Contractualisation       multicanal       (Internet, face-a-Face       en Agence, terminaux       mobiles)2012   Livre Bla...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)SOMMAIRESOMMAIRE........
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)UN MOT DE JACQUES PAN...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)1 PRINCIPES DE LA CON...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)1.4   CINEMATIQUECiné...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)1.5    PRESENTATION D...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)2 PROBLEMATIQUES2.1  ...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)2.2   CONSERVATION DE...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)Il faut considérer qu...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)3.2    CAS PARTICULIE...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)4.2   CERTIFICATION D...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)                     ...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)6 LA PLATEFORME DICTA...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)6.3       LES ATOUTS ...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)À PROPOS DE DICTAODic...
Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)                     ...
Contractualisation multicanal (internet, face à-face en agence, terminaux mobiles)
Prochain SlideShare
Chargement dans…5
×

Contractualisation multicanal (internet, face à-face en agence, terminaux mobiles)

909 vues

Publié le

Les problématiques d’authentification ont longtemps grandement ralenti le développement des applications de contractualisation en ligne.
Mais nous disposons aujourd’hui de la panoplie technique, de l’appareillage juridique et de l’expérience utilisateur pour déployer à grande échelle ces solutions de contractualisation.
Ce livre blanc est destiné à vous présenter les principales questions que pose la contractualisation multicanal et les moyens de simplement y répondre.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
909
Sur SlideShare
0
Issues des intégrations
0
Intégrations
77
Actions
Partages
0
Téléchargements
15
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Contractualisation multicanal (internet, face à-face en agence, terminaux mobiles)

  1. 1. Contractualisation multicanal (Internet, face-a-Face en Agence, terminaux mobiles)2012 Livre Blanc DICTAO 152 avenue de Malakoff - 75116 PARIS Tel. : 01 73 00 26 00 www.dictao.com – info@dictao.com
  2. 2. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)SOMMAIRESOMMAIRE.......................................................................................................................................................... 1 Président et Fondateur de Dictao ............................................................................................................................................ 21 PRINCIPES DE LA CONTRACTUALISATION .......................................................................................... 3 1.1 Definition ........................................................................................................................................................................... 3 1.2 Cas d’application ............................................................................................................................................................ 3 1.3 Bénéfices ........................................................................................................................................................................... 3 1.4 Cinématique...................................................................................................................................................................... 4 Cinématique de base ................................................................................................................................................................. 4 Enrichissement de la cinématique ............................................................................................................................................. 4 1.5 Présentation des fonctions de confiance ..................................................................................................................... 5 Authentification ............................................................................................................................................................................ 5 Signature électronique ............................................................................................................................................................... 5 Lien entre authentification et signature électronique ........................................................................................................... 5 Constitution et gestion de preuve ............................................................................................................................................ 52 PROBLEMATIQUES ............................................................................................................................... 6 2.1 Différents Niveaux de sécurité de la transaction ..................................................................................................... 6 Cas des transactions BtoB .......................................................................................................................................................... 