Contractualisation multicanal (internet, face à-face en agence, terminaux mobiles)

2012 Livre Blanc

DICTAO

152 avenue de Malakoff - 75116 PARIS

Tel. : 01 73 00 26 00

www.dictao.com – [email protected]

Contractualisation multicanal (Internet, face-a-Face en Agence, terminaux

mobiles)

http://www.dictao.com/

mailto:[email protected]

Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)

1

SOMMAIRE

SOMMAIRE.......................................................................................................................................................... 1

Président et Fondateur de Dictao ............................................................................................................................................ 2

1 PRINCIPES DE LA CONTRACTUALISATION .......................................................................................... 3

1.1 Definition ........................................................................................................................................................................... 3

1.2 Cas d’application ............................................................................................................................................................ 3

1.3 Bénéfices ........................................................................................................................................................................... 3

1.4 Cinématique...................................................................................................................................................................... 4

Cinématique de base ................................................................................................................................................................. 4

Enrichissement de la cinématique ............................................................................................................................................. 4

1.5 Présentation des fonctions de confiance ..................................................................................................................... 5

Authentification ............................................................................................................................................................................ 5

Signature électronique ............................................................................................................................................................... 5

Lien entre authentification et signature électronique ........................................................................................................... 5

Constitution et gestion de preuve ............................................................................................................................................ 5

2 PROBLEMATIQUES ............................................................................................................................... 6

2.1 Différents Niveaux de sécurité de la transaction ..................................................................................................... 6

Cas des transactions BtoB .......................................................................................................................................................... 6

Cas des transactions BtoC ......................................................................................................................................................... 6

2.2 Conservation de la preuve ............................................................................................................................................ 7

3 LA FONCTION D’AUTHENTIFICATION ................................................................................................. 7

3.1 Cas du client, connu de l’organisation ......................................................................................................................... 7

Critères de choix du moyen d’authentification...................................................................................................................... 7

Moyens d’authentification disponibles .................................................................................................................................... 7

3.2 Cas particulier du prospect ........................................................................................................................................... 9

4 LA FONCTION DE SIGNATURE ............................................................................................................. 9

4.1 contrôle des moyens de signature par le signataire ................................................................................................ 9

Contrôle total des moyens de signature par le client : respect du cadre réglementaire ............................................ 9

Contrôle total des moyens de signature par l’organisation : ergonomie maximale pour le client ............................ 9

Contrôle partiel des moyens de signature par le client ...................................................................................................... 9

4.2 Certification de l’outil de signature ........................................................................................................................... 10

4.3 Niveau de Qualité du certificat de signature ......................................................................................................... 10

Certificat niveau une étoile ..................................................................................................................................................... 10

Certificat niveau deux étoiles ................................................................................................................................................. 10

Certificat niveau trois étoiles .................................................................................................................................................. 10

5 LES FONCTIONS DE VALIDATION ET DE CONSTITUTION DE PREUVE ............................................... 11

6 LA PLATEFORME DICTAO TRUST PLATFORM (DTP) .......................................................................... 12

6.1 Les principes ................................................................................................................................................................... 12

6.2 Les fonctions de confiance assurées ........................................................................................................................... 12

6.3 Les atouts de Dictao Trust Platform ........................................................................................................................... 13


2

UN MOT DE JACQUES PANTIN Président et Fondateur de Dictao

On observe depuis longtemps la montée en puissance du monde électronique, face au déclin progressif d’une culture du

face à face et de la communication sur papier.

Aujourd’hui, la suprématie des « échanges dématérialisés » n’est pas seulement acquise, elle ne cesse de se confirmer

dans l’ensemble des secteurs économiques.

La contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles), dans laquelle un Utilisateur et une

Organisation s’engagent l’un vis-à vis de l’autre, représente probablement un des changements les plus marquants dans

le quotidien des utilisateurs privés et professionnels de ces quinze dernières années.

Elle concerne l’ensemble des secteurs :

Une télédéclaration fiscale dans laquelle un « assujetti » (personne physique ou entreprise) déclare sa base

imposable à l’administration

Une « déclaration de soupçon de fraude financière » dans laquelle un acteur (banque, notaire…) informe

l’administration de ses doutes sur des mouvements financiers

Une opération de « cash management » (virement, prélévement, etc.) qu’un trésorier d’entreprise présente à sa

banque pour exécution

L’émission par l’entreprise d’un bon de commande vers un fournisseur ou d’une facture vers un client

Un virement qu’un particulier souhaite voir effectuer par sa banque

La souscription d’un contrat en ligne par le client d’une banque, d’une société d’assurance, d’une société de

services

…

L’engagement des deux parties se traduisait traditionnellement par la signature d’un document papier.

