• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

2010.11.26 – Partage d'expertise et d'expérience sur les applications en mode SaaS au service des DSI et de leur performance–N.Schlang_I.Renard– Forum SaaS et Cloud métier du Club Alliances

on

  • 906 views

Atelier DSI -Partage d'expertise et d'expérience sur les applications en mode SaaS au Service des DSI et de leur performance

Atelier DSI -Partage d'expertise et d'expérience sur les applications en mode SaaS au Service des DSI et de leur performance

Statistics

Views

Total Views
906
Views on SlideShare
906
Embed Views
0

Actions

Likes
0
Downloads
9
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    2010.11.26 – Partage d'expertise et d'expérience sur les applications en mode SaaS au service des DSI et de leur performance–N.Schlang_I.Renard– Forum SaaS et Cloud métier du Club Alliances 2010.11.26 – Partage d'expertise et d'expérience sur les applications en mode SaaS au service des DSI et de leur performance–N.Schlang_I.Renard– Forum SaaS et Cloud métier du Club Alliances Presentation Transcript

    • CertEurope™Forum IBM SAAS et Cloud MétiersClub alliance IBM Dématérialisation 26 Novembre 2010
    • Page  2 CertEurope, l’entreprise Opérateur de services de e-confiance leader de la certification électronique BtoB:  Tiers de confiance sécurisant les échanges numériques  Des solutions de certificats électroniques, de signature électronique et d’horodatage  Opérateur de Certification Qualifiée  Plus de 150 000 certificats délivrés, 5 millions de jetons d’horodatage en 2009 Pionnier technologique:  10 ans d’investissement en Recherche et Développement  Label «entreprise innovante»  Trophée de l’innovation des tiers de confiance en 2006 (CertSign) et 2003 (solution Opalexe) Des clients dans tous les secteurs d’activité:  Opérateur historique des professions du Droit et du Chiffre  Clients prestigieux dans l’administration, le secteur bancaire et industriel  Une importante base clients de PME/PMI (75.000 entreprises utilisent en 2009 un certificat numérique opéré par CertEurope) Espace Collaboratif Autorité d’Enregistrement Horodatage ASP Signature eMarchand (Individuel/Serveur) Archivage
    • Page  3 Dématérialiser Confiance et SAAS  S’authentifier avec un certificat électronique  Garantir la date des échanges avec de l’horodatage Profiter du SAAS pour tout dématérialiser  Signer électroniquement ses documents Profiter du mode SAAS pour échanger avec tous ses partenaires Authentifier clients, fournisseurs, actionnaires ..
    • Page  4 Dématérialiser : les briques de la chaîne de confiance Stocker et Identifier Signer Dater Archiver Echanger Les solutions utilisent une ou plusieurs briques L’exemple du e-contrat, qui utilise toutes les briques de la chaîne : Faire signer la Identifier la personne personne qui Dater le Récupérer le Archiver le qui souscrit le contrat souscrit le contrat contrat contrat contrat
    • Page  5 Une dématérialisation en toute e-confiance La dématérialisation a des avantages Améliorer le service grâce Un « geste vert » qui réduit les coûts au web Réduction voire disparition des Un service disponible temps de saisie 24h/24, 7j/7 Economie des frais d’impression Un délai commande + livraison et d’affranchissement écourté Mais elle comporte aussi des risques techniques et juridiques. CertEurope vous aide à y répondre. Les documents Phishing et usuels échangés usurpation Tiers de confiance par internet n’ont d’identité pas de valeur légale
    • Page  6 Le Tiers de Confiance les maillons de la chaîne de confiance Tiers Certificateur Qualifié Tiers Horodateur Tiers Archiveur* Identifier Signer Dater Archiver *En partenariat avec CDC Arkhineo Tiers de Pourquoi faire appel à un Tiers de confiance Confiance?  Se prémunir de contestations (ne pas être tiers et partie)  Bénéficier des meilleures technologies et Utilisateurs garanties de respect des normes en vigueur Entreprise cliente  Déléguer à un expert les contraintes d’exploitation d’une Autorité de Certification Les briques CertEurope s’intègrent en SAAS / ASP dans les applications clientes
