Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...
L'avénement de la signature électronique en 2014
1. La signature électronique 21/11/2014 www.aliceandbob.fr 1
patrick.duboys@aliceandbob.fr
+33 (0)1 73 79 40 77
www.aliceandbob.fr
N’hésitez pas à nous contacter
2. Agenda
1.
Exemple d’usages
2.
Exemples de bénéfices
3.
Apports et fonctionnalités
4.
ROI Calculator 20/11/2014 www.aliceandbob.fr 2
4. La signature électronique de documents sensibles au sein de l’entreprise 20/11/2014 www.aliceandbob.fr 4
Bulletin de paye,
demande de congés,
notes de frais
Compte rendu du Comité Exécutif
Contrats et clauses clients
Fichier clients
Liste de prix à destination d’un fournisseur
Proposition d’OPA sur un concurrent
5. Transmission d’informations sensibles (signature + chiffrement*) 20/11/2014 www.aliceandbob.fr 5
1) Vous devez envoyer un dossier confidentiel
2) Signez, chiffrez vos documents et emails avec un certificat
3) Utilisez un certificat sur votre ordinateur ou sur une clé cryptographique
4) Envoyez les documents horodatés et traçables
à un destinataire désigné, qui seul, peut les lire
*Vous pouvez chiffrer un email en utilisant la clé publique de votre interlocuteur afin qu’il soit le seul à pourvoir lire un email et son contenu
6. Réponse appels d’offres marchés publics 20/11/2014 www.aliceandbob.fr 6
1) Consultation des annonces BOAMP
2) Enregistrement sur un site portail marchés public
3) Téléchargez le dossier de candidature
4) Rédigez votre réponse
5) Apposez une signature électronique sur la réponse
6) Postez la réponse avec signature et horodatage
7. Signature de contrat en agence
1) Les clients discutent du contrat en agence
2) Ils signent électroniquement le contrat
3) Le document est inséré dans le workflow d’approbation
4) Le management dispose d’un reporting immédiat
5) Les clients visualisent leur contrat dans leur espace client 20/11/2014 www.aliceandbob.fr 7
8. Signature de contrat en situation de mobilité
1) Le commercial négocie les conditions contractuelles
2) Avec le client, ils signent électroniquement le contrat sur place
3) Le contrat est envoyé immédiatement au siège pour intégration au SI
5) Le contrat est stocké dans un coffre fort numérique ou dans une base de données
4) Le contrat peut être stocké, envoyé à des applications tierces, re-routé par mail 20/11/2014 www.aliceandbob.fr 8
9. Les contrats et la signature électronique dans les Call Centers
1) Les scripts et les formulaires sont disponibles en ligne
3) Le commercial du call center et le client s’échangent les documents signés 20/11/2014 www.aliceandbob.fr 9
4) Les documents signés numériquement peuvent être stockés, envoyés à des applications tierces, re-routés par mail
2) La négociation s’effectue
10. Signature de contrat en ligne
Ve
Veuillez signer en ligne ce contrat
Vos coordonnées :
Votre numéro de téléphone portable :
OK
Ve
Entrez votre code reçu par SMS:
Signer
Contrat
1)
Le client reçoit une proposition commerciale par email
2)
Un contrat signé électroniquement par la banque lui est proposé
3)
Il s’authentifie par SMS One Time Password
4)
Le client signe le contrat en ligne
5)
Le contrat est ajouté dans un workflow pour la banque 20/11/2014 www.aliceandbob.fr 10
11. Signature de notes de frais 20/11/2014 www.aliceandbob.fr 11
•
Jean signe électroniquement la note de frais
•
Elle est horodatée
•
Valeur probante
•
Inséré dans le workflow de l’entreprise
•
Nathalie, son manageur, signe également électroniquement la note de frais
•
Elle est horodatée
•
Valeur probante
•
Inséré dans le workflow de l’entreprise
Le management dispose d’un reporting immédiat
12. 2. Exemples de bénéfices 20/11/2014 www.aliceandbob.fr 12
13. 7 exemples d’usages 1/4 20/11/2014 www.aliceandbob.fr 13
Usage
Bénéfice
1) Un bureau d'étude utilise des clés USB cryptographiques pour signer et chiffrer ses documents et ses e- mails.
•
Ni l'e-mail ni les documents joints également signés n'ont pu être altérés.
•
Personne n'a pu intercepter les informations échangées.
•
Le risque est éliminé.
2) Un call center travaille avec des entreprises en offshore et utilise la signature électronique pour signer des contrats.
•
Les contrats ne peuvent plus être modifiés.
•
15 jours sont gagnés sur chaque échange de contrat.
•
La confiance entre les parties est établie.
3) Une banque envoie des propositions commerciales avec un sceau pour de nouveaux services à tous ses clients.
•
Les clients sont rassurés quant à la provenance du document.