En s’appuyant sur des fonctions de confiance (signature électronique, validation de signature, horodatage…), il est

aujourd’hui possible de totalement dématérialiser cette opération de contractualisation, tout en lui gardant sa valeur

probante.

L’utilisateur signe électroniquement le contrat. L’entreprise valide la signature et donc la qualité tant du document que de

son signataire. Elle envoie à l’utilisateur un accusé réception, constitue une preuve qu’elle conserve sur la durée légale.

En fonction des enjeux et des niveaux de risque de la transaction, les moyens de confiance mis en œuvre sont plus ou

moins sophistiqués.

L’opération de signature est, en elle-même, très simple à réaliser, à la condition de connaître avec certitude l’identité du

signataire ; pour cela, il faut que celui-ci ait pu être correctement authentifié, avec un mot de passe non rejouable, un

certificat électronique, une carte à puce… Pour que la signature ait valeur légale (ou valeur probante), il faut que ce

moyen d’authentification respecte un certain nombre de contraintes qu’il n’est pas toujours simple à mettre en œuvre si

l’on souhaite ne pas trop perturber l’ergonomie de l’application (certificat sur carte à puce, remise du certificat en face à

face…).

Ces problématiques d’authentification ont longtemps grandement ralenti le développement des applications de

contractualisation en ligne.

Mais nous disposons aujourd’hui de la panoplie technique, de l’appareillage juridique et de l’expérience utilisateur pour

déployer à grande échelle ces solutions de contractualisation.

Ce livre blanc est destiné à vous présenter les principales questions que pose la contractualisation multicanal et les

moyens de simplement y répondre.

Dictao a su s’imposer sur ce domaine qui est au cœur de ses préoccupations d’acteur de confiance. Nous nous tenons,

bien entendu, à votre disposition pour approfondir avec vous ces différentes thématiques.

Jacques Pantin, Président et fondateur de Dictao.


3

1 PRINCIPES DE LA CONTRACTUALISATION

1 . 1 D E F I N I T I O N

La contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles) permet à un émetteur de

s’engager sur des données en ligne (contrat, ordre, commande, etc.) grâce à la signature électronique et à un

récepteur de traiter sa demande de manière exclusivement électronique, en validant l’authenticité des

données (validation de signature) et en constituant des preuves.

1 . 2 C A S D ’ A P P L I C A T I O N

La contractualisation multicanal concerne un très grand nombre de secteurs. Elle doit être définie au sens le

plus large. Il ne s’agit pas simplement de dématérialiser les opérations de signature d’un contrat et de son

acceptation, mais de considérer l’ensemble des fonctions d’engagement et de signature qui concernent tous les

secteurs et de nombreuses applications :

L’administration a eu très tôt un effet d’entraînement avec la mise en œuvre des premières

téléprocédures, en particulier dans le domaine fiscal : télédéclaration d’impôts, télédéclaration de

TVA

La banque propose de nombreux services de contractualisation en ligne, pour le BtoB et le BtoC. En

BtoC, ces opérations peuvent :

o Se limiter à la signature d’un ordre de banque par le Particulier et à son acceptation par la

Banque, la signature d’un contrat d’épargne voire même à la simple demande d’un carnet de

chèques

o Concerner des opérations à forte valeur ajoutée, comme la signature d’un contrat d’assurance

vie

Le secteur de l’assurance devrait, dans les prochaines années, largement s’ouvrir à ces nouvelles

pratiques (signature de contrat IARD (Incendie Accidents Risques Divers), santé…)

L’entreprise dans le cadre des échanges avec son « écosystème » (signature de bons de commande,

de factures…).

1 . 3 B E N E F I C E S

Pour l’entreprise, la dématérialisation des flux se justifie très simplement, au moins par :

La possibilité de proposer à ses clients de nouveaux services

L’amélioration de la qualité de service pour le client, qui peut accéder au service 24 heures/24 , 7

jours sur 7 sans se déplacer , échapper aux files d’attente

L’amélioration des taux de conversion des services / produits en ligne existants : le processus de

contractualisation n’est plus interrompu par la nécessité d’imprimer et d’envoyer le contrat signé par

courrier ou fax ; on parle de « Straight Though Processing »

Les gains d’efficacité que permettent des processus « sans papier »

L’appréhension des nouveaux canaux Internet et Mobile comme de véritables alternatives et/ou

compléments aux canaux traditionnels


4

1 . 4 C I N E M A T I Q U E

Cinématique de base

La cinématique d’une opération de contractualisation en ligne peut être simplement représentée par

l’enchaînement des opérations suivantes :

Authentification de l’émetteur

Préparation et visualisation d’un formulaire ou d’un document par « l’émetteur »

Signature du « contrat » par l’émetteur ; avec cette signature, celui-ci s’engage et reconnaît que :

o Il est bien l’émetteur

o Il s’engage sur la qualité des informations qu’il soumet au « récepteur »

Transmission du contrat au récepteur

Validation de la signature par le récepteur

Constitution et archivage d’une preuve par le récepteur

Enrichissement de la cinématique

Cette cinématique de base sera naturellement adaptée pour répondre précisément aux besoins métiers, que

la contractualisation se réalise en ligne, en face-à-face en agence, sur des terminaux mobiles.

