Tout savoir sur le certificat électronique

Le certificat électronique, qu’est-ce que c’est et à quoi ça sert ? Si vous en avez peut-être déjà entendu parler, vous ne saisissez peut-être pas exactement comment cela fonctionne ni comment l’obtenir.

Cet article part du constat que la transition numérique des entreprises induit la dématérialisation grandissante des documents : internet, et notamment les logiciels en ligne, facilitent les échanges et le traitement des informations en entreprise, mais qu’en est-il côté sécurité ? Comment vous assurer qu’un site est sûr, et que la mise en place de nouveaux processus comme la signature électronique n’est pas dangereuse pour vos données ? C’est là qu’intervient le certificat numérique, en garantissant l’authentification des signataires et le chiffrement des données.

appvizer vous dit tout sur la notion de certificat électronique pour vous aider à y voir plus clair :

Un certificat électronique est également désigné par les termes certificat numérique et certificat de clé publique.

© Kiranshastry sur flaticon

Il s’agit d’une carte d’identité numérique pour :

• identifier et authentifier une personne physique ou morale,
• chiffrer des échanges,
• signer en ligne en toute sécurité.

Un certificat numérique est indispensable pour signer des documents en ligne, via une signature électronique. En effet, c’est ce certificat numérique qui permet d’identifier le signataire et de garantir l’intégrité du document à signer.

Il existe plusieurs types et différentes classes de certificat, chacune relevant d’un niveau de sécurité différent.

Cette classe garantit uniquement l’existence d’une adresse email, mais pas l’identité du titulaire du certificat.

Cette classe garantit l’identité du titulaire du certificat et de son entreprise. Les pièces justificatives ont été transmises et vérifiées par l’autorité de certification qui a délivré le certificat numérique.

Comme la classe II, la classe III garantit la vérification de l’identité du titulaire du certificat, mais sa présentation physique est requise.

💡 Note : les certificats électroniques délivrés par l’État pour les marchés publics relèvent de la classe 3+, qui comprend les modalités de la classe III et propose en plus un support physique pour le certificat (clé USB ou carte à puce).

Il existe également trois niveaux de signature électronique, chacun correspondant à un niveau de sécurité et d’authentification différent.

Un certificat électronique peut avoir deux types de support :

• logiciel,
• ou matériel —il prendra alors la forme d’une clé USB ou d’une carte à puce.

Le certificat SSL (Secure Socket Layer)/TLS (Transport Layer Security) est le certificat électronique le plus connu. C’est un fichier de données qui contient :

• une clé cryptographique publique, liée à la clé cryptographique privée d’une organisation ou d’une personne privée,
• les URL des sites sécurisés,
• la raison sociale d’une organisation, dans les cas des certificats OV (organization validation) et EV (extended validation).

Ce certificat est installé sur un serveur et sert à crypter les données sensibles en ligne pour assurer une connexion sécurisée. Il est utilisé le plus souvent dans le cadre de transactions bancaires ou de transfert de données sensibles, comme des identifiants et mots de passe.

Il est matérialisé pour l’utilisation par un cadenas et le protocole «https» dans la barre URL.

Ce type de certificat intervient dans le cas particulier de la signature électronique. Comment le définir ?

Caractéristiques du certificat de signature électronique :

• nominatif,
• délivré à une seule personne (et non à une société),
• délivré par une autorité de certification ou un Prestataire de Service de Certification Électronique (PSCe).

Pour faire simple, un certificat électronique est indispensable pour authentifier une personne, sécuriser l’accès et, par extension, lui permettre de signer électroniquement. Sans certificat numérique, la signature numérique n’a aucune valeur juridique.

C’est un gage de sécurité et une preuve de l’identité de la personne signataire, seule à détenir le droit de signer. Le certificat assure le lien entre la signature électronique et le signataire dans la mesure où il contient des informations indispensables pour authentifier le signataire et garantir l’inaltérabilité du document.

Dans quels cas peut-on avoir recours à la signature électronique ? Les échanges sont facilités, accélérés, et sécurisés, par exemple, pour  :

• signer une facture ou un bon de commande,
• signer des contrats de toute nature,
• répondre à des appels d’offres,
• signer des documents officiels (déclarations fiscales et sociales, par exemple),
• sécuriser l’accès à votre boîte mail ou un des sites internet.

Vous souhaitez en savoir plus sur le cadre juridique de la signature électronique, et comprendre comment faire une signature numérique légale ?

Un certificat électronique ne peut être délivré que par une organisation reconnue appelée «autorité de certification». Ces PSCe (Prestataire de Service de Confiance électronique) sont des tiers de confiance habilités à délivrer des certificats électroniques.

Ils sont qualifiés RGS (Référentiel général de sécurité) ou eIDAS (electronic IDentification, Authentication and trust Services). Ces cadres réglementaires, respectivement français et européen, garantissent la confiance et la sécurité des échanges en ligne pour les utilisateurs, aussi bien en entreprise que pour des marchés publics.

