Qu’est-ce qu’une autorité de certification ?

Slide ChamberSign Une Autorité de certification

La confiance dans ses différents interlocuteurs et les données transmises est la clé de voute d’une dématérialisation sécurisée et sereine. Cette confiance peut être apportée par certificat électronique, véritable identité numérique. Ce dernier est obligatoirement délivré par une Autorité de Certification (également appelée AC.), Tiers de confiance.

Cette dernière est titulaire d’une qualification délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) via des audits réguliers de conformité.

L’autorité de certification s’appuie sur différents règlements pour définir ses process et établir ses différents rôles de confiance.

Une autorité de certification est un PSCE, tiers de confiance qui délivre des certificats électroniques

Une autorité de certification comme ChamberSign est un prestataire de services de certification électronique (PSCE), qui se définit comme étant toute personne ou entité qui est responsable de la gestion de certificats électroniques tout au long de leur cycle de vie à l’égard des porteurs et utilisateurs de ces certificats.

Au sein d’un PSCE, une Autorité de certification (AC) a en charge, au nom et sous la responsabilité de celui-ci, de l’application et du respect d’une politique de certification. Elle a qualité pour émettre des certificats électroniques au titre de celle-ci.

Une Autorité de certification (AC) se porte ainsi garante, au moyen de la délivrance d’un certificat électronique, de l’identité numérique professionnelle du client (personne physique ou personne morale représentée par une personne physique). Ce dernier est appelé porteur ou titulaire du certificat électronique.

L’autorité de certification est dès lors ce que l’on appelle un Tiers de confiance. Ce dernier est titulaire d’une qualification délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) via des audits réguliers de conformité.

En quelques mots, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est l’autorité nationale par excellence en matière de sécurité et de défense des systèmes d’information.

Pour rappel, le certificat numérique est l’élément clé d’une dématérialisation sécurisée et sereine qui apporte un niveau de confiance optimum dans la sécurisation des échanges.

Les reglementationS autour de
l'autorité de certification :
EIDAS, RGS, RGPD

Les missions d’une autorité de certification sont encadrées par diverses réglementations : eIDAS, RGS et RGPD

Toutes les procédures d’audit, de vérifications et de délivrances qu’effectuent une Autorité de Certification, répondent à différentes exigences notamment de la réglementation eIDAS, RGS ou encore RGPD… Tous ces process sont très régulièrement audités par les organismes de contrôle comme l’ANSSI.

Le règlement eIDAS (electronic identification authentification and trust services ) a vu le jour le 23 juillet 2014. Il a pour ambition d’accroitre la confiance dans les transactions électroniques au sein de l’Union européenne. En effet, il définit un socle commun pour tous les échanges électroniques sécurisés entre les citoyens, les entreprises et les autorités publiques.

De ce fait, selon la réglementation en vigueur :

  • il encadre l’identification et les services de confiance dans l’Union Européenne
  • il établit les niveaux de signature électronique : Simple, Avancé, Qualifié
  • il établit les exigences techniques et organisationnelles à appliquer pour obtenir Qualification

Géré par l’ANSSI (Agence National de la Sécurité des Systèmes d’information), le Référentiel Général de Sécurité (RGS), règlement franco-français a pour objectif de renforcer la confiance des usagers dans les services électroniques mis à disposition par les autorités administratives françaises.

Sa première version a vu le jour le 6 mai 2010. La version 2.0 a été publiée en 2014. Il est prévu très prochainement la sortie d’une version 3.0.

De ce fait le RGS définit 3 positionnements :

  • il encadre les communications des autorités administratives avec leurs usagers, et les autorités administratives entre elles en France
  • il établit les niveaux de sécurité en matière d’authentification et de signature électronique (RGS*, ** et ***)
  • il établit les exigences techniques et organisationnelles à appliquer pour être qualifié de l’un des trois niveaux de confiance.

Le RGPD (Réglementation Général sur la Protection des Données) est un règlement européen. Il vise à renforcer la maîtrise des individus sur leurs données personnelles. Il incite donc l’ensemble des acteurs à jouer un rôle actif dans le contrôle de la conformité du traitement de ces données.

De ce fait les RGPD:

  • encadre la protection des données personnelles dans toute l’Union Européenne
  • doit être appliqué par toutes entités, publiques comme privées, traitant de n’importe quels données.

Une autorité de certification obtient une qualification délivrée par l’ANSSI

Comme vous le savez, un certificat électronique permet d’attester de la fiabilité de l’identité de son propriétaire ou de l’authenticité du document qu’il scelle ou signe. Il est donc obligatoire que cet outil soit considéré comme fiable pour apporter un niveau de confiance optimum.

Cette fiabilité est attestée par la qualification reçue par l’Autorité de Certification de la part de l’ANSSI .

Les audits de qualification eIDAS et RGS sont effectués par des Organismes d’Evaluation de la Conformité mandatés par l’ANSSI.

Cet audit consiste en la vérification de la conformité aux textes légaux et réglementaires relatifs à la qualification des services de confiance qualifiés.

Il est donc vérifié :

  • Les termes de la Politique de certification et autres procédures décrivant le cycle de vie des certificats ;
  • La mise en œuvre de cette Politique par les composantes de l’Autorité de Certification.

Ensuite, le dossier est étudié,  un rapport est ecrit puis transmis à l’ANSSI. Selon les conclusions de l’organisme auditeur, l’agence gouvernementale octroie ou non la qualification à l’Autorité de Certification.

Il est à noter qu‘une qualification a une durée de deux ans. Par conséquent, une Autorité de Certification qui souhaite conserver sa qualification est auditée par un organisme accrédité tous les deux ans.

Tous les produits qualifiés font l'objet d'une publication

Lorsqu’un produit est qualifié eIDAS, il est alors intégré dans la liste de confiance européenne parmi tous les autres produits qualifiés. 

Cette liste permet aux personnes souhaitant vérifier la fiabilité d’un certificat ou d’une signature électronique de s’assurer de sa reconnaissance au niveau européen.

Les certificats électroniques qualifiés selon la réglementation française RGS ne sont pas classés parmi la liste de confiance européenne.

En revanche, le ClubPSCo (Le club des Prestataires de Services de Confiance) a publié une liste des services de confiance qui recense notamment les services certifiés RGS de ChamberSign.

Autrice service marketing chambersign

Autrice : Virginie Delamare Thevenin

Responsable marketing et communication 

Vous avez besoin de services de confiance, de certificats numériques, d’une signature électronique sécurisés délivrés par une autorité de certification, Tiers de confiance ? Contactez ChamberSign dès maintenant.

ChamberSign, autorité de certification, tiers de confiance, est un fournisseur d’identité numérique. Nous garantissons et délivrons des identités numériques aux entreprises du secteur public et privé. Nos produits permettent de répondre à leurs besoins. En effet, les certificats électroniques personnes physiques et morales ChamberSign sont des couteaux suisses multi-usage. Grâce à eux vous pouvez signer électroniquementvous connectez en utilisant une authentification fortesécurisez vos échanges, vos machines et également sceller vos données

Actuellement, ChamberSign et son réseau équipent des entreprises et des collectivités et les accompagnent dans leurs transition et/ou projets de digitalisation.

L’engagement de ChamberSign, son expertise, son expérience et la proximité avec ses clients sont les piliers de la confiance en notre marque. Nos certificats électroniques émis et délivrés respectent scrupuleusement les réglementations européennes en vigueur. Permettre aux organisations de sécuriser les échanges de données est encré dans notre ADN.