Des menaces croissantes
Avec la montée en puissance de la cybercriminalité et des technologies d’intelligence artificielle (IA), les menaces sur la sécurité numérique sont de plus en plus élaborées, rendant la détection de la fraude plus complexe. Les cybercriminels utilisent des outils d’IA générative pour créer des contenus extrêmement réalistes, facilitant ainsi le phishing et l’usurpation d’identité.
Les enjeux de la sécurité numérique vont au-delà de la simple protection contre les actes malveillants. La conformité réglementaire, notamment dans le domaine de la protection des données personnelles, l’espionnage économique, ou encore, la préservation de l’image de marque des entreprises sont également des préoccupations majeures.
« En somme, la grande question actuelle est de savoir comment évoluer dans le monde digital avec la même confiance que dans le monde matériel, résume Gaëtan Paccou. Autrement dit, comment garantir des informations fiables, avec une valeur et une légitimité aussi fortes, que dans le monde réel ? »
La présence indispensable des Tiers de Confiance
Pour bâtir un cadre de confiance, les Tiers de Confiance, comme Certigna, sont des entités essentielles. Ils sont soumis à des réglementations strictes et des audits réguliers. En France, c’est l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui supervise leur qualification, dans le cadre du Référentiel Général de Sécurité (RGS). Au niveau européen, c’est le règlement eIDAS (electronic Identification Authentication and Trust Services) qui prévaut. Son but : assurer que les services de confiance fonctionnent de manière harmonisée dans toute l’UE.
Les Tiers de Confiance sont les seuls acteurs habilités à vérifier l’identité des parties dans un échange électronique et peuvent délivrer des « services de confiance », tels que la signature électronique, le courrier recommandé électronique, l’horodatage, la délivrance de certificats d’identité… Car, pour établir une confiance numérique robuste, il est essentiel de sécuriser chaque étape d’un échange.
Sécuriser les identités
« La sécurisation des identités est cruciale, car elle constitue la porte d’entrée de toute la chaîne de confiance, insiste Gaëtan Paccou. Or, on sait que les difficultés principales se situent dans les usurpations d’identité, tant en B to C qu’en B to B. » Cet objectif se traduit par deux étapes essentielles : l’identification et l’authentification. L’identification consistant à vérifier l’identité d’une personne, tandis que l’authentification confirme que cette personne est bien celle qu’elle prétend être.
« Évidemment, les niveaux de sécurité pour l’une ou l’autre de ces étapes varient en fonction de la sensibilité de l’action que l’on veut entreprendre ou du domaine dans lequel on évolue, précise l’expert. On imagine aisément que tous les actes de notre vie quotidienne numérique ne peuvent pas être surprotégés par de lourds processus de vérification. Mais, dans le même temps, dans les secteurs de la santé ou de la sécurité, on attend, de base, une sécurisation de très haut niveau. »
Les certificats d’identité numérique, comme ceux proposés par Certigna, jouent un rôle essentiel dans la sécurisation des identités. Ils permettent de prévenir les usurpations d’identité, et contribuent ainsi à développer la confiance dans les transactions en ligne. Ces documents électroniques remplacent les traditionnels identifiants et mots de passe, souvent peu fiables.
Ces certificats sont nominatifs et délivrés à des personnes physiques dans le cadre de leur profession, avec une durée de validité variant de quelques heures à plusieurs années. « C’est comme une carte d’identité, mais pour un usage numérique, résume Gaëtan Paccou. À la différence de leur homologue physique, qui ne propose qu’un format unique, les certificats d’identité numérique se déclinent selon différentes normes. Certigna propose ainsi un certificat qualifié selon la norme française RGS* et un autre qualifié selon la norme européenne eIDAS ainsi que RGS**. »
Le dispositif n’est pas uniquement dédié aux personnes physiques. Il est aussi possible d’apporter la preuve d’identité d’une entité morale (entreprise, collectivité, association…). Le certificat d’identité constitue alors une version numérique du cachet d’entreprise : le cachet électronique.
Sécuriser les documents
Une fois que l’interlocuteur est sûr, que les identités sont garanties, il est nécessaire d’assurer la confiance des éléments échangés, détaille Gaëtan Paccou : « Lorsqu’on échange une donnée, un document, n’importe quelle information, il faut être sûr que personne n’a pu la modifier entre l’envoi et la réception. Il faut que le document soit verrouillé, scellé, protégé… C’est tout l’intérêt de la signature électronique et de l’horodatage. Assurer une confiance absolue dans les données échangées, mais aussi lui conférer une validité légale et juridique. »
Dans le détail, les deux outils ne couvrent pas exactement le même spectre : la signature électronique garantit l’identité de l’expéditeur et l’intégrité du contenu. L’horodatage assure aussi l’intégrité du document, mais ne contient aucune information sur l’identité. En revanche, il fournit la preuve de l’existence d’un document à une date certaine, apportant une garantie juridique.
