Aller au contenu principal

Signature électronique

Comment cela fonctionne-t-il ?

L'objectif premier des signatures électroniques n'est pas différent de celui de la signature à l'encre humide, que nous avons décrite dans notre premier blog. Elle atteste que le signataire comprend le contenu et confirme son accord. La signature constitue ensuite une preuve de cet accord pour un tiers ou une obligation légale à l'avenir. En d'autres termes, tout est question de confiance : confiance dans l'identité du signataire, dans le contenu et dans le lien entre les deux. Dans un monde numérique, nous cherchons également à établir cette confiance. La valeur juridique d'une signature électronique dépendra de sa capacité à prouver qui l'a apposée et que les données signées n'ont pas été modifiées après l'apposition de la signature.

Nous explorons ci-dessous une version simplifiée de ce qui se passe dans les coulisses d'un processus de signature électronique.

La signature électronique peut être aussi simple que de dessiner votre nom sur un document électronique. Comme nous le verrons dans notre prochain blog, si toutes les signatures électroniques ne sont pas égales et équivalentes à une signature manuscrite, la réglementation européenne (eIDAS) stipule qu'"une signature ne peut être privée d'effet juridique au seul motif qu'elle se présente sous une forme électronique". Cependant, une signature électronique plus fiable s'appuie sur un mécanisme de cryptage basé sur des clés publiques et privées. Une signature forte confirme que seul le signataire peut avoir signé le document (en tant que seule personne ayant accès à la clé privée) et garantit que les documents (ou les messages) n'ont pas été falsifiés ou altérés, ce qui peut être vérifié par tous à l'aide d'une clé publique. Dans d'autres cas, elle peut également garantir la confidentialité du document ou fournir la preuve de l'envoi et de la réception. Pour gérer, émettre et révoquer ces clés, une infrastructure à clé publique (ICP) est nécessaire.

L'ICP est l'outil technique qui sous-tend la signature électronique. Elle résout le problème de la "confiance à l'échelle". Par exemple, si vous organisez une fête d'anniversaire et invitez des amis de confiance chez vous, vous ne vous attendez pas à ce qu'ils endommagent votre maison ou volent vos biens. Toutefois, si l'un de vos amis souhaite inviter un autre ami chez vous, vous vous fiez à l'évaluation qu'il fait de cette personne. En d'autres termes, vous faites confiance à la personne inconnue parce que vous faites confiance à votre ami. La confiance fonctionne de la même manière dans la communication numérique. Nous ne pouvons tout simplement pas contrôler et faire confiance à tout le monde nous-mêmes. Nous choisissons donc de nous en remettre à un tiers de confiance pour délivrer des "certificats" qui vérifient que la personne est bien le propriétaire d'une clé publique. Cette partie est connue sous le nom d'autorité de certification (AC) de l'ICP. Dans le monde numérique, si nous faisons confiance à une autorité de certification donnée, nous faisons automatiquement confiance aux certificats qu'elle délivre. En d'autres termes, nous faisons confiance aux identités qu'elle apporte à la partie. Nous pouvons maintenant vérifier que les signatures apposées par cette personne sont valides. Cet émetteur peut faire partie de la même organisation ou être une entreprise publique ou un gouvernement.

Signer n'est pas la même chose que vérifier une identité ou une signature. En effet, seule la personne concernée doit pouvoir signer, tandis que d'autres personnes (ou organisations) doivent pouvoir vérifier la signature. Cela est possible grâce à l'utilisation d'"algorithmes cryptographiques asymétriques", dans lesquels les ICP utilisent un ensemble de clés (privées et publiques) pour vérifier l'identité de la partie signataire au moyen d'algorithmes. La clé privée n'est connue que de l'utilisateur qui appose la signature et doit être conservée en toute sécurité. Si elle est compromise, d'autres personnes pourraient signer au nom de l'utilisateur. Le certificat contenant la clé publique est généralement intégré à la signature numérique, ce qui permet à tout le monde de valider la signature et donc l'intégrité du document. Le fonctionnement est illustré dans le graphique ci-dessous, dans une version simplifiée.

En bref, un hachage unique du document est généré puis crypté par la clé privée de l'utilisateur. Le certificat de signature placé comprend la clé publique, ce qui permet à quiconque de décrypter le hachage fourni et de le comparer au hachage réel. Si les valeurs de hachage correspondent, la signature est valide et l'intégrité du document est donc prouvée.

Ce processus peut être difficile à comprendre pour l'utilisateur final typique. Heureusement, les solutions de signature rendent le processus aussi simple que possible.

Nous avons expliqué pourquoi la signature électronique n'est pas simplement une question de signature électronique ou de stockage de documents. Il s'agit d'établir un lien de confiance avec la personne qui signe, de comprendre ce que cette signature représente, de vérifier que les signatures sont valides et, enfin, de vérifier l'intégrité du document entre le moment de la signature et celui de la validation. Nous recommandons donc d'aborder la signature électronique d'un point de vue global, en se basant sur cinq éléments clés pour aider à construire une solution adaptée à l'organisation et à ses cas d'utilisation. Cette approche permet à l'organisation d'aborder les questions essentielles pour comprendre quelles sont les capacités nécessaires.

Dans ce blog, nous avons établi les mécanismes techniques clés derrière l'e-Signing et présenté l'approche des blocs de construction recommandée pour comprendre les exigences de capacité. Si vous souhaitez en savoir plus sur notre cadre de compétences en matière de signature électronique et sur la manière dont Deloitte peut vous aider à vous y retrouver, n'hésitez pas à contacter nos principaux interlocuteurs ci-dessous.

 

Jan Vanhaecht
Partner, Cyber
Deloitte Belgique
jvanhaecht@deloitte.com
+ 32 2 800 22 62

               

Joran Frik
Manager, Risk Advisory,
Deloitte Belgique
jfrik@deloitte.com
+ 32 23 01 8308

                

Patrick Maager
Manager, Consulting,
Deloitte Suisse
pmaager@deloitte.ch
+41 58 279 8757

Nos points de vue