Par exemple, le contrat peut se faire entre deux organisations (ou leurs représentants) dans des approches

BtoB ou entre une organisation et un particulier, que celui-ci soit un client, un citoyen, un usager… On parle

alors de :

Signature de personnes physiques, lorsque c’est un client ou un acheteur qui marque son engagement

Signature de personnes morales, ou signature entité, lorsque la transaction est signée au nom de

l’entreprise

Prenons le cas d’un document sortant engageant l’entreprise (factures, bons de commande, etc.). Différents

intervenants signeront le document en tant que personnes physiques (ils engagent ainsi leur responsabilité). Le

document final est signé au nom de l’entreprise ; le destinataire du document aura davantage confiance en la

signature entité qui engage l’entreprise qu’en la signature d’une personne physique qui n’engage que celle-ci.

Parfois, il est aussi nécessaire de mettre en œuvre des fonctions de co-signatures et des sur-signatures. Par

exemple, un contrat d’assurance vie pourra être signé les deux conjoints (co-signature) ; un bon de commande

nécessite l’aval d’un collaborateur et de son responsable de département (sur-signature).

Il faut aussi assurer la gestion des pièces jointes. Un client ou prospect peut signer un contrat, mais pour que

celui-ci prenne effet, il faut, dans certain cas, fournir des pièces justificatives qui seront traitées « en

asynchrone », dans les jours suivants la signature du contrat ; on aura, ainsi, une « transaction longue » dont il

faudra savoir constituer et conserver la preuve.


5

1 . 5 P R E S E N T A T I O N D E S F O N C T I O N S D E C O N F I A N C E

Authentification

L’authentification permet de s’assurer de l’identité de son correspondant : qu’il prouve qu’il est

bien la personne qu’il prétend être

Ce que je sais (par exemple un mot de passe), ce que je possède (par exemple un support matériel), et ce

que je suis (par exemple une empreinte digitale) sont des facteurs d’authentification forte. On appelle

‘’authentification forte’’ l’utilisation de deux facteurs d’authentification parmi les 3 cités précédemment.

Une authentification uni-facteur (par exemple par simple mot de passe) est dite faible.

Il existe de nombreux moyens d’authentification : simple mot de passe, mot de passe à usage unique

(« authentification non rejouable »), certificat logiciel ou sur carte à puce, une empreinte biométrique… Le

choix du moyen d’authentification est fonction de la population ciblée, de la sensibilité et du niveau de risque

de la transaction, des évolutions technologiques, de l’ergonomie recherché. Il n’est pas envisageable d’avoir

un moyen d’authentification unique pour l’ensemble de la population et des transactions.

Signature électronique

Une fois l’utilisateur authentifié, il peut recevoir un certificat (sa pièce d’identité électronique) et procéder à

des opérations de signature (signature de virements, de contrats, etc.).

La signature électronique remplace la signature manuscrite. Elle est réalisée à partir d’un outil de signature

électronique qui, associé au certificat du signataire (sa pièce d’identité électronique) et aux secrets de

l’utilisateur (clé privée / clé publique), applique un algorithme cryptographique au document et calcule la

signature.

Lien entre authentification et signature électronique

Authentification et signature sont intimement liées. L’attribution du certificat de signature au signataire est

basée sur l’authentification du signataire. Par conséquent, la qualité de la signature dépend de la qualité de

l’authentification.

Constitution et gestion de preuve

La validation d'une signature permet de :

Détecter une éventuelle perte d'intégrité de l’objet signé (transaction, document, etc.)

Authentifier le signataire

Vérifier la validité du certificat et, éventuellement, les « droits à signer » du signataire.

Une preuve électronique horodatée, à vocation probante, est constituée lors de chaque validation. En fonction

de la nature de la transaction, cette preuve sera conservée 1 an, 3 ans, 10 ans, etc. et pourra être très

simplement rejouée en cas de litige.