Comme pour les certificats d’identité numériques, il existe plusieurs niveaux de sécurité pour les signatures électroniques : simple, avancée et qualifiée. « La signature qualifiée nécessite une vérification approfondie, prévient Gaetan Paccou. Elle a une valeur juridique équivalente à une signature manuscrite, elle est non-répudiable. Cela veut dire qu’une action ou une transaction ne peut pas être reniée par son auteur. » Les signatures qualifiées, non répudiables donc, sont utilisées dans différents contextes : pour effectuer des transactions financières, conclure des contrats, ou encore, échanger dans le cadre de communications sécurisées.
Sécuriser les flux et l’archivage
En plus de l’identité des parties et du contenu de l’échange, il est nécessaire de sécuriser le flux d’information. Gaëtan Paccou met en garde : « Comme les entreprises ont souvent des parcours fragmentés, il y a souvent une rupture de la chaîne de confiance entre les parcours front et back office. Les échanges entre le client et l’entreprise sont sécurisés, et puis au sein de l’entreprise beaucoup moins ! C’est pourtant essentiel, en particulier pour maintenir la validité juridique. » C’est pourquoi il est crucial de travailler dans un espace de gestion électronique des documents (GED) qui sécurise les flux d’informations du front au back office.
FOCUS/CITATION « Le mail est un moyen de communication très répandu mais très peu sécurisé, il peut être intercepté, modifié, car il circule librement, sans protection. On ne peut pas être sûr du contenu et de l’identité de l’expéditeur. À moins de le signer électroniquement ou de l’horodater ! On pourrait même aller jusqu’à le chiffrer pour assurer la confidentialité des échanges, entre un avocat et son client, par exemple. Une chose est sûre, il me semble crucial de sécuriser ce moyen de communication qui est le premier vecteur de cyberattaques dans le monde. »
Autre flux possible, la rematérialisation des documents, autrement dit, le passage du numérique au physique. Dans ce cas, des codes 2D, similaires aux QR codes utilisés pendant la crise COVID, peuvent vérifier la véracité des documents physiques. Ces codes 2D-Doc permettent de certifier que les documents imprimés sont conformes à leur version originale numérique. Ils sont particulièrement utiles pour vérifier aisément les justificatifs de domicile par exemple, ou les bulletins de paie.
Dans un deuxième temps, une fois l’échange sécurisé effectué, l’archivage électronique doit lui aussi nourrir la confiance numérique, en garantissant la conservation et l’intégrité des données, autrement dit, en permettant aux documents de rester authentiques et non altérés. Il doit aussi permettre d’offrir une valeur probatoire en servant de preuves légales, tout en aidant les organisations à respecter les obligations légales de conservation. Un aspect fondamental de la sécurité numérique proposé par Tessi à travers ses Solutions d’Archivage Électronique (SAE).
« La confiance numérique de A à Z »
« En résumé, via les solutions Certigna, Tessi assure la confiance numérique des process de A à Z, du début à la fin de la relation », explique Gaëtan Paccou. Grâce à des technologies avancées, certifiées par les normes les plus exigeantes, Tessi est capable de sécuriser l’entrer en contact, l’identification et l’authentification, puis d’assurer l’intégrité des contenus, échanges et archivage totalement fiabilisés, se positionnant comme un acteur clé dans l’écosystème de la confiance numérique. Des compétences cruciales alors que l’évolution de la confiance numérique s’accélère, portée par des initiatives comme la facture électronique obligatoire ou la numérisation des services de l’État.
Si en B to B, le cadre de la confiance numérique est déjà largement déployé, c’est dans le contexte B to C qu’il devrait voir les plus grands changements à moyen terme. En particulier, les wallets électroniques émergent comme une solution prometteuse, dans le sillage de l’avènement d’eIDAS V2, ce nouveau règlement européen visant à renforcer et harmoniser l’identité numérique à l’échelle de l’UE. « Ces portefeuilles numériques permettront aux utilisateurs de stocker et gérer leurs informations personnelles, et de partager ces données avec des personnes ou entités spécifiques pour une durée déterminée. Ce serait donc une manière de simplifier les démarches administratives et commerciales, mais aussi de renforcer le contrôle des individus sur leurs données personnelles », analyse l’expert.
À terme, chaque citoyen pourrait donc disposer de ce super-portefeuille numérique, centralisant ses informations d’identité, financières et de santé. Une solution qui combine facilité d’utilisation et sécurité renforcée, érigeant les wallets comme éléments clés de la confiance numérique du citoyen consommateur de demain !