En plus des différences de niveau de sécurité (signature simple, avancée ou qualifiée), la signature électronique présente des caractéristiques techniques différentes en fonction des usages attendus et des signataires.
Avant de mettre en œuvre un projet de signature électronique, il est ainsi indispensable de définir ses besoins afin de choisir l’infrastructure adaptée : signature électronique personnelle, serveur ou cachet.
Au même titre que la signature manuscrite, la signature électronique, aussi appelée signature numérique, est un procédé permettant d’authentifier le signataire (personne physique ou morale) et de garantir l’intégrité des données. Elle repose sur un système de chiffrement à clé publique, autrement dit, de certificats numériques.
Les trois grands types d’architectures de signatures électroniques et leurs usages
Il existe trois grands types de signatures électroniques qui dépendent de la manière dont sont stockés et utilisés les certificats numériques :
- La signature personnelle sur poste client
- La signature personnelle sur serveur
- La signature cachet-serveur
Chaque type de signature a ses cas d’usage, que nous allons détailler ci-dessous.
1 – La signature personnelle sur le poste client pour les collaborateurs
Comme son nom l’indique, la signature électronique personnelle permet aux collaborateurs de signer en leur nom et fonction. « Poste client » signifie que le certificat de signature électronique est intégré directement sur le poste de travail des collaborateurs ou plus généralement sur un token physique comme une carte à puce ou une clé USB dédiée au stockage de clés. Selon les cas d’usage et la réglementation, il est possible d’utiliser un token physique (token, carte à puce…) ou logiciel (PKCS12) pour effectuer la signature du document.
Si seul l’ordinateur est utilisé pour l’authentification, il s’agit d’une signature simple. Pour un niveau de signature qualifiée, un device sécurisé (token ou jeton d’authentification contenant le certificat tel que ceux proposés par Yubiko) doit être fourni au collaborateur.
Dans le cadre professionnel, la signature électronique personnelle est à réserver aux collaborateurs de l’entreprise, puisqu’elle est purement nominative.
Ci-dessous un diagramme illustrant les étapes de la signature personnelle sur le poste client :
(Authentification matérielle ou logicielle)
2 – La signature personnelle serveur pour les actes unitaires
Dans les cas d’un acte unitaire, comme recueillir le consentement d’une personne externe pour une contractualisation en ligne, la signature personnelle-serveur est la solution à déployer.
Elle consiste à générer un certificat temporaire pour une durée limitée au nom de la personne qui doit signer. Cette dernière reçoit ensuite un mot de passe à usage unique d’une durée limitée (une session, par exemple) pour valider son consentement.
Dans ce cas, l’infrastructure à clés publiques (PKI) de l’entreprise émet un certificat temporaire pour signer au nom des deux co-contractants : la personne qui signe et l’entreprise.
Pour augmenter le niveau de sécurité, on peut intégrer une authentification forte à double facteur en amont du système de signature électronique. Les clés de sécurité peuvent être également protégées à l’aide d’un HSM (Hardware Security Module).
Ci-dessous un diagramme illustrant les étapes de la signature sur serveur :
Selon les cas d’usage et la réglementation, il est possible de mettre en place une politique de génération de certificat différente pour les signataires. Ainsi, le système peut générer :
- Des certificats « longue durée » et réutilisables pour le même signataire ;
- Un certificat éphémère (ou de courte durée) permettant de signer uniquement les documents du dossier en cours.
3 – La signature cachet-serveur : le tampon électronique de l’entreprise
Parfois appelé certificat cachet-serveur par abus de langage, il s’agit d’une signature à l’aide d’un certificat de serveur au même titre qu’un certificat SSL ou d’un certificat TLS est utilisé pour l’authentification serveur-client. Concrètement, la signature cachet-serveur est une opération cryptographique qui se base sur le certificat cachet-serveur pour garantir l’intégrité et l’authenticité de données au nom d’une personne morale. Autrement dit, on peut l’assimiler à un tampon électronique d’entreprise.
Conforme aux réglementations eIDAS (Electronic IDentification And Trust Services) et au RGS (Référentiel Général de Sécurité), la signature cachet-serveur permet de signer simultanément d’importants volumes de documents afin d’en garantir l’intégrité et l’authenticité. La clé peut être stockée sur HSM, et elle peut être associée à une authentification à double facteur pour une signature avancée ou qualifiée.
Dès lors, on peut l’intégrer à de nombreux systèmes de l’entreprise parmi lesquels les systèmes de gestion commerciale ou l’ERP pour la signature des devis par exemple, le SIRH pour la signature des contrats de travail, des congés et autres notes de frais, ou encore les applications métiers réalisée à partir de plateforme de Business Process Management (BPM).
Il est à noter que le dépôt d’offres pour les marchés publics utilise la signature cachet-serveur.
Les étapes de la signature cachet-serveur :
L’horodatage de la signature électronique
Que la signature soit effectuée sur serveur ou sur poste client, la plupart des réglementations demandent d’inclure un horodatage, car il offre plusieurs garanties :
- L’existence d’une donnée à partir d’un instant donné ;
- La non-répudiation des données.
L’horodatage est également utile pour la pérennisation et l’archivage dans le temps des données. En effet, la signature électronique d’un document n’est valable que tant le certificat utilisé pour réaliser la signature est valable.
Ci-dessous une illustration des étapes d’horodatage :
Ajouter un jeton d’horodatage permet d’étendre la durée de vie de la signature électronique jusqu’à l’expiration du certificat d’horodatage et au-delà de l’expiration du certificat original. Le jeton d’horodatage doit être récupéré auprès d’un tiers de confiance, appelé autorité d’horodatage, garantissant que son horloge est synchronisée à une source de temps reconnue. D’autres jetons d’horodatages peuvent être ensuite ajoutés à la signature pour rallonger sa durée de vie, ce qui garantit dans le temps la validité des données.
En d’autres mots, ce mécanisme sert à éviter l’obsolescence de la signature. Les algorithmes cryptographiques mis en œuvre pour calculer la signature électronique évoluent dans le temps, et une signature ancienne pourrait être compromise. Ajouter des jetons d’horodatage permet de protéger la signature à l’aide de certificats dont le niveau de sécurité est à jour, et ainsi non seulement garder des données valides mais aussi sécurisées dans le temps.
Ce qu’il faut retenir
En résumé, ce qu’il faut retenir pour choisir la bonne signature en fonction des usages attendus et des signataires :
dans le cadre professionnel, à réserver aux collaborateurs de l’entreprise.
Pour les actes unitaires, comme recueillir le consentement d’une personne externe lors d’une contractualisation en ligne.
Pour signer de nombreux documents simultanément. Elle peut être assimilée à un tampon électronique d’entreprise.
L’horodatage sert à garantir la non-répudiation et l’archivage des données, tout en gardant la signature sécurisée dans le temps.
Digitalberry vous accompagne dans vos projets de conception et d’intégration de signature électronique, afin de vous offrir la solution la plus adaptée à votre besoin.