6

2 PROBLEMATIQUES

2 . 1 D I F F E R E N T S N I V E A U X D E S E C U R I T E D E L A T R A N S A C T I O N

Pour mettre en place des opérations de contractualisation multicanal, nous avons vu qu’il était en particulier

nécessaire de mettre à disposition de l’émetteur (clients, prospects, partenaires, etc. ) :

Un moyen d’authentification plus ou moins robuste (du mot de passe à l’empreinte biométrique

Un certificat de signature de plus ou moins bonne qualité : certificat sur support matériel, certificat

logiciel stocké sur le poste client ou sur le serveur de l’organisation

Un outil de signature de plus ou moins bonne qualité : certifié ou non ; situé sur le poste client ou sur

le serveur de l’organisation

La conjonction de ces trois moyens (moyen d’authentification, certificat de signature, outil de signature)

confère à la transaction un plus ou moins haut niveau de sécurité.

L’organisation qui cherche à mettre en œuvre des opérations de contractualisation multicanal devra donc

mettre en œuvre ses trois moyens, en les choisissant selon le type de population ciblée (clients Entreprises,

particuliers, prospects, etc.) et le niveau de risque du contrat proposé.

Nous considérons disposer pour tous vos besoins de réponses appropriées, fonction du niveau de risque perçu

et/ou accepté par l’organisation.

Cas des transactions BtoB

Les applications « dématérialisées » se généralisent rapidement dans le domaine du BtoB, en particulier, en

prolongement des applications mettant en jeu l’entreprise et son « écosystème » (relations clients /

fournisseurs, échanges avec la banque ou l’administration…). Les acteurs concernés sont relativement peu

nombreux, les enjeux sont souvent importants.

Par conséquent, l’organisation est amenée à mettre en œuvre des solutions de confiance robustes, en

distribuant par exemple, des cartes à puce et en utilisant des produits de signature électronique certifiés et

qualifiés.

Cas des transactions BtoC

Dans le monde du BtoC, dans une relation entre une entreprise et un client ou prospect, la problématique est

différente et plus difficile à traiter pour au moins deux raisons :

Les dimensions ergonomie et coût de déploiement sont clés pour la viabilité et le succès de

l’application. Il est difficile, sinon impossible, pour l’organisation de distribuer une carte à puce ou un

token à tous ses clients. il ne faut pas, non plus, ralentir le processus de contractualisation et empêcher

« l’achat impulsif » par des contrôles trop tatillons…

La distinction entre clients et prospects : Il faut traiter le cas d’utilisateurs de l’identité desquels

l’entreprise ne peut pas être certaine; ce qui est le cas, en particulier, des prospects qui, a priori, ne

disposent pas de moyens d’authentification connus de l’entreprise (à moins de pouvoir utiliser une

carte bancaire ou, éventuellement, un jour, une carte nationale d’identité électronique…)

Il faut donc mettre en place des outils (moyen d’authentification, certificat de signature, outil de signature) à

la fois :

Faciles à utiliser

Engageant plus ou moins fortement l’utilisateur sur la transaction ou le contrat. Ainsi, l’organisation

limite au maximum le risque.


7

2 . 2 C O N S E R V A T I O N D E L A P R E U V E

Dans la plupart des cas, la preuve doit être conservée pendant moins de cinq ans, ce qui ne pose pas de

problèmes techniques particuliers.

En revanche, s’il faut garantir la qualité de la preuve sur longues périodes (jusqu’à 100 ans ou plus), il faut

alors tenir compte de l’obsolescence de la preuve et mettre en place des mécaniques de « rajeunissement de

la preuve » pour que celle-ci conserve toute sa valeur. En effet, les mécanismes cryptologiques qui ont permis

de la bâtir sont dépassés et donc aisément destructibles…

3 LA FONCTION D’AUTHENTIFICATION

Signature et authentification sont des fonctions intimement liées. Pour qu’une signature soit de qualité, il faut

que l’on soit certain de l’identité du signataire et donc que l’on ait pu correctement authentifier ce dernier.

Idéalement, il faudrait que le signataire dispose d’un moyen d’authentification qui puisse être simplement

reconnu par la plupart des organisations ; la Carte Nationale d’Identité électronique serait ainsi un

formidable vecteur d’accélération de la dématérialisation et de la contractualisation multicanal…

3 . 1 C A S D U C L I E N T , C O N N U D E L ’ O R G A N I S A T I O N

En l’absence d’un ‘moyen universel’, c’est à l’organisation (l’administration, la banque, l’entreprise…) de

fournir à ses clients et partenaires un moyen d’authentification dans lequel elle aura confiance.

