mercredi 12 décembre 2007

La signature électronique - Etat d l'art


Nous avons assisté ces dernières années à une vaste démocratisation de l’usage professionnel des nouvelles technologies. Ces dernières ont apporté leur lot d’améliorations mais aussi quelques défis. Parmi ceux-ci, la garantie de l’intégrité et de l’authenticité des données que nous nous échangeons. Depuis peu, une nouvelle loi sur la signature électronique est entrée en vigueur. Les solutions techniques, quant à elles, existent depuis fort longtemps et sont désormais éprouvées. Par contre, leur usage reste encore peu répandu. Le présent article a pour objectif de dresser un bref aperçu de la situation actuelle, tant au niveau législatif que dans l’opérationnel quotidien.

En Droit suisse

Depuis 2003, le Code des Obligations, à son article 14, assimile la signature électronique dite qualifiée à la signature manuscrite. Cela signifie que tous les contrats nécessitant la forme écrite peuvent désormais être signés électroniquement, moyennant le respect de certaines conditions techniques définies dans la loi sur la signature électronique (SCSE). Qu’elles sont ces exigences ?

Tout d’abord, il n’est pas inutile de rappeler que le droit suisse en vigueur se fonde sur la liberté contractuelle. Celle-ci trouve entre autres son expression dans la liberté de forme, c’est-à-dire dans la possibilité de s’obliger par contrat sans devoir respecter une forme particulière. L’immense majorité des contrats n’est donc soumis à aucune exigence et il en va de même en ce qui concerne la signature électronique. Seuls les contrats requérant la forme écrite sont concernés par les exigences de la loi sur la signature électronique. Pour s’y retrouver, il est nécessaire de différencier trois types de signatures:


  • La signature électronique simple n’offre aucune sécurité particulière. Elle est utilisée, par exemple, en fin de message grâce à un « formulaire de signature » proposé par l’outil de messagerie. Tout le monde peut la reproduire puisqu’il ne s’agit que de texte mis en forme par l’auteur du message.
  • La signature électronique avancée ne peut être générée que par son titulaire et a été créée par des moyens qu’il peut garder sous son contrôle exclusif. Cela permet au destinataire d’authentifier de manière sûre l’expéditeur du message. De plus, cette signature est liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure à la signature soit détectable. Cette fonction permet ainsi de garantir l’intégrité du message.
  • La signature électronique qualifiée est une signature électronique avancée qui est de plus fondée, au moment de sa création, sur un certificat fourni par un tiers de confiance reconnu par la loi. (= certificat qualifié).

La loi sur la signature électronique règle les conditions d’accréditation que doivent remplir les fournisseurs de certificats qualifiés. L’OFCOM est l’organisme chargé de délivrer les accréditations aux prestataires qui en font la demande. En Suisse, seules quatre sociétés sont reconnues : Swisscom, Quo Vadis, SwissSign et le BIT.

En pratique

Le recours aux signatures électroniques qualifiées n’étant pas de la plus grande utilité quotidienne, les entreprises peuvent se satisfaire des signatures électroniques avancées afin de garantir la confidentialité, l’intégrité et l’authenticité de leurs échanges. Il existe de nombreux outils sur le marché à même de répondre aux différents besoins. La technologie utilisée est toujours la même. Elle se base sur la cryptographie asymétrique, aussi appelée cryptographie à clé publique. Le principe est relativement simple et recourt à des algorithmes de chiffrement (= clé privée) et de déchiffrement (= clé publique). La combinaison des deux clés est nécessaire pour pouvoir lire le message, ce qui offre une garantie de sécurité très élevée.

Le véritable défi est lié à la gestion des clés au sein de l’entreprise. Dans un monde d’identités virtuelles, il convient de savoir en tout temps qui a signé quoi et avec quelle clé. Faute de quoi, l’entreprise pourrait se retrouver avec des informations cryptées qu’elle ne pourrait plus relire. Il est donc important de bien déterminer l’envergure du projet, les responsabilités et les moyens à mettre en œuvre. Les solutions techniques existent pour simplifier au maximum l’utilisation des clés de signatures, jusqu’à la rendre totalement transparente pour les collaborateurs. Par contre, une bonne réflexion préalable est nécessaire avant d’implémenter un quelconque outil de signatures.

Quels sont les avantages ?

Pour des entreprises ou des particuliers dont le métier consiste à travailler avec des données confidentielles, la messagerie électronique traditionnelle n’offre aucune garantie de sécurité. Il est très simple d’usurper l’identité de quelqu’un et d’envoyer de faux e-mails d’apparence très plausibles. La signature électronique permet donc d’offrir aux différents partenaires commerciaux la certitude que leurs échanges sont authentiques et intègres.
De plus, les outils de cryptage offrent de nombreux autres services tels que le partage de fichiers sécurisés, la gestion des clés de signature ou encore le cryptage de postes de travail. En deux mots : des outils professionnels pour ceux qui veulent utiliser les nouvelles technologies de manière… professionnelle !



Stéphane Droxler

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?