Auteur/autrice : Gaetan Paccou

CERTIGNA, filiale cybersécurité du groupe Tessi, annonce la nomination de Gaëtan Paccou au poste de Directeur marketing digital et opérationnel. Cette arrivée s’inscrit dans un contexte de forte accélération de la société, qui s’impose aujourd’hui comme un acteur majeur dans les certificats numériques qualifiés et dans l’horodatage certifié.

Diplômé d’un master de l’IAE de Lille, Gaëtan Paccou peut s’appuyer sur son expertise. Il a notamment occupé différents postes marketing chez VADE SECURE, DOXENSE et dernièrement chez AUCHAN RETAIL INTERNATIONAL.  

 « Le marché de la sécurité des échanges et des documents est en forte croissance, aussi je suis très fier de rejoindre CERTIGNA pour l’accompagner dans son développement européen en synergies avec le groupe Tessi »
Gaëtan Paccou,
Directeur marketing de CERTIGNA.

La cybersécurité est un sujet stratégique pour l’ensemble des entreprises et administrations qui déploient une énergie considérable pour mettre en œuvre des dispositifs afin de se protéger efficacement. Dans ce contexte, la cybersécurité revêt différents visages en fonction du sujet qu’elle aborde. Dans notre cas, nous allons nous concentrer sur les documents et échanges électroniques, en évoquant trois briques fondamentales qui sont le certificat numérique personnel, l’horodatage et le certificat SSL/TLS.

Le certificat numérique RGS ou eIDAS pour s’identifier sur le web de façon sécurisée

Ce certificat personnel est une réelle carte d’identité numérique universelle. Reconnu dans les logiciels de messagerie, ce certificat permet de certifier ses emails et de lui apporter une valeur juridique. Le destinataire peut en effet vérifier l’identité de l’émetteur (en cliquant sur une enveloppe jointe au mail) ainsi que l’intégrité du contenu du mail. Il sera également possible de garantir la confidentialité du contenu du mail en utilisant le certificat (de chiffrement) du destinataire du mail. Enfin, ce certificat permet de signer éléctroniquement des documents et des contrats en attribuant à cette signature une valeur  légale.

L’horodatage qualifié pour garantir l’intégrité et la preuve d’antériorité d’un document

Pour un document numérique, l’horodatage qualifié permet d’apposer une date fiable sur un fichier. Il permet également de vérifier l’intégrité de ce fichier. Ainsi toute altération volontaire ou involontaire de ce fichier sera détectée.

Pour un document numérique, l’horodatage qualifié permet d’apposer une date fiable sur un fichier. Il permet également de vérifier l’intégrité de ce fichier. Ainsi toute altération volontaire ou involontaire de ce fichier sera détectée.

Cette notion de date certaine est importante dans le cadre de la signature de contrat, de la réception d’un pli sous forme électronique, de la certification des transactions bancaires ou de l’émission de factures.

Le certificat SSL/TLS normé pour authentifier un site et sécuriser les échanges avec ce site

Ce certificat permet à un site internet de passer de HTTP à HTTPS. Avec cette technologie, l’internaute peut vérifier l’authenticité du site et rendre confidentielles les données échangées avec le site, telles que des mots de passe ou des données bancaires.

En cliquant sur un lien situé dans la barre d’adresse (en général ce lien est un cadenas), l’internaute accède à des informations primordiales comme le nom du propriétaire du site, l’Autorité de Certification et les dates de validité du certificat.

Depuis quelques mois, les grands moteurs de recherche tels que Google privilégient le référencement des sites qui sont en HTTPS garantissant ainsi aux internautes une meilleure protection contre le phishing ou les sites frauduleux. Les trois technologies exposées ci-dessus sont à mettre en œuvre dans une démarche de sécurisation de vos documents et de vos échanges électroniques. Encouragés par les pouvoirs publics, voire rendus obligatoires dans certains cas, ces procédés vont continuer de se développer à grande échelle et ce, notamment grâce à l’émergence de nombreux nouveaux usages.

Une recommandation : faire l’acquisition de cers solutions auprès de Tiers de Confiance agréés au niveau français ou européen.

