Télécommunications, Information, Média & Electronique

Vers une Europe Numérique

Signatures Numériques

Sommaire

Introduction 3

Signatures numériques 4

Des solutions permettant une réduction des coûts et un gain d’efficacité 7

Certains défis restent encore à relever 8

La nouvelle législation va promouvoir l’utilisation des signatures électroniques 9

Le marché de la signature numérique est très fragmenté et dynamique 10

Cas d’usage 12

Étude de cas du service Consumer Finance du Crédit Agricole 13

Conclusion 14

Authors:

Nicolai SchaettgenPrincipalTIME, Autricheschaettgen.nicolai@adlittle.com

Didier LevyDirecteur TIME, Francelevy.didier@adlittle.com

Sorana SocolBusiness AnalystTIME, Autrichesocol.sorana@adlittle.com

Julien Duvaud-SchelnastManager TIME, Franceduvaud-schelnast.julien@adlittle.com

3

Les signatures numériques remplacent de plus en plus les signatures papier. Grâce à leurs nombreux avantages (meilleure efficacité, coûts réduits, plus grande satisfaction utilisateur), elles ont le potentiel pour devenir incontournables dans tous les processus de signature.

Utiliser une signature manuscrite accroît le temps de traitement, augmente la complexité de l’archivage et pose des problèmes environnementaux, notamment en ce qui concerne l’utilisation du papier. Par conséquent, les entreprises ont de plus en plus recours aux signatures numériques.

Le secteur de la finance est pionnier dans l’adoption et le développement de la signature numérique. Nous nous attendons à ce que d’autres secteurs d’activité comme les télécommunications, le commerce, les services publics, les offices notariaux et la santé suivent sous peu et bénéficient des avantages de cette nouvelle technologie.

Cependant, la signature numérique doit encore surmonter certains défis :

n Intégration dans les systèmes et processus existants

n Acceptation par les partenaires commerciaux

n Baisse des coûts générés, actuellement perçus comme élevés

Le nouveau règlement européen, qui prend le relais de la directive 1999/93 à partir du 17 septembre 2014, apporte plusieurs améliorations à la législation européenne sur la signature électronique. Il prévoit, notamment, la reconnaissance de la signature électronique de manière identique dans tous les Etats membres et la possibilité de générer une signature électronique qualifiée à distance. Cette possibilité nécessite le recours à un Prestataire de Service de Confiance Qualifié. Une signature électronique qualifiée devient légalement équivalente à une signature manuscrite. Le règlement entre en vigueur le 17 septembre 2014 et, en application globale, au plus tard le 1er juillet 2016 dans tous les Etats membres.

Ce rapport se base sur l’enquête effectuée par Arthur D. Little auprès de 50 experts du marché européen, ainsi que sur une étude globale effectuée sur les marchés concernés. Le rapport fournit une vue d’ensemble sur la signature numérique, son marché actuel et potentiel, ainsi que ses avantages et les défis qu’elle devra relever. Nous présentons également des exemples d’applications pratiques de signature numérique.

Introduction

Signatures numériques

4

Assurer l’authenticité et l’intégrité des données permet d’atteindre un niveau de sécurité élevé

Les signatures numériques remplacent désormais de plus en plus les signatures papier. Il faut cependant différencier les signatures numériques des processus d’authentification ordinaires. Alors que l’authentification n’est utilisée que pour la vérification des identités des utilisateurs finaux, les signatures numériques assurent également l’intégrité des données. L’association de ces deux facteurs de sécurité est critique pour de nombreuses transactions commerciales, notamment celles impliquant des données sensibles et confidentielles.

Les signatures numériques constituent une sous-catégorie des signatures électroniques. Alors que n’importe quelle donnée attachée à un document peut constituer une signature électronique, comme par exemple un nom écrit au bas d’un mail, une signature numérique est basée sur un processus mathématique de protection du document. Il existe deux types principaux de signature numérique qui se différencient par le niveau de sécurité de l’authentification :

n La signature électronique qualifiée (Qualified Electronic Signature) est une signature générée à l’aide d’un support sécurisé de création de signature, différent du support sur lequel le document est signé, ce qui garantit un niveau de sécurité très élevé.

n La signature électronique avancée (Advanced Electronic Signature) est une signature électronique qui a pu être générée sur le même support que celui sur lequel le document est signé, ce qui implique un niveau de sécurité moins élevé que pour la QES.

Une signature numérique implique trois processus : le processus de signature, le processus d’authentification et le processus de garantie de l’intégrité des données. Le processus de création d’une signature numérique est identique, qu’il soit géré en interne ou en externe.

n Le processus de signature débute lorsque l’utilisateur final reçoit un document nécessitant sa signature. Afin de s’assurer que la bonne personne signe le contrat, l’identité de l’utilisateur final est vérifiée par une authentification à facteurs multiples, comme un code PIN, un mot de passe ou un token basé sur une séquence de chiffres.

