Bâtir une infrastructure de gestion de la preuve

Il est temps de passer à la vitesse supérieure en matière de dématérialisation de documents et de processus par les entreprises. ' Trop d'organisations doublent leurs envois électroniques par des documents papier ', observe?"t?"on à CertEurope, société de tiers de confiance. Comment supprimer ce double circuit ? En s'assurant que l'on disposera de preuves électroniques valides lorsqu'il s'agira de démontrer que l'on a bien respecté un contrat. Comment procéder ?La dématérialisation soulève moult questions pour une entreprise : comment ses processus internes seront?"ils modifiés ? À quels litiges potentiels doit?"elle se préparer ? Comment fournir des preuves devant un tribunal ? Comment les stocker ? Faut?"il recourir à un tiers archiveur ? Qu'est?"ce qui fera foi pour l'horodatage ? Est?"il nécessaire de resigner les enveloppes de preuve selon l'état de l'art cryptographique ?

Prendre des risques contrôlés

En pratique, cela aboutit à suivre les textes de loi lorsqu'ils existent et, lorsqu'ils font défaut, à appliquer les règles de l'art en vigueur. On prendra alors des risques contrôlés, en consultant éventuellement des experts juridiques, tout en étant prêt à montrer comment on travaille (être audité est un plus). Par exemple, en B to C, l'achat en ligne d'un particulier se contractualise simplement : on remplit son panier et on valide d'un clic. Si l'achat est supérieur à 120 ?, le cybercommerçant doit en conserver la trace. Or, la loi s'arrête là : elle ne précise pas comment réaliser cet archivage. Au site marchand de s'entourer de protections suffisantes.Quant au B to B, ' il y a liberté de la preuve, rappelle Fabrice Naftalski, avocat à Ernst & Young. Les parties établissent une convention de preuve qui définit comment procéder pour conclure et conserver un contrat. En son absence, chacun mobilisera ses propres moyens de preuve '. Les parties peuvent décider d'une signature électronique. ' Ce peut être la saisie d'un code secret, poursuit?"il. Ou une signature électronique définie par la loi, simple ou sécurisée (avancée, au sens européen), grâce à des certificats qualifiés délivrés par des prestataires de services de certification (PSC). 'En cas de signature avancée, ce sera alors à la partie contestante de démontrer que le procédé de signature n'est pas fiable. ' Légalement, a priori, seules la réponse à un appel d'offres public en cas d'envoi scindé de documents volumineux ou la facture électronique exigent une signature avancée ', observe Fabrice Naftalski. Faut?"il horodater ? ' Il n'y a pas de règle légale ', répond?"il.L'entreprise intégrera l'horodatage si elle veut prouver que le document a été signé à la date annoncée. Il précise : ' Qu'il s'agisse d'horodatage ou d'archivage, mieux vaut recourir à un tiers. ' On montre ainsi sa volonté d'utiliser les meilleures pratiques. Sinon, l'entreprise devra pérenniser l'accès à ses archives pour une restitution à l'identique, tout en actualisant leur scellement.

Un horodatage de confiance

Il n'existe pas de certification pour un service d'horodatage. On estime toutefois qu'un PSC qualifié au sens de la signature électronique fournit un horodatage de confiance. On citera, comme exemple de tiers horodateurs, CertEurope ou La Poste. Quant aux tiers archiveurs, on trouve Arkhinéo, Orsid, Steria ou Asterion. Un même prestataire peut faire office de tiers de confiance archiveur et horodateur.Au sein de l'entreprise, le passage à l'électronique entraîne souvent une refonte organisationnelle. ' L'électronique est plus structurante que le papier ', note Étienne Colella, directeur de Pixid, opérateur de signatures de contrats de travail. Exemple : sur une réponse à un appel d'offres, il devient impossible de signer l'en?"tête d'un document et de mettre à jour des éléments joints à la dernière seconde en l'absence du signataire. Il ajoute : ' C'est un domaine immature, des entreprises n'ont pas revu leur politique de signature et de délégations associées depuis cinq ans. ' Les procédures doivent donc être recadrées.

Conserver son indépendance

Côté technique, comment élaborer une infrastructure de gestion de preuve (IGP) ? Les entreprises doivent?"elles coder les éléments de gestion de preuve dans l'application métier, ou adosser celle?"ci à leur IGP ? Faut?"il tout développer, ou prendre des composants de sécurité déjà certifiés (tels que les outils de signature) auprès de la DCSSI ?Très peu d'entreprises savent construire une IGP ou des composants de sécurité. En sus, ce n'est pas leur métier. ' L'avenir passe par du middleware certifié, piloté par l'application métier sous le contrôle du client ', prêche Isabelle Angelo, PDG de Kotio, éditeur de middlewares de sécurisation. On conserve ainsi son indépendance et on remplacera certains composants (signature), si besoin est.Or, le marché de la dématérialisation est dominé par les SSII, avec des offres sur mesure. C'est coûteux, et cela empêche une large diffusion. Certaines tendent cependant à réemployer les codes développés afin de les rentabiliser. Ce qui démontre bien un besoin d'éditeurs spécialisés dans ce domaine. On citera deux exemples : Dictao pour la signature électronique et Keyvelop pour l'horodatage.Dictao propose la suite AnySign Trust. Elle assure la signature de documents au sein de workflows sur des fichiers PDF ou XML. Les utilisateurs ? Le Journal officiel pour la mise en ligne des lois et décrets signés, la DGA pour la validation des demandes d'agrément d'exportation de matériels militaires, et, bientôt, les archives du Minefi pour quatre cents archivistes.Les clés de signature peuvent être protégées par des dispositifs matériels de nCypher, SafeNet ou Bull. Pour la chambre des notaires de Paris, Dictao met aussi en place le dépôt électronique, associant la vérification de la signature du notaire, l'horodatage et le coffre?"fort.Quant à Keyvelop, il fournit une enveloppe numérique qui achemine tout document (plans, bons de commande...) sous forme de fichier (EDI, XML ...). Plusieurs services de dématérialisation des marchés publics l'utilisent afin de router les réponses des soumissionnaires vers les collectivités. Un serveur trace le parcours de l'enveloppe et effectue un horodatage : soit depuis une horloge atomique en protocole NTP (Network time protocol), soit par des jetons d'horodatage chez des prestataires ad hoc, ou par NTP avec jeton de certification d'horodatage à CertEurope ou Digigreffe.Enfin, avant la fin de l'année, une autorité de gestion de preuve devrait voir le jour. Ce qui fait dire à Jean?"Marc Rietsch, président de la FEDISA (Fédération de l'ILM, du stockage et de l'archivage). ' Le dispositif légal suffit. Reste à convaincre les entreprises de l'intérêt de dématérialiser sachant que les solutions ne sont pas que techniques, mais impliquent de nouvelles procédures à valider juridiquement. '