Mise en œuvre de la signature électronique en agence

dans les agences du Crédit Agricole

Olivier SCHERSCHEL

Responsable MOA Distribution Multicanal

Projet mené dans le cadre du Programme NICE

visant à construire un SI « orienté client »

Contexte projet

39 caisses régionales

6.500 agences bancaires

40.000 tablettes

Une progressivité du périmètre

des opérations éligibles

Périmètre du projet SEA

les opérations de caisse et la remise des

moyens de paiements

les contrats d’épargne, les contrats de

services et les contrats d’assurance

les contrats Crédit conso, les comptes

titres, les conventions de compte…

2013

2015

2014

… un objectif « Zéro papier » en agence à fin 2016

Le processus fonctionnel

La chaine de confiance

Les premiers retours…

90% de clients satisfaits

avec moins de 5% « d’abandon client »

Une image de modernité avec notamment

la réduction de la consommation de papier

Une appropriation facile pour nos

clients et nos collaborateurs par

l’intégration de la SEA sans remise en

cause des process…

+

Vers de nouveaux usages…

L’arrivée des tablettes en agence :

un facteur d’accélération de la mutation de nos

agences vers le digital

Wifi

Client Espace

démonstration

Store

Collaborateurs

Poste de travail

sur tablette Mobilité

Nomadisme

Parcours

Clients

Merci…

1

NORME 3DSA

WEGA PRECURSEUR

Banque & Innovation 2014

f

La signature dans le Cloud ….

Eric Blot-Lefèvre représentant de TDL au WG1 NIS Platform DG-CONNECT Commission Européenne

Mardi 30 septembre 2014

Banque & Innovation 2014

Espace Etoile Saint Honoré,

21-25 rue Balzac, 75008 Paris

Vision-Horizon 2016-2020

• Greenspan

• Cook – Sécurité centre de profit

– Risk Management : transformer les obligations de moyens en obligations de résultat (bilan digital)

– Traçabilité, Interopérabilité, Validation, Resilience (ISO 27006-35): transformer les applications Off Line en services On Line (SaaS)

2

2014 Réduction des IFM (-65% 1990, -31% 1999)

2014 Migration Off line / On line SaaS-IaaS !!

Que demande l’utilisateur ?

3

1. Une carte à authentification très forte:1.1. Un signal unique et confidentiel1.2. Un signal non rejouable1.3. Un signal dynamique et corrélé1.4. Une identité numérique réévaluée chaque jour1.5. Une identité numérique associée à des droits spécifiques1.6. Une identité numérique associée à des attributs spécifiques1.7. Une identité numérique associés à des conventions bilatérales1.8. Une identité numérique associés à des prestataires accrédités

2. Une carte gérant l’intégrité de la signature documentaire sous toutes ses formes (Xades, Cades, Pades, …)

3. Une carte universelle pour tous types de courriers, de contrats, de transactions et de paiements

4. Une carte garantie dans les réseaux de confiance numérique par une ou plusieurs instances de validation

5. Une carte compatible et interopérable entre « correspondence mailing » et « correspondance banking »

6. Une carte multinationale et multi-communautés procurant une mesure de la valeur juridique

7. Une carte protégeant avec le mobile la vie privée: secret documentaire et secret bancaire

8. Une carte unique pour tous les statuts de citoyen, d’employé, d’administré ou de communautés.

Entreprise, Citoyen ou Administré

Règlements / Directives Européenne 2016Nouvelle architecture de sécurité et de confiance numérique

4

I IDENTITY PRIVACYBY DESIGN

REGISTRATION AUTHENTICATION CLOUD FRONT OFFICE

CLOUD MIDDLE OFFICE

CLOUD BACK OFFICE

LEGAL DOCUMENT PDF & XML COMPLIANCY, SEALING & SIGNING

LEGAL CORRESPONDENC DELIVERY ARCHIVING, COMUTING, TRANSFER

IDENTITY PRIVACYBY DESIGN

VALIDATION PARTY

VALIDATION 1

VALIDATION 2

VALIDATION 3

VALIDATION 1’

DIGITAL ECOSYSTEME

Après 3D Secure….la norme 3DSA

5

1. DIGITAL STRONG AUTHENTICATION2. DIGITAL SIGNATURE APPLICATIONS 3. DIGITAL SAFE ARCHIVING

WEB-SERVICE FRONT OFFICE (1)

WEB-SERVICE MIDDLE OFFICE WEB-SERVICE BACK OFFICE

WEB-SERVICE VALIDATION

1 2 3

VALIDATION PARTY CERTIWAY

Electronic agreementsAttribute for access 365Legal template compliancyProof of acceptance

• Probative value• Proof of exchange• Legal archiving (WORM)

Sprint 2 : online contract signing for TDL members3DSA Compliant

SEPARATION REGLEMENTAIRE PRIVACY

4. 3DSA VALIDATION GUARANTY

(1) LEXIQUE DU NUMERIQUE et des TELECOMS: 3DSA SECURITE,Un standard global basé sur une authentification forte, porté par un module acoustique embarqué dans un support carte qui combine deux facteurs chiffrés d’identification et d’authentification, constitutifs de l’identité numérique du titulaire.

