Au cœur des processus business des entreprises, l’ERP, interne ou commercialisé par un éditeur, évolue au gré des nouvelles habitudes digitales des entreprises.
Lui associer « en natif » la signature électronique est un projet à plusieurs visages, en fonction des besoins auxquels elle répond.
Éditeurs et propriétaires d’ERP
Des besoins similaires de signature électronique
Pour la gestion financière, la gestion des stocks ou encore le management de la production et des équipes, l’ERP accompagne les organisations depuis de nombreuses années.
Avec le renforcement de la digitalisation de l’économie, ces solutions évoluent, qu’elles soient au format progiciel, commercialisées par un éditeur, ou développées et maintenues en interne par les entreprises utilisatrices elles-mêmes.
Parmi les besoins qui se font de plus en plus ressentir dans ces solutions de gestion multi-tâches :
- la poursuite des efforts en matière de digitalisation de la gestion financière et de ses implications fiscales.
- Une accélération de la dématérialisation de la relation client, notamment dans l’objectif d’optimiser les taux de conversion.
La signature électronique constitue une réponse pertinente à ces deux enjeux. Dans le premier cas, pour basculer vers la véritable facture électronique à valeur fiscale ; dans le second cas, pour permettre la contractualisation en ligne. À ceci près que la signature électronique revêt des caractéristiques bien distincts en réponse à ces deux besoins.
Facture électronique
La signature cachet-serveur
Pour être considérée comme originale à valeur fiscale, donc équivalente juridiquement à la facture papier originale, la facture doit suivre un processus totalement digital, depuis sa création jusqu’à son archivage en passant par sa transmission et sa réception. Et pour en certifier l’authenticité, la signature cachet-serveur est l’équivalent numérique du tampon (ou « cachet ») de l’entreprise.
Chaque facture éditée, validée et transmise par le système d’information aura été préalablement signée numériquement avec un certificat numérique au nom de l’entreprise, de sa personne morale. Ce processus est rendu possible par une PKI (infrastructure à clé publique), qui fournit ledit certificat.
Dans le cas d’un ERP interne comme d’un progiciel, ce certificat peut être acquis auprès d’une autorité de confiance externe. Mais s’il le souhaite, l’éditeur de progiciel peut intégrer la PKI, associée à un HSM (Hardware Security Module) et une politique de gouvernance dédiée, directement à son outil. Voire devenir lui-même autorité de confiance.
Dans ce cas de figure, l’éditeur de l’ERP doit compléter ce dispositif d’un système d’authentification forte, de signature électronique et d’archivage numérique. Et surtout faire appel à une signature avancée (selon la normalisation eIDAS), à savoir capable d’être liée au signataire de manière univoque, lequel doit pouvoir être identifié de façon certaine et seul capable de contrôler sa signature.
Enfin, la traçabilité des données et de leurs modifications ultérieures à la signature doit pouvoir être assurée. Objectif final : disposer d’une piste d’audit fiable.
Contractualisation dématérialisée
La signature personnelle-serveur en plus
Conclure un contrat suppose de recueillir le consentement des parties en présence. Si l’entreprise, via sa signature cachet-serveur peut s’engager facilement dans un contrat en ligne, le co-contractant, surtout si c’est un particulier, n’est pas forcément équipé de sa propre signature électronique.
Dans ce cas, l’entreprise peut fournir à la tierce partie un certificat à son attention, et donc à son nom, à la volée, avec une période courte de validité. Cela peut être la durée de session par exemple. On parle alors de signature personnelle-serveur ou de certificat personnel de signature.
Outre l’authentification forte du signataire et le recueil de la signature (et donc du consentement) pour le document présenté, un tel système doit également permettre de constituer un dossier complet de preuves (traçabilité numérique du workflow intégral de signature) et d’archiver le document signé de façon probante. Archivage qui doit bien sûr être accessible aux personnes mandatées le cas échéant.
Dès lors, pour un propriétaire d’ERP comme pour un éditeur d’une solution progicielle, il s’agit de mettre en œuvre une solution d’authentification forte, à deux facteurs : un couple login/mot de passe, associé à :
- Un OTP (one-time password) reçu par SMS ou via une application dédiée (Google Autenticator par exemple)
- Ou un certificat nominatif déposé sur le truststore de son terminal.
Dans tous les cas, et quels que soient les besoins exprimés, le mariage des ERP (internes ou progicialisés) avec la signature électronique semble aujourd’hui inéluctable. Mais comme dans le « monde physique », la simplicité et la sécurité juridique seront les conditions sine qua non à son adoption massive.
Digitalberry vous accompagne dans vos projets de conception et d’intégration de signature électronique, afin de vous offrir la solution la plus adaptée à votre besoin.
