En ce mois de septembre, le petit déjeuner Xplor France et la conférence du salon ‘SOLUTIONS démat’ ont donné l’occasion à notre association de faire le point sur la « Chaîne de Confiance ». Sans refaire les exposés de nos intervenants : Nicole DIB pour AD Force, Denis GOUSSE pour Cecurity.com, Pierre D’ESTAIS pour Universign et Jean-Pierre Blanger pour Ricoh – nous allons résumer ici, quelques points clés échangés au cours de ces événements.
Chaîne de confiance
Avant de dire comment construire une chaîne de confiance, il est essentiel de poser les bases de la confiance digitale. Ainsi, au fil de l’exposé on découvre que : Sécurité de l’information, Archivage électronique probant et Protection des données, constituent les trois piliers de la confiance.
Au-delà, une terminologie forte de signification revient régulièrement dans les propos des intervenants : Disponibilité, Finalité, Intégrité, Pérennité, Proportionnalité, Confidentialité, Oubli et Traçabilité ; de nombreux attributs qui consolident la confiance. Chaque fois, un arsenal de normes, lois, règlements et pratiques sont énoncés pour offrir toutes les garanties recherchées et attendues.
Il s’agit en effet de conserver une grande facilité d’accès aux informations tout en s’assurant de maintenir la confiance. En revanche, il ne faut pas empêcher la portabilité des données, la réversibilité et l’interopérabilité entre systèmes d’information. Dans tous les cas, le qui fait quoi et quand, doit être tracé dans les mêmes conditions de sécurité.
Tous ces éléments structurants sont imposés par la maîtrise des risques qui doit garantir la conformité aux lois, à l’état de l’art et aux durées légales de conservation. Il faut voir là une affaire d’experts et de maîtrises technologiques. C’est la raison pour laquelle, Xplor a choisi de s’interroger dans un premier temps sur la Blockchain, avant d’aborder la signature électronique.
Blockchain
Technologie de stockage et de transmission d’information transparente, sécurisée et fonctionnant sans organe central de contrôle, la Blockchain innove par de nombreux aspects. Elle est décentralisée (réseau pair à pair avec nœuds de réseaux), transparente (transactions accessibles par n’importe qui) et code open source), fiable (clé publique, hashage) et automatisé (aucun recours à un tiers). Pas ces caractéristiques, elle crée une rupture dont les applications, dont certaines sont déjà en œuvre, sont appelées à devenir très nombreuses.
La Blockchain, c’est la confiance sans tiers de confiance ou plutôt, c’est la confiance par la multitude des tiers, qui repose sur des principes forts : consensus, attractivité, traçabilité, transparence et authenticité. Partagée par de nombreux acteurs, la confiance est décentralisée et par voie de conséquence, la Blockchain n’est pas fragilisée par un point central qui pourrait s’avérer défaillant ou corrompu.
Evidemment, les qualités intrinsèques de la Blockchain, lui confèrent un niveau de confiance élevé avec une immuabilité des informations et une réduction des coûts résultant de la suppression des intermédiaires de transaction. Elle en tire une très haute disponibilité de tous les instants.
Pour autant, n’idéalisons pas cette technologie car la neutralité de la gouvernance de la Blockchain, la pseudonymisation des acteurs l’utilisant, les éventuelles erreurs de programmation ou l’absence de normes internationales peuvent générer des charges de développement et maintenance de logiciels voire, des litiges sans contrepartie.
Si les points faibles de la Blockchain seront rapidement réglés par des groupes en cours de travail, il est maintenant temps d’analyser de plus près, une technologie de confiance éprouvée et règlementée : la Signature Electronique avec ses applications toujours plus nombreuses.
Signature Electronique
Dans une transaction entre deux personnes qui se connaissent les risques sont limités mais ce n’est pas le cas entre inconnus les uns des autres. Dès lors, les caractéristiques de la signature électronique jouent un rôle important dans la confiance accordée au contenu signé et dans la valeur de la preuve (force probante) portée par la signature.
Pour éviter toute difficulté et maîtriser le risque, il faut s’adresser à un tiers de confiance dont l’expertise permet d’identifier le niveau de signature requis au regard de la transaction avant tout déploiement applicatif. On engage alors des signatures simples, avancées ou qualifiées (Règlement eIDAS) et de la même façon, on retient des horodatages simples ou qualifiés. On découvre aussi la possibilité pour les personnes morales, par exemple, la possibilité d’utiliser des cachets pour signer les documents.
Le tiers de confiance est l’autorité de certification qui garantit l’attribution du certificat de signature, la conservation des empreintes de signature et qui, lorsque nécessaire garantit en toute indépendance la preuve de la signature. Il s’assure de la non corruption des contenus et de la non obsolescence des technologies, cryptographiques notamment. Il est celui vers qui on se retourne en cas de mise en cause comme lors de la répudiation de document ou du refus de reconnaissance du signataire. L’espace juridique est clairement défini et donne aux tiers de confiance un rôle prépondérant.
En Europe, le règlement eIDAS (Electronic IDentification Authentication and trust Services) spécifie les niveaux de signature et leurs conformités pour une reconnaissance dans tous les pays. Les applications de la signature électronique constituent l’une des principales clés de la transformation digitale.
Doit-on opposer Blockchain et Signature Electronique ?
L’un des enjeux de la digitalisation, les plus importants aujourd’hui est certainement la destruction des originaux papiers. Les normes (NF Z42-026 et NF Z42-013) autorisent la numérisation de copie fidèles et la conservation de copies fiables, sous réserve de choix adaptés dans les domaines techniques, matériels et organisationnels.
La conjonction de la signature électronique avec la Blockchain est d’un fort intérêt pour la dématérialisation totale incluant les flux papiers et numériques natifs. Les premières applications sont en cours de déploiement et tout semble converger vers une utilisation simultanée de ces technologies.
Evidemment, ne déduisez pas que la Blockchain est une condition nécessaire à l’atteinte de l’objectif de destruction des originaux papiers. Elle est prise ici en exemple parce qu’elle présente des caractéristiques nécessaires à la conservation pérenne de l’information. Il reste cependant à trancher le problème de la destruction de l’original numérique déjà inséré dans la Blockchain. Ce point du droit à l’oubli mérite encore aujourd’hui d’être étudié et statué.
Pour aller plus loin…
Il est sans doute de nombreuses questions que vous vous posez encore. Nous avons vu que les auditeurs de nos événements Xplor n’en manquaient pas. Alors faites nous savoir si vous souhaitez que nous organisions un nouveau débat à ces sujets et inscrivez-vous sur notre site pour être informé de nos événements.
Ajoutons que ce mémo n’aurait pu être réalisé sans les apports éclairés lors de nos deux événements, de : Nicole DIB – AD Force, Denis Gousse – CECURITY.COM, Vincent Chouteau – SWORD, Pierre D’Estais UNIVERSIGN et Jean-Pierre BLANGER – RICOH France que je remercie ici au nom d’Xplor France.
Jean-Pierre BLANGER
Directeur
Solutions & Services – Ricoh France
Vice-président
Communication – Xplor France