28 septembre 2012
Contents
1. lectronique l entreprise est libre d utilise http Wwww achatpublic info entreprises la une 2012 09 28 signature el signataire pourra d sormais utiliser l outil de signature de son choix sans tre contraint par celui de la plateforme Cependant il devra transmettre les l ments permettant la v rification de la signature et l int grit du document Peut on par exemple utiliser l outil de signature d Adobe comme cela se fait parfois Adobe n est pas une autorit de certification mais propose un outil de parapheur lectronique sous la forme d un service int gr ses lecteurs de fichiers PDF En soi ce service d roge aux pr conisations du RGS qui stipulent que le ou les fichiers sign s doivent rester inchang s au terme de l op ration de signature De plus les autorit s de certification valid es par les outils Adobe s appuient sur des listes qui d passent le cadre fix par le RGS Une signature valide au sens Adobe n est pas n cessairement acceptable dans le cadre des march s publics fran ais Il faut cependant reconna tre que l outil propos par Adobe est particuli rement attractif pour les utilisateurs de par sa simplicit d utilisation et sa capacit valider une signature sans avoir appr hender de nouveaux outils remarque l expert Concernant le format de signature l article 3 de l arr t impose au pouvoir adjudicateur d accepter les formats de signature XAdES PAdES et CAdES Mais rien ne l2. emp che d en accepter d autres condition que cette possibilit soit mentionn e dans les documents de la consultation et que le profil acheteur soit m me de g rer ces formats Validit du certificat de signature quels l ments fournir Dans la fiche mode d emploi la DAJ indique que s agissant de la v rification de la conformit du certificat de signature au RGS trois cas sont distinguer Le premier ne pose pas de probl me le certificat mane de la liste de confiance fran aise ou d un autre tat membre Dans le second la conformit est pr sum e les seules v rifications op rer sont celles du niveau de s curit et de la validit de la signature L entreprise fournit seulement les l ments qui permettent la v rification de la validit de la signature Enfin l Autorit de Certification n est pas r f renc e Afin de proc der la v rification l entreprise fournit l ments n cessaires la qualification du niveau de s curit de son Autorit de Certification en plus des l ments n cessaires la v rification de la validit de la signature elle m me Il peut s agir de l adresse du site internet de r f rencement dans le pays tiers une preuve de la qualification du prestataire ou du produit l adresse de l autorit de certification qui a d livr le certificat de signature qui mentionne la politique de certification Qui op re les v rifications L acheteur ou le profil d acheteur
3. Pour le MINEFE la v rification des certificats de signature lectronique et de la validit de la signature elle m me font partie actuellement des fonctionnalit s d un profil d acheteur sans que l acheteur ait d se doter des comp tences techniques pour les examiner En revanche la v rification de l identit du signataire et de sa capacit engager l entreprise reste comme pour les march s non d mat rialis s effectu e par l acheteur 2 sur 2 03 10 2012 10 17
4. achatpublic info Signature lectronique l entreprise est libre d utilise http wWwww achatpublic info entreprises la une 2012 09 28 signature el Signature lectronique l entreprise est libre d utiliser le certificat de son choix A propos de l auteur Mile Emmanuelle Maupin Voir les articles de cet auteur L signature lectronique est un proc d indispensable aux march s publics d mat rialis s Afin de faciliter son usage un arr t accompagn de deux documents explicatifs a t publi d but juillet Les impacts sont importants pour les op rateurs conomiques En effet ils sont d sormais libres d utiliser le certificat de leur choix la condition qu ils soient conformes au RGS ou garantissant un niveau de s curit quivalent Explications Dans moins de deux semaines larr t du 15 juin 2012 relatif la signature lectronique dans les march s publics entrera en vigueur Pour pr parer le terrain la direction des affaires juridiques DAJ du MINEFE a publi deux fiches un mode d emploi de l arr t et un m mo destin anticiper l ch ance Dans son dito de lettre de l observatoire conomique de lachat public OEAP Catherine Bergeal la DAJ a affich clairement les ambitions du texte faciliter et s curiser tant techniquement que juridiquement l usage d un proc d identifi comme l un des principaux freins au d veloppement de la d mat rialisation mais p
