Utile, parfois même indispensable, la signature électronique ne protège toutefois pas vos documents de tous les risques. Notamment en cas de vol ou de prise en otage par un ransomware. Explications…
Depuis 2001, l’écrit électronique a, devant la Loi, la force probante de son équivalent sur support papier et la signature électronique a la même valeur légale que la signature manuscrite. À l’origine, la signature électronique avait pour ambition de sécuriser les transferts via Internet. Mais son usage s’est étendu au-delà pour satisfaire aux besoins d’une transformation numérique construite sur la dématérialisation des documents, des courriers, des contrats et autres données.
C’est quoi une signature numérique ?
Une signature numérique est un dispositif technique, s’appuyant sur une technologie cryptographique, qui garantit l’authenticité et l’intégrité des documents dématérialisés, autrement dit des documents numériques. Elle s’applique aux emails, mais également à n’importe quel fichier qu’il s’agisse d’un document Word, PDF, d’une photographie, etc.
Pourquoi signer ?
Signer un document consiste à s’assurer à la fois que l’expéditeur est bien celui qu’il prétend être (authentification), que le document reçu est bien identique à celui qui a été émis et n’a pas subi la moindre altération (intégrité) et que l’expéditeur ne peut nier avoir envoyé le message (non-répudiation).
La signature électronique est utilisée dans les échanges de courriers et de documents, mais peut également se révéler très utile dans des workflows que l’on veut sécuriser, la signature étant alors utilisée pour les phases d’autorisations et les validations.
Pour lutter contre quoi ?
Typiquement, dans un monde où n’importe quel cybercriminel peut usurper l’adresse email d’un contact et envoyer des courriers malveillants et des documents infectés en son nom, la signature électronique joue un rôle clé dans la sécurisation des échanges. Si un contact signe systématiquement tous les courriers qu’il envoie, la réception d’un courrier non signé de sa part est un signe d’usurpation. D’une façon similaire, signer un document permet d’en assurer l’authenticité et l’origine puisque l’opération est datée, que le créateur est authentifié et que la non-répudiation ne permet pas d’en modifier l’origine.
Mais la signature d’un document ne cherche pas uniquement à authentifier son créateur ou son expéditeur. Elle garantit aussi l’intégrité de ce document. Et cette garantie devient de plus en plus nécessaire dans un monde connecté où les malwares peuvent modifier des documents et où des cybercriminels peuvent être payés, par des concurrents par exemple, pour venir altérer à votre insu des documents et vous mettre en situation délicate.
Quelles sont les limites de la signature ?
La signature électronique peut donc être perçue comme une protection, mais son spectre d’action se limite à l’authenticité et l’intégrité. Elle s’appuie sur un mécanisme de « clé privée/clé publique » qui a ses limites : chaque message ou document est chiffré avec votre clé privée, mais son contenu reste lisible par toutes personnes disposant de votre clé publique.
Cette protection ne protège pas vraiment le document contre le vol et encore moins contre sa destruction ou sa prise en otage par un ransomware par exemple. « Face à ces menaces nouvelles, il faut des protections multi-couches, intelligentes et proactives, qui s’appuient à la fois sur des règles, des analyses comportementales et de l’intelligence artificielle », rappelle Nicolas Sterckmans, sales engineer de Malwarebytes.
En outre, il est important de bien choisir son partenaire de signature de documents et d’émission de certificats de signatures. Celui-ci doit être fiable et crédible. Il doit aussi satisfaire aux exigences des multiples directives internationales (1999/93/EC, ESIGN, UETA, etc.) ainsi qu’au RGPD. Sa solution doit également s’intégrer avec tous les outils bureautiques que vous utilisez.
