Julien Stern,
membre du conseil d’administration de la Fédération Nationale des Tiers de Confiance et dirigeant de Cryptolo.

 

Indépendamment de la sécurité, le domaine de la confiance numérique émerge, notamment à travers l’utilisation de certificats numériques  pour authentifier des transactions. Tout en dénotant l’échec d’une politique visant à établir un champion français du domaine, l’acquisition d’Opentrust par l’américain Docusign en est un signe. Avancées réglementaires en Europe et implication forte des directions et des métiers dans ces projets renforcent la tendance. Décryptage avec Julien Stern.

Spécialisé dans la signature électronique, OpenTrust – anciennement Keynectis – vient  de se faire racheter par l’américain Docusign. Quel va être l’impact de cette acquisition  
sur le domaine ?

Julien Stern : L’impact sera limité. Le rachat ne porte pas sur la société dans son ensemble, mais seulement sur l’une de ses activités, la moins sécurisée. La division « Protection des documents et transactions » passe dans les mains américaines. Plus important, ce rachat est un signe supplémentaire de la maturité émergente de ce marché du côté des fournisseurs.  Il fait suite à nombre de rachats comme Dictao par Safran, par exemple, ou Certeurope par Oodrive. Ce marché, que l’on peut baptiser comme étant celui de la confiance numérique, reste encore rattaché au domaine de la sécurité, mais s’en différencie de plus en plus. La phase de consolidation va se poursuivre. La confiance numérique repose pour la majeure partie sur les mêmes technologies que la sécurité.

Qu’est ce qui distingue ces deux marchés ?
JS : Les technologies de base sont effectivement les mêmes. Mais les usages sont fondamentalement différents. La sécurité consiste avant tout à se protéger des menaces. C’est un investissement. La confiance  numérique est une transcription de ce qui se passe dans le monde physique pour tout ce qui peut être considéré comme une transaction. Elle s’inscrit dans une mouvance de fond, le passage de la tran-saction classique, en face-à-face ou avec du papier, à son équivalente numérique, qui s’immisce dans un nombre croissant d’actions quotidiennes et dans la vie des entreprises. La confiance est plus spécialement dédiée à l’étape d’authentifi ation. Il reste possible, et encore habituel à ce jour, de faire sans, mais l’absence de signature se traduit par une prise de risque. Au-delà de la seule signature, les certificats numériques peuvent prendre en charge d’autres actions. Ils peuvent attester de la réalité de documents de domiciliation, comme les factures d’énergie par exemple. Ces pratiques se traduisent par un retour sur investissement direct pour les organisations. Investir dans des outils de ce domaine permet de proposer de nouveaux services, de contractualisation en ligne d’assurances vie par exemple ou encore d’automatisation de liens avec des fournisseurs. Ces outils n’ont plus de rapport avec la sécurité mise en place dans les systèmes d’information. Selon des cabinets d’études comme Markess, s’il demeure une niche, ce marché est en croissance pour une raison simple. Selon une étude de 2015, la grande majorité des décideurs métiers ont conscience des risques encourus en basculant vers des échanges et transactions numériques.

Pourquoi ce décollage de la confianc numérique aujourd’hui ?
JS : Les entreprises ont entamé un mouvement de fond vers la numérisation depuis une vingtaine d’années. La dernière brique de la dématérialisation est la signature électronique. Sans omettre l’aspect générationnel, les utilisateurs comme les professionnels les plus jeunes trouvent naturel de contracter avec des outils numériques. Autre facteur, politique cette fois, l’Europe a légiféré sur le sujet à travers le règlement eIDAS. Un règlement qui s’impose à tous les pays européens sans nécessiter de traductions législatives dans ces derniers, contrairement à une directive. Les actes délégués, versants opérationnels du règlement, ont été publiés début septembre. L’identité numérique est désormais définie au niveau européen. Concrètement, un document signé par une entreprise française ne pourra pas être refusé en tant que pièce dans un contentieux par un juge polonais. Outre l’harmonisation au niveau européen, cette réglementation précise de façon synthétique les différents niveaux de signatures acceptés.

