2012 Livre Blanc
DICTAO
152 avenue de Malakoff - 75116 PARIS
Tel. : 01 73 00 26 00
www.dictao.com – [email protected]
Confiance et
dématérialisation
Livre Blanc : Confiance et dématérialisation
1
SOMMAIRE
1 PRÉFACE DE JACQUES PANTIN ........................................................................................................... 2
2 SÉCURITÉ ET CONFIANCE : DES INVESTISSEMENTS STRATÉGIQUES POUR L’ORGANISATION ........... 3
3 DE NOUVELLES SOLUTIONS AU SERVICE DE L’ENTREPRISE ................................................................ 4
3.1 UN CADRE DE REFERENCE QUI SE STRUCTURE ........................................................................................................ 4
3.2 L’AUTHENTIFICATION, AU CŒUR DE LA GESTION DES IDENTITÉS ET DES ACCÈS ........................................... 5
3.3 LA DÉMATÉRIALISATION DE LA TRANSACTION ....................................................................................................... 6
4 LES GRANDS COMPOSANTS D’UNE PLATE-FORME DE CONFIANCE................................................... 8
4.1 LA MUTUALISATION DES FONCTIONS DE CONFIANCE ........................................................................................ 8
4.2 UNE FONCTION D’AUTHENTIFICATION NÉCESSAIREMENT MULTIFACTEUR ..................................................... 8
4.3 LES FONCTIONS DE SIGNATURE, GARANTES DE L’INTÉGRITÉ ET DE LA QUALITÉ DE LA
TRANSACTION ................................................................................................................................................................. 9
4.4 LA VALIDATION ET LA CONSTITUTION DE PREUVES ............................................................................................ 10
4.5 L’HORODATAGE, TRÈS SIMPLE À METTRE EN ŒUVRE .......................................................................................... 10
4.6 L’ARCHIVAGE À VALEUR PROBANTE, UN DOMAINE EN DÉVELOPPEMENT RAPIDE RÉPONDANT À
DE MULTIPLES BESOINS ............................................................................................................................................... 10
5 DE MULTIPLES APPLICATIONS POTENTIELLES .................................................................................... 12
5.1 LE SECTEUR BANCAIRE, LEADER DANS LES ACTIONS DE DÉMATÉRIALISATION ............................................. 12
5.2 LE SECTEUR PUBLIC, DANS UNE STRATÉGIE DE LONG TERME ........................................................................... 14
5.3 L’INDUSTRIE ET LES SERVICES, À LA RECHERCHE DE GAINS D’EFFICACITÉ ...................................................... 16
6 LA PROPOSITION DICTAO : UNE OFFRE COMPLÈTE, INDUSTRIELLE, ALIGNÉE SUR LES STANDARDS DU DOMAINE .............................................................................................................................. 17
6.1 DICTAO TRUST SUITE, NOTRE PLATE-FORME DE CONFIANCE ........................................................................... 17
6.2 NOS SOLUTIONS DE CONFIANCE............................................................................................................................ 17
Livre Blanc : Confiance et dématérialisation
2
1 PRÉFACE DE JACQUES PANTIN
Les organisations font aujourd’hui face à trois besoins. Il leur faut tout d’abord gérer le risque et, en
conséquence, durcir progressivement leur niveau de sécurité, sans oublier qu’en cette matière, les bonnes
technologies sont inutiles si on ne prend pas en compte la dimension humaine…
Par ailleurs, une organisation doit respecter un cadre réglementaire de plus en plus contraignant. Ainsi, le
décret sur la confidentialité des données de santé ou les recommandations de la Banque de France sur
l’authentification non rejouable amènent les organisations à faire de nouveaux investissements dans le
domaine de la confiance et de la sécurité.
De plus, il faut savoir proposer de nouveaux services et rechercher sans cesse une meilleure efficacité. Par
exemple, les téléprocédures sont des applications « gagnant-gagnant » pour l’Administration et l’usager.
Celui-ci n’a plus à se déplacer, peut accéder au service 24 heures sur 24, et échappe aux files d’attente.
L’Administration de son côté, peut revoir en profondeur ses processus et développer l’automatisation.
La dématérialisation des flux et le développement de « l’électronique à valeur probante » est un mouvement
de fond qui touche l’ensemble des secteurs. Les banques ont ainsi bien compris l’importance des services en
ligne, de la contractualisation en ligne et de la transaction à valeur probante.
Dans tous les domaines de l’économie, la dématérialisation des factures, la dématérialisation des
commandes… se développent rapidement. Il faut également noter que le cadre réglementaire associé à la
dématérialisation de la paie est maintenant établi.
Pour répondre à ces besoins, il faut mettre en place des fonctions de confiance (authentification, signature,
validation de signature, horodatage, archivage, etc.).