5. nforme au niveau minimum de s curit pr conis par le profil d acheteur L ouverture vers d autres autorit s de certification peut avoir un effet positif d un point de vue conomique Plus de concurrents on peut donc esp rer une r duction des co ts des certificats Cela peut galement r concilier diff rent besoin de signature lectronique chez le m me fournisseur c est dire une possible mutualisation des certificats au sein de la soci t explique l expert en s curit Toutefois il avoue que cette multiplication peut avoir un effet pervers L entreprise peut se trouver perdue Elle devra se renseigner pour savoir qui peut lui fournir un certificat Il lui sera en outre n cessaire de IL faut privil gi er les autorit s certifi es et en cas de doute demander la preuve de la compatibilit au RGS et quel niveau s assurer qu elle a pris un certificat compatible RGS pr cise t il L expert recommande toutefois aux op rateurs conomiques de se tourner vers des autorit s de certification qui auront fait un effort d homologation au RGS ce qui permettra de faciliter le traitement de la signature et de r duire les risques de refus II faut privil gier les autorit s certifi es voir les listes de confiances nationales et europ ennes et en cas de doute demander la preuve de la compatibilit au RGS et quel niveau gt conseille t il Le 1 sur 2 03 10 2012 10 17 achatpublic info Signature
6. ourtant indispensable aux march s publics d mat rialis s la signature lectronique gt La directrice avoue tout de m me que ce texte ne r volutionne pas la pratique de la signature Tout est fait pour faciliter lectronique Il permet en revanche d en banaliser l usage gt Pour autant le texte ne fait pas l unanimit la vie des entreprises Bensoussan estime qu la lecture des documents tout est fait pour faciliter la vie des entreprises mais qu en est il des acheteurs publics Nous sommes assez d us Outre que d tre relativement succinct l arr t n aide pas rassurer les acheteurs publics En effet il fait peser plus de responsabilit s sur leurs paules juge l avocat Mais quoi les acheteurs et les op rateurs conomiques doivent ils s attendre Le RGS kesako Dans la fiche mode d emploi la DAJ indique tout d abord que les profils d acheteurs doivent se mettre en conformit par rapport au r f renciel g n ral de s curit RGS et ce au plus tard au 19 mai 2013 Attention toutefois comme le pr cise le document cette obligation nest pas propre aux march s publics puisqu elle s applique tous les syst mes d information entrant dans le champ de l ordonnance du 8 d cembre 2005 relative aux changes lectroniques entre les usagers et les autorit s administratives Mais le RGS kesako Ce document d finit un certain nombre de r gles de s curit mettre en uvre
7. par rapport des cibles atteindre Il pr voit des crit res de s curit des recommandations technologiques et des politiques de LES certification explique un expert en s curit informatique Le RGS pr voit diff rents niveaux de s curit ou ainsi que les crit res n cessaire pour atteindre le niveau de s curit requis D s lors que le profil d acheteur annonce un niveau de s curit l ensemble de sa solution doit tre au minimum au niveau annonc Par exemple chaque composant d une plateforme de d mat rialisation la signature le chiffrement l horodatage peuvent tre qualifi s un niveau de s curit diff rent Le niveau global de la plateforme correspondra au plus petit niveau de qualification S il est requis un niveau la plateforme devra accepter les produits de niveau et mais pas observe t il Des certificats de signatures conformes au RGS Afin de banaliser l usage de la signature lectronique plusieurs mesures ont t prises Jusqu pr sent les entreprises devaient acqu rir des certificats PRIS V1 c est dire aupr s d une quinzaine d autorit s r f renc es par l Etat D sormais tous les certificats nationaux ou europ ens la condition qu ils soient conformes au RGS ou garantissant un niveau de s curit quivalent pourront tre utilis s L op rateur conomique est libre d utiliser le certificat de son choix condition toutefois qu il soit co
Download Pdf Manuals
Related Search