Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GlobalSign : Que sont les signatures électroniques et comment choisir la bonne pour mon entreprise ?

mars 2017 par GlobalSign

La plupart des entreprises sont sensibilisées aux questions de dématérialisation (ou de « bureau zéro papier ») et ont d’ores et déjà amorcé leur transition dans ce sens. Leur démarche est généralement motivée par plusieurs raisons :
• réduire le coût des documents papier ;
• booster son ROI en améliorant la collaboration ;
• gagner du temps sur les processus ;
• faciliter l’interaction avec les documents pour les employés mobiles.

Malgré leur impatience à se lancer dans la dématérialisation, les entreprises peuvent, pour une raison ou une autre, se retrouver bloquées sur la question des signatures. Outre le fait qu’il soit peu pratique et totalement inefficace de devoir imprimer et signer « physiquement » ses documents à chaque fois que l’on en a besoin, ces actions ralentissent le workflow électronique en l’interrompant.

Les e-signatures prennent donc ici tout leur sens. En remplaçant les signatures manuscrites par des signatures électroniques, les entreprises conservent les avantages de leurs workflows documentaires électroniques et de la dématérialisation.

Qu’est-ce qu’une signature électronique (e signature) ?

Pour faire simple, une e signature est la version électronique d’une signature manuscrite. De manière plus formelle, la loi fédérale américaine ESIGN Act définit la signature électronique comme un « son, un symbole ou un processus électronique attaché ou logiquement associé à un contrat ou tout autre enregistrement, qui est appliqué ou adopté par une personne dans l’intention de signer l’enregistrement ».

Un peu vague comme définition ? En fait, il n’existe pas de définition très précise du terme « signature électronique » qui peut désigner plusieurs actions de signature comme le fait de cocher une case, de taper ses initiales ou son nom, d’insérer une image de sa signature manuscrite, ou encore d’utiliser une signature numérique basée sur la cryptographie — des actions qui marquent son intention de signer.

Attention, toutes les e signatures ne se valent pas

Comme on peut l’imaginer, tous ces types de signatures électroniques présentent des niveaux de sécurité variables et des différences sur le plan juridique. Sa validité juridique découle généralement du respect de divers règlements. L’ESIGN Act évoqué plus haut, son équivalent européen l’eIDAS et d’autres réglementations sectorielles définissent clairement les critères que doit remplir une e signature pour accéder au statut d’alternative juridiquement acceptée à la signature physique.

La question de la confiance reste centrale pour la validité juridique d’une signature électronique et pour être acceptée par les entreprises elles-mêmes. Lorsque la personne qui signe un document affirme être le signataire authentique, peut-on lui faire confiance ? Et si le document signé avait été modifié… peut-on avoir confiance ? Et si la signature n’avait pas été appliquée au moment indiqué… peut-on avoir confiance ? Suivant la signature électronique choisie, l’entreprise ne pourra pas avoir confiance dans tous ces cas de figure.

Imaginons que notre service comptable ajoute à la facture qu’il envoie à un client une image de la signature du directeur financier, afin de prouver que le document est dûment autorisé et approuvé par l’entreprise. Supposons maintenant qu’un hacker intercepte la facture et la modifie avant qu’elle ne parvienne au destinataire. Le client règle la facture... mais l’entreprise ne reçoit jamais l’argent. Lorsqu’on lance la procédure de recouvrement, le client apprend avec effroi qu’il a transféré l’argent sur un mauvais compte bancaire. Dans ce scénario, malgré l’application d’une signature électronique, le contenu du document n’offre aucune garantie de fiabilité. L’entreprise ne peut savoir avec certitude si son client recevra la bonne facture.

Les signatures numériques offrent plus de garanties de confiance que n’importe quel autre type de signature électronique. Elles constituent un moyen testé et éprouvé de s’assurer :
1. que les documents envoyés et signés de manière électronique n’ont pas été altérés ;
2. que l’expéditeur est facilement identifiable ;
3. que l’expéditeur correspond bien à la personne/entité qu’il affirme être.

Sans signature numérique, nous n’avons aucune garantie que nos documents n’ont pas été interceptés et modifiés en cours de route par un pirate. Sans signature numérique, comment être sûr que le client règle sa facture à son entreprise et pas à Vladimir de Moscou ou Craig à Londres ?
Avec une signature numérique, le service comptabilité peut ajouter une signature électronique à la facture ; le client aura ainsi la certitude qu’il envoie son paiement au bon fournisseur.

De l’importance des signatures publiques de confiance

L’exemple précédent d’une facture payée à la mauvaise personne est loin d’être anecdotique. Mais attention, l’intégrité du document n’est pas le seul type de confiance à prendre en compte lors du choix de signature électronique.

Si l’on envoie des documents à l’extérieur de l’entreprise ou que l’on utilise certains types de logiciels documentaires, la confiance publique est un critère essentiel. Sans confiance publique, les destinataires verront s’afficher d’effrayants messages d’alerte leur recommandant de se méfier de cette signature au moment d’ouvrir le document dans des logiciels courants de Microsoft ou Adobe. Ces entreprises imposent en effet des exigences techniques pour pouvoir utiliser leurs produits. En clair : l’entreprise doit disposer d’une signature numérique pour pouvoir utiliser toutes les fonctionnalités de ses services.

De nombreuses exigences réglementaires comme eIDAS considèrent la confiance publique comme un point important. Nous reviendrons ultérieurement sur le cadre réglementaire et législatif autour de la signature électronique.

Signature électronique : laquelle faut-il à l’entreprise ?

Le niveau de fiabilité des signatures électroniques dépend des processus métiers et des technologies utilisés pour les créer. Pour les transactions sensibles et de valeur, mieux vaut utiliser des signatures électroniques de meilleure qualité adossées à une confiance publique. Pour apporter le niveau de sécurité nécessaire et garantir la confiance vis-à-vis du système sous-jacent, les signatures utilisées pour ces transactions doivent être reliées à leur propriétaire.

Vu sous cet angle, la plupart des entreprises sera priée d’utiliser des e signatures dotées d’un niveau de confiance supplémentaire auprès du public — ce qu’elles auront tout intérêt à faire.

Avantages des signatures électroniques « haut de gamme » :

• Authentification : établissement du lien entre le signataire et les informations.
• Intégrité : détection aisée des modifications apportées aux contenus transmis permettant de réduire le risque d’interception par des hackers.
• Non-répudiation : garantie (au sens juridique) de l’origine de la signature électronique et de ce fait, moyen pour la signature d’obtenir la confiance publique, comme dans le cadre légal.

Le choix de la bonne signature dépend, en premier lieu, des raisons qui motivent la démarche de dématérialisation.

Si l’on essaye simplement d’accélérer les choses, les critères de conformité et de confiance ne constitueront alors pas un problème. Si l’on a besoin d’envoyer des documents à l’extérieur du réseau interne, la confiance publique constitue un point important pour que la signature soit automatiquement acceptée par différents logiciels de gestion documentaire. Le workflow n’est jamais le même d’une entreprise à une autre — d’où l’importance de pouvoir personnaliser chaque solution en fonction de vos besoins.




Voir les articles précédents

    

Voir les articles suivants