Une fois l’identité vérifiée, le signataire reçoit un certificat prouvant son identité et deux clés : une clé privée (connue uniquement du signataire) et une clé publique (connue de tous). Ces deux clés sont nécessaires pour signer un document et vérifier l’identité du signataire. Une fois le certificat remis, un code mathématique unique est généré à partir du document. Ce code mathématique est ensuite chiffré avec la clé privée (signature) et ne peut être déchiffré qu’avec la clé publique correspondante (vérification de signature). Le document, de même que le code mathématique chiffré, est ensuite envoyé au destinataire.

n Le destinataire ayant accès à la clé publique peut déchiffrer le code mathématique et est donc en mesure de garantir l’authenticité. La clé publique fonctionne pour le déchiffre-ment uniquement si le document a été signé avec la clé privée correspondante ayant déjà confirmé l’identité du signataire.

n L’intégrité des données est assurée grâce à un code mathé -matique qui est visible par le destinataire après déchiffre-ment. Afin de vérifier que le document n’a subi aucune modification par une personne non-autorisée, le destinataire calcule son propre code mathématique à partir du document. Si les deux codes correspondent, l’intégrité des

Signatures numériques

Illustration 1 : La signature numérique : processus de signature et vérification

Source: Arthur D. Little

Valeur de hachage

10100101011

Valeur de hachage

Chiffrement avec clé

privée

10100101011

10100101011

Données signées numériquement

Processus de vérification

10100101011

Fonction de

hachage

Déchiffre-ment

avec clé publique

10100101011 10100101011 = ?

La signature numérique n’est valable que si les valeurs de

hachage sont identiques.

Processus de signature

Signatures numériques

5

données est assurée ; si le document a été modifié entre temps, le calcul du destinataire produira un code différent.

L’illustration 1 représente les processus de signature et de vérification sur la base du crypto système RSA (Rivest, Shamir et Adleman), qui est la technique de chiffrement la plus largement répandue.

Le processus de chiffrement décrit ci-dessus assure le niveau de sécurité et la validité juridique de cette technologie. Le chiffrement mathématique associé à un certificat haute qualité garantit l’intégrité et l’authenticité de la signature numérique. La signature électronique avancée en résultant relève de la législation européenne et est par conséquent juridiquement valable.

Tout processus qui n’inclurait pas ces mesures de sécurité ne serait pas considéré comme valable ni en matière de sécurité ni du point de vue juridique. Les transactions réalisées à distance et en face-à-face doivent donc se baser sur la procédure de sécurisation des données mentionnée ci-dessus. Par exemple, une signature faite à la main sur un pad de signature sans la création de signature numérique n’est pas valable juridiquement dans le cadre des décisions judiciaires - sur la base du précédent de juin 2012 en Allemagne1. D’autres techniques couramment utilisées incluent la reconnaissance de données biométriques telles que la vitesse ou la pression de la signature, ceci dans le but d’authentifier le signataire. Ces technologies possèdent sans aucun doute un niveau de sécurité plus élevé qu’une simple signature faite à la main sur un pad de signature, mais elles ne sont pas reconnues par la législation de l’Union européenne ni par la plupart des législations nationales et n’ont donc aucune validité juridique.

Pour offrir des solutions de signature numérique aux utilisateurs finaux, il existe deux processus principaux : l’un nécessitant une gestion en externe et l’autre une gestion en interne. Bien que les deux possèdent leurs avantages et inconvénients respectifs, en se basant sur l’analyse des tendances du marché, Arthur D. Little est convaincu que gérer ce processus en externe est la solution du futur.

Processus géré en externe (infrastructure à clés publiques externes – PKI externe)

Lorsque le processus est géré en externe, une entreprise tierce fournit les certificats nécessaires à la signature numérique. Ce tiers est responsable de la fourniture de certificats uniques aux employés et/ou clients de l’entreprise une fois qu’ils ont été authentifiés. Un processus entièrement géré en externe évite aux entreprises d’investir dans des frais d’organisation et de

maintenance et permet ainsi une baisse générale des coûts de mise en œuvre.

