mise en œuvre de la signature électronique en agence dans …€¦ · · 2015-02-05une...
Post on 09-May-2018
213 Views
Preview:
TRANSCRIPT
Mise en œuvre de la signature électronique en agence
dans les agences du Crédit Agricole
Olivier SCHERSCHEL
Responsable MOA Distribution Multicanal
Projet mené dans le cadre du Programme NICE
visant à construire un SI « orienté client »
Contexte projet
39 caisses régionales
6.500 agences bancaires
40.000 tablettes
Une progressivité du périmètre
des opérations éligibles
Périmètre du projet SEA
les opérations de caisse et la remise des
moyens de paiements
les contrats d’épargne, les contrats de
services et les contrats d’assurance
les contrats Crédit conso, les comptes
titres, les conventions de compte…
2013
2015
2014
… un objectif « Zéro papier » en agence à fin 2016
Les premiers retours…
90% de clients satisfaits
avec moins de 5% « d’abandon client »
Une image de modernité avec notamment
la réduction de la consommation de papier
Une appropriation facile pour nos
clients et nos collaborateurs par
l’intégration de la SEA sans remise en
cause des process…
+
Vers de nouveaux usages…
L’arrivée des tablettes en agence :
un facteur d’accélération de la mutation de nos
agences vers le digital
Wifi
Client Espace
démonstration
Store
Collaborateurs
Poste de travail
sur tablette Mobilité
Nomadisme
Parcours
Clients
1
NORME 3DSA
WEGA PRECURSEUR
Banque & Innovation 2014
f
La signature dans le Cloud ….
Eric Blot-Lefèvre représentant de TDL au WG1 NIS Platform DG-CONNECT Commission Européenne
Mardi 30 septembre 2014
Banque & Innovation 2014
Espace Etoile Saint Honoré,
21-25 rue Balzac, 75008 Paris
Vision-Horizon 2016-2020
• Greenspan
• Cook – Sécurité centre de profit
– Risk Management : transformer les obligations de moyens en obligations de résultat (bilan digital)
– Traçabilité, Interopérabilité, Validation, Resilience (ISO 27006-35): transformer les applications Off Line en services On Line (SaaS)
2
2014 Réduction des IFM (-65% 1990, -31% 1999)
2014 Migration Off line / On line SaaS-IaaS !!
Que demande l’utilisateur ?
3
1. Une carte à authentification très forte:1.1. Un signal unique et confidentiel1.2. Un signal non rejouable1.3. Un signal dynamique et corrélé1.4. Une identité numérique réévaluée chaque jour1.5. Une identité numérique associée à des droits spécifiques1.6. Une identité numérique associée à des attributs spécifiques1.7. Une identité numérique associés à des conventions bilatérales1.8. Une identité numérique associés à des prestataires accrédités
2. Une carte gérant l’intégrité de la signature documentaire sous toutes ses formes (Xades, Cades, Pades, …)
3. Une carte universelle pour tous types de courriers, de contrats, de transactions et de paiements
4. Une carte garantie dans les réseaux de confiance numérique par une ou plusieurs instances de validation
5. Une carte compatible et interopérable entre « correspondence mailing » et « correspondance banking »
6. Une carte multinationale et multi-communautés procurant une mesure de la valeur juridique
7. Une carte protégeant avec le mobile la vie privée: secret documentaire et secret bancaire
8. Une carte unique pour tous les statuts de citoyen, d’employé, d’administré ou de communautés.
Entreprise, Citoyen ou Administré
Règlements / Directives Européenne 2016Nouvelle architecture de sécurité et de confiance numérique
4
I IDENTITY PRIVACYBY DESIGN
REGISTRATION AUTHENTICATION CLOUD FRONT OFFICE
CLOUD MIDDLE OFFICE
CLOUD BACK OFFICE
LEGAL DOCUMENT PDF & XML COMPLIANCY, SEALING & SIGNING
LEGAL CORRESPONDENC DELIVERY ARCHIVING, COMUTING, TRANSFER
IDENTITY PRIVACYBY DESIGN
VALIDATION PARTY
VALIDATION 1
VALIDATION 2
VALIDATION 3
VALIDATION 1’
DIGITAL ECOSYSTEME
Après 3D Secure….la norme 3DSA
5
1. DIGITAL STRONG AUTHENTICATION2. DIGITAL SIGNATURE APPLICATIONS 3. DIGITAL SAFE ARCHIVING
WEB-SERVICE FRONT OFFICE (1)
WEB-SERVICE MIDDLE OFFICE WEB-SERVICE BACK OFFICE
WEB-SERVICE VALIDATION
1 2 3
VALIDATION PARTY CERTIWAY
Electronic agreementsAttribute for access 365Legal template compliancyProof of acceptance
• Probative value• Proof of exchange• Legal archiving (WORM)
Sprint 2 : online contract signing for TDL members3DSA Compliant
SEPARATION REGLEMENTAIRE PRIVACY
4. 3DSA VALIDATION GUARANTY
(1) LEXIQUE DU NUMERIQUE et des TELECOMS: 3DSA SECURITE,Un standard global basé sur une authentification forte, porté par un module acoustique embarqué dans un support carte qui combine deux facteurs chiffrés d’identification et d’authentification, constitutifs de l’identité numérique du titulaire.
