Confiance et dématérialisation
 

Confiance et dématérialisation

on

  • 1,237 views

Dans tous les domaines de l’économie, la dématérialisation des factures, la dématérialisation des commandes… se développent rapidement. Il faut également noter que le cadre réglementaire ...

Dans tous les domaines de l’économie, la dématérialisation des factures, la dématérialisation des commandes… se développent rapidement. Il faut également noter que le cadre réglementaire associé à la dématérialisation de la paie est maintenant établi.
Pour répondre à ces besoins, il faut mettre en place des fonctions de confiance (authentification, signature, validation de signature, horodatage, archivage, ect…)

Statistics

Views

Total Views
1,237
Views on SlideShare
968
Embed Views
269

Actions

Likes
0
Downloads
31
Comments
0

2 Embeds 269

http://www.zdnet.fr 268
http://pigeindexer2 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Confiance et dématérialisation Confiance et dématérialisation Document Transcript

  • Confiance et dématérialisation2012 Livre Blanc DICTAO 152 avenue de Malakoff - 75116 PARIS Tel. : 01 73 00 26 00 www.dictao.com – info@dictao.com
  • Livre Blanc : Confiance et dématérialisationSOMMAIRE1 PRÉFACE DE JACQUES PANTIN ........................................................................................................... 22 SÉCURITÉ ET CONFIANCE : DES INVESTISSEMENTS STRATÉGIQUES POUR L’ORGANISATION ........... 33 DE NOUVELLES SOLUTIONS AU SERVICE DE L’ENTREPRISE ................................................................ 43.1 UN CADRE DE REFERENCE QUI SE STRUCTURE ........................................................................................................ 43.2 L’AUTHENTIFICATION, AU CŒUR DE LA GESTION DES IDENTITÉS ET DES ACCÈS ........................................... 53.3 LA DÉMATÉRIALISATION DE LA TRANSACTION ....................................................................................................... 64 LES GRANDS COMPOSANTS D’UNE PLATE-FORME DE CONFIANCE................................................... 84.1 LA MUTUALISATION DES FONCTIONS DE CONFIANCE ........................................................................................ 84.2 UNE FONCTION D’AUTHENTIFICATION NÉCESSAIREMENT MULTIFACTEUR ..................................................... 84.3 LES FONCTIONS DE SIGNATURE, GARANTES DE L’INTÉGRITÉ ET DE LA QUALITÉ DE LA TRANSACTION................................................................................................................................................................. 94.4 LA VALIDATION ET LA CONSTITUTION DE PREUVES ............................................................................................ 104.5 L’HORODATAGE, TRÈS SIMPLE À METTRE EN ŒUVRE .......................................................................................... 104.6 L’ARCHIVAGE À VALEUR PROBANTE, UN DOMAINE EN DÉVELOPPEMENT RAPIDE RÉPONDANT À DE MULTIPLES BESOINS ............................................................................................................................................... 105 DE MULTIPLES APPLICATIONS POTENTIELLES.................................................................................... 125.1 LE SECTEUR BANCAIRE, LEADER DANS LES ACTIONS DE DÉMATÉRIALISATION ............................................. 125.2 LE SECTEUR PUBLIC, DANS UNE STRATÉGIE DE LONG TERME ........................................................................... 145.3 L’INDUSTRIE ET LES SERVICES, À LA RECHERCHE DE GAINS D’EFFICACITÉ ...................................................... 166 LA PROPOSITION DICTAO : UNE OFFRE COMPLÈTE, INDUSTRIELLE, ALIGNÉE SUR LESSTANDARDS DU DOMAINE .............................................................................................................................. 176.1 DICTAO TRUST SUITE, NOTRE PLATE-FORME DE CONFIANCE ........................................................................... 176.2 NOS SOLUTIONS DE CONFIANCE............................................................................................................................ 17 1