Le fournisseur de services externe doit idéalement offrir une « solution de services en mode Cloud », dont le principal avantage est que les certificats ne sont pas stockés sur n’importe quel SSCD (dispositif sécurisé de création de signature ou jeton), mais dans le Cloud, permettant ainsi une utilisation sur n’importe quel appareil. Par ailleurs, aucun logiciel SaaS (Software as a Service) spécifique n’a besoin d’être installé, ce qui augmente le niveau de confiance et de confort pour l’utilisateur. Des études ont montré que lorsqu’on demande aux clients d’installer un logiciel pour pouvoir signer numériquement, ils sont plus enclins à annuler la procédure. Pour le client, l’expérience utilisateur prime sur tous les autres critères. Les signatures numériques constituent le moyen le plus simple de signer un document, que ce soit en comparaison avec l’insertion d’une carte d’identité électronique dans un ordinateur ou même avec la signature écrite traditionnelle. Le Cloud permet aux entreprises de proposer également des signatures multicanales (par exemple : signer à distance de chez soi ou avec un téléphone portable). La signature mobile à partir d’une tablette ou d’un Smartphone se popularisant, un service géré en Cloud deviendra à terme la technologie privilégiée des utilisateurs. C’est ce qu’ont confirmé les entretiens menés par Arthur D. Little. Un acteur du marché a notamment posé la question : « Pourquoi devrions-nous demander aux clients d’avoir toujours sur eux un jeton ou un lecteur de carte à puce ? ».

Il est important de mentionner ici que ce concept n’a de sens que si le tiers est considéré fiable à l’image des sociétés figurant dans la liste de confiance de l’UE. Cela améliore non seulement le degré de confiance qu’on peut lui accorder mais implique aussi la reconnaissance quasiment mondiale des certificats fournis. Le certificat racine, un certificat validé comme digne de confiance, est alors déjà installé dans la plupart des navigateurs et des systèmes d’exploitation : aucun message d’erreur n’apparaîtra, comme cela peut être le cas avec le processus de gestion en interne.

Les solutions en Cloud permettent également d’effectuer la signature avec un SSCD ou une carte à puce. Le Cloud peut être utilisé ici pour archiver en toute sécurité les documents signés numériquement.

Processus géré en interne (PKI interne)

Les certificats nécessaires à la signature numérique sont établis et fournis en interne par l’entreprise offrant directement ces solutions à ses employés ou clients. Les certificats ne sont pas

Signatures numériques

6

des certificats uniques mais peuvent être réutilisés, car ils sont enregistrés sur des badges spécifiques, comme un jeton ou une carte à puce par exemple.

Mettre en place une PKI interne implique un investissement dans le matériel, les logiciels et la formation des employés. Ceci est par conséquent davantage possible dans les grandes entreprises possédant le savoir-faire et les ressources nécessaires. Un inconvénient majeur lié au concept de PKI interne est que les certificats ne sont pas dignes de confiance pour la plupart des navigateurs et systèmes d’exploitation, sauf si l’entreprise fait partie de la liste de confiance de l’Union européenne.

En fonction des ressources disponibles et du niveau de confiance et de contrôle requis, chaque entreprise doit arbitrer entre les deux solutions. Cependant, nous pouvons anticiper que les solutions faisant intervenir du matériel supplémentaire pour réaliser des signatures numériques seront peu populaires auprès du public.

Quinze pays européens ont mis en place des cartes d’identité électroniques (eID) qui nécessitent une infrastructure gérant les identités et les certificats de manière sécurisée. Ceux-ci contiennent des identifiants d’authentification en ligne et souvent une fonction de signature numérique optionnelle. Pour pouvoir utiliser cette fonction, il faut cependant acheter un lecteur de carte à puce, ce qui complique le processus.

Mais le potentiel de cette solution peut être amélioré grâce à la technologie NFC (Near Field Communication) qui permet l’utilisation de la signature numérique avec des cartes d’identité électroniques sans lecteur de carte, comme avec un Smartphone NFC. Même si la possibilité de signer à l’aide d’un Smartphone garantirait une meilleure mobilité, les solutions en « full Cloud » ne nécessitant pas de carte ni de lecteur de carte auront sans aucun doute la part belle dans le marché futur des signatures numériques, car le niveau de simplicité d’utilisation sera déterminant dans le choix de la solution.

Signatures numériques

7

Des solutions permettant une réduction des coûts et un gain d’efficacitéLes signatures numériques peuvent être mises en œuvre dans des domaines très variés, puisque les entreprises peuvent les utiliser à la fois pour leurs processus internes et dans leur communication avec leurs partenaires commerciaux et leurs clients.

Les gouvernements constituent également une catégorie importante de clients susceptibles d’utiliser cette technologie, puisqu’ils sont de plus en plus contraints de mettre en place des processus plus simples et moins coûteux.

De nombreux gouvernements et entreprises ont déjà compris le potentiel de cette technologie. Un processus entièrement numérique de signature et d’envoi de documents réduit le nombre d’heures de travail et induit également une baisse des coûts en termes de papier et de transport. L’enquête réalisée par Arthur D. Little ainsi que d’autres analyses ont confirmé que l’adoption immédiate de cette technologie a le potentiel de générer un avantage concurrentiel durable.