Critères de choix du moyen d’authentification

Le moyen d’authentification est choisi en fonction de la nature du certificat de signature :

Le certificat de signature est de haute qualité (remis en face à face) et « bien protégé » (par

exemple, dans une carte à puce), de niveau 2 à 3 étoiles du RGS ; dans un tel cas, il n’y a, a priori,

pas besoin de s’appuyer sur un moyen d’authentification solide, puisque l’identité du signataire est

garantie par son certificat de signature activé par un mot de passe ou par une fonction biométrique

Le certificat de signature est de qualité moyenne (par exemple, certificat logiciel émis sans face à

face, niveau 1 étoile du RGS) ; il faut alors renforcer le niveau de sécurité en mettant en œuvre une

fonction d’authentification du porteur. On peut alors utiliser un moyen de type mot de passe à usage

unique, en considérant que le couple traditionnel login / mot de passe est trop fragile

Le certificat de signature est tiré à la volée ; sa qualité est alors strictement fonction de la qualité de

l’authentification faite avant l’émission du certificat. Dans un tel contexte, on considérera qu’il faut, a

minima, une authentification par mot de passe à usage unique pour que la signature puisse être

reconnue de qualité suffisante

Moyens d’authentification disponibles

Les moyens d’authentification d’un utilisateur sont aujourd’hui très nombreux :

Authentification faible : le simple mot de passe est très largement le moyen le plus employé

aujourd’hui ; mais, le niveau de sécurité est faible et une signature faite avec un certificat de

signature de qualité moyenne à la suite d’une authentification par mot de passe sera potentiellement

contestable

Authentification forte, avec un certificat sur carte à puce ou sur token ; L’authentification forte

permettra d’obtenir une signature à valeur probante mais se posent les problématiques d’ergonomie

et de coût de distribution.

Authentification intermédiaire ou non rejouable: les mots de passe à usage unique (OTP- One Time

Password) que l’utilisateur ne peut employer qu’une seule fois. Dans le cas d’un OTP SMS, ce mot de

passe est envoyé par SMS sur le mobile de l’utilisateur, celui-ci le saisit sur son ordinateur. Dans le

monde bancaire, on peut utiliser un mot de passe non rejouable de type EMV CAP qui est affiché sur

l’écran d’une petite calculette dans laquelle l’utilisateur a introduit sa carte bancaire


8

Il faut considérer qu’une organisation ne peut se limiter au choix d’un seul moyen d’authentification ; il lui faut

mettre en œuvre des moyens d’authentification différents, en fonction des populations, de la nature des

applications, du niveau de risque associé… De plus, il faut faire évoluer ces moyens dans le temps et

progressivement les « durcir » pour répondre à des niveaux de risque nécessairement croissants ou à

l’exploitation de faiblesses dans les algorithmes cryptographiques…

Dans son processus de choix d’un moyen d’authentification, l’entreprise cherchera systématiquement un

optimum entre le niveau de sécurité, la facilité de mise en œuvre, l’ergonomie utilisateur et le coût.

Ainsi, les banques ont aujourd’hui majoritairement choisi d’utiliser l’OTP SMS comme moyen d’authentification

non rejouable. L’OTP SMS a l’avantage d’être simple à mettre en œuvre et d’être relativement solide.

Cependant, pour une population d’utilisateurs très réguliers, son coût devient difficile à supporter. Il faut donc

considérer l’OTP SMS comme une solution bien adaptée pour des usages épisodiques en BtoC, mais qu’il

faudra remplacer dans les prochaines années pour une solution plus solide et potentiellement moins coûteuse.

Pour répondre à ces besoins et approches multiples, avec notre produit DACS (Dictao Access Control Server),

nous proposons une plate-forme d’authentification multimoyen et multicanal qui peut être simplement mutualisé

au niveau de l’entreprise et qui est en mesure de supporter la totalité des moyens d’authentification

envisageables (du simple mot de passe à la carte à puce ou à la biométrie, en passant pas l’OTP…). En

s’appuyant sur DACS, l’entreprise fait un investissement pérenne : elle peut conserver l’ensemble de sa plate-

forme d’authentification et mettre en œuvre de nouveaux moyens d’authentification.


9

3 . 2 C A S P A R T I C U L I E R D U P R O S P E C T

Lorsque l’organisation connaît son correspondant (s’il est déjà client ou partenaire) elle peut lui remettre un

moyen d’authentification et/ou de signature.

Le prospect, inconnu de l’organisation, est lui dépourvu de moyen d’authentification ; il faut chercher, en

fonction du contexte, des moyens d’authentification de substitution, comme par exemple des pièces d’identité

scannées ou photographiées.

4 LA FONCTION DE SIGNATURE

Pour pouvoir signer, il faut disposer d’un certificat de signature attribué au signataire (personne physique ou

personne morale) et d’un outil de signature électronique.