  • Livre Blanc : Confiance et dématérialisation1 PRÉFACE DE JACQUES PANTINLes organisations font aujourd’hui face à trois besoins. Il leur faut tout d’abord gérer le risque et, enconséquence, durcir progressivement leur niveau de sécurité, sans oublier qu’en cette matière, les bonnestechnologies sont inutiles si on ne prend pas en compte la dimension humaine…Par ailleurs, une organisation doit respecter un cadre réglementaire de plus en plus contraignant. Ainsi, ledécret sur la confidentialité des données de santé ou les recommandations de la Banque de France surl’authentification non rejouable amènent les organisations à faire de nouveaux investissements dans ledomaine de la confiance et de la sécurité.De plus, il faut savoir proposer de nouveaux services et rechercher sans cesse une meilleure efficacité. Parexemple, les téléprocédures sont des applications « gagnant-gagnant » pour l’Administration et l’usager.Celui-ci n’a plus à se déplacer, peut accéder au service 24 heures sur 24, et échappe aux files d’attente.L’Administration de son côté, peut revoir en profondeur ses processus et développer l’automatisation.La dématérialisation des flux et le développement de « l’électronique à valeur probante » est un mouvementde fond qui touche l’ensemble des secteurs. Les banques ont ainsi bien compris l’importance des services enligne, de la contractualisation en ligne et de la transaction à valeur probante.Dans tous les domaines de l’économie, la dématérialisation des factures, la dématérialisation descommandes… se développent rapidement. Il faut également noter que le cadre réglementaire associé à ladématérialisation de la paie est maintenant établi.Pour répondre à ces besoins, il faut mettre en place des fonctions de confiance (authentification, signature,validation de signature, horodatage, archivage, etc.).Nous considérons chez Dictao qu’il est indispensable d’isoler les fonctions de confiance des applicationsmétiers et de mettre en place une plate-forme de confiance mutualisée à laquelle les applications métiersviennent s’accrocher.Une infrastructure de confiance permettra d’atteindre un haut niveau de sécurité, de simplement suivrel’évolution des standards, et de mutualiser les coûts. Jacques Pantin, PDG et fondateur de Dictao 2
  • Livre Blanc : Confiance et dématérialisation2 SÉCURITÉ ET CONFIANCE : DES INVESTISSEMENTS STRATÉGIQUES POUR L’ORGANISATIONLes échanges dématérialisés, les services en ligne, les processus dits de ‘Straight Through Processing’ prennent,chaque jour, plus d’ampleur.Par exemple, les banques et assurances élargissent leur offre de services en ligne aux Entreprises (passaged’ordres de virement/prélèvement, passages dordres sur valeurs boursières, SICAV, ouverture de comptestitres, etc.) mais aussi aux Particuliers (souscription de contrats en ligne, formulaire Marché d’InstrumentsFinanciers, passage d’ordres de virement, etc.).L’Administration développe les téléprocédures, dans le cadre de la modernisation de lEtat pour améliorerle service aux usagers Particuliers (demande en ligne, dépôt électronique des marques, etc.) et aux usagersEntreprises (télédéclaration de la TVA, demandes en ligne, etc.).L’industrie dématérialise les échanges avec ses partenaires : dématérialisation des bons des commandeséchangés avec ses fournisseurs, dématérialisation des factures échangées avec ses clients, etc.Or, la confiance des acteurs est absolument nécessaire pour développer les échanges entièrementdématérialisés et supprimer tout papier. Il faut qu’un acteur puisse :  S’assurer que son correspondant est bien celui qu’il prétend être, qu’il n’usurpe pas une identité  Signifier « électroniquement » son engagement sur les données échangées, sans avoir à imprimer de papier et à le signer à la main et à l’envoyer par la Poste  Avoir la garantie que les données échangées ne seront pas modifiées illégitimement et resteront confidentielles  Etre sur que des preuves de l’échange seront constituées et conservées.Ce livre blanc a pour but d’identifier et de définir les fonctions de confiance qui permettront de bâtir desapplications dématérialisées de qualité, en assurant :  Une amélioration du niveau de sécurité des processus dématérialisés, par la mise en œuvre de l’authentification des acteurs, de l’authenticité, de l’intégrité, et de la non-répudiation des informations, de la conservation avec valeur probante  Un développement commercial et une amélioration du service au client (respectivement à l’usager, au partenaire)  Au travers du développement de services en ligne, une organisation pourra fidéliser ses clients, usagers, partenaires, etc., conquérir de nouvelles parts de marché, lancer de nouveaux produits au moment propice (Time to Market), etc.  Du côté du client/usager/partenaire, les avantages sont aussi nombreux : celui-ci n’a plus à se déplacer, à envoyer de courrier, il peut accéder au service à tout moment (7j/7, 24h/24).  Un gain d’efficacité, une réduction des coûts  La dématérialisation de bout en bout de la relation avec ses clients (usagers, partenaires), permet à l’organisation doptimiser le traitement des dossiers, grâce à la gestion dun flux unique (suppression du flux papier, des contrôles visuels, de ressaisie dans le SI), de réduire les délais, daméliorer la traçabilité. Simultanément, les gains d’efficacité permettent aux collaborateurs de se recentrer sur leur cœur de métier.  Le respect du cadre réglementaire, lorsque des textes de lois imposent un niveau de sécurité élevé (par exemple, le reporting financier réglementaire dans le cadre de Bâle 2, les recommandations Banque de France sur la sécurisation de la banque en ligne et de la vente en ligne)  La contribution au développement durable grâce à la suppression du flux papier 3