D’après les résultats de l’étude menée par Arthur D. Little, le principal argument poussant à choisir cette technologie est l’amélioration de l’efficacité, entraînant une baisse des coûts et une augmentation de la vitesse de traitement de l’ensemble des dossiers. L’utilisation des signatures numériques fait baisser les coûts en réduisant d’une part les frais de traitement, tels que le scan, l’enregistrement, l’archivage, l’impression et l’envoi,

et d’autre part les frais relatifs aux ressources (des cycles de traitement plus courts induisant une baisse des dépenses en personnel). La réactivité et l’adaptabilité des entreprises augmentent (cycles de traitement courts, dossiers finalisés plus rapidement, suivi temps réel et coordination simplifiée des équipes), ce qui améliore l’efficacité des processus commerciaux.

L’adoption des solutions de signature numérique a non seulement un impact en termes d’efficacité, mais également en termes d’image. Elle projette une image moderne de l’utilisateur et du fournisseur de technologie. Les solutions de signature numérique peuvent aussi améliorer l’expérience utilisateur des clients. Par exemple, une banque peut offrir à ses clients des solutions multicanales pour signer un accord de prêt.

Bien que les experts de l’industrie ayant pris part à cette enquête n’aient pas considéré que l’amélioration de la sécurité était un avantage majeur de cette technologie, les signatures numériques offrent aussi un niveau de sécurité plus élevé que les méthodes traditionnelles d’envoi de documents, lorsqu’elles sont mises en place de manière appropriée avec des procédures cryptographiques et des certificats de confiance.

n L’intégrité des données est assurée car la contrefaçon est virtuellement impossible. Par opposition, un document papier peut être modifié par une personne non-autorisée après sa signature.

n La probabilité de perdre une copie numérique est bien plus faible par rapport aux documents papier.

n Tous les types de données, photos ou fichiers audio, peuvent être signés numériquement, ce qui protège les droits d’auteur de ces documents.

n Un horodatage peut être joint à la signature numérique, garantissant que le document a été signé à une date spécifique.

Pour vous, quels sont les principaux avantages à mettre en place des solutions de signature numérique ?

(1-plus important ; 6-moins important)

Illustration 2 : Les principaux avantages des signatures numériques

Note : tous les chiffres sont des moyennes

2,7

2,7

2,3

2,3

2,1

Niveau de sécurité plus élevé

Plus grand confort d’utilisation

Amélioration de l’efficacité commerciale

Gain de temps (temps de traitement)

Réduction des coûts (papier, stockage, etc.)

Signatures numériques

8

Malgré le potentiel de cette technologie, la mise en œuvre des solutions de signature numérique entraîne certains défis. Une majorité d’entreprises s’appuie sur des systèmes et des processus conçus autour des méthodes traditionnelles de communication contractuelle. Du bureau d’un employé à l’archivage des documents signés, l’adaptation d’applications ou de systèmes existants a été considérée comme un problème majeur lors de notre enquête. Les entreprises et institutions intéressées par la mise en place cette technologie sont donc fortement en attente de solutions fiables, faciles à mettre en œuvre et simples d’utilisation, qui n’ajoutent pas de complexité aux processus. Les fournisseurs capables d’apporter de telles caractéristiques disposeront d’un avantage substantiel face à la concurrence sur le marché des signatures numériques.

Par ailleurs, il faudra également convaincre les partenaires commerciaux et les clients d’accepter ces solutions de signature. L’enquête a clairement montré que cette acceptation dépendait fortement des solutions proposées aux clients. Garantir la facilité d’utilisation par de nombreux cas d’usage améliorera l’acceptation des partenaires.

Notons également que la plupart des personnes ayant répondu à l’enquête a le sentiment que la mise en place des solutions de signature numérique induira une augmentation des investissements. Cet argument est valable sur le court terme, mais la baisse des coûts compense souvent très rapidement

les investissements qui dépendent largement du type de mise en œuvre. Par contre, le coût global dépend du modèle de tarification de la solution et de la fréquence d’utilisation.

Les emails certifiés pourraient présenter un risque pour les signatures numériques

Le service d’email certifié a pour but de sécuriser le transfert de données entre l’expéditeur et le destinataire en permettant le chiffrement des mails par l’expéditeur et le déchiffrement par le destinataire. Pour ce faire, l’expéditeur et le destinataire doivent avoir un compte mail certifié avec un fournisseur de mail certifié ainsi qu’un logiciel capable de chiffrer et déchiffrer les mails. Si l’authenticité de l’expéditeur joue un rôle important dans la transaction, le mail certifié peut aussi être signé numériquement (avec une signature électronique qualifiée).

