L’utilisation de la signature électronique est une étape que de nombreuses entreprises franchissent pour entrer pleinement dans la transformation numérique, mais la sécurité de la signature électronique est toujours concernée. Dans cet article, nous vous expliquons les précautions à prendre pour qu’il n’y ait pas de failles de sécurité qui conduisent à la perte de données ou à l’utilisation frauduleuse des informations lors de la signature électronique.
Considérations sur la sécurité de la signature électronique
Plusieurs aspects déterminent les aspects de sécurité de la signature électronique. Nous les voyons ci-dessous :
- Authentification du signataire. L’authentification peut être définie, selon le règlement eIDAS, comme le processus électronique permettant l’identification électronique d’une personne physique ou morale, ou de l’origine et de l’intégrité des données sous format électronique. Ainsi, pour que la signature électronique soit sécurisée, il est indispensable de vérifier l’identité du signataire. La vérification de l’identité du signataire s’effectue de plusieurs manières :
- À travers la biométrie. Elle consiste en la comparaison des traits physiques du signataire qui sont uniques telles que les empreintes digitales, l’iris ou la voix. En ce sens, il est également possible d’utiliser une app sur le mobile, permettant d’identifier la personne qui signe par reconnaissance faciale ou d’empreintes digitales. Vous avez vu, par exemple, à l’occasion que de nombreux mobiles sont déverrouillés avec l’empreinte digitale du propriétaire ou des voitures qui identifient la voix du chauffeur pour suivre les ordres.
- Via des codes à usage unique. Les codes à usage unique (One Time Password – OTP) sont envoyés sur le mobile ou le courriel du signataire, afin qu’ils soient identifiés.
- Utilisation de questions et réponses. Une autre façon d’identifier le signataire consiste à utiliser des questions et des réponses que seule cette personne connaît, par exemple des données personnelles telles que le nom de son père ou une date précise.
- Téléchargement de documents d’identité. Enfin, l’identité du signataire peut être vérifiée en téléchargeant une pièce d’identité (DNI, passeport ou permis de conduire) et en comparant la photo avec l’image vidéo en temps réel du signataire.
Les méthodes ci-dessus peuvent être combinées, de sorte que la sécurité de la signature électronique augmente.
- Traçabilité et horodatage. Pour qu’une signature électronique soit sécurisée, il est essentiel qu’il existe un moyen de vérifier l’ensemble du processus de signature et les données qui ont été collectées au cours de ce processus. Dans le cas de la solution de signature électronique Lleida.net, un document de preuve numérique est élaboré, contenant toutes les données du processus de signature : adresses de courriel utilisées, IP concernées, document signé, pièces jointes, etc. Avec toutes ces données se prépare un document de preuve téléchargeable par l’utilisateur. De plus, le document est horodaté, ce qui garantit qu’il n’a pas été modifié après signature.
- Type de signature. Le règlement eIDAS réglemente trois types de signature électronique qui se différencient par le niveau de sécurité dont elle dispose : la signature électronique simple, avancée et qualifiée. Il faut choisir selon le niveau de sécurité dont le document à signer a besoin.
- Niveau de sécurité du prestataire. Le prestataire de services de signature électronique doit assurer la sécurité en termes de conservation des documents dans le cloud et d’absence de failles de sécurité. En ce sens, le règlement eIDAS établit qu’un service de confiance est un service électronique qui est fourni contre rémunération et qui consiste, entre autres, en la création, la vérification et la validation de signatures électroniques.
Pour qu’un fournisseur de signature électronique soit sécurisé, il est nécessaire de prendre des précautions telles que les suivantes :
- Qu’il existe un système qui permet de détecter les attaques contre les données stockées.
- Qu’il existe une protection contre le malware.
- Que les systèmes de sécurité de signature électronique fonctionnent sans interruption.
- Qu’un système de cryptage des données soit réalisé.
- Que plusieurs systèmes d’authentification d’utilisateurs soient utilisés.
Une signature électronique peut-elle être falsifiée ?
Si les systèmes de sécurité que nous avons vus sont appliqués et qu’ils sont de qualité, il est quasiment impossible de falsifier une signature électronique puisque la personne qui veut falsifier électroniquement une signature d’une autre personne doit avoir accès à de nombreuses données du véritable signataire telles que leur téléphone, leur courriel ou des informations pertinentes sur sa vie privée, ainsi que son apparence physique.
En revanche, dans le cas où le document signé électroniquement est fourni comme preuve dans un procès, il peut arriver que l’autre partie le conteste et ne reconnaisse pas son authenticité. Dans ce cas, il doit être demandé à un expert en calligraphie de vérifier que la signature électronique répond à toutes les exigences pour être considérée comme sécurisée et qu’elle n’a pas été falsifiée dès sa signature.
Bref, chercher un prestataire de signature électronique sécurisée demande un effort puisqu’il ne suffit pas de comparer les prix, mais il faut vérifier le niveau de sécurité fourni par le prestataire et être clair sur la manière dont les données de chaque signature seront protégées.