  • Livre Blanc : Confiance et dématérialisation3 DE NOUVELLES SOLUTIONS AU SERVICE DE L’ENTREPRISE 3.1 UN CADRE DE RÉFÉRENCE QUI SE STRUCTURELa sécurisation du système d’information repose sur la mise en place d’outils, de processus, d’organisationscapables de répondre, en particulier, à des objectifs de disponibilité, de confidentialité, d’intégrité et detraçabilité de l’information, en s’appuyant sur des fonctions de confiance.Une typologie des fonctions de confiance pourrait s’organiser autour de quatre grands thèmes :La sécurité périmétrique : un domaine bien m aîtriséLe domaine de la sécurité de l’infrastructure et des communications est aujourd’hui bien maîtrisé ; il s’organiseautour d’outils comme les pare-feux, les réseaux privés, les segmentations de réseaux, les anti-virus, etc. Si cesoutils évoluent constamment, les grands principes de sécurité périmétrique sont bien connus des DSI et trèslargement mis en œuvre. FIGURE 1: TYPOLOGIE DES FONCTIONS DE CONFIANCELa gestion des identités et des accès : des produits et des processus nécessairementsophistiquésIl faut non seulement sécuriser l’infrastructure mais aussi maîtriser son usage, connaître les utilisateurs etcontrôler les droits de ceux-ci. L’IAM (Identity and Access Management) est aujourd’hui un domaine mature,bien que dans la plupart des cas, le niveau de sécurité reste insuffisant avec, par exemple, une utilisation tropfréquente du traditionnel « login/mot de passe ». Les outils d’authentification forte mettant en œuvre desmoyens comme la carte à puce ou le token restent encore marginaux. Ces outils sont indispensables pourobtenir un niveau de sécurité de qualité ; cependant, ils restent difficiles et coûteux à mettre en œuvre.Cela amène les entreprises à mettre en œuvre des solutions « intermédiaires » en s’appuyant sur le conceptd’authentification non rejouable ou OTP (One Time Password, mot de passe à usage unique), que celui-ci soittransmis par mobile ou proposé par une calculette ou un token.Sécurisation des transactions : des gains potentiels d’eff icacité formidablesUne fois les fonctions de gestion des identités et des accès mises en place, il est possible de les valoriser enréalisant des transactions. Il s’agit alors de garantir la sécurité des transactions (il faut noter qu’on ne peutsérieusement sécuriser les transactions sans de solides fonctions de gestion des identités et des accès).Cela suppose de mettre en œuvre des fonctions de signature (ou de certification), de validation permettantde s’assurer de l’intégrité de la transaction, d’horodatage, d’archivage et de gestion de la preuve, etc. 4
  • Livre Blanc : Confiance et dématérialisationS’appuyer sur des réseaux privés (lignes spécialisées, moyens de chiffrement, protection physique des postesde travail, etc.) reste le moyen le plus efficace d’obtenir un haut niveau de sécurité ; néanmoins, cetteapproche reste coûteuse à mettre en œuvre et manque de souplesse et d’adaptabilité.La sécurité applicative, domaine dans lequel Dictao s’est spécialisée, est aujourd’hui un domaine en rapidecroissance.Elle permet non seulement de simplement durcir le niveau de sécurité, mais aussi de répondre à des exigencesréglementaires ou d’améliorer l’efficacité des échanges.Si, bien souvent, les organisations (administrations, banques, entreprises industrielles…) considèrent ledurcissement du niveau de la sécurité de leurs systèmes comme un objectif de deuxième ordre, elles nepeuvent ignorer le cadre règlementaire. Les banques sont ainsi amenées à fortement investir pour s’aligner surles recommandations de la Banque de France qui demande que soient mis en œuvre des moyensd’authentification non rejouables pour les opérations de banque en ligne et de services en ligne.Enfin, la sécurisation des transactions contribue au gain d’efficacité du traitement des échanges (gestion dunflux exclusivement électronique, suppression du flux papier) et au développement commercial, grâce àl’ouverture de services innovants aux clients et usagers.Information : des besoins de protection et de conservation sur le long termeLe domaine de la sécurité de l’information est aujourd’hui en évolution rapide avec le développement defonctions de coffre-fort, d’archivage à vocation probante, de DLP (Data Loss Prevention), etc.Si le chiffrement des informations sur serveur est bien maîtrisé, il n’en est pas de même sur les postes detravail sur lesquels l’information est la plupart du temps en quasi accès libre.Appliquer des politiques de sécurité efficaces suppose de bien connaître les rôles et les droits des différentsutilisateurs ; il y a, la encore, une interdépendance entre la sécurité de l’information et la gestion des identitéset des accès.Par ailleurs, il faut noter que, depuis quelques années, nous disposons de l’outillage nécessaire pour assurer ladimension probante des informations archivées, sur de longues périodes (de 30 à 100 ans, voire davantage). 