La signature digitale validée en cloud computing
• Pour le Marché comme pour les Règlements (1) modifiant la Directive des Services et la Directive de la
« signature électronique », chaque correspondance ou transaction doit être traitée dans ses 3
dimensions:
– Identification et authentification fortes
– Conformité du document et consentement du signataire
– Délivrance des originaux et archivage des preuves numériques
• Chaque correspondance ou transaction signée est soumise aux contraintes d’une Instance de
Validation:
1. pour mesurer en fonction de sa nature:
1. La sécurité (listes de révocation)
2. La confidentialité
3. La conformité légale et professionnelle
4. Les risques opérationnels encourus
2. pour assurer sa valeur probante (fiches de traçabilité) ainsi que l’interopérabilité entre les
parties, les prestataires et les pays, et la résilience de leurs procédures (ISO 27006-35).
(1) Règlements e.IDAS, Data Protection et Directive NIS Network Information Security
• REGISTRATION
• IDENTIFICATION (Idan Identity Document Account Number)
• AUTHENTICATION
Identity certificate dynamic rating
Management of Revocation Lists including
Bilateral Agreement Attributes,
Power of Attorney Signatory & Mandatory TSP
Management of Revocation by devices and by
correspondence forms
VALIDATION PARTY Operator customer contact
Annexe : Front Office Individual privacy control
New and opportunity
to deal with:
E.IDENTITY
creation on inter-change agreement
Rights
Confidentiality
Business Model: pay for
ID Certificate Dynamic Rating
Digital Dynamic Inter Change Agreement
ID Double Strong Authentication : 2 encrypted
factors Identification & authentication including
confidentiality and integrity by token embedded
Standard 3DSA: first, Digital Strong Authentication !
Business Model for eID Adoption and Dematerialization in the Digital Economy
(Christian Schunck, Hans Graux & Eric Blot-Lefevre)
Under control of the validation party !
Annexe : Middle Office compliancy and probative value
• Document creation (including seal: XADES, PADES, CADES)
• Specimen Consent to sign
• Specimen Autorisation to duplicate
Verification Qualified Signature used by
Mandatory Operators / CA’s
Electronic Signature Servers (upload)
XML Mandatory Informations
Integrality & Traceability
Probative Value Attestation
VALIDATION PARTY OPERATOR (Trust Service Providers)
Opportunity to invoice each document exchange
Or to invoice each duplicated documents
Controls of mandatory information
Update of mandatory information
Respect of bilateral rules (Id, Signatory, Domiciliation)
Pairing (between invoice and paiement)
XADES: secured integration of numerous and heterogeneous files pdf,
xml, edi, and proof of signature with many others descriptors files
Digital Signature On Line
Standard 3DSA: second, Digital Signature Applications !
Business Model for eID Adoption and Dematerialization in the Digital Economy
(Christian Schunck, Hans Graux & Eric Blot-Lefevre)
Under control of the validation party !
Annexe : Back Office Delivery
• ARCHIVING
• COMUTING ACCOUNT
• DATA TRANSFER
• E.COMMUNICATION
Management of TSP domiciliations list,
Full interoperability network
Mandatory information traceability
Probative value attestation
Risk management & Resilience (1,2)
Cyber criminality report
VALIDATION PARTY
OPERATORS (TSP)
Opportunity to invoice asset archiving
Security: confidentiality, accountability
Proof of delivery (cloud domiciliation)
Proof of data integration and restitution
1. ISO/IEC 27006: operator audits and validation/certification
2. ISO/IEC 27035: security incident management
Free
Free
Opportunity to invoice insurance guaranty :
probative value & security issues
Standard 3DSA: third, Digital Safe Archiving !
Under control of the validation party !
Business Model for eID Adoption and Dematerialization in the Digital Economy
(Christian Schunck, Hans Graux & Eric Blot-Lefevre)
Signature électronique Quels niveaux de sécurité
pour quels usages?
30 septembre 2014
CONFÉRENCE SIGNATURE ELECTRONIQUE
1. Vialink, opérateur de service de e-confiance
2. La signature électronique 1. Qu’est-ce que c’est ? 2. A quoi ça sert ?
3. Quelle confiance lui accorder?
4. En pratique 1. Les enjeux 2. Les solutions déployées 3. L’atteinte des objectifs
2
Agenda
Tiers de confiance
Gestion de la preuve
Archivage numérique
Signature électronique
VIALINK c’est :
Dématérialisation
Mobilité
Coffre fort
Paiement SEPA
Opérateur de services de e-confiance
Présentation Vialink
Filiale à 100% du groupe BRED depuis + de 10 ans
Nos clients : -Des dizaines d'établissements financiers: Assurances, banques, sociétés financières.
-Des milliers d'entreprises de tous les secteurs d'activités : BTP, industrie, santé, environnement, services...