    • Page  7 Identifier Le certificat électronique Véritable carte d’identité électronique, le certificat garantit l’identité de son titulaire, fichier logiciel ou sur support cryptographique Il contient: Il sert à: Nom, raison sociale, numéro Contrôler l’accès à un SI, aux sirène, e-mail du porteur extranet, intranet et sites Internet Date de validité des certificats Garantir l’intégrité de fichiers Avec un module de signature électronique Autorité de Certification Assurer la non répudiation Autorité d’Enregistrement Chiffrer un échange Sa légitimité est liée à l’Autorité de Certification qui le génère et à l’Autorité d’Enregistrement qui le délivre.
    • Page  8 Signer une signature électronique à valeur légale La signature électronique a aujourd’hui la même valeur légale qu’une signature manuscrite (loi n 2000-230 du 13 mars 2000). Les services de signature opère les vérifications indispensables à la reconnaissance du niveau de confiance que l’on peut apporter à une signature électronique. signer des contrats, bons de commande, formulaires, bons pour accord, conditions générales de vente… En B2C, les prospects deviennent clients en quelques clics. En B2B, on évite l’envoi du papier et on simplifie les process. En B2A, dématérialisation et accélération des démarches administratives Signature Avec certificat logiciel mono- BtoC simple usage Avec certificat Signature logiciel BtoB téléchargeable A chaque type de marché correspond un niveau de Avec sécurité et donc un certificats service adapté. Signature référencés par BtoB, BtoA l’Etat Signature Signature par BtoB et BtoC une personne (signature du en lot morale prestataire)
    • Page  9 La signature électronique, un impératif légal Dans de nombreux cas la carte bancaire n’est pas suffisante. Toute vente de service par Internet qui risque d’être interrompue par l’impression d’un papier signé nécessite l’introduction d’une signature électronique. Vente de produits financiers (Crédits, assurances vie…) Vente de service à prélèvements récurrents (Téléphonie, internet, locations) Vente supérieure à 1500€ (voyages: bijouterie, luxe)
    • Page  10 La signature électronique, un impératif commercial La signature électronique augmente les ventes. Parmi les raisons données par les clients figurent la réduction des délais et l’amélioration de la qualité de service induite par l’automatisation. Process sans signature électronique Souscription en ligne Impression du contrat Envoi du contrat signé Validation de la commande Saisie des informations Réception du contrat Process avec signature électronique Souscription en ligne Signature électronique Gain de temps, d’argent et amélioration de la qualité de Validation de la commande service
    • Page  11 Dater L’horodatage Horodatage L’horodatage scelle un fichier électronique, le date à la seconde et garantit son intégrité grâce à un jeton d’horodatage. Le jeton faisant foi Les jetons d’horodatage font foi sur le principe du "cachet de la poste" lorsqu’ils sont émis par un Tiers de Confiance qui respecte les protocoles techniques et juridiques normalisés. • D’une archive, d’un contrat, d’un autre document devant légalement Non altération être conservé • De rétractation, de prise d’effet d’un contrat (assurance, crédit, Respect des délais légaux abonnement,…) Antériorité • Dépôt de candidature à un appel d’offre, dépôt de brevet,… Accusé de réception opposable • Mise en demeure, résiliation/reconduction d’un contrat… Traçabilité des actions • Exigences réglementaires type Bâle 2, SOX • En raison de l’obligation de pouvoir garantir l’authenticité et la Facture électronique pérennité de la facture électronique (Bulletin officiel des impôts,11/01/2007)