3.2 L’AUTHENTIFICATION, AU CŒUR DE LA GESTION DES IDENTITÉS ET DES ACCÈSLa fraude touchant les opérations financières sur Internet augmente régulièrement et justifie aujourd’hui lamise en œuvre des moyens d’authentification dont le coût total de possession est plus élevé (cartes à puce,token, calculettes, OTP/SMS, etc.).Si en termes politiques, la carte d’identité électronique fait encore débat, elle représenterait un moyen simpled’authentification forte et permettrait de réduire les coûts par effet volume et par mutualisation des fonctionsd’enregistrement ; en effet, si une carte à puce ne coûte au plus que quelques euros, une opération de remisede la carte en face à face peut rapidement atteindre la centaine d’euros si l’on s’appuie sur un processus quipermette de s’assurer de façon quasi certaine de l’identité du porteur.Le mobile sera, à terme, un moyen d’authentification largement utilisé. Equipement personnel, outil de la viequotidienne, il répond à la fois aux contraintes d’ergonomie et de sécurité. 5
  • Livre Blanc : Confiance et dématérialisation FIGURE 2 : DE LA SIGNATURE DU DOCUMENT A LA CONSTITUTION DE LA PREUVESi l’on peut considérer que la carte d’identité (et dans son prolongement, la carte agent) et le mobiles’imposeront à terme, nous sommes aujourd’hui dans une phase intermédiaire dans laquelle se généralisent lestechnologies dites de One Time Password (OTP, mot de passe à usage unique, mot de passe non rejouable),comme par exemple les tokens OATH, l’OTP SMS, EMV/CAP dans le monde bancaire, etc.Ces moyens d’authentification sont souvent moins coûteux à distribuer et à mettre en œuvre qu’une carte àpuce ou un token personnalisé, faciles à utiliser et permettent de simplement durcir le niveau de sécurité.Pour une organisation, il est important de mettre en place une infrastructure capable de simplement supporterdes moyens d’authentification variés et susceptibles d’évoluer pour durcir le niveau de sécurité.Pour répondre à ces besoins, Dictao a développé DACS (Dictao Access Control Server), serveurd’authentification multimoyen multicanal aujourd’hui largement utilisé dans le secteur bancaire.DACS a été conçu pour répondre à des besoins de sécurité élevée : les opérations d’authentification sonttracées, horodatées, signées et archivées.L’administration du système est particulièrement sophistiquée (séparation des rôles, authentification forte,traçabilité, etc.). 3.3 LA DÉMATÉRIALISATION DE LA TRANSACTIONDisposer d’une infrastructure sécurisée, connaître les identités et les habilitations des utilisateurs, contrôler lesaccès, etc. ne sont pas des fonctions suffisantes pour garantir un haut niveau de sécurité ; il faut garantir lasécurité des transactions au travers de fonctions de :  Chiffrement  Signature  Validation de signature  Horodatage  Archivage et gestion de la preuve.Le chiffrement est aujourd’hui une technologie bien maîtrisée et largement utilisée ; on sait obtenir un très hautniveau de sécurité, à la condition que les principes de gestion des clés soient de qualité et scrupuleusementrespectés.Les outils de signature sont aujourd’hui eux aussi bien maîtrisés, bien que les cibles de sécurité soient plussophistiquées et les contraintes de l’environnement (système d’exploitation, navigateur) soient plus délicates àprendre en compte.Si l’opération de validation de signature est, en elle-même, très simple, il faut simultanément constituer despreuves et savoir faire vivre celles-ci dans le temps. 6
  • Livre Blanc : Confiance et dématérialisationDepuis peu des fonctions comme le XADES/A permettent de s’affranchir de l’obsolescence des algorithmescryptographiques.La mise en œuvre de ces nouvelles fonctions permettra non seulement de garantir un meilleur niveau desécurité, mais aussi de bâtir de nouveaux processus ‘sans papier’ dans lesquels l’électronique à valeurprobante.Ces fonctions de confiance sont assurées par une plate-forme de confiance, dont les grands composants sontdétaillés ci-après. FIGURE 3: UN « DURCISSEMENT » PROGRESSIF DES MOYENS D’AUTHENTIFICATION 7