Nous considérons chez Dictao qu’il est indispensable d’isoler les fonctions de confiance des applications
métiers et de mettre en place une plate-forme de confiance mutualisée à laquelle les applications métiers
viennent s’accrocher.
Une infrastructure de confiance permettra d’atteindre un haut niveau de sécurité, de simplement suivre
l’évolution des standards, et de mutualiser les coûts.
Jacques Pantin, PDG et fondateur de Dictao
Livre Blanc : Confiance et dématérialisation
3
2 SÉCURITÉ ET CONFIANCE : DES INVESTISSEMENTS STRATÉGIQUES POUR L’ORGANISATION
Les échanges dématérialisés, les services en ligne, les processus dits de ‘Straight Through Processing’ prennent,
chaque jour, plus d’ampleur.
Par exemple, les banques et assurances élargissent leur offre de services en ligne aux Entreprises (passage
d’ordres de virement/prélèvement, passages d'ordres sur valeurs boursières, SICAV, ouverture de comptes
titres, etc.) mais aussi aux Particuliers (souscription de contrats en ligne, formulaire Marché d’Instruments
Financiers, passage d’ordres de virement, etc.).
L’Administration développe les téléprocédures, dans le cadre de la modernisation de l'Etat pour améliorer
le service aux usagers Particuliers (demande en ligne, dépôt électronique des marques, etc.) et aux usagers
Entreprises (télédéclaration de la TVA, demandes en ligne, etc.).
L’industrie dématérialise les échanges avec ses partenaires : dématérialisation des bons des commandes
échangés avec ses fournisseurs, dématérialisation des factures échangées avec ses clients, etc.
Or, la confiance des acteurs est absolument nécessaire pour développer les échanges entièrement
dématérialisés et supprimer tout papier. Il faut qu’un acteur puisse :
S’assurer que son correspondant est bien celui qu’il prétend être, qu’il n’usurpe pas une identité
Signifier « électroniquement » son engagement sur les données échangées, sans avoir à imprimer de
papier et à le signer à la main et à l’envoyer par la Poste
Avoir la garantie que les données échangées ne seront pas modifiées illégitimement et resteront
confidentielles
Etre sur que des preuves de l’échange seront constituées et conservées.
Ce livre blanc a pour but d’identifier et de définir les fonctions de confiance qui permettront de bâtir des
applications dématérialisées de qualité, en assurant :
Une amélioration du niveau de sécurité des processus dématérialisés, par la mise en œuvre de
l’authentification des acteurs, de l’authenticité, de l’intégrité, et de la non-répudiation des
informations, de la conservation avec valeur probante
Un développement commercial et une amélioration du service au client (respectivement à l’usager,
au partenaire)
Au travers du développement de services en ligne, une organisation pourra fidéliser ses clients,
usagers, partenaires, etc., conquérir de nouvelles parts de marché, lancer de nouveaux produits au
moment propice (Time to Market), etc.
Du côté du client/usager/partenaire, les avantages sont aussi nombreux : celui-ci n’a plus à se
déplacer, à envoyer de courrier, il peut accéder au service à tout moment (7j/7, 24h/24).
Un gain d’efficacité, une réduction des coûts
La dématérialisation de bout en bout de la relation avec ses clients (usagers, partenaires), permet à
l’organisation d'optimiser le traitement des dossiers, grâce à la gestion d'un flux unique (suppression
du flux papier, des contrôles visuels, de ressaisie dans le SI), de réduire les délais, d'améliorer la
traçabilité. Simultanément, les gains d’efficacité permettent aux collaborateurs de se recentrer sur
leur cœur de métier.
Le respect du cadre réglementaire, lorsque des textes de lois imposent un niveau de sécurité élevé
(par exemple, le reporting financier réglementaire dans le cadre de Bâle 2, les recommandations
Banque de France sur la sécurisation de la banque en ligne et de la vente en ligne)
La contribution au développement durable grâce à la suppression du flux papier
Livre Blanc : Confiance et dématérialisation
4
3 DE NOUVELLES SOLUTIONS AU SERVICE DE L’ENTREPRISE
3 . 1 U N C A D R E D E R É F É R E N C E Q U I S E S T R U C T U R E
La sécurisation du système d’information repose sur la mise en place d’outils, de processus, d’organisations
capables de répondre, en particulier, à des objectifs de disponibilité, de confidentialité, d’intégrité et de
traçabilité de l’information, en s’appuyant sur des fonctions de confiance.
Une typologie des fonctions de confiance pourrait s’organiser autour de quatre grands thèmes :
La sécurité périmétrique : un domaine bien maîtrisé
Le domaine de la sécurité de l’infrastructure et des communications est aujourd’hui bien maîtrisé ; il s’organise
autour d’outils comme les pare-feux, les réseaux privés, les segmentations de réseaux, les anti-virus, etc. Si ces
outils évoluent constamment, les grands principes de sécurité périmétrique sont bien connus des DSI et très
largement mis en œuvre.
