Sécuriser les parcours dématérialisés pour évoluer dans une sphère de confiance
Les entreprises et les administrations déploient aujourd’hui une énergie considérable pour lancer des dispositifs innovants et industriels, afin de se protéger efficacement et mener à bien leurs opérations dans une sphère de confiance. Pour y arriver, il est important de concevoir son projet dans une logique de sécurité de bout en bout.
Le Certificat numérique RGS ou eIDAS, une garantie pour s’identifier de manière sécurisée sur le web
Ce certificat personnel se positionne comme une réelle carte d’identité numérique universelle pour toutes et tous. Il répond à 3 principaux usages : l’authentification sécurisée sur un service Web, la signature officielle de documents numériques (avec une valeur juridique qui garantit l’intégrité du contenu du document signé ainsi que l'identité du signataire) mais aussi la signature d’emails. Sur ce dernier point, les certificats édités par Certigna par exemple permettent de garantir l’intégrité du contenu d’un email, mais également de vérifier l’identité de son expéditeur. Il permet ainsi de lutter contre les tentatives de malversation ou falsification des correspondances électroniques telles que le phishing.
La signature électronique, un must have à prendre en compte
La signature électronique, comme TessiSign ou DocuSign par exemple, consistent à signer électroniquement et légalement des documents. Elle est donc un maillon clé qui permet de créer un environnement de confiance notamment dans le cadre de la mise en place d’un parcours client digital sans couture en permettant de contractualiser en toute sécurité. Globalement, elle est une garantie pour les signataires de pouvoir échanger des documents sensibles de manière sécurisée. Enfin, notons que le règlement européen eIDAS distingue 3 niveaux de signature électronique : la signature simple, la signature avancée et la signature qualifiée.
L’horodatage qualifié, un must have pour garantir l’intégrité et la preuve d’antériorité d’un document
Pour un document numérique, l’horodatage qualifié permet d’apposer une date fiable sur un fichier, mais également de vérifier et de garantir son intégrité. Ainsi, toute altération volontaire ou involontaire de ce fichier sera automatiquement détectée. Cette notion de date "garantie" est importante et stratégique dans de nombreux cas d’usage, où là encore, la notion de confiance est stratégique à bien des égards.
Le certificat SSL normé pour authentifier un site et y sécuriser ses échanges
Dans ce contexte, le certificat SSL permet à un site internet de passer de HTTP à HTTPS. À travers cette technologie désormais indispensable, l’internaute peut vérifier l’authenticité du site qu’il consulte et rendre confidentiel l’ensemble des données échangées avec ce site, telles que des mots de passe, des informations à caractère personnel ou des données bancaires. En cliquant sur un lien situé dans la barre d’adresse (fréquemment représenté par un petit cadenas), l’internaute accèdera alors à des informations d’identification fondamentales comme le nom du propriétaire du site, l’autorité de certification (Certigna, Certeurope…) utilisée et les dates de validité du certificat. Opter pour le HTTPS est enfin un prérequis et une garantie d’être mieux référencé par les grands moteurs de recherche. En effet, ces derniers privilégient exclusivement le référencement des sites qui sont en HTTPS et garantissent ainsi aux internautes une meilleure protection contre le phishing ou les sites frauduleux.
La montée en puissance des codes 2D sécurisés et QR Codes
La signature électronique permet de sécuriser les documents dématérialisés en garantissant leur intégrité et leur origine. Néanmoins, une fois "rematérialisés", c'est-à-dire imprimés ou téléchargés, ces documents perdent ces qualités. Ces dernières peuvent être désormais recouvrées grâce à la technologie des codes 2D sécurisés. Ils se présentent sous la forme d’un code 2D (Datamatrix) aisément imprimable également appelé "Cachet Électronique Visible" (CEV). Comme tout code 2D (QR code, flashcode...), sa lecture se fait par des applications mobiles.
"2D Doc - Le pictogramme qui bouscule nos habitudes. Il permet de vérifier l’authenticité et l’intégrité d’un document"
Loin d’être un simple concept, ce dispositif industriel est aujourd’hui utilisé à très grande échelle. C’est notamment le cas dans le cadre du Pass Sanitaire où l’application utilisée s’appuie sur ce type de solution éditée par Certigna ou la CNAM. Nous pourrions aussi évoquer d’autres usages comme la certification des ordonnances ou encore des cartes professionnelles.
La vérification d’identité à distance (PVID)
La sécurité des parcours dématérialisés "sans couture " peut nécessiter une vérification d’identité à distance. Ce besoin s’est accru en France et en Europe au cours des dernières années et a été mis en lumière directement par la crise sanitaire (COVID-19).
Les solutions proposées utilisent des technologies innovantes basées sur la capture de séquences vidéo, un algorithme d’analyse par intelligence artificielle et une intervention de contrôle humain. Ces solutions permettent ainsi de comparer et analyser en quelques secondes, les caractéristiques graphiques de la vidéo d’un justificatif d’identité collecté à distance auprès d’une personne, avec les caractéristiques biométriques du flux vidéo "preuve de vie" capturé par la même personne depuis son smartphone.
Afin de garantir un niveau de garantie substantiel ou élevé des solutions proposées, l’ANSSI a élaboré un référentiel pour les prestataires de vérification d'identité à distance. Il est valorisé par un visa de sécurité ANSSI et expose l’ensemble des exigences qui s’imposent désormais aux prestataires de vérification d’identité à distance, quant à la conformité attendue de leur solution.
Ces différentes technologies sont des leviers fondamentaux pour déployer une démarche efficace afin de sécuriser de bout en bout ses documents et ses échanges électroniques. Encouragés par les pouvoirs publics, voire rendus obligatoires dans certains cas comme pour le Pass sanitaire évoqué précédemment, ces procédés vont continuer de se développer à grande échelle, et ce, notamment grâce à l’émergence de nombreux nouveaux usages.
La question n’est donc pas de savoir quand s’intéresser au sujet et le mettre en œuvre, mais d’y entrer de plain-pied pour mener à bien ses opérations en toute confiance. Attention donc à bien prendre la mesure de ce sujet stratégique, trouver le bon partenaire souverain et à s’appuyer sur des dispositifs et des solutions éprouvés et certifiés à l’échelle française et européenne.
Sur l'auteur. Emmanuelle ERTEL est à la tête de la communication corporate & innovation digitale du groupe Tessi. Après dix ans passés chez un éditeur international de RAD/LAD et ECM, elle rejoint Tessi en tant que DG de Docubase.
Nommée CTO de Tessi France en 2015, elle y pilote une équipe de 500 développeurs/intégrateurs. En 2017, elle rejoint le directoire pour lancer le programme Pépites Shaker.