Pour en savoir plus sur les solutions Certigna, contactez-nous.

Factures électroniques

Dématérialisation ou numérisation à la source

Depuis le 26 juin 2014, une ordonnance stipule qu’une facture peut être directement créée au format numérique. Promulgué fin 2016, l’article L-102 B du code de procédure fiscale, complété d’un arrêté du 22 mars 2017, précise que toute facture peut également être dématérialisée. « Les factures numériques peuvent tenir lieu de facture originale, à condition que le client destinataire ait accepté ce mode de facturation, précise Gérard Haas. En amont, l’émetteur de la facture doit donc le stipuler dans ces conditions générales d’utilisation ou dans ces conditions générales de vente ».

Contraintes techniques

Les originaux numériques ou les copies digitales de factures au format PDF ont valeur de preuve à condition que l’entreprise inclue les mentions légales (numéro de facture, date d’émission, identité des parties) et soit capable de garantir :  l’authenticité des factures (quelle est l’identité de l’émetteur, que contiennent les documents, quand ont-ils été créés ?), leur intégrité (en aucune façon ils ne doivent être modifiés, altérés ni dénaturés), leur traçabilité et leur lisibilité dans le temps, c’est à dire leur capacité à être restitués au format PDF ou PDF A3, quels que soient les supports et les formats d’archivage numérique.

Durée de conservation

Dématérialisée ou nativement numérique, une facture doit pouvoir être présentée aux services fiscaux et sociaux durant six ans. « Cette période débute à la date de son inscription dans les registres comptables de l’entreprise, ou bien à la date de sa dématérialisation légale », souligne l’avocat.

Possible ou obligatoire

Il est à noter qu’à compter du 1^er janvier 2020, toutes les administrations et établissements publics de France auront obligation d’utiliser uniquement des factures numériques.Au plan européen, les directives du 28 novembre 2006 puis du 13 juillet 2010, relatives aux taxes sur la valeur ajoutée, autorisent l’échange de factures sous forme numérique entre les entreprises de l’Union européenne.

Notes de frais numérisées

Cadre légal

En cas de contrôle de l’URSAFF, les entreprises ont obligation de justifier les remboursements effectués auprès de leurs employés, en étant capables de fournir les originaux (papier ou numériques) jusqu’à six ans après leur édition. Cela concerne également les fiches de paie et « tous documents ou pièces justificatives nécessaires à l’établissement de l’assiette ou au contrôle des cotisations et contributions sociales », selon l’article L.243-16 du Code de la sécurité sociale.

Faute de produire de tels documents, les entreprises s’exposent à des redressements de cotisations sociales. « Depuis 2017, l’article L102 du code de procédure fiscale confère une valeur probante aux justificatifs de notes de frais dématérialisées, conservées sur supports informatiques », indique Gérard Haas.

Contraintes techniques

Comme dans le cas des factures dématérialisées, la loi exige que les conditions de numérisation garantissent : une reproduction à l’identique (sans recadrage ni modification des couleurs), l’intégrité des documents, leur archivage numérique fiable et leur lisibilité dans le temps (norme ISO 19005-3), associée à un horodatage électronique.

Par ailleurs, l’arrêté du 23 mai 2019 dispose que « Le transfert des pièces justificatives et documents établis originairement sur support papier vers un support informatique et l’archivage numérique sont réalisés dans les conditions et garanties prévues à l’article A. 102 B-2 du Livre des procédures fiscales ». La numérisation des notes frais nécessite ainsi un procédé numérique pour sécuriser le processus. Cela peut se traduire par un cachet serveur respectant au minimum les normes RGS une étoile, une empreinte numérique ou encore une signature électronique.

Le plus de la signature électronique certifiée

« La signature électronique avancée n’est pas obligatoire au sein de l’Union européenne, rappelle Gérard Haas. On peut éditer des factures électroniques et digitaliser des notes de frais sans nécessairement passer par des systèmes de signature et des prestataires de certification. Il est cependant recommandé et avisé de le faire, à l’image des normes AFNOR et ISO qui offrent des gages supplémentaires sur la qualité et le sérieux des organisations ».