•
Augmentation des signatures de nouveaux services : +10%
14. 7 exemples d’usages 2/4 20/11/2014 www.aliceandbob.fr 14
Usage
Bénéfice
4) Les clients peuvent signer en ligne sur le site web les contrats sans aucun outil de signature sur leur ordinateur.
Un code SMS leur est envoyé sur leur numéro de portable (SMS One Time Password ou OTP).
•
Ce code n'est valable qu'une seule fois et sa validité n'est que d'une dizaine de minutes.
•
L'adresse IP, le numéro de téléphone et la date et l'heure du serveur d'horodatage au moment de la signature électronique à la volée sur le site web sont archivés par un Tiers de Confiance.
•
Ce contrat revêt une valeur probante. Les clients se sentent engagés.
•
La jurisprudence a validé la valeur légale d'une telle signature.
•
Taux de conversion : +17%
15. 7 exemples d’usages 3/4 20/11/2014 www.aliceandbob.fr 15
Usage
Bénéfice
5) Les documents du type fiche de paye, demande d'autorisations de congés ou remboursement de frais sont signés électroniquement par les employés
•
Les processus sont accélérés et intégrés dans un workflow.
•
Amélioration notable des employés et du management.
•
Augmentation de la productivité : Temps passé sur les tâchez administratives divisé par 2.
•
Coûts de traitement réduits de 29 %.
6) Remplacer les lettres recommandées papier par des lettres recommandées électroniques.
•
Les lettres électroniques ont aujourd'hui la même valeur légale qu'une lettre recommandée classique.
•
Un gain de 46 % sur les coûts globaux est observé, sans compter la rapidité d'exécution.
16. 7 exemples d’usages 4/4 20/11/2014 www.aliceandbob.fr 16
Usage
Bénéfice
7) Une banque fait signer électroniquement à ses clients les contrats en agence sur tablette
•
La signature du contrat est instantanée alors qu'il fallait dix jours en moyenne avec les moyens traditionnels.
•
Elle réduit ses coûts de 24%
17. 3. Apports et fonctionnalités 20/11/2014 www.aliceandbob.fr 17
18. La signature électronique permet de s’assurer que …
–
le document ou l’email provient bien de la personne qui l’a signé
–
le document n’a pas été modifié depuis la signature
–
la date de la signature est exacte 20/11/2014 www.aliceandbob.fr 18
19. Avec la signature électronique nous pouvons…
–
apposer plusieurs signatures électroniques via un flux de signature par exemple
–
modifier le document (mais on perd la signature)
–
signer toutes les pages en une fois
–
signer un ensemble de documents en une fois
–
visualiser la signature électronique
–
ajouter une image pour matérialiser la signature (même si cette image n’a aucune valeur légale) 20/11/2014 www.aliceandbob.fr 19
20. Attention aux signatures scannées ou faxées !
Il est très facile de falsifier un document
faxé ou scanné en y ajoutant manuellement
l’image d’une signature manuscrite 20/11/2014 www.aliceandbob.fr 20
21. Différentes approches pour la signature
•
En mode SaaS via un portail
•
En mode SaaS via des API ou services web
•
Avec un certificat installé sur le poste client
•
Avec un certificat sur une clé USB cryptographique
•
Avec un automate de signature installé dans votre infrastructure 20/11/2014 www.aliceandbob.fr 21
22. Signature sur le poste client
•
Directement avec les outils de bureautique standard (Microsoft Office, Adobe Acrobat, etc.)
•
Avec un outil de signature spécifique
•
Avec une applet de signature
•
Avec un outil de signature en batch sur le poste client
•
En utilisant un certificat installé sur l’ordinateur
•
En utilisant un certificat installé sur une clé USB connecté à l’ordinateur 20/11/2014 www.aliceandbob.fr 22
23. Deux types de signatures
1.
Personnelles et individuelles attachée à une personne physique
2.
Organisationnelles attachées à une personne morale comme une division d’une entreprise par exemple
Un certificat électronique de signature peut être remis à une personne physique jean.dupont@company.com ou une personne morale marketing@company.com par exemple 20/11/2014 www.aliceandbob.fr 23
24. Des outils pour par exemple …
•
signer tout un répertoire de fichiers dans le format de votre choix
•
valider automatiquement la signature d’un ensemble de documents
•
insérer la signature électronique dans un processus métier 20/11/2014 www.aliceandbob.fr 24
27. Que dit la loi ?
•
La loi no 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique dit :
•
« Art. 1316. - La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission.
•
« Art. 1316-1. - L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité.
•
« Art. 1316-2. - Lorsque la loi n'a pas fixé d'autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu'en soit le support. » 20/11/2014 www.aliceandbob.fr 27
28. Dans les faits :
•
La signature électronique n’est quasiment jamais contestée (3 cas en France aujourd’hui)
•
Même la signature simple est considérée comme un commencement de preuve
•
D’autres éléments interviendront en ligne de compte
•
Une convention de preuve renforce la valeur probatoire
29. Exemple de mise en oeuvre
1.