Vous parlez de différents niveaux de signatures. Comment a été établie cette gradation ?
JS : Il s’agit de partir de ce qui se pratique dans le monde réel. Il existe notamment deux types de documents papier signés. Ceux sous seing privé et les actes notariés. L’attribution des identités est et devrait rester une fonction régalienne de chaque état. Par contre, la gestion et la vérification de ces dernières sont la charge des organisations publiques ou privées. Et sur le terrain, on ne demande pas ses papiers à un client ou à un partenaire pour toutes les transactions ! En termes très généraux, le règlement prévoit trois niveaux : bas, substantiel et élevé. Pour le premier niveau, la signature simple est effectuée avec un certificat sans enregistrement de l’identité. Il s’agit par exemple de déclaratif. Un niveau suffisant pour répondre à de nombreux usages, pour des assurances auto par exemple. Le cas intermédiaire repose sur une signature qualifiée réalisée avec un certificat délivré après vérification d’identité. Mais cette dernière peut être effectuée de manière dématérialisée, en ligne notamment. Le niveau le plus élevé suppose la délivrance d’un certificat après un contrôle effectué à travers un face-à-face.

Comment cette nouvelle famille d’outils impacte-t-elle les systèmes d’information (SI) des entreprises ?
JS : En général, l’intégration dans les systèmes d’information reste légère. Quelques grandes sociétés du CAC 40 nous demandent d’intégrer les solutions de signature sur leurs terminaux ou dans leur système d’information. Il s’agit alors d’unifier la gestion des identités, notamment quand les collaborateurs utilisent des cartes à puces pour accéder aux locaux, au SI… Mais en général, les briques de confiance demeurent des solutions en SaaS, en cloud, indépendantes des autres applications. Ces briques ne se limitent d’ailleurs pas à de la signature. Elles comprennent également la vérification, la préservation et l’envoi de courriers recommandés. Elles s’intègrent également parfois avec les circuits d’approbation, les workflows des organisations et facilitent une  traçabilité des actions, des autorisations accordées par exemple. Techniquement, l’intégration repose classiquement sur des API. Une étape qui se déroule en général rapidement, les projets sont de l’ordre de quelques jours. Ce type de projet s’inscrit souvent dans un projet plus global de refonte totale ou partielle du système d’information, des projets de transformation numérique.

Cette utilisation de briques proposées en mode cloud pose question, notamment en termes de confidentialit. Est-ce une préoccupation des entreprises ?
JS : Les entreprises sont de plus en plus sensibles à cette question. Notamment en termes de localisation de leurs données, et bien sûr encore plus pour les  informations liées à l’identification. L’actualité se rapportant à la NSA est passée par là. Au-delà des aspects strictement sécuritaires, on peut parler de la banalisation de l’espionnage industriel. Conscients de cette nouvelle donne, de plus en plus de clients posent la question de la localisation des serveurs. De nombreux appels d’offres incluent désormais explicitement la question : « êtes-vous soumis au Patriot Act ? ». Plus largement et pour répondre à ces problématiques, nous utilisons des solutions respectant le plus haut niveau de sécurité préconisé par l’État, par l’Europe et par l’ETSI (European Telecommunications Standards Institute). Ce qui impose d’avoir nos propres salles serveurs en France, de les sécuriser… et d’être très régulièrement audité par des organismes privés accrédités par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

La même question se pose en ce qui concerne les interlocuteurs au sein des entreprises pour ce type de projet ? Rencontrez-vous des « responsables de la confiance numérique » ?
JS : Peut-être un jour ! On rencontre de temps en temps des responsables de la transformation numérique ou des digital offices. Cas le plus courant, les directions juridiques sont presque toujours présentes. Le marketing et la communication aussi, parce que ce type de projet est potentiellement un vecteur d’image. Sans oublier la présence de responsables métiers. La DSI et les RSSI sont également assez souvent présents. Au final, on rencontre des représentants de tous les services avec une représentation forte de la direction générale. Un état des lieux logique compte tenu de l’aspect transverse de la confiance numérique et de l’émergence du domaine. En France, l’État a quelque peu bégayé pendant quelques années sur ce sujet. 

Les administrations centrales n’admettent par exemple pas les mêmes listes de fournisseurs pour signer des déclarations. Comment voyez-vous l’évolution de ce domaine ?
JS : La nouvelle législation européenne va simplifie les usages comme la visibilité sur ce domaine. Chaque État devra donner une liste de fournisseurs et de services agréés. Des agréments valables entre autres pour toutes les administrations. Indépendamment de la réglementation, le marché va continuer à se consolider. 155 sociétés européennes sont déclarées tiers de confiance en Europe ! Les entreprises vont utiliser ces solutions qui sont à la base de nouveaux services et apportent la dernière pierre à la dématérialisation des processus. Si les fondations sont posées, le développement des usages passera par un bon équilibre entre protection des données personnelles, et plus largement du respect de la vie privée, et les besoins de sécurisation. La gestion des identités pose la question de la souveraineté. Dans ce domaine, l’Europe est sans conteste plus avancée que les autres régions du monde, en particulier plus que les États-Unis. Ce marché devrait se développer dans des proportions considérables.

Propos recueillis par Patrick Brébion