6 Cas des transactions BtoC ......................................................................................................................................................... 6 2.2 Conservation de la preuve ............................................................................................................................................ 73 LA FONCTION D’AUTHENTIFICATION ................................................................................................. 7 3.1 Cas du client, connu de l’organisation ......................................................................................................................... 7 Critères de choix du moyen d’authentification...................................................................................................................... 7 Moyens d’authentification disponibles .................................................................................................................................... 7 3.2 Cas particulier du prospect ........................................................................................................................................... 94 LA FONCTION DE SIGNATURE ............................................................................................................. 9 4.1 contrôle des moyens de signature par le signataire ................................................................................................ 9 Contrôle total des moyens de signature par le client : respect du cadre réglementaire ............................................ 9 Contrôle total des moyens de signature par l’organisation : ergonomie maximale pour le client ............................ 9 Contrôle partiel des moyens de signature par le client ...................................................................................................... 9 4.2 Certification de l’outil de signature ........................................................................................................................... 10 4.3 Niveau de Qualité du certificat de signature ......................................................................................................... 10 Certificat niveau une étoile ..................................................................................................................................................... 10 Certificat niveau deux étoiles ................................................................................................................................................. 10 Certificat niveau trois étoiles .................................................................................................................................................. 105 LES FONCTIONS DE VALIDATION ET DE CONSTITUTION DE PREUVE ............................................... 116 LA PLATEFORME DICTAO TRUST PLATFORM (DTP) .......................................................................... 12 6.1 Les principes ................................................................................................................................................................... 12 6.2 Les fonctions de confiance assurées ........................................................................................................................... 12 6.3 Les atouts de Dictao Trust Platform ........................................................................................................................... 13 1
  3. 3. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)UN MOT DE JACQUES PANTINPrésident et Fondateur de DictaoOn observe depuis longtemps la montée en puissance du monde électronique, face au déclin progressif d’une culture duface à face et de la communication sur papier.Aujourd’hui, la suprématie des « échanges dématérialisés » n’est pas seulement acquise, elle ne cesse de se confirmerdans l’ensemble des secteurs économiques.La contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles), dans laquelle un Utilisateur et uneOrganisation s’engagent l’un vis-à vis de l’autre, représente probablement un des changements les plus marquants dansle quotidien des utilisateurs privés et professionnels de ces quinze dernières années.Elle concerne l’ensemble des secteurs :  Une télédéclaration fiscale dans laquelle un « assujetti » (personne physique ou entreprise) déclare sa base imposable à l’administration  Une « déclaration de soupçon de fraude financière » dans laquelle un acteur (banque, notaire…) informe l’administration de ses doutes sur des mouvements financiers  Une opération de « cash management » (virement, prélévement, etc.) qu’un trésorier d’entreprise présente à sa banque pour exécution  L’émission par l’entreprise d’un bon de commande vers un fournisseur ou d’une facture vers un client  Un virement qu’un particulier souhaite voir effectuer par sa banque  La souscription d’un contrat en ligne par le client d’une banque, d’une société d’assurance, d’une société de services  …L’engagement des deux parties se traduisait traditionnellement par la signature d’un document papier.En s’appuyant sur des fonctions de confiance (signature électronique, validation de signature, horodatage…), il estaujourd’hui possible de totalement dématérialiser cette opération de contractualisation, tout en lui gardant sa valeurprobante.L’utilisateur signe électroniquement le contrat. L’entreprise