FIGURE 1: TYPOLOGIE DES FONCTIONS DE CONFIANCE
La gestion des identités et des accès : des produits et des processus nécessairement
sophistiqués
Il faut non seulement sécuriser l’infrastructure mais aussi maîtriser son usage, connaître les utilisateurs et
contrôler les droits de ceux-ci. L’IAM (Identity and Access Management) est aujourd’hui un domaine mature,
bien que dans la plupart des cas, le niveau de sécurité reste insuffisant avec, par exemple, une utilisation trop
fréquente du traditionnel « login/mot de passe ». Les outils d’authentification forte mettant en œuvre des
moyens comme la carte à puce ou le token restent encore marginaux. Ces outils sont indispensables pour
obtenir un niveau de sécurité de qualité ; cependant, ils restent difficiles et coûteux à mettre en œuvre.
Cela amène les entreprises à mettre en œuvre des solutions « intermédiaires » en s’appuyant sur le concept
d’authentification non rejouable ou OTP (One Time Password, mot de passe à usage unique), que celui-ci soit
transmis par mobile ou proposé par une calculette ou un token.
Sécurisation des transactions : des gains potentiels d’eff icacité formidables
Une fois les fonctions de gestion des identités et des accès mises en place, il est possible de les valoriser en
réalisant des transactions. Il s’agit alors de garantir la sécurité des transactions (il faut noter qu’on ne peut
sérieusement sécuriser les transactions sans de solides fonctions de gestion des identités et des accès).
Cela suppose de mettre en œuvre des fonctions de signature (ou de certification), de validation permettant
de s’assurer de l’intégrité de la transaction, d’horodatage, d’archivage et de gestion de la preuve, etc.
Livre Blanc : Confiance et dématérialisation
5
S’appuyer sur des réseaux privés (lignes spécialisées, moyens de chiffrement, protection physique des postes
de travail, etc.) reste le moyen le plus efficace d’obtenir un haut niveau de sécurité ; néanmoins, cette
approche reste coûteuse à mettre en œuvre et manque de souplesse et d’adaptabilité.
La sécurité applicative, domaine dans lequel Dictao s’est spécialisée, est aujourd’hui un domaine en rapide
croissance.
Elle permet non seulement de simplement durcir le niveau de sécurité, mais aussi de répondre à des exigences
réglementaires ou d’améliorer l’efficacité des échanges.
Si, bien souvent, les organisations (administrations, banques, entreprises industrielles…) considèrent le
durcissement du niveau de la sécurité de leurs systèmes comme un objectif de deuxième ordre, elles ne
peuvent ignorer le cadre règlementaire. Les banques sont ainsi amenées à fortement investir pour s’aligner sur
les recommandations de la Banque de France qui demande que soient mis en œuvre des moyens
d’authentification non rejouables pour les opérations de banque en ligne et de services en ligne.
Enfin, la sécurisation des transactions contribue au gain d’efficacité du traitement des échanges (gestion d'un
flux exclusivement électronique, suppression du flux papier) et au développement commercial, grâce à
l’ouverture de services innovants aux clients et usagers.
Information : des besoins de protection et de conservation sur le long terme
Le domaine de la sécurité de l’information est aujourd’hui en évolution rapide avec le développement de
fonctions de coffre-fort, d’archivage à vocation probante, de DLP (Data Loss Prevention), etc.
Si le chiffrement des informations sur serveur est bien maîtrisé, il n’en est pas de même sur les postes de
travail sur lesquels l’information est la plupart du temps en quasi accès libre.
Appliquer des politiques de sécurité efficaces suppose de bien connaître les rôles et les droits des différents
utilisateurs ; il y a, la encore, une interdépendance entre la sécurité de l’information et la gestion des identités
et des accès.
Par ailleurs, il faut noter que, depuis quelques années, nous disposons de l’outillage nécessaire pour assurer la
dimension probante des informations archivées, sur de longues périodes (de 30 à 100 ans, voire davantage).
3 . 2 L ’ A U T H E N T I F I C A T I O N , A U C Œ U R D E L A G E S T I O N D E S I D E N T I T É S E T D E S
A C C È S
La fraude touchant les opérations financières sur Internet augmente régulièrement et justifie aujourd’hui la
mise en œuvre des moyens d’authentification dont le coût total de possession est plus élevé (cartes à puce,
token, calculettes, OTP/SMS, etc.).
Si en termes politiques, la carte d’identité électronique fait encore débat, elle représenterait un moyen simple
d’authentification forte et permettrait de réduire les coûts par effet volume et par mutualisation des fonctions
d’enregistrement ; en effet, si une carte à puce ne coûte au plus que quelques euros, une opération de remise
de la carte en face à face peut rapidement atteindre la centaine d’euros si l’on s’appuie sur un processus qui
permette de s’assurer de façon quasi certaine de l’identité du porteur.