  • Livre Blanc : Confiance et dématérialisation4 LES GRANDS COMPOSANTS D’UNE PLATE-FORME DE CONFIANCE 4.1 LA MUTUALISATION DES FONCTIONS DE CONFIAN CELa plate-forme de confiance prend en charge les grandes fonctions de sécurité ou de confiance, entrant enjeu dans la sécurisation et la dématérialisation des processus :  Authentification  Sécurisation de la transaction o Signature électronique o Validation de la signature (intégrité du document) et du certificat (authentification du signataire) o Horodatage o Séquestre pour permettre de déchiffrer des documents dans le cas où le porteur a perdu ses secrets (clés de chiffrement) o Archivage des journaux et des logs  Fonctions de coffre-fort et d’archivage à valeur probante.Pour répondre à des besoins de sécurité et d’efficacité, ces fonctions de confiance doivent être mutualisées etpourront être appelées simultanément par plusieurs applications ou portails.La plate-forme de confiance de l’entreprise pourra prendre en charge directement l’ensemble des fonctionsde confiance nécessaires ou faire appel à des services tiers, en particulier, au niveau de l’horodatage (tiershorodateur) ou de l’archivage (tiers archiveur). FIGURE 4 : LES FONCTIONS ASSUREES PAR LA PLATE-FORME DE CONFIANCE 4.2 UNE FONCTION D’AUTHENTIFICATION NÉCESSAIREMENT MULTIFACTEURIl n’y a pas et il n’y aura sans doute jamais de moyen d’authentification universel. Il faut choisir la « meilleuresolution », autour de critères tels que l’ergonomie, le coût de la solution, la simplicité et le coût dudéploiement, le niveau de sécurité fonction du niveau de risque.Une organisation choisira, en général, plusieurs solutions, en fonction des populations et des risques associésaux applications. Ces solutions auront nécessairement besoin d’évoluer dans le temps : ainsi, si sur le courtterme, l’OTP/SMS est largement mis en œuvre par le secteur bancaire, il faudra probablement dans les troisans déployer des mécanismes sécuritairement plus solides. 8
  • Livre Blanc : Confiance et dématérialisation FIGURE 5 : UNE PLATE-FORME UNIQUE POUR DES BESOINS D’AUTHENTIFICATION HETEROGENES 4.3 LES FONCTIONS DE SIGNATURE, GARANTES DE L’INTÉGRITÉ ET DE LA QUALITÉ DE LA TRANSA CTIONLes bénéfices liés à la signature électronique sont, aujourd’hui, bien compris :  Toute modification du document signé est détectable : lintégrité du document est assurée  Lauteur du document est identifié avec certitude : lauthentification du signataire est assurée  Le signataire ne peut pas nier avoir signé : la non-répudiation du document est assurée.Une fois l’utilisateur authentifié, il peut recevoir un certificat (sa pièce d’identité électronique) et procéder àdes opérations de signature (signature de virements, de contrats, etc.).La signature électronique remplace la signature manuscrite. Elle est réalisée à partir d’un outil de signatureélectronique qui, associé au certificat du signataire (sa pièce d’identité électronique) et aux secrets del’utilisateur (clé privée / clé publique), applique un algorithme cryptographique au document et calcule lasignature.En fonction de la nature de la transaction et du niveau de risque associé, on pourra utiliser :  Une signature simple sans valeur légale obtenue avec un certificat de « qualité moyenne »  Une signature dite « sécurisée », ayant valeur légale, qui suppose que : o Le dispositif de signature ait été qualifié et certifié EAL3+ (comme notre outil Dictao AdSigner) o Les secrets (certificats et clés associées) que l’utilisateur emploiera pour signer le document lui aient été remis en mains propres et soient confinés dans un dispositif matériel de type token ou carte à puce FIGURE 6 : LE MECANISME DE SIGNATURE ELECTRONIQUEPar ailleurs, en fonction de la nature du processus, on pourra mettre en œuvre :  Une signature personne qui a été apposée par une personne physique  Une signature « entité morale » ou signature serveur qui engage l’organisation. 9
  • Livre Blanc : Confiance et dématérialisationPar exemple, une demande d’achat est signée par des personnes physiques (le demandeur, l’acheteur, lecontrôleur financier, etc.) avant d’être signée par un certificat serveur qui engage, non plus des personnesreprésentant l’organisation, mais l’organisation elle-même. FIGURE 7 : LA QUALITE DE LA SIGNATURE ELECTRONIQUE EST FONCTION DE LA QUALITE DU CERTIFICAT, LUI-MEME FONCTION DE LA QUALITE DE L’AUTHENTIFICATION 4.4 LA VALIDATION ET LA CONSTITUTION DE PREUVES, FONCTIONS INDISPENSABLES DANS UN CONTEXTE DE DÉMATÉRIALISATIONLa validation dune signature permet de :  Détecter une éventuelle perte dintégrité de l’objet signé (transaction, document, etc.)  Authentifier le signataire  Vérifier la validité du certificat et, éventuellement, les « droits à signer » du signataire.Une preuve électronique horodatée, à vocation probante, est constituée lors de chaque validation. En fonctionde la nature de la transaction, cette preuve sera conservée 1 an, 3 ans, 10 ans, etc. et pourra être trèssimplement rejouée en cas de litige. 