    • Page  12 Identifier SSO et gestion des identités en SAAS Authentification unique et forte L’utilisateur ne procède plus qu’à une seule authentification pour accéder plusieurs applications web sécurisées. Le service remplace le vulnérable login/mot de passe par de l’authentification forte avec certificat électroniques logiciel ou sur support cryptographique. Gestion centralisée des identités une interface centralisée et ergonomique de gestion des identités. Il permet aux utilisateurs de demander en un clic une autorisation d’accès. Mode SAAS CertIdentité fonctionne en mode SAAS. Il est non intrusif, fédère les identités, collecte les droits d’accès et les renforce. CertIdentité est compatible avec toutes les architectures techniques CertIdentité, la sécurité sans contrainte Sécurité Confort • Opportunités de phishing et de • Un seul code à retenir hacking réduites • Authentification unique évitant les • Meilleure respect de la politique de multiples saisies de login/mot de passe sécurité (ex: non écriture des mots de • Elimination des frustrations liées aux passe) blocages • Réduit les risques d’oublis de modifications des droits (ex: suite au départ d’un collaborateur) • Complémentarité avec les certificats • Un pin à 6 chiffres remplace une électroniques à support cryptographiques combinaison plus complexe
    • Page  13 Merci de votre attention Nathalie Schlang nschlang@certeurope.fr Tél : 01 45 26 72 00 34-36 rue de la Folie Régnault 75011 Paris www.certeurope.fr
    • Forum SaaSComment faire face aux enjeux juridiques liés à la dématérialisation? Focus sur la signature électronique Atelier Démat 2 – 15h-16h30 26 novembre 2010 Isabelle Renard Docteur Ingénieur – Avocat Associée irenard@racine.eu
    • Page  15 Il ne fut pas confondre :  La valeur probante d’un document Et :  La signature électronique Un document peut avoir une valeur probante sans être signé Un document signé a une valeur probante forte
    • Page  16 LA VALEUR PROBANTE D’UN DOCUMENT ÉLECTRONIQUE
    • Page  17 Aux termes de l’article 1316 du Code civil : « La preuve littérale, ou preuve par écrit, résulte d’une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quels que soient leurs supports et leurs modalités de transmission » Désormais, la preuve n’est plus liée au support autrefois considéré comme seul valable : le papier
    • Page  18 Mais l’écrit électronique est très volatile. La question essentielle qui se pose est celle de sa valeur probante. Art 1316-1 Code Civil : « L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité »
    • Page  19 Le critère d’intégrité  La loi ne donne pas de définition de la notion d’ « Intégrité ».  Le respect de cette exigence repose sur la fiabilité du processus mis en œuvre pour gérer le cycle de vie du document.
    • Page  20 Le critère d’imputabilité  Un document n’est générateur de droits et d’obligations que si l’on sait qui est « responsable » de l’exécution de ces obligations, ou qui peut se prévaloir de ces droits.  Ceci n’implique pas nécessairement que le document soit signé : la grande majorité des documents émis par une entreprise ou une administration n’est pas signée. Mais on sait les imputer à leur émetteur car il sont émis sur un support caractéristique de celui-ci : papier à en tête, comprenant le plus souvent un logo ou une marque.
    • Page  21 DONC, À QUOI SERT LA SIGNATURE ÉLECTRONIQUE ?
    • Page  22  Parfois elle est obligatoire  Et parfois elle n’est pas obligatoire, mais c’est un outil remarquable de sécurisation de la valeur probante du document numérique
    • Page  23 Quelques cas où la signature électronique est obligatoire  Les factures envoyées par voie électronique  Certaines télédéclarations  Les réponses aux appels d’offres publics  Les assignations et les conclusions rédigées par les avocats devant certaines juridictions  La conclusion d’actes avec un particulier au dessus de 1 500 € (décret application article 1341 Code Civil)
    • Page  24 En dehors de ces cas, pourquoi la signature est- elle un outil de sécurisation de la valeur probante du document numérique ? Parce que la signature électronique remplit, par définition, les deux critères qui sont nécessaires pour assurer au document électronique la même valeur probante qu’au document papier :  Identification de l’émetteur  Garantie d’intégrité du document signé