valide la signature et donc la qualité tant du document que deson signataire. Elle envoie à l’utilisateur un accusé réception, constitue une preuve qu’elle conserve sur la durée légale.En fonction des enjeux et des niveaux de risque de la transaction, les moyens de confiance mis en œuvre sont plus oumoins sophistiqués.L’opération de signature est, en elle-même, très simple à réaliser, à la condition de connaître avec certitude l’identité dusignataire ; pour cela, il faut que celui-ci ait pu être correctement authentifié, avec un mot de passe non rejouable, uncertificat électronique, une carte à puce… Pour que la signature ait valeur légale (ou valeur probante), il faut que cemoyen d’authentification respecte un certain nombre de contraintes qu’il n’est pas toujours simple à mettre en œuvre sil’on souhaite ne pas trop perturber l’ergonomie de l’application (certificat sur carte à puce, remise du certificat en face àface…).Ces problématiques d’authentification ont longtemps grandement ralenti le développement des applications decontractualisation en ligne.Mais nous disposons aujourd’hui de la panoplie technique, de l’appareillage juridique et de l’expérience utilisateur pourdéployer à grande échelle ces solutions de contractualisation.Ce livre blanc est destiné à vous présenter les principales questions que pose la contractualisation multicanal et lesmoyens de simplement y répondre.Dictao a su s’imposer sur ce domaine qui est au cœur de ses préoccupations d’acteur de confiance. Nous nous tenons,bien entendu, à votre disposition pour approfondir avec vous ces différentes thématiques. Jacques Pantin, Président et fondateur de Dictao. 2
  4. 4. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)1 PRINCIPES DE LA CONTRACTUALISATION1.1 DEFINITIONLa contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles) permet à un émetteur des’engager sur des données en ligne (contrat, ordre, commande, etc.) grâce à la signature électronique et à unrécepteur de traiter sa demande de manière exclusivement électronique, en validant l’authenticité desdonnées (validation de signature) et en constituant des preuves.1.2 CAS D’APPLICATIONLa contractualisation multicanal concerne un très grand nombre de secteurs. Elle doit être définie au sens leplus large. Il ne s’agit pas simplement de dématérialiser les opérations de signature d’un contrat et de sonacceptation, mais de considérer l’ensemble des fonctions d’engagement et de signature qui concernent tous lessecteurs et de nombreuses applications :  L’administration a eu très tôt un effet d’entraînement avec la mise en œuvre des premières téléprocédures, en particulier dans le domaine fiscal : télédéclaration d’impôts, télédéclaration de TVA  La banque propose de nombreux services de contractualisation en ligne, pour le BtoB et le BtoC. En BtoC, ces opérations peuvent : o Se limiter à la signature d’un ordre de banque par le Particulier et à son acceptation par la Banque, la signature d’un contrat d’épargne voire même à la simple demande d’un carnet de chèques o Concerner des opérations à forte valeur ajoutée, comme la signature d’un contrat d’assurance vie  Le secteur de l’assurance devrait, dans les prochaines années, largement s’ouvrir à ces nouvelles pratiques (signature de contrat IARD (Incendie Accidents Risques Divers), santé…)  L’entreprise dans le cadre des échanges avec son « écosystème » (signature de bons de commande, de factures…).1.3 BENEFICESPour l’entreprise, la dématérialisation des flux se justifie très simplement, au moins par :  La possibilité de proposer à ses clients de nouveaux services  L’amélioration de la qualité de service pour le client, qui peut accéder au service 24 heures/24 , 7 jours sur 7 sans se déplacer , échapper aux files d’attente  L’amélioration des taux de conversion des services / produits en ligne existants : le processus de contractualisation n’est plus interrompu par la nécessité d’imprimer et d’envoyer le contrat signé par courrier ou fax ; on parle de « Straight Though Processing »  Les gains d’efficacité que permettent des processus « sans papier »  L’appréhension des nouveaux canaux Internet et Mobile comme de véritables alternatives et/ou compléments aux canaux traditionnels 3
  5. 5. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)1.4 CINEMATIQUECinématique de baseLa cinématique d’une opération de contractualisation en ligne peut être simplement représentée parl’enchaînement des opérations suivantes :  Authentification de l’émetteur  Préparation et visualisation d’un formulaire ou d’un document par « l’émetteur »  Signature du « contrat » par l’émetteur ; avec cette signature, celui-ci s’engage et reconnaît que : o Il est bien l’émetteur o Il s’engage sur la qualité des informations qu’il soumet au « récepteur »  Transmission du contrat au récepteur  Validation de la signature par le récepteur  Constitution et archivage d’une preuve par le récepteurEnrichissement de la cinématiqueCette cinématique de base sera naturellement adaptée pour répondre précisément aux besoins métiers, quela contractualisation se réalise en ligne, en face-à-face en agence, sur des terminaux mobiles.Par exemple, le contrat peut se faire entre deux organisations (ou leurs représentants) dans des approchesBtoB ou entre une organisation et un particulier, que celui-ci soit un client, un citoyen, un usager… On parlealors de :  Signature de personnes physiques, lorsque c’est un client ou un acheteur qui marque