Quelle autorité de certification électronique choisir ?

Une autorité de certification est une entité délivrant des certificats électroniques pour garantir un haut niveau de sécurité dans les échanges électroniques des organisations.

Dans un contexte de transition digitale des entreprises s’accompagnant de transformations des processus et des pratiques, comme la dématérialisation des documents, des problématiques en matière de gestion ou de traitement des données sont de plus en plus courantes.

Garantir la sécurité des données et la valeur juridique des échanges en ligne devient une priorité. En effet, comment vérifier qu’un site web est fiable ? Comment s’assurer qu’une procédure de signature électronique est juridiquement recevable ou qu’un paiement en ligne est sûr ?

Découvrez sans plus attendre le rôle et les caractéristiques d’une autorité de certification !

Une autorité de certification (AC) est une entité de confiance qui délivre des certificats numériques. Elle est un prestataire, une entreprise privée ou une autorité administrative par exemple, qui crée, fournit, et gère des certificats électroniques pour le compte d’utilisateurs.

Une autorité de certification s’attache à garantir :

• la fiabilité d’un site internet,
• l’identité des détenteurs de certificats,
• l’absence de risque dans les échanges de documents et de données, comme les processus de paiement en ligne ou signature électronique.

Une AC délivre des certificats électroniques, également appelés certificats de clé publique, afin de garantir la sécurité de navigation et d’échanges de données informatiques.

Qu’est-ce qu’un certificat en informatique ? Un certificat émis par une autorité de certification :

• s’assure de la fiabilité de contenus en provenance de serveurs web (certificats SSL) ;
• protège la confidentialité des données lors de transactions et de transferts de documents électroniques ;
• authentifie toute personne ou entité souhaitant se connecter à un espace en ligne ;
• atteste l’identité numérique de personnes signant des documents dématérialisés au moyen d’une signature électronique, et à garantir ainsi leur valeur juridique.

💡 Finalement, le certificat délivré fait office de carte d’identité d’un document électronique ou d’un site web : s’il est fourni par un tiers de confiance, sa valeur juridique est incontestable.

Le rôle d’autorité de certification peut être endossé par :

• les États,
• les institutions bancaires,
• les professions réglementées comme les notaires ou les avocats,
• des fédérations d’entreprises d’un même secteur d’activités,
• des entreprises privées, etc.

Les autorités de certification définissent les conditions d’usage et d’attribution des identités électroniques qu’elles émettent.

• les équipements et logiciels,
• la notoriété,
• la confiance,
• le prix.

Comment se procurer un certificat de signature électronique ?

Une autorité de certification vous permettra d’obtenir un certificat de signature électronique, utilisé pour garantir la validité, la fiabilité et le niveau de signature électronique.

Le niveau de sécurité peut être choisi par l’utilisateur et correspond à différents niveaux de fiabilité et de garantie, définis par le règlement eIDAS. Ces processus de certification confèrent également une valeur juridique à la signature électronique.

Enfin, les AC en France attribuent un niveau de qualité de certification de chaque signature électronique sur la base du référentiel général de sécurité (RGS) :

• élémentaire (RGS*),
• standard (RGS**),
• renforcé (RGS***).

Pour obtenir un certificat électronique, vous pouvez vous tourner vers un PSCe (Prestataire de Services de Confiance électronique), comme :

• CertEurope, qui offre des certificats de signature électronique conformes au règlement eIDAS et au référentiel RGS, et une plateforme de signature électronique ;
   
• ChamberSign, qui émet des certificats électroniques dans le cadre de normes très strictes, pour un niveau de sécurité bénéficiant du visa de l’ANSSI ;
   
• Universign, qui propose des services de signature électronique, de cachet électronique et d’horodatage, en tant que Prestataire de Services de Confiance qualifié selon le règlement européen eIDAS.