Le certificat peut être de plus ou moins grande qualité (de une étoile à trois étoiles du RGS) ; il peut être

stocké sur le poste de travail ou le serveur de l’organisation.

De son côté, l’opération de signature peut être effectuée sur le poste de travail de l’utilisateur (pour répondre

aux contraintes légales) ou sur le serveur de l’organisation ; elle peut être réalisée par un outil de signature

certifié ou non.

Par conséquent, la qualité de la signature dépend de plusieurs facteurs à prendre simultanément en compte

et à combiner pour répondre aux niveaux de risque et d’ergonomie de l’application de contractualisation

multicanal.

Nous nous proposons dans ce chapitre d’examiner dans ce chapitre les leviers influant la qualité et

l’ergonomie de la fonction de signature.

4 . 1 C O N T R O L E D E S M O Y E N S D E S I G N A T U R E P A R L E S I G N A T A I R E

Plusieurs cas peuvent être envisagés :

Contrôle total des moyens de signature par le client : respect du cadre réglementaire

L’outil de signature et le certificat de signature sont sur le poste de travail de l’utilisateur ; seule cette

configuration permet de répondre aux contraintes du cadre réglementaire qui demande à ce que ces

composants soient sous le contrôle direct de l’utilisateur.

Contrôle total des moyens de signature par l’organisation : ergonomie maximale pour le client

L’outil de signature et le certificat de signature sont sur le serveur de l’organisation ; diamétralement opposée

à la solution précédente, cette approche est plus simple à mettre en œuvre (il n’y a pas de composants à

déployer sur les stations). Néanmoins la signature reste de qualité moyenne, car le signataire n’a pas la

maîtrise de l’outil de signature

Dans ce scénario, la cinématique la plus fréquemment rencontrée est la suivante :

L’utilisateur s’authentifie par un simple mot de passe ou par un OTP

Un certificat de signature est généré sur le serveur de l’organisation

L’outil de signature, lui aussi localisé sur le serveur fera appel à ce certificat de signature

Contrôle partiel des moyens de signature par le client

L’outil de signature est sur le client et le certificat est sur le serveur, dans des approches dites de « roaming ».

Là encore, le choix de l’approche est fonction des niveaux d’ergonomie et de qualité recherchés. Pour des

opérations peu risquées, une solution ‘tout sur le serveur’, particulièrement ergonomique, peut être acceptée.

Cependant, pour obtenir une signature de qualité, tous les moyens (certificat et outil) devront être situés sur le

poste de travail du client.


10

4 . 2 C E R T I F I C A T I O N D E L ’ O U T I L D E S I G N A T U R E

Pour qu’une signature ait valeur probante, elle doit être réalisée avec un outil de signature certifié par

l’Agence Nationale de la Sécurité des Systèmes d’Information. Dictao AdSigner, outil de signature sur le

poste client, est aujourd’hui le seul produit français qualifié et certifié EAL3+ par l’Agence Nationale de la

Sécurité des Systèmes d’Information. AdSigner supporte la quasi-totalité des environnements techniques

(systèmes d’exploitation et navigateurs) et est aujourd’hui très largement utilisé, en particulier dans le cadre

de la dématérialisation de déclarations fiscales.

4 . 3 N I V E A U D E Q U A L I T E D U C E R T I F I C A T D E S I G N A T U R E

Disposer d’un certificat électronique est indispensable pour une opération de signature, même si ce certificat

est « éphémère » et détruit immédiatement après l’opération de signature.

Comme nous l’avons dit, la qualité du certificat de signature est directement liée à la qualité du processus

d’authentification du porteur.

Cette authentification pourra se faire par simple mot de passe (niveau d’authentification faible), par mot de

passe à usage unique, par certificat, par biométrie…

L’administration française a défini et récemment publié le RGS (Référentiel Général de Sécurité) qui

caractérise trois niveaux de qualité pour le certificat : le certificat de 1, 2 et 3 étoiles.

Certificat niveau une étoile

C’est un certificat logiciel délivré sans opération de face-à-face. Par exemple, dans le cadre de la

télédéclaration d’impôts (où le risque de fraude est quasi-nul), un certificat de signature de niveau 1 étoile est

attribué en ligne à l’usager après qu’il a fourni quelques informations sur sa situation fiscale.

Ce certificat dit de niveau 1 étoile est nécessairement faible ; mais ce niveau de sécurité est suffisant pour un

certain nombre d’opérations où le risque est peu élevé (virement bancaire vers un membre de sa communauté

déjà connu de la banque, fourniture d’informations vers une collectivité territoriale…)

Certificat niveau deux étoiles

Le niveau 2 étoiles est beaucoup plus « solide » et répond aux besoins de la plupart des applications ; la

déclaration de la TVA par exemple, s’appuie sur un certificat 2 étoiles.