Le principal problème de sécurité du mail certifié est qu’il ne se base pas sur un processus de chiffrement de bout-en-bout. Chaque mail qui a été chiffré par l’expéditeur est déchiffré par les deux fournisseurs de mail certifiés (ainsi le mail peut être lu ou modifié), ce qui représente une faille en matière de sécurité pouvant être exploitée par des tiers non-autorisés. La possibilité de chiffrement de bout-en-bout existe, mais seulement en ayant recours à des logiciels de chiffrement additionnels.

En comparaison avec des solutions de signature numérique classiques, le mail présente des inconvénients en termes de sécurité et de confort d’utilisation, puisque le modèle standard n’est pas basé sur un chiffrement de bout-en-bout et que l’expéditeur et le destinataire doivent avoir un compte mail certifié.

Certains défis restent encore à relever

3,3

3,0

2,8

2,8

2,1

Investissement / coûts de mise en œuvre

Acceptation B2C, B2B

Adaptation des applications ou systèmes existants

Problèmes en termes de sécurité

Problèmes d’ordre juridique

Illustration 3 : Les principaux défis des signatures numériques

Pour vous, quels sont les principaux défis à relever pour les solutions de signature numérique ?

(1-plus important ; 6-moins important)

Note : tous les chiffres sont des moyennes

Signatures numériques

9

La législation européenne est fondée principalement sur la Directive 1999/93/EC qui stipule les obligations relatives aux fournisseurs de services de certification et les règles communes relatives aux mécanismes de confiance et de coopération, dans le but de sécuriser la reconnaissance transfrontalière des signatures et certificats à travers l’Union européenne. La directive définit trois formes de signatures électroniques : simple, avancée et qualifiée.

La nouvelle règlementation européenne relative à l’identification électronique et aux services de confiance pour les transactions électroniques sur le marché interne (eIDAS) est entrée en vigueur le 17 septembre 2014. Sa date d’entrée en application complète a été fixée au 1er juillet 2016. Elle a pour objectif de renforcer l’utilisation de l’identification numérique et des signatures à travers l’Union européenne. Les points-clés de la nouvelle règlementation européenne sont le retrait des barrières existantes dans la fourniture d’un cadre global transfrontalier et dans tous les secteurs pour des transactions électroniques sécurisées, fiables et simples d’utilisation, ainsi que la possibilité d’intégrer des signatures dans le Cloud pour atteindre le niveau le plus élevé en matière de sécurité. Les signatures basées sur le « full Cloud » pourront être qualifiées une fois certaines exigences finales validées.

La nouvelle législation va promouvoir l’utilisation des signatures électroniques

Signatures numériques

10

Afin de créer une signature numérique, un environnement sécurisé est requis pour la gestion des certificats numériques nécessaires (création, potentiellement enregistrement et utilisation). Cet environnement est appelé infrastructure à clés publiques (PKI) et peut être géré soit localement en interne par le service fournisseur, soit en externe par un fournisseur de solutions en Cloud et accessible par Internet. Dans les deux cas, le fournisseur de services, une banque par exemple, offre le service à l’utilisateur final : soit un token ou un autre support sur lequel le certificat est enregistré, est remis à l’utilisateur final, soit la banque oblige l’utilisateur final à signer via le Cloud.

Les parties impliquées dans les phases de mise en œuvre et d’application des solutions de signature numérique sont détaillées dans le graphique ci-dessous.

Le marché des signatures numériques en Europe est actuellement de taille réduite, fortement fragmenté mais dynamique. Il se compose de nouveaux acteurs aux solutions innovantes, d’acteurs établis se concentrant sur le marché des signatures numériques et d’acteurs provenant d’autres industries et souhaitant se diversifier. Ceux qui essaient de pénétrer ce marché en Europe sont aussi bien européens, comme OpenTrust et D-Trust, qu’américains comme Adobe Echosign, ARX CoSign ou DocuSign, qui possède des bureaux au Royaume-Uni depuis trois ans. Afin de faciliter leur entrée

sur le marché européen, certains acteurs américains ont créé des partenariats avec des entreprises locales. Ainsi, OpenTrust a été choisi par DocuSign en tant que partenaire européen pour créer ensemble une nouvelle solution de signature numérique, combinant conformité du point de vue de la règlementation européenne et facilité d’utilisation.