Parmi les autorités de certification les plus connues et utilisées en France, on note par exemple :

• Chambersign,
• CertEurope,
• oodrive_sign,
• Yousign.

Source : Commission européenne

Comme vu précédemment, un certificat électronique ne peut être obtenu qu’auprès d’une autorité de certification.

Le plus souvent, le certificat est délivré à une personne physique qui agit au nom de l’entreprise. Le certificat contient, cependant, la raison sociale de l’entreprise ou de l’organisation publique pour laquelle la personne physique agit.

Certaines conditions encadrent l’obtention d’un certificat numérique.

• Depuis 2012, votre certificat doit être conforme au Référentiel Général de Sécurité (RGS) deux ou trois étoiles (RGS** ou RGS***).
• Deux à quatre semaines sont généralement nécessaires pour obtenir un certificat de signature : pensez à anticiper votre demande !

Les contours du certificat numérique étant désormais clairs, comment faire pour signer simplement des documents en ligne, tout en garantissant la sécurité de vos données ? Comment cela se passe-t-il concrètement ?

© pongsakornred sur flaticon

Des logiciels en ligne de signature électronique facilitent la dématérialisation en entreprises :

• signez et faites signer vos documents plus rapidement ;
• donnez une valeur légale à vos documents ;
• adoptez une démarche écoresponsable en arrêtant d’imprimer vos documents ;
• écartez le risque de perte de documents en arrêtant de les transmettre physiquement ;
• réduisez vos coûts et simplifiez vos échanges en mobilité et à l’international !

Certains éditeurs de logiciel de signature numérique, comme Yousign ou oodrive_sign, sont également reconnus comme autorités de certification. Ils sont donc en mesure de délivrer des certificats électroniques. Vous avez la garantie que la certification proposée et la signature électronique ont la valeur légale requise pour signer en toute quiétude.

Depuis 2003, DocuSign permet de signer et faire signer en toute conformité vos documents grâce aux certificats électroniques nativement intégrés à la solution. De plus, l’outil est simple à prendre en main et vous aide à centraliser et à gérer facilement vos documents grâce à un tableau de bord.

Parmi ses points forts, citons :

• signature électronique avancée et Signature électronique qualifiée conformes au règlement européen eIDAS,
• certificat de signature recevable devant les tribunaux,
• contrat de niveau de service (SLA) supérieur à la moyenne (99,5 %),
• archivage des documents à valeur probante, selon la norme NF Z42-013.

Lex Persona est une plateforme de signature électronique multi-documents et multi-signataires, configurable en fonction des règles métiers. Parmi ses fonctionnalités, elle propose des certificats à la volée ou sur support cryptographique avec l’offre Sunnystamp Broker, sur le même principe et aussi facilement que la validation d’un paiement en ligne.

Parmi ses points forts, citons :

• les certifications : ETSI, ISO 27001, eIDAS,
• l’archivage à valeur probante pendant 10 ans,
• l’horodatage de signature et de documents,
• la traçabilité des échanges entre le prestataire et son interlocuteur (signature, co-signature, contre-signature).

Universign, Prestataire de Services de Confiance qualifié selon le règlement eIDAS, est éditeur d’une plateforme SaaS de signature électronique (simple, avancée et avancée avec certificat qualifié), de cachet électronique et d’horodatage. Leurs services sont disponibles depuis un portail web ou via API et apportent toutes les garanties de sécurité, notamment juridiques, pour conférer une valeur probante aux documents signés.

Parmi ses points forts, citons :

• un modèle de tarification au pack ou à l’usage ;
• l’attestation de signature et le fichier de preuve mis à disposition ;
• les certifications eIDAS, ANSSI, RGPD, ETSI, membre de l’Adobe Approved Trust List (AATL) ;
• des services d’accompagnement à la carte délivrés par des experts.

Yousign a la double casquette d’éditeur de logiciel de signature électronique en mode SaaS et d’autorité de certification. Il bénéficie des certifications eIDAS et ETSI et est titulaire du Visa de sécurité délivré par l’ANSSI. L’éditeur français met donc un point d’honneur à fournir le meilleur niveau de sécurité pour vos données.

Parmi ses points forts, citons :

• la signature électronique,
• un coffre-fort numérique,
• l’archivage à valeur probante,
• l’horodatage de signature et de documents.

Grâce au certificat et à la signature électroniques, vos clients, vos prospects, vos partenaires signent vos documents de manière totalement dématérialisée, et vice-versa, avec la même valeur légale qu’un document papier. Vos échanges sont traçables et sécurisés, les frais de traitement quasi nuls et les délais raccourcis, dans un cadre légal bien défini.

Un réel facteur de compétitivité à ne pas négliger !