Un certificat deux étoiles doit être remis dans une opération de face-à-face et être sur support matériel

(token ou carte à puce). Le certificat 2 étoiles est très largement supérieur au certificat 1 étoile, en termes de

qualité.

Certificat niveau trois étoiles

Le RGS définit un niveau 3 étoiles, utilisé par les notaires dans le cadre de la signature d’actes authentiques.

Certains souhaiteraient en voir généraliser l’usage et en faire la référence mais nous considérons, pour notre

part, que c’est le certificat 2 étoiles qui devrait devenir la référence dans la dématérialisation des échanges

entre organisations, le niveau 3 étoiles étant limité à des opérations extrêmement sensibles…

Note : Lorsque l’authentification se fait par certificat, le cadre réglementaire demande que le certificat de

signature soit différent du certificat d’authentification ; mais, pour des raisons de simplicité et d’ergonomie

utilisateur, on utilise, bien souvent, le même certificat pour s’authentifier et signer.


11

NIVEAU DE SECURITE DE LA SIGNATURE

5 LES FONCTIONS DE VALIDATION ET DE CONSTITUTION DE PREUVE

Lorsque le document a été signé par l’émetteur, il est transmis au destinataire. Celui-ci doit :

Valider la signature, c’est-à dire :

o Valider la qualité du certificat : le certificat respecte-t-il les standards techniques imposés ?

est-il toujours dans sa période de validité ? n’est-il pas sur les listes de révocation ?… Ces

contrôles permettent de s’assurer de la qualité du signataire. Il faut noter que cette opération

ne permet pas de s’assurer des droits à signer du signataire qui doit faire l’objet d’une

procédure spécifique

o Valider la signature, ce qui permet de s’assurer que le document n’a pas été altéré et que,

par exemple, le virement de 10 000 € à votre concessionnaire automobile ne se transforme

pas en un virement d’un million d’euros vers les Iles Caïman…

Horodater le mouvement ; en fonction du niveau de précision demandé, on utilise du temps Internet

(service NTP) ou du temps GPS, ce qui permet de garantir la date et l’heure auxquelles le contrat a

été validé

Constituer une preuve, c'est-à-dire, en quelque sorte sur-signer le contrat, en lui appliquant la

signature de l’entité morale destinataire de la transaction ou du contrat. Il faut noter qu’il faut veiller

à systématiquement disposer d’une preuve de grande qualité ; en effet, en cas de contestation,

l’entreprise aura à produire cette preuve devant les tribunaux et il est souhaitable que l’horodatage

et la signature de la preuve respectent le cadre réglementaire

Une fois cette preuve constituée, il faut lui conserver sa valeur probante dans le temps. Par conséquent, les

conditions d’archivage doivent être de qualité.

Conserver la valeur probante d’un document sur une période de 3 à 5 ans (ce qui est le cas de la plupart des

documents commerciaux) est relativement simple ; par contre, s’engager sur des périodes de 30 ans, 50 ans,

100 ans est techniquement plus difficile à réaliser. Nous vous proposons, pour de telles durées d’archivage de

mettre en œuvre notre produit D3S (Dictao Secure Storage Server), qui est aujourd’hui le seul produit à être

qualifié CSPN (Certification de Sécurité de Premier Niveau).

Nous considérons que ces fonctions de validation et de constitution de preuve sont techniquement très

sophistiquées à réaliser dans des environnements de production. Grâce à l’expérience que Dictao a su

acquérir dans ces domaines, nous sommes en mesure de vous proposer des solutions industrielles, très faciles à

mettre en œuvre.


12

6 LA PLATEFORME DICTAO TRUST PLATFORM (DTP)

6 . 1 L E S P R I N C I P E S

Nous l’avons vu dans les chapitres précédents, savoir tirer parti des avantages de la contractualisation

multicanal suppose de mettre en œuvre des fonctions de confiance multiples répondant à des besoins

différents.

Dans le cadre de sa stratégie produit, Dictao a toujours cherché à proposer des solutions simples à mettre en

œuvre et « non intrusives » ;

Pour la contractualisation multicanal, nous avons, ainsi, développé notre produit DTP (Dictao Trust Platform),

solution clé en main, qui :

Prend en charge l’ensemble des fonctions de confiance nécessaires à une démarche de

dématérialisation des flux

Permet d’isoler les cinématiques métier des cinématiques confiance

S’intègre très simplement dans un système d’information existant

Permet de répondre aux critères les plus stricts du cadre réglementaire

Est ergonomique

Conceptuellement, nous proposons systématiquement, dans nos approches, de clairement isoler l’application

métier des fonctions de confiance pour au moins deux raisons :

Techniquement, il est préférable que les fonctions de confiance qui font appel à des éléments

cryptographiques avancés soient « confinées » pour offrir un niveau de sécurité maximal

L’utilisation d’une plate-forme de confiance « indépendante » permettra de mutualiser les usages de

celle-ci et, donc, d’en partager les coûts d’acquisition et d’opération.