Le mobile sera, à terme, un moyen d’authentification largement utilisé. Equipement personnel, outil de la vie
quotidienne, il répond à la fois aux contraintes d’ergonomie et de sécurité.
Livre Blanc : Confiance et dématérialisation
6
FIGURE 2 : DE LA SIGNATURE DU DOCUMENT A LA CONSTITUTION DE LA PREUVE
Si l’on peut considérer que la carte d’identité (et dans son prolongement, la carte agent) et le mobile
s’imposeront à terme, nous sommes aujourd’hui dans une phase intermédiaire dans laquelle se généralisent les
technologies dites de One Time Password (OTP, mot de passe à usage unique, mot de passe non rejouable),
comme par exemple les tokens OATH, l’OTP SMS, EMV/CAP dans le monde bancaire, etc.
Ces moyens d’authentification sont souvent moins coûteux à distribuer et à mettre en œuvre qu’une carte à
puce ou un token personnalisé, faciles à utiliser et permettent de simplement durcir le niveau de sécurité.
Pour une organisation, il est important de mettre en place une infrastructure capable de simplement supporter
des moyens d’authentification variés et susceptibles d’évoluer pour durcir le niveau de sécurité.
Pour répondre à ces besoins, Dictao a développé DACS (Dictao Access Control Server), serveur
d’authentification multimoyen multicanal aujourd’hui largement utilisé dans le secteur bancaire.
DACS a été conçu pour répondre à des besoins de sécurité élevée : les opérations d’authentification sont
tracées, horodatées, signées et archivées.
L’administration du système est particulièrement sophistiquée (séparation des rôles, authentification forte,
traçabilité, etc.).
3 . 3 L A D É M A T É R I A L I S A T I O N D E L A T R A N S A C T I O N
Disposer d’une infrastructure sécurisée, connaître les identités et les habilitations des utilisateurs, contrôler les
accès, etc. ne sont pas des fonctions suffisantes pour garantir un haut niveau de sécurité ; il faut garantir la
sécurité des transactions au travers de fonctions de :
Chiffrement
Signature
Validation de signature
Horodatage
Archivage et gestion de la preuve.
Le chiffrement est aujourd’hui une technologie bien maîtrisée et largement utilisée ; on sait obtenir un très haut
niveau de sécurité, à la condition que les principes de gestion des clés soient de qualité et scrupuleusement
respectés.
Les outils de signature sont aujourd’hui eux aussi bien maîtrisés, bien que les cibles de sécurité soient plus
sophistiquées et les contraintes de l’environnement (système d’exploitation, navigateur) soient plus délicates à
prendre en compte.
Si l’opération de validation de signature est, en elle-même, très simple, il faut simultanément constituer des
preuves et savoir faire vivre celles-ci dans le temps.
Livre Blanc : Confiance et dématérialisation
7
Depuis peu des fonctions comme le XADES/A permettent de s’affranchir de l’obsolescence des algorithmes
cryptographiques.
La mise en œuvre de ces nouvelles fonctions permettra non seulement de garantir un meilleur niveau de
sécurité, mais aussi de bâtir de nouveaux processus ‘sans papier’ dans lesquels l’électronique à valeur
probante.
Ces fonctions de confiance sont assurées par une plate-forme de confiance, dont les grands composants sont
détaillés ci-après.
FIGURE 3: UN « DURCISSEMENT » PROGRESSIF DES MOYENS D’AUTHENTIFICATION
Livre Blanc : Confiance et dématérialisation
8
4 LES GRANDS COMPOSANTS D’UNE PLATE-FORME DE CONFIANCE
4 . 1 L A M U T U A L I S A T I O N D E S F O N C T I O N S D E C O N F I A N C E
La plate-forme de confiance prend en charge les grandes fonctions de sécurité ou de confiance, entrant en
jeu dans la sécurisation et la dématérialisation des processus :
Authentification
Sécurisation de la transaction
o Signature électronique
o Validation de la signature (intégrité du document) et du certificat (authentification du
signataire)
o Horodatage
o Séquestre pour permettre de déchiffrer des documents dans le cas où le porteur a perdu ses
secrets (clés de chiffrement)
o Archivage des journaux et des logs
Fonctions de coffre-fort et d’archivage à valeur probante.
Pour répondre à des besoins de sécurité et d’efficacité, ces fonctions de confiance doivent être mutualisées et
pourront être appelées simultanément par plusieurs applications ou portails.
La plate-forme de confiance de l’entreprise pourra prendre en charge directement l’ensemble des fonctions
de confiance nécessaires ou faire appel à des services tiers, en particulier, au niveau de l’horodatage (tiers
horodateur) ou de l’archivage (tiers archiveur).
