­dure pour laque­lle il entend faire foi.


De fait, il y a encore rel­a­tive­ment peu d’ac­teurs en mesure aujour­d’hui de sat­is­faire à ces trois exi­gences. Des alliances sont donc prob­a­bles à court terme, avec l’ob­jec­tif pour cer­tains d’en­tre eux de com­pléter leur dis­posi­tif de ser­vices de tiers de con­fi­ance, en s’ap­puyant, par exem­ple, sur des prestataires ou opéra­teurs capa­bles de délivr­er la “com­pé­tence” dans les canaux électroniques.

Le marché de la confiance. Quelle organisation?

Rôle de chacun des acteurs dans la chaîne de la confiance

L’ensem­ble des acteurs présen­tés ci-dessous sont liés dans une chaîne con­tractuelle con­tin­ue au sein de laque­lle chaque acteur est pleine­ment respon­s­able du niveau de ser­vice qu’il représente dans la chaîne.

L’u­til­isa­teur final con­tracte pour un ser­vice de con­fi­ance glob­al (par exem­ple une téléprocé­dure) auprès du tiers de con­fi­ance ayant délé­ga­tion pour l’ex­er­ci­ce de cette procédure.

1er niveau : les équipementiers

Les équipemen­tiers four­nissent le matériel tech­nique néces­saire à la mise en œuvre des infra­struc­tures de confiance

2e niveau : les opérateurs d’infrastructures de confiance

Les opéra­teurs met­tent en œuvre et exploitent les infra­struc­tures de con­fi­ance. Ils sont garants de la con­ti­nu­ité et de la qual­ité tech­nique du ser­vice offert (listes de révo­ca­tion des cer­ti­fi­cats, archivages éventuels des cer­ti­fi­cats, etc.). Ils fab­riquent aus­si les pro­duits dont les tiers cer­tifi­ca­teurs ont besoin.

3ème niveau : les tiers certificateurs

Les tiers cer­tifi­ca­teurs con­stituent le back-office des ser­vices de con­fi­ance : il s’ag­it d’au­torités de cer­ti­fi­ca­tion, d’archivage, d’en­reg­istrement ou encore d’horo­datage. Ils pren­nent donc la respon­s­abil­ité de la bonne fin de la procé­dure pour laque­lle ils sont étab­lis en autorité, en con­for­mité avec “l’é­tat de l’art” du domaine d’ex­per­tise considéré.

Les autorités de cer­ti­fi­ca­tion sont, par exem­ple, respon­s­ables des procé­dures de délivrance de cer­ti­fi­cats. Elles doivent être ain­si en mesure d’ef­fectuer des con­trôles cor­re­spon­dant aux garanties offertes (con­trôle d’i­den­tité en face à face par exem­ple). Elles se por­tent garantes de l’i­den­tité des por­teurs de cer­ti­fi­cats et de la valid­ité des cer­ti­fi­cats util­isés, en con­for­mité avec la poli­tique de cer­ti­fi­ca­tion qui les engage.

4ème niveau : les tiers de confiance

Les tiers de con­fi­ance sont, de par leur statut, leur autorité et leur com­pé­tence à même de pro­pos­er des ser­vices de con­fi­ance (“faisant foi”) qui utilisent les infra­struc­tures et cer­ti­fi­cats délivrés par les tiers cer­tifi­ca­teurs. Ils peu­vent s’ap­puy­er sur une ou plusieurs autorités qu’ils agréent, afin d’as­sur­er un usage valide et con­trôlé de la sig­na­ture élec­tron­ique pour leurs besoins appli­cat­ifs, garan­tis­sant ain­si la valid­ité et l’i­den­ti­fi­ca­tion du sig­nataire de téléprocédures.

Premiers retours d’expérience…

Créer un langage unique

Une démarche est actuelle­ment en cours auprès de l’ensem­ble des acteurs de l’In­ter­net de con­fi­ance pour clar­i­fi­er le marché et stan­dard­is­er la chaîne de la con­fi­ance, sur la seule base de procé­dures de con­trôles et d’un vocab­u­laire unique.

La con­struc­tion de la chaîne de la con­fi­ance ne pour­ra en effet aboutir si les acteurs ne se dotent pas d’un sché­ma de con­trôle totale­ment fiable — un référen­tiel — qui atteste de la qual­ité des prestataires présents sur le marché. Ce référen­tiel doit être unique, et présen­ter bien évidem­ment une par­faite neu­tral­ité vis-à-vis des tiers à cer­ti­fi­er. En effet, c’est bien ce référen­tiel, et les règles qui le com­posent, qui con­stitueront le fonde­ment des régu­la­tions et garanties de l’In­ter­net de confiance.

L’ex­is­tence même de ce référen­tiel unique pour­rait être le prix à pay­er pour que s’in­stalle la con­fi­ance en un monde dématérialisé.

Alléger la charge financière reposant sur les tiers certificateurs

Si la créa­tion d’un référen­tiel unique est à l’év­i­dence une con­di­tion néces­saire, elle ne suf­fit pas pour autant à faire du marché de la con­fi­ance un marché flu­ide et prof­itable, au strict plan économique.

