Sécurité des téléprocédures : les ministères en ordre dispersé

Les échanges de formulaires effectués chaque année entre l’Administration et les entreprises se chiffrent à plusieurs dizaines de millions d’exemplaires. De l’obligation des grandes entreprises à déclarer leur TVA en ligne à la possibilité d’effectuer les déclarations sociales via le portail net-entreprises.fr, ces formulaires sont multiples. Internet s’est imposé de fait comme le vecteur idéal de leur dématérialisation. Ses avantages sont la diminution des coûts et la rapidité des traitements. A condition, bien sûr, d’en sécuriser les échanges. L’infrastructure à clés publiques (ICP) répond à ce besoin dans la mesure où elle offre des services d’authentification et de confidentialité. Mais encore faut-il que toutes les instances de l’Etat s’accordent sur un modus operandi commun, passage obligé d’un guichet unique sécurisé ouvert à l’ensemble des téléprocédures.

Un manque de coordination interétatique

Le projet TéléTVA n’est donc, dans ce contexte, que la première expression de cette volonté gouvernementale. Le ministère des Finances (Minefi) réceptionne, en effet, plus de 16 millions de déclarations de TVA chaque année. Pour commencer, il ne s’est adressé qu’aux entreprises réalisant un chiffre d’affaires de plus de 15 millions d’euros (100 millions de francs), soit dix-sept mille d’entre elles. Celles-ci sont donc désormais dans l’obligation de déclarer et de régler leur TVA en ligne. Pour ce faire, elles doivent disposer d’un certificat d’authentification référencé par le Minefi, mais moins d’un millier d’entre elles sont effectivement équipées. Près de quatre mille autres ont seulement entamé la démarche. Le Minefi a donc d’ores et déjà défini sa propre politique de certification, étape indispensable pour encadrer les échanges. Les opérateurs de certification référencés sont Certinomis et Certplus, tandis que les autorités de certification sont en majorité des banques. Le problème ? Ni autorité ni opérateur de certification, le Minefi est dans l’impossibilité technique d’arrêter une autorisation accordée à un certificat. “ Si le Minefi reconnaît n autorités de certification à un moment donné, il n’a plus, par la suite, la possibilité de valider les certificats, puisque cette tâche a été déléguée aux fournisseurs référencés “, explique un observateur.

Des mots de passe, en attendant la signature électronique

Une telle approche répond aux exigences de sécurité en circuit fermé propres à la TVA, dont le règlement est effectué auprès de la Banque de France. Mais elle n’est pas forcément adaptée aux nouvelles téléprocédures applicables, entre autres, aux impôts sur les sociétés, à la taxe professionnelle et aux taxes foncières.Cette limitation est d’autant plus pénalisante que, de son côté, le Groupement d’intérêt public de modernisation des déclarations sociales (GIP-MDS) lance parallèlement ses propres projets. Il compte, en effet, employer lui aussi des certificats pour sécuriser les téléprocédures des organismes de protection sociale. Le ministère de l’Emploi et de la Solidarité assure la tutelle de ce groupement dont les membres cumulent le traitement de plus de 130 millions de formulaires chaque année ! Certes, le GIP-MDS a déjà ouvert un portail, baptisé Net-entreprises.fr. Mais, à la place des certificats, il émet des mots de passe associés aux fiches Siret de l’entreprise. Cependant, “ Leur niveau de sécurité est trop faible pour être tenable à moyen et long termes. Il nous faut, en effet, une authentification forte, voire une signature électronique “, reconnaît volontiers Jacques Sauret, directeur général du GIP-MDS.

Un cadre technique commun est nécessaire

Le GIP-MDS envisage donc de s’instituer d’emblée autorité de certification. Il cite comme partenaire possible le Conseil supérieur de l’Ordre des experts-comptables (CSOEC), qui exploiterait la plate-forme technique de l’infrastructure à clés publiques. Mais c’est compter sans les Experts-comptables de France, l’un des trois principaux syndicats de la profession. Son système d’ICP, basé exclusivement sur la carte à puce, est d’ores et déjà opérationnel. Frustrée par l’état d’avancement des travaux du GIP-MDS, la Caisse nationale d’assurance maladie (Cnam) prépare, quant à elle, le lancement de sa propre ICP. Cette multiplication d’initiatives menace toute velléité d’interopérabilité. Ce qui pousse Jacques Sauret à appeler de ses v?”ux la définition d’un cadre technique accepté par tous. Les 90 % d’entreprises françaises qui emploient moins de neuf salariés et qui hésitent à investir dans des solutions à base de certificats pourraient ainsi en bénéficier.Ajoutons à cela que la Direction centrale de la sécurité des systèmes d’information (DCSSI), qui doit fortement contribuer au chantier, tarde à publier le schéma d’accréditation nationale pour la signature électronique. Son objectif est de définir les critères techniques pour l’accréditation des opérateurs et des fournisseurs. Chaque ministère pouvant ensuite les décliner plus facilement sur ses propres projets. Mais, là aussi, le consensus fait défaut. Le Minefi, qui planche également sur le dossier, prend les devants. Le service de certification de la DCSSI, en charge de l’évaluation de la sécurité, ne disposerait plus que d’un droit de regard. Alors même que la DCSSI se rapproche des organismes sociaux, dont la Cnam, à laquelle elle promet de valider ses initiatives d’ICP.