La signature digitale validée en cloud computing

• Pour le Marché comme pour les Règlements (1) modifiant la Directive des Services et la Directive de la

« signature électronique », chaque correspondance ou transaction doit être traitée dans ses 3

dimensions:

– Identification et authentification fortes

– Conformité du document et consentement du signataire

– Délivrance des originaux et archivage des preuves numériques

• Chaque correspondance ou transaction signée est soumise aux contraintes d’une Instance de

Validation:

1. pour mesurer en fonction de sa nature:

1. La sécurité (listes de révocation)

2. La confidentialité

3. La conformité légale et professionnelle

4. Les risques opérationnels encourus

2. pour assurer sa valeur probante (fiches de traçabilité) ainsi que l’interopérabilité entre les

parties, les prestataires et les pays, et la résilience de leurs procédures (ISO 27006-35).

(1) Règlements e.IDAS, Data Protection et Directive NIS Network Information Security

• REGISTRATION

• IDENTIFICATION (Idan Identity Document Account Number)

• AUTHENTICATION

Identity certificate dynamic rating

Management of Revocation Lists including

Bilateral Agreement Attributes,

Power of Attorney Signatory & Mandatory TSP

Management of Revocation by devices and by

correspondence forms

VALIDATION PARTY Operator customer contact

Annexe : Front Office Individual privacy control

New and opportunity

to deal with:

E.IDENTITY

creation on inter-change agreement

Rights

Confidentiality

Business Model: pay for

ID Certificate Dynamic Rating

Digital Dynamic Inter Change Agreement

ID Double Strong Authentication : 2 encrypted

factors Identification & authentication including

confidentiality and integrity by token embedded

Standard 3DSA: first, Digital Strong Authentication !

Business Model for eID Adoption and Dematerialization in the Digital Economy

(Christian Schunck, Hans Graux & Eric Blot-Lefevre)

Under control of the validation party !

Annexe : Middle Office compliancy and probative value

• Document creation (including seal: XADES, PADES, CADES)

• Specimen Consent to sign

• Specimen Autorisation to duplicate

Verification Qualified Signature used by

Mandatory Operators / CA’s

Electronic Signature Servers (upload)

XML Mandatory Informations

Integrality & Traceability

Probative Value Attestation

VALIDATION PARTY OPERATOR (Trust Service Providers)

Opportunity to invoice each document exchange

Or to invoice each duplicated documents

Controls of mandatory information

Update of mandatory information

Respect of bilateral rules (Id, Signatory, Domiciliation)

Pairing (between invoice and paiement)

XADES: secured integration of numerous and heterogeneous files pdf,

xml, edi, and proof of signature with many others descriptors files

Digital Signature On Line

Standard 3DSA: second, Digital Signature Applications !

Business Model for eID Adoption and Dematerialization in the Digital Economy

(Christian Schunck, Hans Graux & Eric Blot-Lefevre)

Under control of the validation party !

Annexe : Back Office Delivery

• ARCHIVING

• COMUTING ACCOUNT

• DATA TRANSFER

• E.COMMUNICATION

Management of TSP domiciliations list,

Full interoperability network

Mandatory information traceability

Probative value attestation

Risk management & Resilience (1,2)

Cyber criminality report

VALIDATION PARTY

OPERATORS (TSP)

Opportunity to invoice asset archiving

Security: confidentiality, accountability

Proof of delivery (cloud domiciliation)

Proof of data integration and restitution

1. ISO/IEC 27006: operator audits and validation/certification

2. ISO/IEC 27035: security incident management

Free

Free

Opportunity to invoice insurance guaranty :

probative value & security issues

Standard 3DSA: third, Digital Safe Archiving !

Under control of the validation party !

Business Model for eID Adoption and Dematerialization in the Digital Economy

(Christian Schunck, Hans Graux & Eric Blot-Lefevre)

Signature électronique Quels niveaux de sécurité

pour quels usages?

30 septembre 2014

CONFÉRENCE SIGNATURE ELECTRONIQUE

1. Vialink, opérateur de service de e-confiance

2. La signature électronique 1. Qu’est-ce que c’est ? 2. A quoi ça sert ?

3. Quelle confiance lui accorder?

4. En pratique 1. Les enjeux 2. Les solutions déployées 3. L’atteinte des objectifs

2

Agenda

Tiers de confiance

Gestion de la preuve

Archivage numérique

Signature électronique

VIALINK c’est :

Dématérialisation

Mobilité

Coffre fort

Paiement SEPA

Opérateur de services de e-confiance

Présentation Vialink

Filiale à 100% du groupe BRED depuis + de 10 ans

Nos clients : -Des dizaines d'établissements financiers: Assurances, banques, sociétés financières.

-Des milliers d'entreprises de tous les secteurs d'activités : BTP, industrie, santé, environnement, services...