Afin d’appréhender la complexité du marché et de donner un aperçu global des principaux acteurs, nous avons identifié et caractérisé certaines typologies en utilisant une approche de recherche ascendante (dite bottom up). Les quinze principaux fournisseurs de solutions de signature numérique actifs sur le marché européen ont été évalués en se basant sur ces typologies.

n Solution ergonomique pour l’utilisateur et l’entreprise : le client est capable de créer des signatures à partir de n’importe quel appareil, ordinateur, tablette ou Smartphone, sans aucun dispositif externe (token logiciel/carte d’identité électronique) et sans aucune installation de logiciel (mode SaaS). Ce degré de facilité d’utilisation implique qu’aucune PKI interne n’est nécessaire, que l’archivage (gestion de la preuve) est sous-traité et qu’aucune installation de logiciel (mode SaaS) n’est requise.

n Large panel de cas d’usage garantissant la valeur légale : de nombreux cas d’usage garantissant la valeur

Le marché de la signature numérique est très fragmenté et dynamique

Illustration 4 : Chaîne de valeur de la signature numérique

Source: Arthur D. Little

ICP et autres logiciels proposés sur internet (en mode SaaS) p. ex., fournisseur de sécurité offrant des solutions de cloud

incluant une ICP et d’autres logiciels

Signature numérique gérée en interne

Processus géré en externe basé sur le

Cloud pour l’utilisation de services numériques

Fournisseur de modules techniques p. ex., fournisseur de cartes à puce, ICP ou logiciel de signature

Fournisseurs de services aux utilisateurs finaux

p. ex., une banque proposant au client de

signer un accord de prêt en lui délivrant un token

Fournisseurs de services aux utilisateurs finaux

p. ex., banque proposant au client de signer un accord de prêt par le

Cloud

Utilisateur de solutions de signature numérique, p. ex., client ou employé effectuant une signature numérique à l’aide d’un

token

Utilisateur de solution de signature numérique

p. ex., client ou employé effectuant une signature numérique par le Cloud

Intégrateur de modules techniques

p. ex., entreprise intégrant une ICP dans

une banque

Fournisseur de solutions de Cloud Solution de signature

numérique externe (basée sur le Cloud)

Fournisseur de services Utilisateur final

Solution de signature numérique locale

(basée sur un serveur local)

Fournisseur de solutions de

sécurité

Fournisseur de services

Utilisateur final Intégrateur de solutions

Signatures numériques

11

légale (prise en charge par QES, ou au moins AES, en se basant sur un certificat qualifié) signifient que les solutions de signature numérique offertes au client autorisent de nombreux cas d’utilisation pris en charge par un fournisseur certifié possédant le statut de Tiers de Confiance.

En se basant sur ces dimensions, nous avons identifié quatre typologies principales de fournisseurs :

n Champions

n Spécialistes des systèmes fermés

n Vendeurs de niche

n Étoiles montantes

Les champions sont des fournisseurs offrant des solutions très simples d’utilisation à des clients comme des entreprises de services financiers, des banques, ou d’autres industries très réglementées, qui par la nature de leurs activités ont besoin de nombreuses références et certifications pour garantir la validité juridique des signatures numériques. Dans un marché où les solutions simples d’utilisation (en mode SaaS) sont la clé du succès, les champions sont ceux qui s’adaptent le mieux aux besoins des clients et qui fournissent des solutions présentant une validité juridique maximale. Le leader parmi ces champions en Europe à la fois pour le B2C et le B2B est le fournisseur français OpenTrust, inventeur de la signature offline et de la signature en Cloud (système de Cloud certifié ETSI TS 102 042, ETSI TS 102 023 et TüvIT). Positionné comme notaire en ligne (ou Tiers de Confiance) et bénéficiant de la jurisprudence, OpenTrust offre des solutions de signature numérique valables juridiquement et d’une grande simplicité d’utilisation pour les utilisateurs et les entreprises.

Les vendeurs spécialistes des systèmes fermés offrent des solutions qui ne sont pas basées sur le Cloud, à destination des entreprises de moyenne et grande taille caractérisées par de nombreuses interactions clients et une large gamme de

processus internes qui nécessitent l’utilisation de signatures numériques et qui préfèrent une gestion interne des solutions de signature numérique. Les entreprises ayant déjà des systèmes de PKI internes et utilisant déjà des badges avec des certificats peuvent réutiliser ces certificats, mais ont besoin d’une gestion d’un système de PKI. La solution dépend fortement des systèmes d’exploitation et des navigateurs internet qui évoluent régulièrement. L’espagnol SafeLayer est établi sur le marché européen en tant que fournisseur de solutions de signature numérique pour des institutions financières et des administrations publiques exigeant de nombreux cas d’utilisation valables juridiquement, ainsi que des solutions basées sur leur propre serveur, plutôt que basées dans le Cloud, en raison du niveau élevé de confidentialité de leurs données.

Les vendeurs de niche sont des fournisseurs offrant des solutions internes à des clients de petite taille, qui ont des besoins limités ou qui ont peu d’interactions avec les utilisateurs finaux. Les solutions ne sont pas compatibles avec une stratégie multicanale/multi-appareil, rendant l’expérience utilisateur moins riche et interactive, mais offrant l’avantage d’une gestion interne de la solution. L’allemand StepOver est un vendeur de niche qui fournit un logiciel de signature électronique et du matériel. 100 000 pads de signature StepOver sont actuellement en utilisation. StepOver est un partenaire important pour les petites entreprises qui préfèrent une gestion en interne de leurs solutions de signature numérique.

