Publicité

Archivage de documents dotés d’une signature électronique : deux services pour gagner en confiance

  • Confiance_1851.jpg

    Pour faire face à l’obsolescence des algorithmes cryptographiques utilisés dans les signatures électroniques, le règlement eIDAS a introduit un service de confiance spécialement dédié à la préservation des signatures électroniques qualifiées.
  • Avec l’usage grandissant de la signature électronique, de nombreux documents d’entreprises sont susceptibles de constituer des éléments de preuves en cas de contentieux. Pour encadrer cet usage, et au-delà de la problèmatique de l’archivage de ces documents électroniques eux-mêmes, deux nouveaux services ont été introduits par le règlement eiDAS : l’un concerne la validation, l’autre la préservation des signatures électroniques qualifiées.

    Pour qu’un document nativement électronique soit recevable juridiquement, les conditions de signature sont essentielles. Toute signature électronique est, en effet, associée à un cerficat électronique dont la durée de validité est en général de 2 à 3 ans maximum. Si, au moment de la signature, on sait que le certificat utilisé pour signer est valide (non échu et non révoqué par son propriétaire), cette vérification n’est plus possible lorsque l’on dépasse la durée de validité du certificat. Ce qui peut s’avérer gênant en cas de contentieux concernant un document signé de manière électronique intervenant ultérieurment à l’échéance du certificat.

    Un service de confiance qualifié

    Pour faire face à cette difficulté, le règlement européen eIDAS a donc introduit un service de confiance dédié à la validation des signatures électroniques qualifiées* opéré par certains prestataires estampillés “Prestataire de Services de Confiance Qualifié” (PSCQ ou QTSP en anglais). CDC Arkhineo en fait partie et assure donc une validation de la signature associée au document archivé afin de s’assurer, au moment du versement, que la signature électronique (ou le cachet) est bien valide.

    Le circuit de validation

    CDC Arkhineo peut ainsi s’assurer de la présence de la signature et de l’intégrité du document transmis, mais aussi vérifier que le certificat utilisé était bien valide (non échu et non révoqué) au moment de la signature, identifier le signataire et interroger les services externes nécessaires (« Trusted-list » européenne, jetons OCSP, listes de certificats révoqués etc.).

    Au rapport !

    Un rapport de validation est ensuite généré au format XaDES (XML signé) et ajouté aux éléments de l’enveloppe d’archive, au même titre que l’objet d’archive et le fichier de métadonnées. Il est intégré dans le scellement de l’archive, ce qui permet d’apporter ultérieurement la preuve de la validité de la signature, au moment du versement en archivage du document signé de manière électronique.

    Niveau 2 : la préservation

    Par ailleurs, pour faire face à l’obsolescence des algorithmes cryptographiques utilisés dans les signatures électroniques, le règlement eIDAS a aussi introduit un service de confiance spécialement dédié à la préservation des signatures électroniques qualifiées. Car avec le temps, la probabilité que les algorithmes utilisés puissent être corrompus ou hackés augmente. Pour remédier à ce second problème, la préservation des signatures consiste à réaliser une sur-signature du document à l’aide d’un algorithme plus récent et plus robuste empêchant ainsi de compromettre le document signé. Ce service est aussi opéré par des prestataires habilités (PSCQ ou QTSP en anglais) dont CDC Arkhineo fait partie. Ce qui permet à toute entreprise utilisant un service d’archivage électronique à valeur probatoire, de disposer de documents recevables juridiquement en cas de litige mais aussi de se protéger d’éventuelles cyber-attaques et d’éviter le vol de données.

    *Notez que ce service « qualifié » de validation, prévu au reglement européen eIDAS, concerne initialement les signatures électroniques qualifiées. Il peut toutefois être utilisé pour les signatures de type avancée afin de renforcer la qualité du dossier de preuve. Car dans le cas de signatures avancées, en cas de contentieux, la charge de la preuve incombe à celui qui a proposé la signature électronique à l’autre partie (et implique le fournisseur du service/logiciel de signature).

     

    À lire sur Archimag

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.

    Le chiffre du jour

    34 milliards de dollars c'est la somme dépensée par la société IBM pour devenir numéro un sur le marché du cloud computing.

    Recevez l'essentiel de l'actu !

    Nouveaux membres