Signature électronique : comment choisir son niveau de sécurité ?

Publié le : 12 novembre 20215 mins de lecture

Il est désormais possible de signer électroniquement des données et d’obtenir le même effet qu’une signature manuscrite. Ces signatures électroniques ont été pleinement reconnues juridiquement par la réglementation eIDAS et sont appelées signatures électroniques qualifiées. La réglementation eIDAS comprend un certain nombre de services qui peuvent être utilisés pour soutenir différents types de transactions électroniques, en particulier les signatures électroniques.

Propriété légale

Une signature ayant la même valeur juridique qu’une signature manuscrite.

Grâce au règlement eIDAS, le système de certificat qualifié bénéficie d’une pleine reconnaissance juridique et a le même effet qu’une signature manuscrite.

Cette signature électronique résulte des obligations énoncées dans le règlement eIDAS, tant pour les FST (en particulier les CSP) qui gèrent ces signatures que pour la technologie sous-jacente : garantir l’intégrité des données, identifier le signataire avec un haut degré de fiabilité et assurer l’irrévocabilité de la signature.

À cet égard, il convient de noter que, comme les signatures manuscrites, les signatures électroniques (qualifiées) sont créées par des personnes (c’est-à-dire des personnes physiques). Les personnes morales ne peuvent pas créer de signatures électroniques en vertu du règlement eIDAS. En revanche, le règlement eIDAS permet aux personnes morales d’apposer un sceau électronique sur les données. Le concept de sceau électronique pour les personnes morales est très similaire à celui de la signature électronique pour les personnes physiques et fait l’objet de directives de sécurité distinctes dans cette série.

Sécurité

Intégrité des données

L’utilisation de la cryptographie à clé publique pour QES (et AdES en général) garantit l’intégrité des données (c’est-à-dire que toute modification des données signées peut être détectée après le processus de signature).

Authentification de la provenance des données

L’utilisation de la cryptographie à clé publique pour la mise en œuvre de QES (et d’AdES en général) garantit l’authentification de la source des données signées, puisque seule une personne possédant une clé privée peut signer les données à l’origine avec la clé publique correspondante. Avec QES, il existe également un haut niveau de confiance dans l’identité de la personne qui détient une telle clé privée (voir ci-dessous).

Caractéristiques fonctionnelles

Irrévocabilité des signatures

L’utilisation de la cryptographie à clé publique dans QES (et AdES en général) garantit qu’une signature ne peut pas être rejetée.

S’assurer de l’identité du signataire

Les certificats numériques qualifiés offrent un très haut niveau de sécurité pour l’identification des signataires, grâce aux contrôles du FST et aux exigences eIDAS concernant le contenu du certificat du signataire.

Génération d’un grand nombre de signatures et/ou de signatures pour de grandes quantités de données

Une signature électronique ne nécessite pas toujours un signataire humain ; il peut s’agir d’un processus automatisé (ceci s’applique aux signatures électroniques qualifiées, mais plus généralement à tout type d’ades). Par exemple, un directeur d’hôpital peut signer des centaines de documents par jour. Pour lui faciliter la vie, un outil de signature peut être mis en œuvre sur un serveur, où la clé privée reste active pendant plusieurs heures ; tandis que les données de la signature et l’accès au serveur sont sécurisés, il est possible de créer une signature entièrement valide sans avoir à saisir le code PIN du directeur à chaque fois que la signature est effectuée.

En outre, les signatures peuvent être appliquées à n’importe quel type et n’importe quelle taille de données ; par exemple, un contrat en format pdf ne nécessite qu’une seule signature électronique, ce qui garantit l’intégrité et la non-répudiation de l’ensemble du document. Comme la technologie de cryptage à clé publique utilisée par QES garantit l’intégrité des données, il n’est pas nécessaire de signer chaque page, comme c’est le cas dans le monde du papier.

Plan du site