Voici quelques recommandations :

Pour les logiciels, dessins …

Il faut être le plus exhaustif possible dans la description des éléments, et mettre en exergue les évolutions de votre création.

Nous vous conseillons de créer plusieurs preuves afin de baliser l’évolution de votre projet créatif.

Pour la musique :

Vous pouvez enregistrer intégralement votre morceau de musique en format audio mais aussi ajouter des partitions, des textes précisant les instruments, les arrangements ou les accords spécifiques à votre œuvre.

Pour un jeu vidéo :

Pour bien protéger un jeu vidéo, il faut protéger chaque élément le composant et non le produit fini selon l’arrêt de la première Chambre civile de la Cour de cassation en date du 25 juin 2009 (n°07-20387). Aussi, nous vous conseillons d’inclure dans la preuve la charte graphique, la bande son, le script du jeu ainsi que toute innovation apportée aux algorithmes du logiciel.

Pour une création en 3 Dimensions ou un objet :

Par exemple des œuvres d’art, des sculptures, des prototypes…

Nous vous conseillons de réaliser des photos et une vidéo commentée pour présenter le plus précisément possible votre création.

Pour un logo :

Pour protéger le logo d’une marque, vous pouvez intégrer dans la preuve des choix graphiques tels que le design appliqué pour refléter la marque, le choix du style apporté lors de la conception, la typographie, le texte associé comme la signature, le dessin choisi comme symbole ou encore la palette de couleur.

Pour une invention :

Il est conseillé de réaliser plusieurs preuves tout au long de votre processus créatif.

Ces preuves vous assurent l’antériorité de votre invention. Elles sont complémentaires à un éventuel futur dépôt de brevet. Grâce à ces preuves, si un tiers dépose un brevet avant vous, vous pourrez ainsi faire valoir votre droit de possession personnelle antérieure sur l’invention ; ce droit vous permet en France d’exploiter votre invention sans brevet.

Pour en savoir plus sur MaPreuve.com et les solutions Certigna, contactez-nous.

Le Référentiel Général de Sécurité (RGS), instauré en 2010 et revu en 2014, est destiné à protéger les échanges des administrations françaises entre elles, et avec les usagers. Outre un ensemble de bonnes pratiques et de recommandations, le RGS impose aux administrations des solutions qualifiées, reposant sur différents niveaux de sécurité, pour des services tels que la signature électronique, l’authentification, la confidentialité ou encore l’horodatage. Le certificat numérique des personnes physiques est au cœur de ces services.

Le RGS s’applique aux Prestataires de service de confiance (fournisseurs des administrations françaises) et aux fournisseurs de produits de sécurité. Ceux-ci doivent être qualifiés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Instaurer un marché unique européen du numérique

Le règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques (eIDAS, pour electronic IDentification And trust Services) est celui de l’interopérabilité des services numériques de confiance entre pays membres de l’Union européenne.

Ce règlement instaure un socle commun européen concernant l’identification électronique, les services de confiance et les documents électroniques. Il établit notamment la signature électronique d’une personne morale (Cachet électronique) et la lettre recommandée électronique qualifiée. Ce règlement eIDAS permet par exemple la reconnaissance d’une même identité électronique au sein de tous les États membres. De quoi faciliter les démarches des citoyens et des entreprises dans toute l’Europe. Cette reconnaissance mutuelle s’applique de la même façon à l’horodatage ou la signature électronique.

Le règlement définit aussi les critères que doivent respecter les prestataires de services de confiance, pour être reconnus dans le cadre européen. Objectif : créer un marché commun de la confiance numérique en imposant les mêmes critères à tous les prestataires souhaitant opérer au niveau européen.

RGS et eIDAS, des textes complémentaires pour votre sécurité

Le RGS en France, ou son équivalent dans les autres pays membres, ne va pas disparaître. Néanmoins, pour certaines plateformes, il est remplacé par l’eIDAS. Par exemple dans le cadre des marchés publics – au niveau national comme européen – les critères de signature électronique tels que définis par règlement eIDAS se sont substitués depuis le 1^er octobre 2018 à ceux du RGS. Depuis cette date, les nouveaux certificats numériques émis dans le cadre des marchés publics doivent être qualifiés eIDAS.