4.5 L’HORODATAGE, TRÈS SIMPLE À METTRE EN ŒUVREL’horodatage permet d’apposer une heure fiable sur des preuves, des signatures, des documents. Il garantitl’existence d’une information ou le déroulement d’une transaction à un instant précis.La garantie d’une heure certaine est particulièrement nécessaire dans de nombreux domaines :  Les déclarations administratives : télédéclaration de la T.V.A., etc.  Les paris en ligne  Les droits de propriété intellectuelle  Les déclarations des actes commerciaux  Etc.En fonction de la qualité recherchée pour le jeton d’horodatage, on utilisera l’heure Internet ou une heure GPS(les boîtiers spécifiques n’ont plus qu’une part de marché insignifiante) 4.6 L’ARCHIVAGE À VALEUR PROBANTE, UN DOMAINE EN DÉVELOPPEMENT RAPIDE RÉPONDANT À DE MULTIPLES BESOINSIl faut distinguer très nettement les fonctions de sauvegarde, de stockage et d’archivage. La sauvegarde n’estutile que pour reprendre, après incident, une activité dans des conditions acceptables. Le stockage permet deconstituer des entrepôts de données mais ne permet pas de garantir la qualité et la véracité des informations.L’archivage, quant à lui, fait en particulier référence à des notions d’authenticité, d’intégrité, d’indexation etde disponibilité. Très schématiquement, il a pour but de garantir la qualité de l’information dans le temps et 10
  • Livre Blanc : Confiance et dématérialisationd’en permettre une restitution intacte (cest-à-dire identique à ce qu’elle était à son origine), soit deuxconditions indispensables pour qu’elle puisse constituer un élément de preuve.Pour conserver une valeur probante à un original immatériel, il faut pouvoir garantir :  L’intégrité des informations  L’authentification du document  L’accessibilité du document  La lisibilité du document et des éléments de preuve  La durabilité des informations.Pour cela, il est nécessaire d’ « accrocher » à l’outil de gestion documentaire, une plate-forme de confiancequi prend en charge les grandes fonctions de sécurité ou de confiance (signature électronique, validation designature, horodatage, archivage des journaux et des logs, etc.).. 11
  • Livre Blanc : Confiance et dématérialisation5 DE MULTIPLES APPLICATIONS POTENTIELLESDictao est aujourd’hui le partenaire de référence des acteurs qui souhaitent placer le renforcement du niveaude sécurité et la dématérialisation des flux au cœur de leurs préoccupations. Nous vous présentons quelquesexemples d’applications dans lesquelles la mise en œuvre de fonctions de confiance permet de réduire lerisque, respecter le cadre réglementaire, gagner en efficacité et proposer de nouveaux services. 5.1 LE SECTEUR BANCAIRE, LEADER DANS LES ACTIONS DE DÉMATÉRIALISATIONLe BtoB, dans une recherche permanente de dématérialisationPrenons l’exemple d’un passage d’ordre ; une fois connecté sur le portail de la banque et correctementauthentifié, le client « Entreprise » signe électroniquement son ordre en ligne (ordres devirement/prélèvement, passages dordres sur valeurs boursières, SICAV, ouverture de comptes titres, etc.). Decette façon, il matérialise son engagement et se protège contre une altération éventuelle de son ordre. Sasignature électronique remplace sa signature manuscrite et il n’a plus à envoyer, par courrier ou par fax, deconfirmation papier signée.La banque reçoit immédiatement cet ordre par voie électronique. Elle en vérifie le bien fondé en vérifiant lasignature électronique et constitue des preuves, archive les ordres en leur conférant vocation probante. FIGURE 8 : SECURISATION DE PASSAGES D’ORDRES PAR LES CLIENTS ENTREPRISELes bénéfices de ces applications dématérialisées sont nombreux ; par exemple :  Les processus sont très nettement simplifiés  Les ordres sont « instantanément » pris en compte  L’entreprise cliente est rassurée : elle est sûre que la banque ne donnera pas suite à des ordres indus  La banque se protège des opérations frauduleuses, des dommages financiers et des pertes d’image, qu’une malversation (volontaire ou non) peut provoquer 12
  • Livre Blanc : Confiance et dématérialisation FIGURE 9 : AUTHENTIFICATION PAR CARTE BANCAIRE (EMV CAP) DU CLIENT PARTICULIER POUR ACCEDER AUX OPERATIONS SENSIBLES (PASSAGE D’ORDRES DE VIREMENT, PAR EXEMPLE)Le Particulier, au cœur des opérations de sécurisation des opérations de services en ligne et depaiements en ligne des établissements financiersPrenons l’exemple de la souscription d’un contrat en ligne ; une fois connecté sur le portail de la banque etcorrectement authentifié, le client Particulier décide de souscrire à de nouveaux services (ou de modifier lesconditions d’un contrat). Il peut alors personnaliser son contrat (d’épargne, de prêt, etc.) et, immédiatement, lesigner électroniquement pour marquer son engagement. Il n’a plus