+ de 5 millions de signatures enregistrées par an

+ de 30 millions de signatures conservées depuis 2003

+ de 3,3 Millions de CA en 2013

VIA

LIN

K E

N C

HIF

FRES

Opérateur de services de e-confiance

Présentation Vialink

Etre un intégrateur qui

réalise des solutions

sur-mesure ou clé en main grâce à des modules

technologiques innovants.

Notre force

Opérateur de services de e-confiance

Présentation Vialink

Solutions Sur-mesure

Signature électronique, PKI, certificats électroniques, archivage, horodatage,

hébergement, sécurité…

Solutions Clé en main

– Solutions de signature et d’archivage

– Solutions de sécurité

– Solutions de dématérialisation

– Solutions de paiement

Les solutions Vialink et nos références

Vialink opérateur de e-Confiance Opérateur de services de e-confiance

Présentation Vialink

Une signature est le recueil du consentement. La signature électronique ajoute la confiance. La signature électronique correspond à la mise en œuvre de procédés humains et cryptographiques permettant d’identifier le signataire d’un document électronique , de garantir son authenticité et son intégrité. Depuis 2000, le droit français reconnait la même valeur à la signature électronique et manuscrite. Demain, le règlement européen e-IDAS voté en avril 2014 s’appliquera aux 28 Etats membre de l’UE. Celui–ci implique la reconnaissance mutuelle des identités numériques et des services de confiance pour les transactions électroniques réalisées au sein du marché intérieur.

Qu’est-ce que c’est?

La signature électronique

Vous valider des flux

financiers avec EBICS TS

?

Vous communiquez

avec vos clients via mail

?

Vous procédez à la

souscription de produit

depuis votre site Web

?

Vous procédez par mandat

pour vos prélèvements

?

VOUS ÊTES PRÊT À PASSER À LA

SIGNATURE ÉLECTRONIQUE.

Vous contractualiser

avec des partenaires

?

A quoi ça sert?

La signature électronique

La signature électronique garantit:

Quoi ? C’est-à-dire ?

L’identité du signataire Qui est mon co-signataire

L’infalsifiabilité de la signature Impossible d’imiter une signature électronique

La non réutilisation de la signature La signature est unique pour chaque document

L’intégrité du document signé Toute modification à postériori invalide la signature

La non répudiation du signataire Toute signature ne peut être niée

La date et l’heure de la signature Impossible d’antidater la signature

A quoi ça sert?

La signature électronique

L’identité numérique

La confiance dans la signature est pour partie liée au niveau de sécurité mit dans la génération et les process de remise du certificat du signataire.

On distingue 3 niveaux:

1. La signature simple: L’identification est basée sur la déclaration du signataire, son identité numérique est sous forme logicielle.

Ex: Signature de conditions générales.

2. La signature sécurisée: Un face à face est réalisé avec le signataire et son identité numérique est stockée sur une puce cryptographique standard.

Ex: Web banking, Transfert EBICS-TS. 3. La signature avancée: Un face à face est réalisé avec le signataire et son identité

numérique est stockée sur une puce cryptographique renforcée. En cas de litige, c’est à l’accusation de prouver le défaut dans la signature.

Ex: Signature d’actes notariaux.

La signature électronique Quelle confiance lui accorder?

La signature électronique

Jean-François DIDIER – RSSI BRED

Témoignage Client

La mise en place de la signature sur tablette à pour objectif: D’offrir mobilité et réactivité aux clients

(souscription simplifiée aux produits bancaires).

Elargir l’autonomie des clients au regard de

leurs opérations bancaires (gestion de pouvoirs, virements internes/externes…).

De limiter l’archivage papier des opérations

courantes.

En pratique Enjeux de la signature au sein de la BRED

Signatures déployées au sein de la BRED 3 niveaux de signature : - niveau 1: OTP ( One Time Password) + Signature à la volée. Ex: 300 signatures / mois pour des souscriptions de

produit en ligne. - niveau 2: Signature sur équipements mobiles. Ex: 50 signatures / mois pour des souscription de

produit en ligne.

Les process de signature simple comme la signature sur tablette en agence permettent de dématérialiser 300 000 documents chaque mois.

- niveau 3 : Signature via support cryptographique. Ex: 38 000 signature / mois.

En pratique

Objectifs atteints

L’archivage est désormais électronique.

Les remises de chèque sont désormais

dans le coffre fort du client.

Adhésion des clients avec remise de justificatif papier à la demande.

Valorisation de l’expertise du conseiller par la simplification des opérations basiques.

En pratique

MERCI DE VOTRE ATTENTION

Une signature électronique résulte de la confiance dans l’identification du signataire et de la robustesse des mécanismes cryptographiques. L’identification numérique est effectué par un tiers de confiance qui délivre un certificat électronique, la pièce d’identité numérique du signataire. Un module technique réalise une empreinte (un hash) unique de l’élément à signer et réalise des opérations mathématiques complexes entre le hash et les informations propres au signataire.

La signature électronique: Comment ça marche?

En pratique

Quelle confiance lui accorder ?

Le respect des normes La signature électronique est régie par des standards techniques. Ici aussi différents niveaux de sécurité et traçabilité sont possibles.

Exemple de Signature Xades (ETSI TS 101903)

En pratique

QUESTIONS