+ de 5 millions de signatures enregistrées par an
+ de 30 millions de signatures conservées depuis 2003
+ de 3,3 Millions de CA en 2013
VIA
LIN
K E
N C
HIF
FRES
Opérateur de services de e-confiance
Présentation Vialink
Etre un intégrateur qui
réalise des solutions
sur-mesure ou clé en main grâce à des modules
technologiques innovants.
Notre force
Opérateur de services de e-confiance
Présentation Vialink
Solutions Sur-mesure
Signature électronique, PKI, certificats électroniques, archivage, horodatage,
hébergement, sécurité…
Solutions Clé en main
– Solutions de signature et d’archivage
– Solutions de sécurité
– Solutions de dématérialisation
– Solutions de paiement
Les solutions Vialink et nos références
Vialink opérateur de e-Confiance Opérateur de services de e-confiance
Présentation Vialink
Une signature est le recueil du consentement. La signature électronique ajoute la confiance. La signature électronique correspond à la mise en œuvre de procédés humains et cryptographiques permettant d’identifier le signataire d’un document électronique , de garantir son authenticité et son intégrité. Depuis 2000, le droit français reconnait la même valeur à la signature électronique et manuscrite. Demain, le règlement européen e-IDAS voté en avril 2014 s’appliquera aux 28 Etats membre de l’UE. Celui–ci implique la reconnaissance mutuelle des identités numériques et des services de confiance pour les transactions électroniques réalisées au sein du marché intérieur.
Qu’est-ce que c’est?
La signature électronique
Vous valider des flux
financiers avec EBICS TS
?
Vous communiquez
avec vos clients via mail
?
Vous procédez à la
souscription de produit
depuis votre site Web
?
Vous procédez par mandat
pour vos prélèvements
?
VOUS ÊTES PRÊT À PASSER À LA
SIGNATURE ÉLECTRONIQUE.
Vous contractualiser
avec des partenaires
?
A quoi ça sert?
La signature électronique
La signature électronique garantit:
Quoi ? C’est-à-dire ?
L’identité du signataire Qui est mon co-signataire
L’infalsifiabilité de la signature Impossible d’imiter une signature électronique
La non réutilisation de la signature La signature est unique pour chaque document
L’intégrité du document signé Toute modification à postériori invalide la signature
La non répudiation du signataire Toute signature ne peut être niée
La date et l’heure de la signature Impossible d’antidater la signature
A quoi ça sert?
La signature électronique
L’identité numérique
La confiance dans la signature est pour partie liée au niveau de sécurité mit dans la génération et les process de remise du certificat du signataire.
On distingue 3 niveaux:
1. La signature simple: L’identification est basée sur la déclaration du signataire, son identité numérique est sous forme logicielle.
Ex: Signature de conditions générales.
2. La signature sécurisée: Un face à face est réalisé avec le signataire et son identité numérique est stockée sur une puce cryptographique standard.
Ex: Web banking, Transfert EBICS-TS. 3. La signature avancée: Un face à face est réalisé avec le signataire et son identité
numérique est stockée sur une puce cryptographique renforcée. En cas de litige, c’est à l’accusation de prouver le défaut dans la signature.
Ex: Signature d’actes notariaux.
La signature électronique Quelle confiance lui accorder?
La signature électronique
La mise en place de la signature sur tablette à pour objectif: D’offrir mobilité et réactivité aux clients
(souscription simplifiée aux produits bancaires).
Elargir l’autonomie des clients au regard de
leurs opérations bancaires (gestion de pouvoirs, virements internes/externes…).
De limiter l’archivage papier des opérations
courantes.
En pratique Enjeux de la signature au sein de la BRED
Signatures déployées au sein de la BRED 3 niveaux de signature : - niveau 1: OTP ( One Time Password) + Signature à la volée. Ex: 300 signatures / mois pour des souscriptions de
produit en ligne. - niveau 2: Signature sur équipements mobiles. Ex: 50 signatures / mois pour des souscription de
produit en ligne.
Les process de signature simple comme la signature sur tablette en agence permettent de dématérialiser 300 000 documents chaque mois.
- niveau 3 : Signature via support cryptographique. Ex: 38 000 signature / mois.
En pratique
Objectifs atteints
L’archivage est désormais électronique.
Les remises de chèque sont désormais
dans le coffre fort du client.
Adhésion des clients avec remise de justificatif papier à la demande.
Valorisation de l’expertise du conseiller par la simplification des opérations basiques.
En pratique
Une signature électronique résulte de la confiance dans l’identification du signataire et de la robustesse des mécanismes cryptographiques. L’identification numérique est effectué par un tiers de confiance qui délivre un certificat électronique, la pièce d’identité numérique du signataire. Un module technique réalise une empreinte (un hash) unique de l’élément à signer et réalise des opérations mathématiques complexes entre le hash et les informations propres au signataire.
La signature électronique: Comment ça marche?
En pratique
Quelle confiance lui accorder ?
Le respect des normes La signature électronique est régie par des standards techniques. Ici aussi différents niveaux de sécurité et traçabilité sont possibles.
Exemple de Signature Xades (ETSI TS 101903)
En pratique
top related