besoin, comme c’était le cas auparavant,d’imprimer son contrat, de le signer à la main et de le renvoyer par fax. FIGURE 10 : SOUSCRIPTION DE CONTRATS BANCAIRES EN LIGNE PAR LE PARTICULIERLa banque reçoit immédiatement ce contrat par voie électronique. La plate-forme de confiance permettrad’en contrôler le bien fondé en vérifiant la signature électronique, constitue des preuves et archive le contrat.Puis, l’application métier « reprendra la main » et exécutera l’opération.Là aussi, les bénéfices sont nombreux pour la banque ; par exemple :  Le volume de contrats souscrits augmente car le service est accessible en permanence (7j/7, 24h/24) et le client peut instantanément conclure une opération entièrement électronique  La banque gagne en efficacité grâce au traitement d’un flux entièrement dématérialisé. 13
  • Livre Blanc : Confiance et dématérialisation FIGURE 11 : EXEMPLE DE SIGNATURE D’UN CONTRAT DE LIVRET A 5.2 LE SECTEUR PUBLIC, DANS UNE STRATÉGIE DE LONG TERMEDématérialisation des déclarations et des échanges, chantier essentiel dans le cadre de lamodernisation de l’AdministrationLe déclarant (dans un contexte personnel ou professionnel) se connecte au site Internet de l’Administration,complète sa déclaration électronique et la signe électroniquement, pour marquer son engagement. Il n’a plusbesoin de l’imprimer, de la signer à la main et de l’envoyer par courrier. L’administration reçoitimmédiatement la déclaration par voie électronique. Elle en vérifie le bien fondé en vérifiant la signatureélectronique, constitue un accusé de réception (preuve) et le retourne au déclarant.Les bénéfices sont nombreux tant pour le déclarant que pour l’Administration ; par exemple :  La démarche du déclarant est très nettement facilitée  Ladministration gagne en efficacité et en fiabilité grâce au traitement de chaînes entièrement dématérialisées 14
  • Livre Blanc : Confiance et dématérialisation FIGURE 12 : TELEDECLARATIONSLes téléprocédures, une formidable opportunité pour les collectivités territorialesLe citoyen se connecte au site de sa collectivité, remplit son formulaire de demande d’aide (par exemple) etle signe électroniquement pour marquer son engagement. Il n’a plus besoin de se déplacer ou d’envoyer decourrier signé à la main à sa collectivité.Du côté de la collectivité, un accusé de réception signé (qui vaut preuve) est constitué et envoyé au citoyen.L’agent de la collectivité traite électroniquement la demande.L’usager peut vérifier en ligne la signature de la réponse de la collectivité pour s’assurer de l’authenticité decelle-ci.Nous retrouvons, une fois encore, les avantages liés aux téléprocédures ; par exemple :  La démarche du citoyen est facilitée et la qualité de service peut être très nettement améliorée  La collectivité gagne en efficacité et en fiabilité grâce au traitement de chaînes entièrement dématérialisées.Mise en ligne de publications officielles, un besoin de garantir l’authenticité des documentsélectroniquesLadministration (centrale ou territoriale) publie en ligne des documents officiels authentiques, en les signantélectroniquement.En validant la signature de ce document officiel, le citoyen sassure de lauthenticité de ce document : il est sûrque le document émane bien de lAdministration et quil est intègre, cest-à-dire quil na pas subi demodification, après avoir été publié par lAdministration.Les avantages associés à une telle approche sont nombreux; par exemple :  Le citoyen accède plus facilement à une information dont l’authenticité est garantie  Les documents papiers qui font preuve aujourd’hui dans la quasi-totalité des cas, peuvent être supprimés. FIGURE 13 : PUBLICATION DE DOCUMENTS OFFICIELS PAR LADMINISTRATION 15
  • Livre Blanc : Confiance et dématérialisation 5.3 L’INDUSTRIE ET LES S ERVICES, À LA RECHERCHE DE GAINS D’EFFICACITÉDématérialisation de documents d’entreprise (factures, bons de commande, etc.) dans larecherche constante d’une meilleure performanceMettre en œuvre des fonctions de sécurité et de confiance permet une dématérialisation intégrale desdocuments et transactions qui lient l’organisation et son écosystème (factures, bons de livraison, bons decommande, etc.) ; ce qui se traduit immédiatement par une amélioration des performances et une diminutiondes coûts.Il faut signer électroniquement les documents émis par l’entreprise (factures, bons de commande etc.) au nomde la Direction Financière, de la Direction des Achats, de la fonction Logistique, etc. Cette signatureélectronique remplace la signature manuscrite du donneur d’ordre (comptable, acheteur, réceptionniste, etc.)et donne foi au document électronique ; elle garantit lorigine et lintégrité des documents et des transactions.Il faut, par ailleurs, garantir l’archivage à vocation probante