son engagement  Signature de personnes morales, ou signature entité, lorsque la transaction est signée au nom de l’entreprisePrenons le cas d’un document sortant engageant l’entreprise (factures, bons de commande, etc.). Différentsintervenants signeront le document en tant que personnes physiques (ils engagent ainsi leur responsabilité). Ledocument final est signé au nom de l’entreprise ; le destinataire du document aura davantage confiance en lasignature entité qui engage l’entreprise qu’en la signature d’une personne physique qui n’engage que celle-ci.Parfois, il est aussi nécessaire de mettre en œuvre des fonctions de co-signatures et des sur-signatures. Parexemple, un contrat d’assurance vie pourra être signé les deux conjoints (co-signature) ; un bon de commandenécessite l’aval d’un collaborateur et de son responsable de département (sur-signature).Il faut aussi assurer la gestion des pièces jointes. Un client ou prospect peut signer un contrat, mais pour quecelui-ci prenne effet, il faut, dans certain cas, fournir des pièces justificatives qui seront traitées « enasynchrone », dans les jours suivants la signature du contrat ; on aura, ainsi, une « transaction longue » dont ilfaudra savoir constituer et conserver la preuve. 4
  6. 6. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)1.5 PRESENTATION DES FON CTIONS DE CONFIANCEAuthentificationL’authentification permet de s’assurer de l’identité de son correspondant : qu’il prouve qu’il estbien la personne qu’il prétend êtreCe que je sais (par exemple un mot de passe), ce que je possède (par exemple un support matériel), et ceque je suis (par exemple une empreinte digitale) sont des facteurs d’authentification forte. On appelle‘’authentification forte’’ l’utilisation de deux facteurs d’authentification parmi les 3 cités précédemment.Une authentification uni-facteur (par exemple par simple mot de passe) est dite faible.Il existe de nombreux moyens d’authentification : simple mot de passe, mot de passe à usage unique(« authentification non rejouable »), certificat logiciel ou sur carte à puce, une empreinte biométrique… Lechoix du moyen d’authentification est fonction de la population ciblée, de la sensibilité et du niveau de risquede la transaction, des évolutions technologiques, de l’ergonomie recherché. Il n’est pas envisageable d’avoirun moyen d’authentification unique pour l’ensemble de la population et des transactions.Signature électroniqueUne fois l’utilisateur authentifié, il peut recevoir un certificat (sa pièce d’identité électronique) et procéder àdes opérations de signature (signature de virements, de contrats, etc.).La signature électronique remplace la signature manuscrite. Elle est réalisée à partir d’un outil de signatureélectronique qui, associé au certificat du signataire (sa pièce d’identité électronique) et aux secrets del’utilisateur (clé privée / clé publique), applique un algorithme cryptographique au document et calcule lasignature.Lien entre authentification et signature électroniqueAuthentification et signature sont intimement liées. L’attribution du certificat de signature au signataire estbasée sur l’authentification du signataire. Par conséquent, la qualité de la signature dépend de la qualité del’authentification.Constitution et gestion de preuveLa validation dune signature permet de :  Détecter une éventuelle perte dintégrité de l’objet signé (transaction, document, etc.)  Authentifier le signataire  Vérifier la validité du certificat et, éventuellement, les « droits à signer » du signataire.Une preuve électronique horodatée, à vocation probante, est constituée lors de chaque validation. En fonctionde la nature de la transaction, cette preuve sera conservée 1 an, 3 ans, 10 ans, etc. et pourra être trèssimplement rejouée en cas de litige. 5
  7. 7. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)2 PROBLEMATIQUES2.1 DIFFERENTS NIVEAUX DE SECURITE DE LA TRANSACTIONPour mettre en place des opérations de contractualisation multicanal, nous avons vu qu’il était en particuliernécessaire de mettre à disposition de l’émetteur (clients, prospects, partenaires, etc. ) :  Un moyen d’authentification plus ou moins robuste (du mot de passe à l’empreinte biométrique  Un certificat de signature de plus ou moins bonne qualité : certificat sur support matériel, certificat logiciel stocké sur le poste client ou sur le serveur de l’organisation  Un outil de signature de plus ou moins bonne qualité : certifié ou non ; situé sur le poste client ou sur le serveur de l’organisationLa conjonction de ces trois moyens (moyen d’authentification, certificat de signature, outil de signature)confère à la transaction un plus ou moins haut niveau de sécurité.L’organisation qui cherche à mettre en œuvre des opérations de contractualisation multicanal devra doncmettre en œuvre ses trois moyens, en les choisissant selon le type de population ciblée (clients Entreprises,particuliers, prospects, etc.) et le niveau de risque du contrat proposé.Nous considérons disposer pour tous vos besoins de réponses appropriées, fonction du niveau de risque perçuet/ou accepté par l’organisation.Cas des transactions BtoBLes applications « dématérialisées » se généralisent rapidement dans le domaine du BtoB, en particulier, enprolongement des applications mettant en jeu l’entreprise et son « écosystème » (relations clients /fournisseurs, échanges avec la banque ou l’administration…). Les acteurs concernés sont relativement