Dans la jungle des certificats, signatures, cachets serveurs … Il est sans doute bon de faire une rapide synthèse pour que chacun puisse s’y retrouver.

1. Tout d’abord, quelques définitions :

Le RGS est le Référentiel Général de Sécurité. Il émane de l’Etat Français. Son objectif est de «faciliter les échanges électroniques sécurisés entre les usagers et les autorités administratives mais aussi, entre autorités administratives par la mise à disposition d’un catalogue de solutions de sécurité référencées interopérables. » Il établit plusieurs niveaux de sécurité. Un fournisseur de produits ou services de confiance doit obtenir un référencement auprès de l’ANSSI. Ce référencement dépend :

  • De la fonction de sécurité du produit ou service,
  • De son niveau de sécurité, symbolisé par une à trois étoiles.

Les 3 types de certificats RGS sont donc possibles : RGS 1 étoile, 2 étoiles et 3 étoiles. La différence tient :

  • Dans le mode d’identification de la personne physique ou morale. Le RGS 1 étoile ne nécessite pas de se présenter physiquement dans les bureaux du tiers de confiance, au contraire des deux autres niveaux,
  • Dans le support utilisé. Les certificats RGS 1 étoile peuvent être fournis sous forme de logiciel, alors que les 2 étoiles et 3 étoiles doivent être stockés sur un support cryptographique.

Que permet chaque niveau de certificat RGS ?

  • Le RGS 1 étoile permet une authentification forte de son porteur, la signature de documents ou mails, l’envoi de courriers dématérialisés, l’horodatage et l’accès à certains portails (SyLAE, SNE),
  • Le RGS 2 étoiles permet en plus l’accès à un espace sécurisé/certifié et l’accès à beaucoup d’autres plateformes (PESv2, CERBERE, Synapse, TRACFIN, Banque de France),
  • Le RGS 3 étoiles n’est utile que pour l’accès à l’Agence du Médicament, les autres portails acceptant toujours un RGS 2 étoiles.

Donc un RGS 1 étoile est amplement suffisant dans la plupart des cas.

eIDAS règlement Européen
L’eIDAS est un règlement Européen ayant pour objectif de favoriser la dématérialisation des échanges dans toute l’Europe en harmonisant les services de confiance relatifs à l’identité numérique : horodatage, signature et cachet électroniques notamment (chaque Etat membre avait développé ses propres standards). Il est obligatoire d’avoir un certificat qui s’y conforme pour les marchés publics. Attention, les tiers de confiance font peu à peu évoluer leurs certificats, mais la majorité ne sont pas 100% conformes à l’eiDAS.
Un cachet serveur est un certificat destiné aux serveurs et à leurs applications. Il est utilisé pour le scellement et la signature en masse de documents et de mails, l’horodatage, la signature de code.

2. Partons maintenant des besoins :

Pour un besoin de signature de document par une personne physique sans enjeu juridique fort (pour une signature interne par exemple), une signature simple RGS 1 étoile suffit. Dans ce cas, la signature sert à authentifier la personne, mais il ne s’agit pas d’une authentification forte. La majorité des signatures fournies dans ce cadre sont sous forme de fichier,
Pour assurer l’intégrité d’un document, un certificat qui en garantit le scellement (RGS 1 étoile) convient,
Pour assurer fortement l’authenticité d’un signataire, une signature RGS 2 étoiles est nécessaire.
Un avantage à ce choix : l’utilisation d’une signature de ce type dispense de la création d’une piste d’audit fiable.
Deux conséquences :

  • La clé est stockée sur un support physique cryptographique,
  • Son utilisation nécessite une identification (login, mot de passe) et ne peut donc s’appliquer à des traitements automatisés. En masse ou en batch, il n’est pas possible de l’utiliser avec Compleo.

3. Quelles sont les caractéristiques d’un certificat ?

Un certificat permet :

  • La sécurisation des échanges (il garantit l’intégrité des documents échangés),
  • La confidentialité, via un chiffrement,
  • La non-répudiation d’un document signé (le signataire ne peut pas arguer qu’il n’a pas signé le document),
  • Une signature électronique a désormais la même valeur juridique qu’une signature manuscrite.

_________________________
Sources : 
https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/
https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/
https://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique
https://fr.wikipedia.org/wiki/Signature_num%C3%A9rique