eIDAS permet de sécuriser les signatures électroniques et de renforcer la confiance sur le marché européen

Qualification eIDAS pour CDC Arkhineo

 Cet été, CDC Arkhinéo a obtenu la qualification européenne eIDAS pour la validation et la préservation des signatures et cachets électroniques qualifiés.

 

Qualification eIDAS

CDC Arkhinéo devient le premier (et à ce jour le seul) acteur français à obtenir cette double qualification et devient donc ainsi Prestataire de Services de Confiance Qualité eIDAS, (PSCQ ou QTSP en anglais). 

En quoi consiste cette double qualification ? 

 

La validation des signatures/cachets électroniques qualifiées

En sa qualité de PSCQ, CDC Arkhinéo effectue une validation de la signature associée au document archivé afin de s’assurer, en amont du versement, que la signature électronique (ou le cachet) est bien valide. 

Ainsi, CDC Arkhinéo va : 

• S’assurer de la présence de la signature et de l’intégrité du document transmis,

• Vérifier que le certificat utilisé était bien valide (non échu et non révoqué) au moment de la signature,

• Identifier le signataire,

• Interroger les services externes nécessaires (« Trusted-list » européenne, jetons OCSP, listes de certificats révoqués etc.)

A l’issue de ce processus de validation de la signature, un rapport de validation est généré au format XaDES (XML signé) et celui-ci est ajouté aux éléments de l’enveloppe d’archive au même titre que l’Objet d’Archive et le fichier de Métadonnées. Il est intégré dans le scellement de l’archive ; permettant ainsi d’apporter ultérieurement la preuve de la validité de la signature au moment du versement en archivage du document signé de manière électronique.

Dans le cadre de ce service, nous vous avertissons lorsqu’un document comportant une signature non valide a été archivé. Pour les signatures valides vous disposez donc de tous les éléments de preuve relatifs à celles-ci. 

 

La préservation des signatures/cachets électroniques qualifiées

Les signatures électroniques sont associées à l’utilisation d’algorithmes cryptographiques. Ceux-ci sont susceptibles d’évoluer en fonction des risques de piratage ou d’obsolescence technologique. Le règlement eIDAS a donc introduit un service de confiance dédié à la préservation des signatures électroniques. Ainsi, en cas d’alerte par les autorités en charge de la Sécurité des Systèmes d’Information (en France, l’ANSSI) liée à une éventuelle compromission de l’algorithme utilisé, CDC Arkhinéo en tant que PSCQ effectuera une sur-signature du document avec un nouvel algorithme plus récent et plus robuste. Ce qui empêchera toute modification de l’algorithme de signature et potentiellement toute « appropriation » de la signature par une personne/organisation « malfaisante ».

 

Cette protection permet aux organisations utilisant un service d’archivage électronique à valeur probatoire pour la conservation de documents dotés d’une signature électronique, de disposer de documents recevables juridiquement en cas de contentieux, mais aussi de se protéger d’éventuelles cyberattaques, d’éviter le vol de données et de se prémunir contre l’obsolescence technologique ou la compromission des algorithmes utilisés pour la signature.