peunombreux, les enjeux sont souvent importants.Par conséquent, l’organisation est amenée à mettre en œuvre des solutions de confiance robustes, endistribuant par exemple, des cartes à puce et en utilisant des produits de signature électronique certifiés etqualifiés.Cas des transactions BtoCDans le monde du BtoC, dans une relation entre une entreprise et un client ou prospect, la problématique estdifférente et plus difficile à traiter pour au moins deux raisons :  Les dimensions ergonomie et coût de déploiement sont clés pour la viabilité et le succès de l’application. Il est difficile, sinon impossible, pour l’organisation de distribuer une carte à puce ou un token à tous ses clients. il ne faut pas, non plus, ralentir le processus de contractualisation et empêcher « l’achat impulsif » par des contrôles trop tatillons…  La distinction entre clients et prospects : Il faut traiter le cas d’utilisateurs de l’identité desquels l’entreprise ne peut pas être certaine; ce qui est le cas, en particulier, des prospects qui, a priori, ne disposent pas de moyens d’authentification connus de l’entreprise (à moins de pouvoir utiliser une carte bancaire ou, éventuellement, un jour, une carte nationale d’identité électronique…)Il faut donc mettre en place des outils (moyen d’authentification, certificat de signature, outil de signature) àla fois :  Faciles à utiliser  Engageant plus ou moins fortement l’utilisateur sur la transaction ou le contrat. Ainsi, l’organisation limite au maximum le risque. 6
  8. 8. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)2.2 CONSERVATION DE LA P REUVEDans la plupart des cas, la preuve doit être conservée pendant moins de cinq ans, ce qui ne pose pas deproblèmes techniques particuliers.En revanche, s’il faut garantir la qualité de la preuve sur longues périodes (jusqu’à 100 ans ou plus), il fautalors tenir compte de l’obsolescence de la preuve et mettre en place des mécaniques de « rajeunissement dela preuve » pour que celle-ci conserve toute sa valeur. En effet, les mécanismes cryptologiques qui ont permisde la bâtir sont dépassés et donc aisément destructibles…3 LA FONCTION D’AUTHENTIFICATIONSignature et authentification sont des fonctions intimement liées. Pour qu’une signature soit de qualité, il fautque l’on soit certain de l’identité du signataire et donc que l’on ait pu correctement authentifier ce dernier.Idéalement, il faudrait que le signataire dispose d’un moyen d’authentification qui puisse être simplementreconnu par la plupart des organisations ; la Carte Nationale d’Identité électronique serait ainsi unformidable vecteur d’accélération de la dématérialisation et de la contractualisation multicanal…3.1 CAS DU CLIENT, CONNU DE L’ORGANISATIONEn l’absence d’un ‘moyen universel’, c’est à l’organisation (l’administration, la banque, l’entreprise…) defournir à ses clients et partenaires un moyen d’authentification dans lequel elle aura confiance.Critères de choix du moyen d’authentificationLe moyen d’authentification est choisi en fonction de la nature du certificat de signature :  Le certificat de signature est de haute qualité (remis en face à face) et « bien protégé » (par exemple, dans une carte à puce), de niveau 2 à 3 étoiles du RGS ; dans un tel cas, il n’y a, a priori, pas besoin de s’appuyer sur un moyen d’authentification solide, puisque l’identité du signataire est garantie par son certificat de signature activé par un mot de passe ou par une fonction biométrique  Le certificat de signature est de qualité moyenne (par exemple, certificat logiciel émis sans face à face, niveau 1 étoile du RGS) ; il faut alors renforcer le niveau de sécurité en mettant en œuvre une fonction d’authentification du porteur. On peut alors utiliser un moyen de type mot de passe à usage unique, en considérant que le couple traditionnel login / mot de passe est trop fragile  Le certificat de signature est tiré à la volée ; sa qualité est alors strictement fonction de la qualité de l’authentification faite avant l’émission du certificat. Dans un tel contexte, on considérera qu’il faut, a minima, une authentification par mot de passe à usage unique pour que la signature puisse être reconnue de qualité suffisanteMoyens d’authentification disponiblesLes moyens d’authentification d’un utilisateur sont aujourd’hui très nombreux :  Authentification faible : le simple mot de passe est très largement le moyen le plus employé aujourd’hui ; mais, le niveau de sécurité est faible et une signature faite avec un certificat de signature de qualité moyenne à la suite d’une authentification par mot de passe sera potentiellement contestable  Authentification forte, avec un certificat sur carte à puce ou sur token ; L’authentification forte permettra d’obtenir une signature à valeur probante mais se posent les problématiques d’ergonomie et de coût de distribution.  Authentification intermédiaire ou non rejouable: les mots de passe à usage unique (OTP- One Time Password) que l’utilisateur ne peut employer qu’une seule fois. Dans le cas d’un OTP SMS, ce mot de passe est envoyé par SMS sur le mobile de l’utilisateur, celui-ci le saisit sur son ordinateur. Dans le monde bancaire, on peut utiliser un mot de passe non rejouable de type EMV CAP qui est affiché sur l’écran d’une petite calculette dans laquelle l’utilisateur a introduit sa carte bancaire 7