En matière de sécurité, les entreprises et administrations françaises devront toujours prendre en compte les recommandations du RGS et/ou de l’ANSSI. Cet organisme est aussi en charge de contrôler les prestataires de services de confiance français, s’assurant qu’ils respectent des critères fixés par l’eIDAS.

Le règlement eIDAS facilite certaines démarches au niveau européen. Pour les entreprises, il permet par exemple :

– D’assurer la valeur légale des signatures électroniques dans l’UE.

– De participer à un appel d’offre à l’échelle européenne.

– Pour les fournisseurs de services de confiance, de faire reconnaître leur certification au niveau européen.

Certificats numériques, signature électronique, cachet serveur, horodatage… découvrez nos solutions certifiées RGS et eIDAS grâce au conseil de nos experts.

Pourquoi avez-vous développé un Certificat Cachet Serveur ?

Quels en sont les enjeux ?

Un Certificat Cachet Serveur est un certificat numérique destiné aux personnes morales, il est assimilé à la pièce d’identité numérique de la personne morale. Nous avons 3 sortes de Certificat Cachet Serveur, le premier appelé « Signature » est destiné à un usage de signature électronique des documents et des mails. L’apparition de cette offre au catalogue s’est imposée avec l’accélération de la dématérialisation à valeur probante, je pense notamment aux bulletins de paie, aux factures, aux contrats et aux lettres recommandées électroniques qualifiées. Le marché est également poussé par le développement de la copie fiable, c’est-à-dire de la transformation d’un document original papier par un document numérique certifié.

Quelles différences peut-on noter dans les usages avec Certigna ID ?

Un Certificat Certigna ID est destiné à une personne physique, il offre la fonction d’authentification et de signature de documents et de mails. Il est utilisé manuellement. Selon les besoins de sécurité, ce certificat est fourni en version logiciel ou sur une carte à puce.

Le Certificat Cachet Serveur « Signature », comme dit précédemment est destiné aux personnes morales. Il permet de signer (générer des cachets) des documents et des mails de façon automatique et en quantité. Il peut être hébergé sur un boîtier cryptographique dédié, ce qui demande des compétences spéciales.

A quelles entreprises ou entités s’adresse le Certificat Cachet Serveur « Signature » ?

Il est destiné à tous types d’entités du domaine public ou privé qui se lancent dans la dématérialisation. Le prix d’un Certificat Cachet Serveur est plus important que celui d’un Certificat ID. Aussi pour les petites entités, et en cas de besoin d’un nombre limité de documents ou de mails à signer, son dirigeant ou une personne habilitée s’équipera plutôt d’un Certificat Certigna ID.

En quoi votre Certificat Cachet Serveur « Signature » se distingue-t-il des autres solutions disponibles sur le marché ?

Pour ce certificat, Certigna offre deux niveaux de sécurité en fonction du niveau juridique attendu, lié au contexte réglementaire. Concernant la commercialisation, nous proposons ces certificats à la vente ou un service de signature accessible en mode SaaS. En effet en tant que Tiers de Confiance agréé, Certigna propose l’hébergement du certificat du client sur ses boîtiers cryptographiques (HSM) ou ses serveurs offrant le service de signature.

Dans la gamme Certigna Cachet Serveur, vous proposez également une version Horodatage et une version Signature de code. En quoi ces deux solutions sont-elles complémentaires de la version « Signature » ?  

Techniquement, les trois versions sont proches. Le Certificat Cachet Serveur « Horodatage » est utilisé pour signer des jetons d’horodatage. C’est une offre indissociable de l’offre de signature électronique car la plupart du temps la notion d’antériorité est souvent requise dans la signature de documents, par exemple pour les contrats. Pour cette activité d’horodatage, nous proposons une offre hébergée qualifiée RGS et eIDAS.

