Par le certificat réglementé d’autorité, l’OFIT met à disposition une prestation de marché permettant à une organisation de cacheter électroniquement ses documents. Un cachet de cette nature sert à vérifier l’origine (l’authenticité) et l’intégrité d’un document.
Cachet légal pour les documents d’une organisation
Depuis l’Antiquité, mais surtout au Moyen-Âge, les monarques scellaient leurs missives d’un cachet de cire royal. L’intégrité du message était préservée jusqu’à son ouverture par le destinataire légitime. Si le sceau était rompu, le destinataire pouvait douter de l’intégrité de la dépêche, et le cas échéant ne pas exécuter les ordres reçus. Les cachets officiels apposés sur les documents par le secrétariat sur mandat du directeur poursuivaient un but semblable: leur destinataire pouvait reconnaître qu’il s’agissait bien de l’autorité prétendue.
Ce qui avait physiquement cours au Moyen-Âge et jusqu’il y a peu devient aujourd’hui possible sous forme électronique. Grâce au certificat réglementé d’autorité, l’OFIT peut offrir un moyen d’apposer un cachet officiel électronique ou un «sceau de l’autorité». Il complète ainsi son portefeuille de certificats: outre son certificat avancé de classe B inséré dans sa carte à puce, chaque collaborateur de la Confédération peut de la sorte demander un certificat de signature de classe A personnel et qualifié. Dorénavant, une autorité pourra solliciter un certificat réglementé d’autorité pour des personnes morales et créer ainsi un cachet légal électronique de l’autorité. Les clients pourront donc signer un document par le certificat personnel de classe B de leur carte à puce (approprié aux documents internes à la Confédération), par leur certificat personnel de classe A (équivalant à une signature manuscrite pour les documents destinés à des tiers) ou par le certificat réglementé d’autorité de classe A (en tant qu’organisation ou office). Les certificats de classe A sont conformes à la loi sur la signature électronique (SCSE, voir encadré). Selon Nicole Roemmel, gestionnaire de produit à l’OFIT, on pourra à l’avenir signer simultanément, rapidement et simplement de nombreux documents grâce au certificat réglementé d’autorité.
L’avenir: signature simultanée et parapheur
Sur mandat de l’Unité de pilotage informatique de la Confédération (UPIC), l’OFIT a développé le certificat réglementé d’autorité dans la perspective des services de signature standardisés de l’UPIC. Un exemple montre comment ce certificat réglementé d’autorité pourra être utilisé: l’Organe d’exécution du service civil (ZIVI) adresse quotidiennement de nombreuses décisions aux citoyens. Rattaché administrativement au Département fédéral de l’économie, de la formation et de la recherche, il les envoie à titre d’autorité fédérale compétente en matière de service civil. Nicole Roemmel explique que les services de signature permettent de déposer les certificats sur des modules matériels de sécurité (Hardware Security Modules, ou HSM). Et grâce au serveur de signatures, les solutions de signature peuvent être intégrées aux applications spécialisées. Dans le cadre de l’application, le client peut donc à moindre effort signer légalement plusieurs documents. Au ZIVI, les décisions sont déposées dans le système électronique de gestion des affaires GEVER. Le collaborateur de l’organe d’exécution classe ses décisions à envoyer dans un dossier et les fait signer valablement par le certificat réglementé d’autorité. Par un simple clic, tous les documents du dossier peuvent être cachetés électroniquement sans saisie d’un mot de passe supplémentaire. Pratiquement, l’application exécutera l’opération durant la nuit. Selon Nicole Roemmel, cette signature simultanée sera opérationnelle lors de la mise en service du serveur de signatures.
Par analogie avec le parapheur contenant les documents que la secrétaire soumettait sous forme papier au supérieur pour signature, le parapheur électronique est une autre application. Par le serveur de signatures et une application, l’utilisateur peut encore, en «feuilletant» les documents du parapheur, décider ou non de faire signer ou cacheter certains d’entre eux.
Délivrance par Swiss Government PKI
Lorsqu’un office ou une autorité entend faire établir un certificat réglementé d’autorité, une personne habilitée – dans la plupart des cas le directeur ou la directrice – doit définir qui est en droit de solliciter et d’utiliser ce certificat. La délivrance du certificat réglementé d’autorité est de la compétence exclusive de la Swiss Government PKI (SG PKI) au Titanic II de la Monbijoustrasse 74 à Berne. La procédure de délivrance est la même que pour le certificat de classe A. Le principe du double contrôle s’applique. Deux collaborateurs de la SG PKI surveillent la délivrance. Selon Nicole Roemmel, la sécurité dans l’établissement du certificat réglementé d’autorité est la priorité absolue et est régie par les conditions fixées dans la SCSE.
Pour apposer le cachet, un lecteur de cartes externe est nécessaire car le certificat est délivré sur une carte à puce. À titre de solution de rechange, l’OFIT offre un moyen plus compact grâce à une puce séparable (analogue aux cartes SIM) et un lecteur USB adéquat. Le jeton de données (carte à puce ou puce) est protégé par un NIP. Le destinataire peut contrôler le cachet par le validateur (www.validator.ch) et constater que l’autorité a bien signé le document. L’avantage est qu’il peut ainsi vérifier l’authenticité et l’intégrité du document. Le certificat réglementé d’autorité n’est valable qu’en Suisse et peut être utilisé pour des documents, mais non pour des courriels. Vous trouverez davantage d’informations sur la plateforme clients de l’OFIT: intranet.bit.admin.ch
Système en place avant la fin de l’année
L’infrastructure des signatures et cachets basés sur les serveurs et apposés sur les documents PDF/A est actuellement mise en place dans le cadre du projet sur les services de signature (V1.5). Pour Stéphane Habegger, chef de projet à l’OFIT, le but est de préparer le système pour la fin de l’année afin que les applications spécialisées des clients puissent être raccordées dès le premier trimestre 2019. Dès lors, rien ne s’opposera plus à la signature simultanée et au parapheur électronique: les clients de l’OFIT pourront en quelques clics et en saisissant une seule fois leur NIP signer ou cacheter plusieurs documents PDF/A en même temps.
Loi fédérale du 18 mars 2016 sur la signature électronique (SCSE)
La SCSE règle les exigences de qualité auxquelles doivent répondre certains certificats numériques et leur utilisation, de même que les conditions auxquelles les fournisseurs de services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques (services de certification) peuvent être reconnus. Elle précise également les droits et les devoirs des fournisseurs reconnus de services de certification. Elle vise encore à favoriser l’utilisation des certificats numériques, des signatures électroniques et des cachets électroniques
Texte: Rinaldo Tibolla
Abonnez-vous gratuitement à l'«Eisbrecher»
Tous les trois mois, recevez les dernières nouvelles sur des thèmes informatiques au sein de l'administration fédérale et des projets actuels de l'OFIT.