Principaux éléments à prendre en compte lors du choix d'une solution de signature avancée

Share

Qu'est-ce qu'une signature avancée ?

ZealiD considère le monde de la signature du point de vue de la réglementation eIDAS et des normes ETSI. Les signatures avancées au sens d'eIDAS peuvent être soit avancées, soit qualifiées. Ces dernières représentent la sécurité la plus élevée et répondent à des exigences supplémentaires en matière d'émission de certificats et de technologie utilisée pour la création de signatures à distance. La définition de la norme eIDAS d'une signature avancée est une signature qui est :

  • liée de manière unique au signataire ;
  • capable d'identifier le signataire ;
  • créée à l'aide de moyens que le signataire peut conserver sous son seul contrôle ; et
  • liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable.

Qu'est-ce que cela signifie réellement ?

 

En termes plus simples, il y a quelques éléments qui doivent être respectés avec une certaine fiabilité : 1) l'identité du signataire est vérifiée à un niveau robuste, 2) le signataire effectue la signature proprement dite, 3) le document signé est celui avec lequel l'utilisateur interagit et 4) des moyens de valider l'intégrité de la signature du document.

 

De quel type de signature électronique avez-vous besoin ?

 

Bien que les signatures qualifiées eIDAS soient toujours l'option la plus sûre, vous pouvez envisager des signatures avancées. Les récents développements en matière d'informatique et de smartphones mobiles la rendent aussi facile et abordable que les options avancées moins sécurisées. Mais trois éléments (en oubliant le prix pour l'instant) devraient déterminer le type de signature électronique utilisé.

 

  1. Existe-t-il une exigence légale pour une signature électronique qualifiée ou la signature avancée est-elle suffisante ?

    Dans la plupart des cas, il s'agit d'une évaluation simple à réaliser avec les bons conseils juridiques et de conformité. Si la loi exige une signature qualifiée, vous n'avez pas d'autre choix que de l'utiliser. Si la loi exige au moins une signature avancée, vous êtes libre d'utiliser les deux types de signature.

  2. Votre évaluation des risques prévoit-elle une signature avancée ?

    Même dans une situation où il n'y a pas d'exigence légale pour une signature avancée ou qualifiée, une bonne évaluation des risques conduit souvent les entreprises réglementées à choisir la signature avancée et qualifiée. Par exemple, si vous avez un accord numérique qui représente un titre d'une valeur de 100 000 EUR, ne serait-il pas judicieux d'investir dans une signature électronique qui ne peut être efficacement contestée devant un tribunal ? Pour cela, la signature avancée n'est peut-être pas assez forte.

  3. Votre cas d'utilisation permet-il de prouver l'identité du signataire ?

    Si vous pouvez choisir entre une signature avancée et une signature qualifiée, et en supposant que vous avez opté pour une signature basée sur un certificat eIDAS conforme, le troisième facteur important est de savoir ce que vous êtes prêt à demander au signataire en termes d'identification à distance.

    Certains cas d'utilisation ne peuvent tout simplement pas prendre en charge des processus de vérification d'identité appropriés, car la conversion devient un problème majeur (<30%). Le meilleur conseil est donc peut-être de vivre avec des signatures médiocres et les litiges qui en découlent. Dans le domaine du commerce électronique, où le risque est assumé par le prestataire de services de paiement, il n'est pas nécessaire de procéder à des vérifications d'identité plus poussées.

    Mais pour la plupart des secteurs réglementés, l'identification de l'utilisateur à un niveau avancé (basé sur un certificat) signifie une identification correcte.

 

À quoi ressemble donc une bonne signature avancée ?

Les meilleures signatures avancées sont celles qui sont basées sur des certificats eIDAS. Mais parce que la signature avancée peut être tout, des solutions blockchain ad hoc aux solutions certifiées, il est préférable de choisir une signature basée sur des certificats qualifiés (divulgation complète : ZealiD utilise uniquement des certificats qualifiés). Les avantages de l'utilisation de signatures avancées basées sur des certificats qualifiés sont les suivants :

    • La supervision réglementaire, y compris la responsabilité, est placée uniquement sur les fournisseurs de services de confiance qualifiés.
    • Les certificats qualifiés doivent répondre à des normes internationales strictes en matière d'organisation, de procédures, de matériel et de réglementation (par exemple, ETSI 319401).
    • Garantie que l'environnement de sécurité de l'information répond aux exigences strictes de protection des données personnelles (RGPD)
    • Une norme de validation internationale acceptée, intégrée via la liste de confiance de l'UE et les documents PAdES (soutenus par Adobe, par exemple).
    • La preuve d'identité des certificats qualifiés est réglementée et vous n'avez pas à vous soucier de l'évaluation du risque de conformité de ce qu'est un processus de preuve d'identité de signature avancée. Les certificats qualifiés doivent respecter la législation de pointe de l'UE sur l'identification à distance.
    • Si votre fournisseur de services de confiance qualifié prend en charge un dispositif de création de signature à distance qualifié, vous obtiendrez des signatures avancées parmi les plus sûres et les plus qualitatives qui soient (divulgation complète : ZealiD est certifié pour la signature à distance qualifiée via un smartphone).

En savoir plus sur la signature électronique avancée ZealiD :