  9. 9. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)Il faut considérer qu’une organisation ne peut se limiter au choix d’un seul moyen d’authentification ; il lui fautmettre en œuvre des moyens d’authentification différents, en fonction des populations, de la nature desapplications, du niveau de risque associé… De plus, il faut faire évoluer ces moyens dans le temps etprogressivement les « durcir » pour répondre à des niveaux de risque nécessairement croissants ou àl’exploitation de faiblesses dans les algorithmes cryptographiques…Dans son processus de choix d’un moyen d’authentification, l’entreprise cherchera systématiquement unoptimum entre le niveau de sécurité, la facilité de mise en œuvre, l’ergonomie utilisateur et le coût.Ainsi, les banques ont aujourd’hui majoritairement choisi d’utiliser l’OTP SMS comme moyen d’authentificationnon rejouable. L’OTP SMS a l’avantage d’être simple à mettre en œuvre et d’être relativement solide.Cependant, pour une population d’utilisateurs très réguliers, son coût devient difficile à supporter. Il faut doncconsidérer l’OTP SMS comme une solution bien adaptée pour des usages épisodiques en BtoC, mais qu’ilfaudra remplacer dans les prochaines années pour une solution plus solide et potentiellement moins coûteuse.Pour répondre à ces besoins et approches multiples, avec notre produit DACS (Dictao Access Control Server),nous proposons une plate-forme d’authentification multimoyen et multicanal qui peut être simplement mutualiséau niveau de l’entreprise et qui est en mesure de supporter la totalité des moyens d’authentificationenvisageables (du simple mot de passe à la carte à puce ou à la biométrie, en passant pas l’OTP…). Ens’appuyant sur DACS, l’entreprise fait un investissement pérenne : elle peut conserver l’ensemble de sa plate-forme d’authentification et mettre en œuvre de nouveaux moyens d’authentification. 8
  10. 10. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)3.2 CAS PARTICULIER DU PROSPECTLorsque l’organisation connaît son correspondant (s’il est déjà client ou partenaire) elle peut lui remettre unmoyen d’authentification et/ou de signature.Le prospect, inconnu de l’organisation, est lui dépourvu de moyen d’authentification ; il faut chercher, enfonction du contexte, des moyens d’authentification de substitution, comme par exemple des pièces d’identitéscannées ou photographiées.4 LA FONCTION DE SIGNATUREPour pouvoir signer, il faut disposer d’un certificat de signature attribué au signataire (personne physique oupersonne morale) et d’un outil de signature électronique.Le certificat peut être de plus ou moins grande qualité (de une étoile à trois étoiles du RGS) ; il peut êtrestocké sur le poste de travail ou le serveur de l’organisation.De son côté, l’opération de signature peut être effectuée sur le poste de travail de l’utilisateur (pour répondreaux contraintes légales) ou sur le serveur de l’organisation ; elle peut être réalisée par un outil de signaturecertifié ou non.Par conséquent, la qualité de la signature dépend de plusieurs facteurs à prendre simultanément en compteet à combiner pour répondre aux niveaux de risque et d’ergonomie de l’application de contractualisationmulticanal.Nous nous proposons dans ce chapitre d’examiner dans ce chapitre les leviers influant la qualité etl’ergonomie de la fonction de signature.4.1 CONTROLE DES MOYENS DE SIGNATURE PAR LE SIGNATAIREPlusieurs cas peuvent être envisagés :Contrôle total des moyens de signature par le client : respect du cadre réglementaireL’outil de signature et le certificat de signature sont sur le poste de travail de l’utilisateur ; seule cetteconfiguration permet de répondre aux contraintes du cadre réglementaire qui demande à ce que cescomposants soient sous le contrôle direct de l’utilisateur.Contrôle total des moyens de signature par l’organisation : ergonomie maximale pour le clientL’outil de signature et le certificat de signature sont sur le serveur de l’organisation ; diamétralement opposéeà la solution précédente, cette approche est plus simple à mettre en œuvre (il n’y a pas de composants àdéployer sur les stations). Néanmoins la signature reste de qualité moyenne, car le signataire n’a pas lamaîtrise de l’outil de signatureDans ce scénario, la cinématique la plus fréquemment rencontrée est la suivante :  L’utilisateur s’authentifie par un simple mot de passe ou par un OTP  Un certificat de signature est généré sur le serveur de l’organisation  L’outil de signature, lui aussi localisé sur le serveur fera appel à ce certificat de signatureContrôle partiel des moyens de signature par le clientL’outil de signature est sur le client et le certificat est sur le serveur, dans des approches dites de « roaming ».Là encore, le choix de l’approche est fonction des niveaux d’ergonomie et de qualité recherchés. Pour desopérations peu risquées, une solution ‘tout sur le serveur’, particulièrement ergonomique, peut être acceptée.Cependant, pour obtenir une signature de qualité, tous les moyens (certificat et outil) devront être situés sur leposte de travail du client. 9