Les étoiles montantes sont de petits fournisseurs offrant des solutions simples basées sur le Cloud, mais avec un nombre limité de cas d’utilisation ne présentant pas de valeur juridique. Ils possèdent le potentiel pour devenir les prochains champions, mais doivent encore obtenir les certifications adéquates (ETSI TS 101, 102, etc.), faire partie de la liste de confiance des autorités de certification vérifiables de l’Union européenne et construire une base de clients. Par exemple, le fournisseur de signature

Illustration 5 : Le marché de la signature numérique

Source: Arthur D. Little

Grande facilité d’utilisation pour l’utilisateur et l’entreprise

Facilité d’utilisation réduite pour l’utilisateur et l’entreprise

Étoiles montantes Champions

Vendeurs de niche

Spécialistes des systèmes fermés

Faible ampleur des cas d’utilisation

garantissant la validité juridique

De nombreux cas d’utilisation garantissant la validité juridique

Signatures numériques

12

numérique basé aux États-Unis, ARX CoSign, est un acteur de petite taille sur le marché européen.

Les signatures numériques peuvent s’appliquer à de nombreux processus, dans quasiment tous les secteurs de l’économie. L’usage de la signature électronique concerne tout type de communication dans laquelle une déclaration d’intention associée à une authentification des parties impliquées est nécessaire et exigée par la loi. Au-delà des services de cartes d’identité électroniques, qui n’ont pas encore rencontré beaucoup de succès en raison d’une facilité d’utilisation limitée au niveau mondial, le marché réel porte sur les signatures numériques en mode Cloud. La raison principale est la simplicité d’utilisation de cette solution. En effet, les clients peuvent consulter un contrat, leur déclaration d’impôts, les droits d’importation et d’exportation, etc. sur n’importe quel appareil (ordinateur, tablette ou téléphone) ; ils peuvent recevoir un SMS pour l’authentification et ensuite signer sans avoir besoin de matériel ou de logiciel spécifique.

Pour les besoins de ce rapport, nous avons utilisé la segmentation suivante pour les signatures numériques :

n Business-to-Business, B2B (entreprise vers entreprise)

n Business-to-Customer, B2C (entreprise vers client)

n Gouvernement.

Les cas d’utilisation se différencient ensuite selon qu’il s’agit de transactions à distance ou de transactions en face à face.

n À distance : le signataire signe le document sans la présence physique d’un représentant de l’entreprise offrant le service (par exemple une banque); l’authentification s’effectue également à distance (avec mot de passe unique ou code reçu par sms, par exemple)

n En face-à-face : le signataire signe le document en présence physique d’un représentant de l’entreprise offrant le service ; ce représentant authentifie le signataire (avec un passeport ou une autre pièce d’identité)

On observe que l’acceptation de la technologie est élevée dans le segment B2B, les partenaires commerciaux technologiquement avancés étant notamment considérés comme des exemples à suivre.

Les cas d’utilisation dans le B2C dépendent beaucoup de la validité juridique et de l’acceptation de ces technologies par le client, qui varie en fonction des marchés. Les secteurs pionniers auprès des utilisateurs finaux sont la logistique, la banque et l’assurance.

Les gouvernements sont généralement les principaux moteurs de la diffusion de la technologie en Europe. En effet, ils subissent une forte pression à la baisse des coûts ce qui les pousse à rechercher des manières de rendre leurs processus plus économiques, tout en garantissant la sécurité des données commerciales et personnelles sensibles. De nombreux gouvernements européens offrent ou même obligent les entreprises ou les citoyens à communiquer avec eux de manière électronique.

Cas d’usage

Signatures numériques

13

Étude de cas du service Consumer Finance du Crédit Agricole

L’étude de cas portant sur le service Consumer Finance du Crédit Agricole a été préparée par Arthur D. Little, en collaboration avec le fournisseur de signature numérique du Crédit Agricole, OpenTrust, un des leaders des solutions de signature numérique dans le B2B et le B2C en Europe.