des différents documents pour disposerd’éléments de preuve en cas de litige. Les partenaires (clients, fournisseurs, etc.) pourront vérifier l’authenticitéde ces documents grâce à une fonction de validation accessible au travers d’un portail Web. FIGURE 14 : DEMATERIALISATION DES DOCUMENTS ENGAGEANT LENTREPRISELes bénéfices d’une stratégie de dématérialisation sont souvent très simples à évaluer ; ainsi :  La mise en œuvre d’une plate-forme de confiance permet de respecter les exigences réglementaires  L’organisation gagne en efficacité, grâce au traitement entièrement dématérialisé des différents échanges  Le partenaire (client, fournisseur, etc.) peut simplement vérifier l’authenticité des documents qu’il reçoit de l’entreprise (factures, bons de commande, etc.) au travers d’un portail Web. FIGURE 15: PORTAIL WEB AU TRAVERS DUQUEL LES PARTENAIRES (FOURNISSEURS, CLIENTS, ETC.)PEUVENT VERIFIER L’AUTHENTICITE D’UN DOCUMENT (FACTURE, BON DE COMMANDE, ETC.) ENVOYE PAR L’ENTREPRISE 16
  • Livre Blanc : Confiance et dématérialisation6 LA PROPOSITION DICTAO : UNE OFFRE COMPLÈTE, INDUSTRIELLE, ALIGNÉE SUR LES STANDARDS DU DOMAINEDictao a développé une gamme complète de réponses aux besoins des organisations dans les domaines de lasécurité et de la confiance. Notre offre s’organise autour de :  Dictao Trust Suite, une plate-forme de confiance qui permet de mettre en œuvre de façon modulaire et progressive la quasi-totalité des fonctions d’authentification, de sécurisation de la transaction, d’archivage et de coffre-fort électronique  Des solutions qui s’intègrent très simplement aux applications métiers de l’entreprise et permettent, en particulier, de répondre à l’évolution du cadre réglementaire et de proposer de nouveaux services. 6.1 DICTAO TRUST SUITE, NOTRE PLATE-FORME DE CONFIANCEPlate-forme de confiance d’entreprise, Dictao Trust Suite (DTS) a été conçue pour permettre la mise en œuvred’une infrastructure de confiance puissante sur laquelle viennent s’appuyer très simplement les applicationsmétiers qui sont au cœur du système d’information de l’organisation.Sa couverture fonctionnelle permet d’adresser en standard la totalité des besoins de sécurité et confiance denos clients : authentification, signature électronique, validation de signature, gestion de la preuve,horodatage, archivage à vocation probante.Son très haut niveau de sécurité et sa conformité au cadre légal sont attestés par la qualification et lacertification par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), au niveau EAL3+ de lanorme internationale des Critères Communs (ISO 15408). Dictao Trust Suite comporte des produits qui peuvent être utilisés conjointement ou séparément :  Dictao AdSigner, produit de signature sur le poste de travail, permet à une personne de signer des documents, des formulaires Web ou des flux de données  Dictao Signature Server (D2S), produit serveur de signature, permet de signer des documents au nom d’une organisation (entreprise, département d’une entreprise, etc.) ou d’une personne  Dictao Validation Server (DVS), produit serveur de validation de signature, de certificats et de gestion des preuves associées  Dictao TimeStamp Server, produit serveur d’horodatage, horodate les échanges, les documents, etc. à partir d’une source de temps fiable  Dictao Secure Storage Server (D3S), produit de coffre-fort électronique, permet d’archiver des documents en leur conférant vocation probante  Dictao Access Control Server, serveur d’authentification multimoyen multicanal, permet d’authentifier une personne avec de multiples moyens (certificat électronique, jeton EMV-CAP, OATH, OTP transmis par SMS, date de naissance, questions/réponses, OTP/Radius, etc.) quel que soit le canal ou le service (services en ligne, vente en ligne, dématérialisation en agence, applications métiers, etc.). 6.2 NOS SOLUTIONS DE CON FIANCEA partir de ces produits, Dictao propose deux solutions :  DTP (Dictao Trust Platform) est une solution logicielle destinée aux organisations qui souhaitent permettre à leurs clients de souscrire des contrats par tous les canaux (en ligne, en agence, par téléphone), mettant ainsi à profit leur authentification préalable  Validao est un portail Web destiné aux organisations qui souhaitent mettre à disposition de leurs partenaires, clients et collaborateurs des fonctions de confiance (signature électronique, validation de 17
  • Livre Blanc : Confiance et dématérialisation signature, constitution de preuve, etc.) au travers d’un portail Web très rapidement et très simplement.. 18
  • Livre Blanc : Confiance et dématérialisationToute l’équipe Dictao est à votre disposition pour tous renseignements complémentaires info@dictao.com DICTAO 152 avenue de Malakoff 75116 PARIS 01 73 00 26 10 www.dictao.com 19