  11. 11. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)4.2 CERTIFICATION DE L’OUTIL DE SIGNATUREPour qu’une signature ait valeur probante, elle doit être réalisée avec un outil de signature certifié parl’Agence Nationale de la Sécurité des Systèmes d’Information. Dictao AdSigner, outil de signature sur leposte client, est aujourd’hui le seul produit français qualifié et certifié EAL3+ par l’Agence Nationale de laSécurité des Systèmes d’Information. AdSigner supporte la quasi-totalité des environnements techniques(systèmes d’exploitation et navigateurs) et est aujourd’hui très largement utilisé, en particulier dans le cadrede la dématérialisation de déclarations fiscales.4.3 NIVEAU DE QUALITE DU CERTIFICAT DE SIGNATUREDisposer d’un certificat électronique est indispensable pour une opération de signature, même si ce certificatest « éphémère » et détruit immédiatement après l’opération de signature.Comme nous l’avons dit, la qualité du certificat de signature est directement liée à la qualité du processusd’authentification du porteur.Cette authentification pourra se faire par simple mot de passe (niveau d’authentification faible), par mot depasse à usage unique, par certificat, par biométrie…L’administration française a défini et récemment publié le RGS (Référentiel Général de Sécurité) quicaractérise trois niveaux de qualité pour le certificat : le certificat de 1, 2 et 3 étoiles.Certificat niveau une étoileC’est un certificat logiciel délivré sans opération de face-à-face. Par exemple, dans le cadre de latélédéclaration d’impôts (où le risque de fraude est quasi-nul), un certificat de signature de niveau 1 étoile estattribué en ligne à l’usager après qu’il a fourni quelques informations sur sa situation fiscale.Ce certificat dit de niveau 1 étoile est nécessairement faible ; mais ce niveau de sécurité est suffisant pour uncertain nombre d’opérations où le risque est peu élevé (virement bancaire vers un membre de sa communautédéjà connu de la banque, fourniture d’informations vers une collectivité territoriale…)Certificat niveau deux étoilesLe niveau 2 étoiles est beaucoup plus « solide » et répond aux besoins de la plupart des applications ; ladéclaration de la TVA par exemple, s’appuie sur un certificat 2 étoiles.Un certificat deux étoiles doit être remis dans une opération de face-à-face et être sur support matériel(token ou carte à puce). Le certificat 2 étoiles est très largement supérieur au certificat 1 étoile, en termes dequalité.Certificat niveau trois étoilesLe RGS définit un niveau 3 étoiles, utilisé par les notaires dans le cadre de la signature d’actes authentiques.Certains souhaiteraient en voir généraliser l’usage et en faire la référence mais nous considérons, pour notrepart, que c’est le certificat 2 étoiles qui devrait devenir la référence dans la dématérialisation des échangesentre organisations, le niveau 3 étoiles étant limité à des opérations extrêmement sensibles…Note : Lorsque l’authentification se fait par certificat, le cadre réglementaire demande que le certificat designature soit différent du certificat d’authentification ; mais, pour des raisons de simplicité et d’ergonomieutilisateur, on utilise, bien souvent, le même certificat pour s’authentifier et signer. 10
  12. 12. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles) NIVEAU DE SECURITE DE LA SIGNATURE5 LES FONCTIONS DE VALIDATION ET DE CONSTITUTION DE PREUVELorsque le document a été signé par l’émetteur, il est transmis au destinataire. Celui-ci doit :  Valider la signature, c’est-à dire : o Valider la qualité du certificat : le certificat respecte-t-il les standards techniques imposés ? est-il toujours dans sa période de validité ? n’est-il pas sur les listes de révocation ?… Ces contrôles permettent de s’assurer de la qualité du signataire. Il faut noter que cette opération ne permet pas de s’assurer des droits à signer du signataire qui doit faire l’objet d’une procédure spécifique o Valider la signature, ce qui permet de s’assurer que le document n’a pas été altéré et que, par exemple, le virement de 10 000 € à votre concessionnaire automobile ne se transforme pas en un virement d’un million d’euros vers les Iles Caïman…  Horodater le mouvement ; en fonction du niveau de précision demandé, on utilise du temps Internet (service NTP) ou du temps GPS, ce qui permet de garantir la date et l’heure auxquelles le contrat a été validé  Constituer une preuve, cest-à-dire, en quelque sorte sur-signer le contrat, en lui appliquant la signature de l’entité morale destinataire de la transaction ou du contrat. Il faut noter qu’il faut veiller à systématiquement disposer d’une preuve de grande qualité ; en effet, en cas de contestation, l’entreprise aura à produire cette preuve devant les tribunaux et il est souhaitable que l’horodatage et la signature de la preuve respectent le cadre réglementaireUne fois cette preuve constituée, il faut lui conserver sa valeur probante dans le temps. Par conséquent, lesconditions d’archivage doivent être de qualité.Conserver la valeur probante d’un document sur une période de 3 à 5 ans (ce qui est le cas de la plupart desdocuments commerciaux) est relativement simple ; par contre, s’engager sur des périodes de 30 ans, 50 ans,100 ans est techniquement plus difficile à réaliser. Nous vous proposons, pour de telles durées d’archivage demettre en œuvre notre produit D3S (Dictao Secure Storage Server), qui est aujourd’hui le seul produit à êtrequalifié CSPN (Certification de Sécurité de Premier Niveau).Nous considérons que ces fonctions de validation et de constitution de preuve sont techniquement trèssophistiquées à réaliser dans des environnements de production. Grâce à l’expérience que Dictao a suacquérir dans ces domaines, nous sommes en mesure de vous proposer des solutions industrielles, très faciles àmettre en œuvre. 11