FIGURE 4 : LES FONCTIONS ASSUREES PAR LA PLATE-FORME DE CONFIANCE
4 . 2 U N E F O N C T I O N D ’ A U T H E N T I F I C A T I O N N É C E S S A I R E M E N T M U L T I F A C T E U R
Il n’y a pas et il n’y aura sans doute jamais de moyen d’authentification universel. Il faut choisir la « meilleure
solution », autour de critères tels que l’ergonomie, le coût de la solution, la simplicité et le coût du
déploiement, le niveau de sécurité fonction du niveau de risque.
Une organisation choisira, en général, plusieurs solutions, en fonction des populations et des risques associés
aux applications. Ces solutions auront nécessairement besoin d’évoluer dans le temps : ainsi, si sur le court
terme, l’OTP/SMS est largement mis en œuvre par le secteur bancaire, il faudra probablement dans les trois
ans déployer des mécanismes sécuritairement plus solides.
Livre Blanc : Confiance et dématérialisation
9
FIGURE 5 : UNE PLATE-FORME UNIQUE POUR DES BESOINS D’AUTHENTIFICATION HETEROGENES
4 . 3 L E S F O N C T I O N S D E S I G N A T U R E , G A R A N T E S D E L ’ I N T É G R I T É E T D E L A
Q U A L I T É D E L A T R A N S A C T I O N
Les bénéfices liés à la signature électronique sont, aujourd’hui, bien compris :
Toute modification du document signé est détectable : l'intégrité du document est assurée
L'auteur du document est identifié avec certitude : l'authentification du signataire est assurée
Le signataire ne peut pas nier avoir signé : la non-répudiation du document est assurée.
Une fois l’utilisateur authentifié, il peut recevoir un certificat (sa pièce d’identité électronique) et procéder à
des opérations de signature (signature de virements, de contrats, etc.).
La signature électronique remplace la signature manuscrite. Elle est réalisée à partir d’un outil de signature
électronique qui, associé au certificat du signataire (sa pièce d’identité électronique) et aux secrets de
l’utilisateur (clé privée / clé publique), applique un algorithme cryptographique au document et calcule la
signature.
En fonction de la nature de la transaction et du niveau de risque associé, on pourra utiliser :
Une signature simple sans valeur légale obtenue avec un certificat de « qualité moyenne »
Une signature dite « sécurisée », ayant valeur légale, qui suppose que :
o Le dispositif de signature ait été qualifié et certifié EAL3+ (comme notre outil Dictao
AdSigner)
o Les secrets (certificats et clés associées) que l’utilisateur emploiera pour signer le document lui
aient été remis en mains propres et soient confinés dans un dispositif matériel de type token
ou carte à puce
FIGURE 6 : LE MECANISME DE SIGNATURE ELECTRONIQUE
Par ailleurs, en fonction de la nature du processus, on pourra mettre en œuvre :
Une signature personne qui a été apposée par une personne physique
Une signature « entité morale » ou signature serveur qui engage l’organisation.
Livre Blanc : Confiance et dématérialisation
10
Par exemple, une demande d’achat est signée par des personnes physiques (le demandeur, l’acheteur, le
contrôleur financier, etc.) avant d’être signée par un certificat serveur qui engage, non plus des personnes
représentant l’organisation, mais l’organisation elle-même.
FIGURE 7 : LA QUALITE DE LA SIGNATURE ELECTRONIQUE EST FONCTION DE LA QUALITE DU
CERTIFICAT, LUI-MEME FONCTION DE LA QUALITE DE L’AUTHENTIFICATION
4 . 4 L A V A L I D A T I O N E T L A C O N S T I T U T I O N D E P R E U V E S , F O N C T I O N S
I N D I S P E N S A B L E S D A N S U N C O N T E X T E D E D É M A T É R I A L I S A T I O N
La validation d'une signature permet de :
Détecter une éventuelle perte d'intégrité de l’objet signé (transaction, document, etc.)
Authentifier le signataire
Vérifier la validité du certificat et, éventuellement, les « droits à signer » du signataire.
Une preuve électronique horodatée, à vocation probante, est constituée lors de chaque validation. En fonction
de la nature de la transaction, cette preuve sera conservée 1 an, 3 ans, 10 ans, etc. et pourra être très
simplement rejouée en cas de litige.
4 . 5 L ’ H O R O D A T A G E , T R È S S I M P L E À M E T T R E E N Œ U V R E
L’horodatage permet d’apposer une heure fiable sur des preuves, des signatures, des documents. Il garantit
l’existence d’une information ou le déroulement d’une transaction à un instant précis.
La garantie d’une heure certaine est particulièrement nécessaire dans de nombreux domaines :
Les déclarations administratives : télédéclaration de la T.V.A., etc.
Les paris en ligne
Les droits de propriété intellectuelle
Les déclarations des actes commerciaux
Etc.