Nous proposons également un Certificat Cachet Serveur « Signature de code » qui permet de certifier du code en le signant, cela concerne des drivers, des bibliothèques ou des logiciels. Cette signature permet à un éditeur de garantir l’origine du code. Un logiciel signé avec ce certificat permettra de détecter toute modification du code source qui aurait été réalisée par une personne mal intentionnée, évitant alors la diffusion de malware ou de virus.

Pourquoi avoir élevé ces Certificats Cachets Serveurs à la certification RGS pour le marché français et eIDAS pour le marché européen ?

Pour avoir une valeur, une reconnaissance par nos institutions françaises et/ou européennes est obligatoire. Cette reconnaissance passe par des qualifications RGS et eIDAS qui sont les standards de facto du marché. Ces qualifications constituent également le sésame pour permettre aux Autorités de Certification d’entrer dans les magasins de certificats des Operating System ou des browsers. Une fois présents dans ces magasins, les certificats émis par ces Autorités sont reconnus comme certificats de confiance, ce qui permet aussi de ne pas générer de message d’erreur.

Pour en savoir plus sur les solutions Certigna Cachet Serveur, contactez-nous.

Découvrez les expertises Certigna pour sécuriser vos activités numériques.

Pourquoi utiliser un Cachet Serveur ?

Dans vos échanges professionnels, votre entreprise, collectivité ou association, en tant que « personne morale » peut être amenée à justifier son identité afin de garantir l’intégrité et l’authenticité des documents dématérialisés émis. Le plus fréquemment : des notes de frais, des factures ou encore des bulletins de paie. C’est aussi une façon d’assurer une valeur juridique à des documents stratégiques ou au code de logiciels.

Un cachet serveur pour chaque situation :

• Cachet signature : Une solution pour sceller des documents électroniques (factures, bulletins de paie, …). Il est compatible avec les logiciels Adobe. Le Cachet signature permet aussi de certifier les mails envoyés depuis la messagerie de la personne morale. Pour une collectivité, il peut également être utilisé pour réaliser une déclaration auprès des douanes sur Prodou@ne.

Pour qui ? Tous les types d’entreprises, collectivités territoriales, ministères, etc.

• Cachet horodatage : Une solution pour confirmer avec exactitude l’heure et la date de signature d’un document électronique. Le Cachet horodatage permet également de réaliser une copie fiable et d’établir une valeur juridique de documents digitalisés.

Pour qui ? Majoritairement de grandes entreprises ou des ministères. Le Cachet horodatage nécessite une infrastructure technique spécifique de la part de l’entité qui l’adopte.

• Cachet signature du code : Une solution pour signer des applications, des exécutables, des macros, etc.

Pour qui ? Les éditeurs de logiciels principalement.

Les avantages Certigna :

Tiers de Confiance agréé et membre de la Fédération des Tiers de Confiance du Numérique (FNTC), CERTIGNA vous propose des solutions répondant aux plus hautes exigences réglementaires :

• Référentiel Général de Sécurité (RGS) en 1 ou 2 étoiles en fonction du degré de sécurité souhaité. Exemples : RGS* pour les fiches de paie et RGS** pour la dématérialisation des factures.
• Qualification eIDAS : règlement européen sur la confiance numérique.
• ETSI EN 319 411-1 : normes techniques européennes spécifiques à la signature électronique.

« Certigna Cachet Serveur » est le nom de notre gamme de Certificats Cachets Serveurs ; ils sont proposés pour une durée de 1, 2 ou 3 ans.

Comment obtenir un Certigna Cachet Serveur ?

Rendez-vous sur votre espace client Certigna. Il faudra vous munir de pièces, à savoir :

• Une copie de la pièce d’identité du futur responsable du certificat et du représentant légal de l’entreprise ou de l’entité.
• Un justificatif de la délégation de signature, le cas échéant.
• Un document justificatif du numéro SIRET.
• Pour une entreprise, un Kbis de moins de 3 mois.

A noter : Dans le cas du cachet signature RGS** et/ou eIDAS, une rencontre entre le représentant légal de l’entité et un opérateur habilité (ex. un huissier) sera nécessaire afin de vérifier l’identité du demandeur. Ce degré de sécurité nécessitera également l’utilisation d’un boîtier Hardware Security Module (HSM) qualifié par l’ANSSI pour protéger l’accès au certificat et à sa clé privée.