En effet, à la lec­ture du sché­ma d’or­gan­i­sa­tion du marché présen­té ci-dessus, le lecteur aura com­pris que les autorités de cer­ti­fi­ca­tion, en tant que back-office, ont des dif­fi­cultés impor­tantes d’ac­cès au marché.

Or, ces “tiers cer­tifi­ca­teurs“3 doivent non seule­ment faire face à leurs charges d’opéra­teur sous-trai­tant mais égale­ment assumer le niveau de respon­s­abil­ité induit par les textes de lois. Ceux-ci enga­gent en effet leur respon­s­abil­ité au regard de la sécu­rité des trans­ac­tions pour lesquelles des cer­ti­fi­cats ont été four­nis. Cette respon­s­abil­ité implique donc des risques financiers importants.

Les pra­tiques com­mer­ciales tra­di­tion­nelles veu­lent que la respon­s­abil­ité d’un ser­vice ou d’un pro­duit en incombe à son four­nisseur. Si celui-ci sous-traite une par­tie de la réal­i­sa­tion du pro­duit ou du ser­vice fourni, il en reste néan­moins entière­ment respon­s­able. Pour assur­er cette respon­s­abil­ité, il doit définir et con­trôler les niveaux néces­saires et suff­isants des presta­tions qu’il choisit de sous-traiter, afin d’of­frir le niveau de qual­ité atten­du au regard de sa presta­tion finale. Il est dès lors pos­si­ble de se retourn­er con­tre un sous-trai­tant respon­s­able d’une défail­lance qui aurait mis en cause sa respon­s­abil­ité. Ces pra­tiques per­me­t­tent une adap­ta­tion des niveaux de presta­tions et une maîtrise des risques par chaque mail­lon de la chaîne de valeur.

Dans le cas des tiers cer­tifi­ca­teurs, il importe prob­a­ble­ment de pondér­er plus pré­cisé­ment l’é­ten­due de cette respon­s­abil­ité par rap­port à celle des tiers de con­fi­ance, afin d’al­léger des charges finan­cières trop impor­tantes, liées aux pro­duits d’as­sur­ance néces­saire­ment contractés.

Des dif­férences d’in­ter­pré­ta­tion de la Direc­tive européenne de décem­bre 1999 ayant, sur cette ques­tion, créé une sit­u­a­tion pour le moins dis­parate entre les États mem­bres, il s’a­gi­ra là aus­si de pos­er les fon­da­tions d’un lan­gage commun.

Les tiers de confiance doivent créer les applications permettant l’usage de la signature électronique

Lieu d’échange priv­ilégié des flux d’af­faires, dans un Inter­net pro­fes­sion­nal­isé et régulé, le marché de la con­fi­ance ou l’In­ter­net de con­fi­ance con­stituent un marché extrême­ment prometteur.

Dans ce con­texte, la sig­na­ture élec­tron­ique et les tech­nolo­gies d’in­fra­struc­tures à clés publiques (dites PKI) ne con­stituent dans ce marché qu’un attrib­ut de sécuri­sa­tion de la preuve électronique.

Les dis­posi­tifs des tiers cer­tifi­ca­teurs ont donc voca­tion à être inté­grés dans les ser­vices légitimes des tiers de con­fi­ance qui, seuls, leur don­nent sens auprès des usagers et clients. En effet, seuls ces ser­vices sont capa­bles de génér­er les usages suff­isam­ment nom­breux et fréquents pour pou­voir établir un mod­èle économique sta­ble et pérenne.

À ce titre, il con­vient de con­stru­ire sans délais une économie où les usages dématéri­al­isés pro­posés par les tiers de con­fi­ance vien­nent s’in­scrire comme le véri­ta­ble front-office des ser­vices de con­fi­ance, dans des con­di­tions per­me­t­tant le finance­ment des cen­tres de coûts et back-office que con­stituent les tiers certificateurs.

Il appar­tient désor­mais aux tiers de con­fi­ance de pro­pos­er aux entre­pris­es ces ser­vices utiles, recon­nus juridique­ment, qui engen­dreront le con­fort et les économies atten­dus dans le traite­ment dématéri­al­isé des con­trats, des actes ou encore des rela­tions avec l’ad­min­is­tra­tion. Gageons que nous ne man­querons pas ce ren­dez-vous his­torique de la mod­erni­sa­tion des échanges qu’est l’émer­gence de l’In­ter­net de con­fi­ance et de l’écrit élec­tron­ique “authen­tique”.

________________________________________
1.
Un autre moyen accept­able juridique­ment est la con­ven­tion de preuve telle qu’elle se pra­tique par exem­ple pour les échanges EDI. Ceci sup­pose que les rela­tions d’af­faires sont établies sur une longue péri­ode. Il ne répond donc pas à toutes les con­fig­u­ra­tions du com­merce électronique.
2. La mar­que, de ce point de vue, est une représen­ta­tion de l’autorité.
3. Ou PSCE.

Poster un commentaire