En fonction de la qualité recherchée pour le jeton d’horodatage, on utilisera l’heure Internet ou une heure GPS
(les boîtiers spécifiques n’ont plus qu’une part de marché insignifiante)
4 . 6 L ’ A R C H I V A G E À V A L E U R P R O B A N T E , U N D O M A I N E E N D É V E L O P P E M E N T
R A P I D E R É P O N D A N T À D E M U L T I P L E S B E S O I N S
Il faut distinguer très nettement les fonctions de sauvegarde, de stockage et d’archivage. La sauvegarde n’est
utile que pour reprendre, après incident, une activité dans des conditions acceptables. Le stockage permet de
constituer des entrepôts de données mais ne permet pas de garantir la qualité et la véracité des informations.
L’archivage, quant à lui, fait en particulier référence à des notions d’authenticité, d’intégrité, d’indexation et
de disponibilité. Très schématiquement, il a pour but de garantir la qualité de l’information dans le temps et
Livre Blanc : Confiance et dématérialisation
11
d’en permettre une restitution intacte (c'est-à-dire identique à ce qu’elle était à son origine), soit deux
conditions indispensables pour qu’elle puisse constituer un élément de preuve.
Pour conserver une valeur probante à un original immatériel, il faut pouvoir garantir :
L’intégrité des informations
L’authentification du document
L’accessibilité du document
La lisibilité du document et des éléments de preuve
La durabilité des informations.
Pour cela, il est nécessaire d’ « accrocher » à l’outil de gestion documentaire, une plate-forme de confiance
qui prend en charge les grandes fonctions de sécurité ou de confiance (signature électronique, validation de
signature, horodatage, archivage des journaux et des logs, etc.).
.
Livre Blanc : Confiance et dématérialisation
12
5 DE MULTIPLES APPLICATIONS POTENTIELLES
Dictao est aujourd’hui le partenaire de référence des acteurs qui souhaitent placer le renforcement du niveau
de sécurité et la dématérialisation des flux au cœur de leurs préoccupations. Nous vous présentons quelques
exemples d’applications dans lesquelles la mise en œuvre de fonctions de confiance permet de réduire le
risque, respecter le cadre réglementaire, gagner en efficacité et proposer de nouveaux services.
5 . 1 L E S E C T E U R B A N C A I R E , L E A D E R D A N S L E S A C T I O N S D E
D É M A T É R I A L I S A T I O N
Le BtoB, dans une recherche permanente de dématérialisation
Prenons l’exemple d’un passage d’ordre ; une fois connecté sur le portail de la banque et correctement
authentifié, le client « Entreprise » signe électroniquement son ordre en ligne (ordres de
virement/prélèvement, passages d'ordres sur valeurs boursières, SICAV, ouverture de comptes titres, etc.). De
cette façon, il matérialise son engagement et se protège contre une altération éventuelle de son ordre. Sa
signature électronique remplace sa signature manuscrite et il n’a plus à envoyer, par courrier ou par fax, de
confirmation papier signée.
La banque reçoit immédiatement cet ordre par voie électronique. Elle en vérifie le bien fondé en vérifiant la
signature électronique et constitue des preuves, archive les ordres en leur conférant vocation probante.
FIGURE 8 : SECURISATION DE PASSAGES D’ORDRES PAR LES CLIENTS ENTREPRISE
Les bénéfices de ces applications dématérialisées sont nombreux ; par exemple :
Les processus sont très nettement simplifiés
Les ordres sont « instantanément » pris en compte
L’entreprise cliente est rassurée : elle est sûre que la banque ne donnera pas suite à des ordres indus
La banque se protège des opérations frauduleuses, des dommages financiers et des pertes d’image,
qu’une malversation (volontaire ou non) peut provoquer
Livre Blanc : Confiance et dématérialisation
13
FIGURE 9 : AUTHENTIFICATION PAR CARTE BANCAIRE (EMV CAP) DU CLIENT PARTICULIER POUR
ACCEDER AUX OPERATIONS SENSIBLES (PASSAGE D’ORDRES DE VIREMENT, PAR EXEMPLE)
Le Particulier, au cœur des opérations de sécurisation des opérations de services en ligne et de
paiements en ligne des établissements financiers
Prenons l’exemple de la souscription d’un contrat en ligne ; une fois connecté sur le portail de la banque et
correctement authentifié, le client Particulier décide de souscrire à de nouveaux services (ou de modifier les
conditions d’un contrat). Il peut alors personnaliser son contrat (d’épargne, de prêt, etc.) et, immédiatement, le
signer électroniquement pour marquer son engagement. Il n’a plus besoin, comme c’était le cas auparavant,
d’imprimer son contrat, de le signer à la main et de le renvoyer par fax.
FIGURE 10 : SOUSCRIPTION DE CONTRATS BANCAIRES EN LIGNE PAR LE PARTICULIER
La banque reçoit immédiatement ce contrat par voie électronique. La plate-forme de confiance permettra
d’en contrôler le bien fondé en vérifiant la signature électronique, constitue des preuves et archive le contrat.