Présentation de l’entreprise n Le service Consumer Finance du Crédit Agricole est un des principaux fournisseurs de crédits à la consommation en France et en Europe

n Produits : produits et services financiers (vente directe, financement sur les points de vente, e-commerce, partenariats)

n Présence dans 22 pays

Principaux moteurs de déploiement n Attente par les clients de processus et produits modernisés n Réduction des coûts

Concept de solution numérique n Mis en œuvre dans 22 pays

Domaines d’application n Transactions en face-à-face (B2B en France, B2C en Italie, d’autres pays suivront dans les prochaines années)

n Pas d’utilisation interne jusqu’à présent (authentification sécurisée personnelle déjà disponible) transactions B2B2C, avec pour objectif d’intégrer la signature numérique dans les applications des partenaires du Crédit Agricole (par exemple, intégration de la signature numérique dans le cadre de la vérification d’un site d’e-commerce)

Avantages obtenus n Amélioration du parcours client - Satisfaction du client liée au caractère innovant de la solution

n Baisse des coûts attendue dans les prochaines années en comparaison du papier (« définitivement payant dans un futur proche »)

Défis n Temps nécessaire pour construire un parcours client satisfaisant (les processus dans leur ensemble devant être transformés, pas seulement le processus de signature numérique)

n Effort de clarification concernant la validité juridique (une consultation juridique a été requise)

n Coût initial élevé d’adaptation aux processus industriels

Critères principaux de motivation dans le choix du fournisseur

n Solution juridiquement valide n Mode d’intervention collaboratif n Expertise technique

Considérations-clés lors du choix du fournisseur

n Validité juridique de la solution et support juridique apporté par le fournisseur n Solution standardisée pour un déploiement à l’échelle européenne

Signatures numériques

14

La signature numérique se développera dans de nombreux domaines de la vie quotidienne, partout où il sera question de confidentialité. Cette technologie apporte une meilleure efficacité commerciale et des réductions de coûts.

Elle sera de plus en plus adoptée par les partenaires commerciaux, les clients et les autorités publiques. Comme pour toute technologie récente, des obstacles restent à franchir : la facilité d’intégration et l’alignement avec les processus existants, la construction du business case, le manque de transparence et parfois la mauvaise compréhension des aspects juridiques. La mise en œuvre de la nouvelle règlementation européenne prévue cette année et promouvant la validité juridique et l’acceptation des solutions de Cloud.indiquent que les autorités et les fournisseurs de solutions de signature sont en train de surmonter ces défis. Dans la mesure où le marché attend un retour sur investissement rapide et une solution qui simplifie les processus, les solutions en mode Cloud (partiellement ou totalement) joueront un rôle important dans le marché des signatures numériques dans le futur. Les acteurs qui comprendront le potentiel de ces solutions bénéficieront d’avantages de coûts significatifs et pourront maintenir ou élargir leurs bases de clients grâce à ces solutions faciles à utiliser.

Conclusion

Contacts

Si vous souhaitez de plus amples informations ou convenir d’une discussion informelle sur les questions soulevées dans ce rapport et sur la façon dont elles affectent votre activité, veuillez contacter :

Allemagne Michael Opitzopitz.michael@adlittle.com

Amérique latine Vincenzo Basilebasile.vincenzo@adlittle.com

Autriche Karim Taga taga.karim@adlittle.com

BelgiqueGregory Pankertpankert.gregory@adlittle.com

Chine Antoine Doyon doyon.antoine@adlittle.com

Corée Kevin Lee lee.kevin@adlittle.com

Espagne Jesus Portalportal.jesus@adlittle.com

États-Unis John Brennan brennan.john@adlittle.com

France Didier Levylevy.didier@adlittle.com

Inde Srini Srinivasan srinivasan.srini@adlittle.com

Italie Giancarlo Agrestiagresti.giancarlo@adlittle.com

Japon Shinichi Akayamaakayama.shinichi@adlittle.com

Moyen-Orient/Malaisie Thomas Kuruvilla kuruvilla.thomas@adlittle.com

Pays-Bas Martijn Eikelenboom eikelenboom.martijn@adlittle.com

Pays du Nord de l’Europe Martin Glaumannglaumann.martin@adlittle.com

République Tchèque Dean Brabec brabec.dean@adlittle.com

Royaume-Uni Richard Swinfordswinford.richard@adlittle.com

Singapour Yuma Itoito.yuma@adlittle.com

Suisse Clemens Schwaiger schwaiger.clemens@adlittle.com

www.adl.com/SignatureNumerique

Arthur D. Little

Premier consultant au monde, Arthur D. Little est à la pointe de l’innovation depuis plus de 125 ans. Nous sommes reconnus comme leader d’opinion dans la stratégie de réseau, la technologie et l’innovation. Nos consultants ne cessent de développer des solutions de nouvelle génération pour maîtriser la complexité des activités de nos clients et pour apporter des résultats durables adaptés à la réalité économique de chacun de nos clients.

Arthur D. Little possède des bureaux dans la plupart des grandes villes d’affaires du monde entier. Nous sommes fiers de servir nombre d’entreprises faisant partie de la liste des « Fortune Global 500 », en plus d’autres entreprises de premier plan et d’institutions du secteur public.

Pour plus d’informations, veuillez visiter le site www.adl.com

Copyright © Arthur D. Little 2014. Tous droits réservés.