6 . 2 L E S F O N C T I O N S D E C O N F I A N C E A S S U R E E S

L’application métier fera appel à la plate-forme de confiance. Celle-ci assure les fonctions de :

Authentification client

Signature du client

Eventuellement, co signature et/ou sur signature

Transmission du document/contrat signé au destinataire

Validation de la signature

Horodatage du mouvement

Constitution de la preuve


13

6 . 3 L E S A T O U T S D E D I C T A O T R U S T P L A T F O R M

DTP possède de solides références dans la plupart des secteurs économiques (administration, banque,

assurance, industrie…).

Avec DTP (Dictao Trust Platform), nous proposons à l’entreprise :

Une solution « indutrielle »…

Simple à mettre en œuvre et non-intrusive…

Répondant immédiatement aux besoins de la contractualisation en ligne…

Mutualisable et facile à faire évoluer…

D’un très haut niveau de sécurité, les composants clés de DTP sont certifiés et qualifiés au niveau

EAL3+ des Critères Communs…

Nous proposons Dictao Trust Platform sous deux formes :

Un produit logiciel que l’entreprise peut installer dans son système d’information

Une offre en mode Service, « Software as a Service », que les portails métiers pourront simplement

appeler. Nous avons naturellement particulièrement travaillé la dimension sécurité, pour que vos

informations ne puissent être interceptées…

Avec ce service externalisé « Software as a Service » vous bénéficiez de :

Suppression des tâches d’intégration, d’exploitation et de Maintien en Condition Opérationnelle

Absence d’investissement en infrastructure (machines, réseau, locaux, etc.)

Accélération du lancement de projet

Coût proportionné à l’usage (à la transaction ou par volume de transactions) ; optimisation des coûts

pour les petits volumes


14

À PROPOS DE DICTAO

Dictao est l’éditeur logiciel de référence dans le domaine de l’authentification forte, de la signature

électronique et de l’archivage sécurisé.

Nous concevons et commercialisons des produits permettant de mettre en œuvre les fonctions indispensables à

la sécurité et à la confiance dans un monde dématérialisé : authentification des clients et des utilisateurs,

engagement à travers la signature électronique et constitution de preuves de transactions à vocation

probante.

Nous aidons nos clients à sécuriser leurs applications sensibles, à répondre à leurs contraintes réglementaires

et à innover pour plus d’efficacité et de croissance.

Les résultats concrets obtenus par nos clients sont les meilleurs garants de l’adéquation de nos produits, nos

solutions sectorielles et notre expertise à vos besoins.

Nous accompagnons le secteur bancaire dans la sécurisation des transactions en ligne réalisées par les

Entreprises et les Particuliers, la sphère publique dans la modernisation de l'Etat au travers des

téléprocédures, et le monde industriel dans la concrétisation de l'entreprise étendue (dématérialisation des

commandes, des factures, etc.).

Dictao est le seul éditeur dont la gamme de produits est éprouvée dans des contextes variés (ordres de

virements, contractualisation en ligne, facturation électronique, télédéclaration de la TVA, etc.) et certifiée au

niveau EAL3+ de la norme internationale des Critères Communs par l’Agence nationale de la sécurité des

systèmes d’information (ANSSI).

Ils nous font confiance :

600 établissements financiers et de crédit dont la Banque de France, BPCE (Groupe Banque Populaire Caisse

d’Epargne), BNP Paribas, Société Générale, La Banque Postale, LCL, etc.). De grandes entreprises

industrielles dont PSA Peugeot Citroën, Total, Alcatel, etc.). L’Administration (la DGFiP, le Ministère de la

Défense, la Direction de l’Information Légale et Administrative, l’Agence Nationale des Titres Sécurisés, l’INPI,

etc.).


15

Toute l’équipe Dictao est à votre disposition

pour tous renseignements complémentaires

[email protected]

DICTAO

152 avenue de Malakoff

75116 PARIS

01 73 00 26 00

www.dictao.com

mailto:[email protected]

http://www.dictao.com/

Contractualisation multicanal (internet, face à-face en agence, terminaux mobiles)

Technology

Transcript of Contractualisation multicanal (internet, face à-face en agence, terminaux mobiles)