Puis, l’application métier « reprendra la main » et exécutera l’opération.
Là aussi, les bénéfices sont nombreux pour la banque ; par exemple :
Le volume de contrats souscrits augmente car le service est accessible en permanence (7j/7, 24h/24)
et le client peut instantanément conclure une opération entièrement électronique
La banque gagne en efficacité grâce au traitement d’un flux entièrement dématérialisé.
Livre Blanc : Confiance et dématérialisation
14
5 . 2 L E S E C T E U R P U B L I C , D A N S U N E S T R A T É G I E D E L O N G T E R M E
Dématérialisation des déclarations et des échanges, chantier essentiel dans le cadre de la
modernisation de l’Administration
Le déclarant (dans un contexte personnel ou professionnel) se connecte au site Internet de l’Administration,
complète sa déclaration électronique et la signe électroniquement, pour marquer son engagement. Il n’a plus
besoin de l’imprimer, de la signer à la main et de l’envoyer par courrier. L’administration reçoit
immédiatement la déclaration par voie électronique. Elle en vérifie le bien fondé en vérifiant la signature
électronique, constitue un accusé de réception (preuve) et le retourne au déclarant.
Les bénéfices sont nombreux tant pour le déclarant que pour l’Administration ; par exemple :
La démarche du déclarant est très nettement facilitée
L'administration gagne en efficacité et en fiabilité grâce au traitement de chaînes entièrement
dématérialisées
FIGURE 11 : EXEMPLE DE SIGNATURE D’UN CONTRAT DE LIVRET A
Livre Blanc : Confiance et dématérialisation
15
FIGURE 12 : TELEDECLARATIONS
Les téléprocédures, une formidable opportunité pour les collectivités territoriales
Le citoyen se connecte au site de sa collectivité, remplit son formulaire de demande d’aide (par exemple) et
le signe électroniquement pour marquer son engagement. Il n’a plus besoin de se déplacer ou d’envoyer de
courrier signé à la main à sa collectivité.
Du côté de la collectivité, un accusé de réception signé (qui vaut preuve) est constitué et envoyé au citoyen.
L’agent de la collectivité traite électroniquement la demande.
L’usager peut vérifier en ligne la signature de la réponse de la collectivité pour s’assurer de l’authenticité de
celle-ci.
Nous retrouvons, une fois encore, les avantages liés aux téléprocédures ; par exemple :
La démarche du citoyen est facilitée et la qualité de service peut être très nettement améliorée
La collectivité gagne en efficacité et en fiabilité grâce au traitement de chaînes entièrement
dématérialisées.
Mise en ligne de publications officielles, un besoin de garantir l’authenticité des documents
électroniques
L'administration (centrale ou territoriale) publie en ligne des documents officiels authentiques, en les signant
électroniquement.
En validant la signature de ce document officiel, le citoyen s'assure de l'authenticité de ce document : il est sûr
que le document émane bien de l'Administration et qu'il est intègre, c'est-à-dire qu'il n'a pas subi de
modification, après avoir été publié par l'Administration.
Les avantages associés à une telle approche sont nombreux; par exemple :
Le citoyen accède plus facilement à une information dont l’authenticité est garantie
Les documents papiers qui font preuve aujourd’hui dans la quasi-totalité des cas, peuvent être
supprimés.
FIGURE 13 : PUBLICATION DE DOCUMENTS OFFICIELS PAR L'ADMINISTRATION
Livre Blanc : Confiance et dématérialisation
16
5 . 3 L ’ I N D U S T R I E E T L E S S E R V I C E S , À L A R E C H E R C H E D E G A I N S D ’ E F F I C A C I T É
Dématérialisation de documents d’entreprise (factures, bons de commande, etc.) dans la
recherche constante d’une meilleure performance
Mettre en œuvre des fonctions de sécurité et de confiance permet une dématérialisation intégrale des
documents et transactions qui lient l’organisation et son écosystème (factures, bons de livraison, bons de
commande, etc.) ; ce qui se traduit immédiatement par une amélioration des performances et une diminution
des coûts.
Il faut signer électroniquement les documents émis par l’entreprise (factures, bons de commande etc.) au nom
de la Direction Financière, de la Direction des Achats, de la fonction Logistique, etc. Cette signature
électronique remplace la signature manuscrite du donneur d’ordre (comptable, acheteur, réceptionniste, etc.)
et donne foi au document électronique ; elle garantit l'origine et l'intégrité des documents et des transactions.
Il faut, par ailleurs, garantir l’archivage à vocation probante des différents documents pour disposer
d’éléments de preuve en cas de litige. Les partenaires (clients, fournisseurs, etc.) pourront vérifier l’authenticité
de ces documents grâce à une fonction de validation accessible au travers d’un portail Web.