Vous commandez un clé USB cryptographique de signature à un Tiers de Confiance tel que DigiCert
2.
DigiCert vérifie votre identité et vous remet la clé USB en main propre
3.
Vous utilisez cette clé USB pour signer vos documents ou emails à partir de vos outils bureautiques tels qu’Adobe Acrobat ou Microsoft Office
4.
Vous utilisez cette clé USB pour répondre aux appels d’offres publics
5.
Les destinataires de vos emails et de vos documents ont la garantie que c’est bien vous qui les avez signés 20/11/2014 www.aliceandbob.fr 29
30. Exemple de mise en oeuvre
Usager de la signature
Tiers de confiance (DigiCert)
Demande une clé de signature électronique
Fournit ses pièces d’identité
Vérifie les documents et remet la clé USB Cryptographique en face à face 20/11/2014 www.aliceandbob.fr 30
31. Clé USB cryptographique 20/11/2014 www.aliceandbob.fr 31
•
La USB cryptographique contient un puce exactement comme une carte de crédit
•
Cette puce contient un certificat électronique et la clé privée
•
Il est possible d’utiliser la clé privée mais pas de l’extraire
•
Un code PIN est demandé, comme pour une carte de crédit
32. Certificat électronique
Michael Jackson
DigiCert AC
Nom
Autorité ayant délivré le certificat
Dates de validité 20/11/2014 www.aliceandbob.fr 32
33. Voir la signature électronique
Note: La signature peut être soit visible dans le document, ou invisible, au choix 20/11/2014 www.aliceandbob.fr 33
34. Signer directement à partir de vos outils de bureautique 20/11/2014 www.aliceandbob.fr 34
35. Différents niveaux de validité
Installé sur votre machine. Vérification uniquement de votre adresse email
Installé sur une clé USB cryptographique.
Vérification de votre carte d’identité, etc.
Remise en face à face.
Revêt une valeur légale
Validation faible
Moins de valeur légale
Validation forte
Plus de valeur légale 20/11/2014 www.aliceandbob.fr 35
36. Les différents niveaux RGS*
Niveaux définis par l’état. Les vérifications sont plus ou moins fortes. La valeur légale est plus ou moins forte.
Vérifications fortes
Remise en face à face
Sur support Cryptographique
Forte valeur légale
Vérifications faibles Sur votre ordinateur
Faible valeur légale 20/11/2014 www.aliceandbob.fr 36
*Référentiel Général de Sécurité
37. Forte croissance
•
Selon le cabinet d'études Gartner, les technologies de la signature électronique vont connaître une croissance de 50 %, dont la moitié seront disponibles en mode Software as a Service (SaaS). 20/11/2014 www.aliceandbob.fr 37
39. Indiquez le nombre d’employés ici
200
Papier
487.000 €
Digital
82.000 €
Coût annuel du traitement de mes documents
40. Coût de traitement des documents papier pour 200 employés
Fonctions
Cout unitaire des fonctions
Coût annuel
4 000 documents signés par mois
Nous consulter
Documents perdus
Nous consulter
Routage des documents (courrier, fax, Fedex …)
Nous consulter
Archivage papier des documents
Nous consulter
Numérisation des documents
Nous consulter
Archivage digital des documents
Nous consulter
487.000 €
41. 41
Plateforme de Services de confiance
Authentification
forte
Signature
électronique
Listes de
diffusion
Coffre fort
numérique
Search
Reporting
Echanges
sécurisés
Coût complet : 2 € par document
42. ?
Coût de traitement d’un document
Coût de traitement d’un dossier papier traditionnel
10,17 €
Coût de traitement d’un dossier digital
2 €
44. Conclusions
•
La signature électronique commence à être adopté par tous les types d’organisations
•
La loi est maintenant claire et établie
•
L’état commence à l’exiger pour par exemple les réponses aux appels d’offres publiques
•
Les outils de bureautique permettent la signature électronique en standard
•
Les années qui viennent vont voir une forte adoption de la signature électronique 20/11/2014 www.aliceandbob.fr 44
45. Merci !
Voir toutes nos présentations et documents sur Slideshare:
•L’avènement de la signature électronique : en 2014
•La cryptographie et la PKI enfin expliquées simplement
•Comment bien choisir ses certificats SSL
•L’authentification forte ou vers la fin du mot de passe
•Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification
•Accroître la confiance dans les personnes et les machines qui se connectent à votre réseau d’entreprise
•Les solutions SaaS permettent l’avènement des usages des certificats électroniques
•La vérité sur HeartBleed
•La NSA et les Autorités de Certification : Mythe ou réalité ?
contact@aliceandbob.fr 20/11/2014 www.AliceAndBob.fr 45