    • Page  25 La définition juridique de la signature  Avant la Loi du 13 mars 2000, aucun texte législatif ne définissait la notion de signature. Selon la jurisprudence et la doctrine, la signature matérialisait l’engagement que prenait le signataire de respecter les obligations à sa charge contenues dans l’acte signé.  La Loi du 13 mars 2000 a formalisé cette définition dans l’article 1316-4 du Code Civil : « La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte ».
    • Page  26 Reste à savoir comment transposer le concept dans le monde numérique. C’est ce qu’a réalisé la Loi du 13 mars 2000 avec la disposition suivante, portée à l’article 1316-4 du Code Civil : «Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache »
    • Page  27 Telle que définie par les textes, cest-à-dire délivrée par un Prestataire de Service de Certification Electronique, la SE assure de façon complète et fiable les fonctionnalités qui permettent d’accorder une valeur probante à un écrit numérique :  le document fait l’objet d’un calcul d’empreinte [donc son intégrité peut être vérifiée],  Il est signé en utilisant un certificat électronique délivré par un tiers qui vérifie l’identité de la personne à qui il est délivré [ce qui procure au document une garantie d’origine].
    • Page  28 La SE avec présomption de fiabilité  Certaines signatures électroniques ont une « présomption de fiabilité »  Ce sont des signatures « sécurisées » établies conformément au décret du 30 mars 2001 : – avec un certificat électronique qualifié, – et un dispositif sécurisé de création de signature électronique
    • Page  29 Que signifie la « présomption » ? C.CASS, CIV1, 30 SEPTEMBRE 2010, N POURVOI 09-68555
    • Page  30  Les protagonistes sont un propriétaire et sa locataire.  La locataire donne son congé au propriétaire par mail, le 28 août 2006.  Quelques jours plus tard, le 4 septembre 2006, elle double ce mail d’une LRAR, que le propriétaire déclare recevoir le 10 septembre 2006  Un différend survient alors entre le propriétaire et la locataire quant à la date de départ du préavis. Pour la locataire c’est le 28 août, date d’envoi du mail. Pour le propriétaire c’est le 10 septembre, date de réception de la LRAR
    • Page  31  La locataire produit un mail qui lui aurait été envoyé par le propriétaire le 13 octobre, dans lequel ce dernier confirmait avoir bien reçu le congé le 28 août 2006, et accepté de faire courir le délai de préavis à compter de cette date.  Le propriétaire dénie être l’auteur de ce mail du 13 octobre.
    • Page  32  La Cour d’appel de Dijon décrète que le mail litigieux bénéficiait d’une présomption de fiabilité. Dès lors, puisque le propriétaire ne communiquait aucun élément de nature à combattre cette présomption, il devait être reconnu comme l’auteur dudit mail  En l’espèce, il est bien évident que le mail dénié par le propriétaire ne pouvait prétendre à cette présomption.  C’était un simple mail, qui, comme tous les mails envoyés au travers des messageries couramment disponibles, n’était pas signé électroniquement. Et l’eût- il été, il n’aurait certainement pas bénéficié de la présomption édictée par l’article 1316-4 puisque les offres de signature sécurisées sont encore quasiment inexistantes sur le marché des particuliers
    • Page  33  Dès lors, le mail soi disant envoyé par le propriétaire ne bénéficiait d’aucune présomption de fiabilité. Dès lors que le propriétaire contestait en être l’auteur, il revenait à la locataire de démontrer la valeur probante de ce mail qu’elle produisait, bien opportunément, à l’appui de ses présentions. Conformément aux termes de l’article 1316-1 du Code Civil, cette démonstration passait par l’identification de son émetteur, et l’assurance que le mail n’avait pu subir aucune altération.  Cette démonstration est bien entendu impossible à rapporter, s’agissant d’un simple mail envoyé au travers d’une messagerie grand public.
    • Page  34  Conclusion :si un simple e-mail est contesté par son prétendu auteur, ce mail ne bénéficie d’aucune présomption de fiabilité.  Il ne sera donc pas recevable, dès lors que la partie qui s’en prévaut n’est pas capable d’apporter la preuve qu’il provient bien de cet auteur et n’a pu subir aucune altération.