Pour en savoir plus sur les solutions Certigna Cachet Serveur, contactez-nous.

 Découvrez les expertises Certigna pour sécuriser vos activités numériques 

Certifier à grande échelle

En janvier 2017, le contrat du fournisseur TLS/SSL de l’entreprise SFR arrivait bientôt à échéance. Pour Cyril Leroy, responsable du processus et référentiel au sein de l’équipe dédiée à la sécurité de l’information réseaux et SI, c’était le moment de challenger le marché avec des exigences à la hausse : « La racine de confiance de notre fournisseur allait bientôt expirer et nous souhaitions faire appel à un nouveau tiers de confiance dont l’expertise était reconnue en Europe et à l’international. J’ai épluché la liste des prestataires recommandés par l’ANSSI et découvert Certigna. » Très vite une première rencontre a eu lieu pour échanger sur le cahier des charges : « Cela s’est passé simplement. Nous avions besoin de plusieurs centaines de certificats SSL à émettre par an pour l’identification des domaines et sous-domaines de nos sites. »

Parmi les atouts de Certigna SSL, sa valeur « OV » ou « Organization Validated » était, pour SFR, une composante indispensable de la lutte anti-phishing. Autre élément clé dans l’adoption de la solution : le respect des normes formulées par le CA/Browsers Forum. « Les certificats Certigna répondent au plus haut niveau de sécurité exigé dans les interactions numériques. C’est une assurance supplémentaire pour SFR. » D’autant qu’être en capacité de justifier l’identité numérique de son site internet devient vital pour les entreprises BtoB comme BtoC : « Les moteurs de recherche comme Google pénalisent les sites ne disposant pas d’une certification SSL. Passer du HTTP au HTTPS permet d’améliorer le référencement du site et de rassurer les internautes. »

Un accompagnement sur mesure

Au total, dix jours ont été nécessaires pour délivrer les premiers certificats. Les équipes de SFR ont notamment réalisé un travail en amont pour industrialiser la procédure de déploiement des certificats et gérer le parc informatique de façon uniforme. Pour répondre à la demande volumétrique, Certigna a accompagné Cyril Leroy dans la mise en place d’une délégation de signature. « Certigna m’a guidé dans les subtilités juridiques et la liste des documents à fournir pour obtenir la délégation. En parallèle, j’ai opté pour une signature électronique afin de gagner du temps au quotidien. » La machine était lancée ! Depuis son espace personnel sur le site certigna.com, Cyril Leroy peut gérer la création, la révocation, le renouvellement ou la refabrication de ses certificats.

Chaque semaine, les équipes Certigna l’informent des certificats arrivant à terme et sont à sa disposition pour de nouvelles productions. « Aujourd’hui nous émettons environ une trentaine de certificats par mois pour SFR, confirme Frédéric Senez, Ingénieur des affaires Certigna. Nous capitalisons sur une relation de confiance dans la durée. Quand la volumétrie est conséquente comme pour SFR et plus largement le groupe Altice, la réactivité de nos équipes est essentielle. Nous proposons des procédures d’urgence pour produire ou renouveler un certificat dans l’heure suivant la demande du client. »

Pour plus de sécurité, Cyril Leroy travaille également avec Certigna sur l’intégration d’une Interface de Programmation d’Application (ou « API ») dans les processus de gestion des certificats. Cette reconnaissance de « machine à machine », permettrait davantage d’automatismes. Si ce nouveau chantier n’est encore qu’au stade de maquette, le projet devrait aboutir en 2020. En attendant, SFR fait également appel à Certigna pour la certification de certaines personnes physiques (Certigna ID) ou morales (Certigna Cachet) du groupe. Certigna a également contribué à la certification de plusieurs autres sites internet et intranet du groupe Altice, notamment ceux de BFMTV ou RMC Sport. Affaire à suivre !

Pour en savoir plus sur le certificat Certigna SSL, contactez nos experts.