Une autorité de certification est chargée d’établir un lien sûr entre l’utilisateur et le certificat qu’elle lui délivre. Pour cela :

1. l’autorité de certification met en place des dispositifs pour vérifier l’identité du demandeur de certificat, exigés selon différents niveaux de sécurité, de la vérification de pièces d’identité à la rencontre physique (détaillés plus bas) ;
    
2. l’autorité de certification signe avec sa propre clé privée pour garantir l’intégrité du certificat et la fiabilité des informations qu’il contient ;
    
3. la clé privée est associée à un certificat racine, qui bénéficie du degré maximal de sécurité ;
    
4. l’autorité de certification s’appuie sur le certificat racine pour créer des certificats intermédiaires, qui bénéficient de son niveau de confiance et sont utilisés pour signer les certificats numériques émis par l’AC.

ℹ️ Base de confiance pour tous les certificats délivrés par l’AC, le certificat racine est généralement stocké dans un lieu protégé hors ligne.

Le fonctionnement d’une autorité de certification s’appuie sur :

• une autorité d’enregistrement prenant en charge les fonctions d’organisation :
  • traiter les demandes de certificats,
  • contrôler les informations des demandeurs,
  • accepter ou rejeter les demandes,
  • révoquer les certificats ;
     
• une unité de production gérant les aspects techniques afin de produire les services de certification :
  • créer des identités électroniques
  • manipuler des systèmes cryptographiques,
  • veiller à la sécurité de l’environnement et de l’intégralité du processus ;
     
• une autorité de dépôt, qui vise à :
  • centraliser, 
  • stocker, 
  • archiver les certificats valides, expirés ou révoqués.

S’il est possible techniquement de créer sa propre autorité de certification et de générer une clé privée, il est primordial que les utilisateurs accordent leur confiance à ce service.

Or, le nombre d’autorités de certification autorisées est restreint. Pour adhérer à un programme de reconnaissance d’autorités de certification autorisées, de nombreux critères, définis par les navigateurs web, les systèmes d’exploitation et les appareils doivent être remplis. Une fois que les autorités de certifications s’y conforment, elles peuvent émettre des certificats SSL qui seront alors automatiquement reconnus.

Les AC sont également soumises régulièrement à des audits opérationnels stricts, auxquels il est difficile de se conformer. Ils garantissent le niveau de confiance qu’on peut avoir en leurs activités.

Pour les entités créant et diffusant du contenu sur internet, le type de certificat le plus répandu est le certificat SSL (Secure Socket Layer). Ces certificats SSL sont liés à des noms de domaines et servent à authentifier et à chiffrer des échanges de données avec les sites web.

Pour délivrer un certificat numérique, l’autorité de confiance contrôle l’identité du demandeur, sur la base de certaines vérifications, qui dépendent de la classe et du type de certificat souhaité.

On reconnaît trois niveaux de confiance :

• le certificat de validation étendue (EV, extended validation) : le plus haut degré d’assurance de l’identité du demandeur de certificat, sur la base d’un grand nombre d’informations contrôlées, dont plusieurs pièces d’identité ;
   
• le certificat d’organisation validée (OV, organization validated) : un niveau de confiance toujours garanti, mais des éléments de contrôle moins contraignants ;
   
• le certificat de domaine validé (DV, domain validated) : la seule condition pour recevoir ce certificat est que la personne ou l’organisation demandeuse prouve qu’elle est bien propriétaire du domaine qui fait l’objet de la demande.

Les autorités de certifications ont élargi leur offre de services et émettent désormais des certificats numériques autres que pour les domaines web, tels que :

• les certificats de signature de code,
• les certificats d’emails,
• les certificats de périphériques,
• les certificats clients ou utilisateurs (vérification de signature),

à différentes fins de signature, de chiffrement, d’authentification.

Le certificat numérique délivré par une autorité de certification est un véritable gage de sécurité pour vos échanges électroniques, une condition essentielle alors que les échanges de données sur internet sont toujours plus nombreux.

Il devient crucial de s’authentifier sur des sites sûrs, de garantir la valeur légale de documents dématérialisés et d’authentifier des personnes ou entités, grâce à l’octroi de certificats numériques.

Une fois que vous aurez choisi votre prestataire, sachez que la demande d’obtention d’un certificat peut prendre plusieurs semaines : anticipez !

À quelle autorité de certification allez-vous confier vos demandes de certificats électroniques ?