  13. 13. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)6 LA PLATEFORME DICTAO TRUST PLATFORM (DTP)6.1 LES PRINCIPESNous l’avons vu dans les chapitres précédents, savoir tirer parti des avantages de la contractualisationmulticanal suppose de mettre en œuvre des fonctions de confiance multiples répondant à des besoinsdifférents.Dans le cadre de sa stratégie produit, Dictao a toujours cherché à proposer des solutions simples à mettre enœuvre et « non intrusives » ;Pour la contractualisation multicanal, nous avons, ainsi, développé notre produit DTP (Dictao Trust Platform),solution clé en main, qui :  Prend en charge l’ensemble des fonctions de confiance nécessaires à une démarche de dématérialisation des flux  Permet d’isoler les cinématiques métier des cinématiques confiance  S’intègre très simplement dans un système d’information existant  Permet de répondre aux critères les plus stricts du cadre réglementaire  Est ergonomiqueConceptuellement, nous proposons systématiquement, dans nos approches, de clairement isoler l’applicationmétier des fonctions de confiance pour au moins deux raisons :  Techniquement, il est préférable que les fonctions de confiance qui font appel à des éléments cryptographiques avancés soient « confinées » pour offrir un niveau de sécurité maximal  L’utilisation d’une plate-forme de confiance « indépendante » permettra de mutualiser les usages de celle-ci et, donc, d’en partager les coûts d’acquisition et d’opération.6.2 LES FONCTIONS DE CONFIANCE ASSUREESL’application métier fera appel à la plate-forme de confiance. Celle-ci assure les fonctions de :  Authentification client  Signature du client  Eventuellement, co signature et/ou sur signature  Transmission du document/contrat signé au destinataire  Validation de la signature  Horodatage du mouvement  Constitution de la preuve 12
  14. 14. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)6.3 LES ATOUTS DE DICTAO TRUST PLATFORMDTP possède de solides références dans la plupart des secteurs économiques (administration, banque,assurance, industrie…).Avec DTP (Dictao Trust Platform), nous proposons à l’entreprise :  Une solution « indutrielle »…  Simple à mettre en œuvre et non-intrusive…  Répondant immédiatement aux besoins de la contractualisation en ligne…  Mutualisable et facile à faire évoluer…  D’un très haut niveau de sécurité, les composants clés de DTP sont certifiés et qualifiés au niveau EAL3+ des Critères Communs…Nous proposons Dictao Trust Platform sous deux formes :  Un produit logiciel que l’entreprise peut installer dans son système d’information  Une offre en mode Service, « Software as a Service », que les portails métiers pourront simplement appeler. Nous avons naturellement particulièrement travaillé la dimension sécurité, pour que vos informations ne puissent être interceptées…Avec ce service externalisé « Software as a Service » vous bénéficiez de :  Suppression des tâches d’intégration, d’exploitation et de Maintien en Condition Opérationnelle  Absence d’investissement en infrastructure (machines, réseau, locaux, etc.)  Accélération du lancement de projet  Coût proportionné à l’usage (à la transaction ou par volume de transactions) ; optimisation des coûts pour les petits volumes 13
  15. 15. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles)À PROPOS DE DICTAODictao est l’éditeur logiciel de référence dans le domaine de l’authentification forte, de la signatureélectronique et de l’archivage sécurisé.Nous concevons et commercialisons des produits permettant de mettre en œuvre les fonctions indispensables àla sécurité et à la confiance dans un monde dématérialisé : authentification des clients et des utilisateurs,engagement à travers la signature électronique et constitution de preuves de transactions à vocationprobante.Nous aidons nos clients à sécuriser leurs applications sensibles, à répondre à leurs contraintes réglementaireset à innover pour plus d’efficacité et de croissance.Les résultats concrets obtenus par nos clients sont les meilleurs garants de l’adéquation de nos produits, nossolutions sectorielles et notre expertise à vos besoins.Nous accompagnons le secteur bancaire dans la sécurisation des transactions en ligne réalisées par lesEntreprises et les Particuliers, la sphère publique dans la modernisation de lEtat au travers destéléprocédures, et le monde industriel dans la concrétisation de lentreprise étendue (dématérialisation descommandes, des factures, etc.).Dictao est le seul éditeur dont la gamme de produits est éprouvée dans des contextes variés (ordres devirements, contractualisation en ligne, facturation électronique, télédéclaration de la TVA, etc.) et certifiée auniveau EAL3+ de la norme internationale des Critères Communs par l’Agence nationale de la sécurité dessystèmes d’information (ANSSI).Ils nous font confiance :600 établissements financiers et de crédit dont la Banque de France, BPCE (Groupe Banque Populaire Caissed’Epargne), BNP Paribas, Société Générale, La Banque Postale, LCL, etc.). De grandes entreprisesindustrielles dont PSA Peugeot Citroën, Total, Alcatel, etc.). L’Administration (la DGFiP, le Ministère de laDéfense, la Direction de l’Information Légale et Administrative, l’Agence Nationale des Titres Sécurisés, l’INPI,etc.). 14
  16. 16. Livre blanc sur la contractualisation multicanal (Internet, face-à-face en agence, terminaux mobiles) Toute l’équipe Dictao est à votre disposition pour tous renseignements complémentaires info@dictao.com DICTAO 152 avenue de Malakoff 75116 PARIS 01 73 00 26 00 www.dictao.com 15

×