FIGURE 14 : DEMATERIALISATION DES DOCUMENTS ENGAGEANT L'ENTREPRISE
Les bénéfices d’une stratégie de dématérialisation sont souvent très simples à évaluer ; ainsi :
La mise en œuvre d’une plate-forme de confiance permet de respecter les exigences réglementaires
L’organisation gagne en efficacité, grâce au traitement entièrement dématérialisé des différents
échanges
Le partenaire (client, fournisseur, etc.) peut simplement vérifier l’authenticité des documents qu’il reçoit
de l’entreprise (factures, bons de commande, etc.) au travers d’un portail Web.
FIGURE 15: PORTAIL WEB AU TRAVERS DUQUEL LES PARTENAIRES (FOURNISSEURS, CLIENTS, ETC.)
PEUVENT VERIFIER L’AUTHENTICITE D’UN DOCUMENT (FACTURE, BON DE COMMANDE, ETC.) ENVOYE
PAR L’ENTREPRISE
Livre Blanc : Confiance et dématérialisation
17
6 LA PROPOSITION DICTAO : UNE OFFRE COMPLÈTE, INDUSTRIELLE, ALIGNÉE SUR LES STANDARDS DU DOMAINE
Dictao a développé une gamme complète de réponses aux besoins des organisations dans les domaines de la
sécurité et de la confiance. Notre offre s’organise autour de :
Dictao Trust Suite, une plate-forme de confiance qui permet de mettre en œuvre de façon
modulaire et progressive la quasi-totalité des fonctions d’authentification, de sécurisation de la
transaction, d’archivage et de coffre-fort électronique
Des solutions qui s’intègrent très simplement aux applications métiers de l’entreprise et permettent,
en particulier, de répondre à l’évolution du cadre réglementaire et de proposer de nouveaux
services.
6 . 1 D I C T A O T R U S T S U I T E , N O T R E P L A T E - F O R M E D E C O N F I A N C E
Plate-forme de confiance d’entreprise, Dictao Trust Suite (DTS) a été conçue pour permettre la mise en œuvre
d’une infrastructure de confiance puissante sur laquelle viennent s’appuyer très simplement les applications
métiers qui sont au cœur du système d’information de l’organisation.
Sa couverture fonctionnelle permet d’adresser en standard la totalité des besoins de sécurité et confiance de
nos clients : authentification, signature électronique, validation de signature, gestion de la preuve,
horodatage, archivage à vocation probante.
Son très haut niveau de sécurité et sa conformité au cadre légal sont attestés par la qualification et la
certification par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), au niveau EAL3+ de la
norme internationale des Critères Communs (ISO 15408).
Dictao Trust Suite comporte des produits qui peuvent être utilisés conjointement ou séparément :
Dictao AdSigner, produit de signature sur le poste de travail, permet à une personne de signer
des documents, des formulaires Web ou des flux de données
Dictao Signature Server (D2S), produit serveur de signature, permet de signer des documents au
nom d’une organisation (entreprise, département d’une entreprise, etc.) ou d’une personne
Dictao Validation Server (DVS), produit serveur de validation de signature, de certificats et de
gestion des preuves associées
Dictao TimeStamp Server, produit serveur d’horodatage, horodate les échanges, les documents,
etc. à partir d’une source de temps fiable
Dictao Secure Storage Server (D3S), produit de coffre-fort électronique, permet d’archiver des
documents en leur conférant vocation probante
Dictao Access Control Server, serveur d’authentification multimoyen multicanal, permet
d’authentifier une personne avec de multiples moyens (certificat électronique, jeton EMV-CAP,
OATH, OTP transmis par SMS, date de naissance, questions/réponses, OTP/Radius, etc.) quel que
soit le canal ou le service (services en ligne, vente en ligne, dématérialisation en agence,
applications métiers, etc.).
6 . 2 N O S S O L U T I O N S D E C O N F I A N C E
A partir de ces produits, Dictao propose deux solutions :
DTP (Dictao Trust Platform) est une solution logicielle destinée aux organisations qui souhaitent
permettre à leurs clients de souscrire des contrats par tous les canaux (en ligne, en agence, par
téléphone), mettant ainsi à profit leur authentification préalable
Validao est un portail Web destiné aux organisations qui souhaitent mettre à disposition de leurs
partenaires, clients et collaborateurs des fonctions de confiance (signature électronique, validation de
Livre Blanc : Confiance et dématérialisation
18
signature, constitution de preuve, etc.) au travers d’un portail Web très rapidement et très
simplement.
.
Livre Blanc : Confiance et dématérialisation
19
Toute l’équipe Dictao est à votre disposition pour tous renseignements complémentaires
DICTAO
152 avenue de Malakoff
75116 PARIS
01 73 00 26 10
www.dictao.com
Top Related