Le projet de la DCSSI est contesté par les spécialistes

L’incertitude plane aussi sur le modèle d’interopérabilité. Dans une récente étude commandée par les instances publiques, la DCSSI pencherait pour un modèle ?” controversé ?” de certification croisée. Celui-ci implique d’établir un dialogue croisé entre les différentes politiques de certification au moment même où elles ne cessent de se multiplier ! Il impose également le stockage de plusieurs certificats sur une seule carte à puce. Mais la limitation des capacités de cette carte nuit, selon les spécialistes, à un niveau élevé de sécurité. Autre inconvénient de ce modèle, l’interrogation simultanée de différentes listes de révocations risque d’encombrer le réseau… L’alternative consisterait alors à créer une autorité racine neutre. Laquelle garantirait d’emblée un minimum d’homogénéité dans les standards de sécurité, facilitant de facto une interopérabilité européenne.

TéléIR : le ministère des Finances donne un blanc-seing à Certplus

L’opérateur de certification délivrera potentiellement plus de 30 millions de certificats aux contribuables français.

Le contribuable n’aura guère le choix du prestataire pour régler ses impôts via internet. Le ministère des Finances sera la seule et unique autorités de certification de l’enregistrement. Principe de fonctionnement : pour récupérer son certificat en ligne, le contribuable devra saisir un mot de passe personnel et un numéro figurant sur la feuille d’imposition antérieure. Or, en pleine campagne électorale, le projet de règlement en ligne de l’impôt sur le revenu TéléIR n’a pas droit à l’erreur. Les dysfonctionnements de l’année dernière ayant conduit à l’envoi erroné de fiches d’imposition hantent encore les esprits au ministère. Et certains vont jusqu’à murmurer que l’émission de certificats pour le projet TéléIR pourrait être reportée. Son lancement reste néanmoins prévu pour février. Le ministère, qui a confié l’exclusivité de l’exploitation technique de ces services à Certplus, doit encore interfacer l’annuaire de ce dernier avec celui de la Direction générale des Impôts. Sachant que les certificats TéléIR pourront aussi être utilisés sur bon nombre de sites de commerce électronique. Lesquels sont majoritairement approvisionnés en certificats SSL par Verisign, parrain américain de Certplus.

L’événement : Témoignages : les entreprises en attente du certificat unique

Après s’être frottées au projet TéléTVA, lancé l’été dernier par le ministère des Finances, les entreprises veulent une harmonisation des téléprocédures.

Les certificats de déclaration de la TVA ont séduit : ” Sur internet, les échanges de documents avec la Direction générale des Impôts sont rapides et permettent de supprimer tout règlement manuel “, souligne Cyriaque Guespin, responsable TéléTVA au service de comptabilité de Bayer France. Une fois les formalités d’inscription accomplies, les échanges sont, en effet, d’une grande simplicité et peu onéreux. Avantages d’autant plus appréciés par les grandes entreprises que bon nombre d’entre elles doivent étendre la distribution des certificats de téléTVA à leurs filiales : “ Il suffit que la maison mère d’un groupe soit rattachée à la Direction des grandes entreprises pour que l’ensemble de ses filiales détenues majoritairement tombe sous l’obligation d’effectuer des téléprocédures. Et ce quel que soit leur chiffre d’affaires, relève Claude Mégevet, directeur financier adjoint du groupe Colas. Notre société étant organisée en sous-groupes régionaux rassemblant plusieurs sociétés, ce sont près de cent cinquante collaborateurs qu’il nous a fallu doter de certificat. “ Chez Bayer France, en revanche, l’émission des certificats de son prestataire Certinomis semble s’être déroulée plus simplement. “ Nous avons déclaré dix certificats secondaires pour l’ensemble de nos filiales, explique Cyriaque Guespin. Pour chaque société, nous avons attribué à deux personnes la possibilité d’effectuer les télédéclarations. Et comme, par ailleurs, une personne peut être affiliée à deux sociétés, un seul certificat peut dès lors suffire. A condition, cependant, que les deux personnes disposent de codes d’accès différents. “ Le siège de Bayer est toutefois en attente du renouvellement de son certificat de tests émis au printemps dernier… De fait, ces entreprises cobayes souhaitent que le ministère affine sa démarche et qu’il leur fournisse un certificat unique pour l’ensemble de leurs téléprocédures, déclarations sociales incluses. Et ce même si, à l’intérieur des entreprises, la coordination entre les services de comptabilité et des relations humaines est, bien souvent, encore balbutiante. Or, pour les futures téléprocédures, la Direction des grandes entreprises leur proposerait dans un premier temps une sécurité par un mot de passe lié au numéro de Siret. Ces téléprocédures seraient alors applicables à l’impôt sur les sociétés, ainsi qu’au télépaiement de la taxe professionnelle, des taxes foncières et des taxes sur les salaires au mois de mars prochain. ” Nous restons très inquiets au sujet de ces futures téléprocédures, car elles ne seront pas sécurisées par un certificat “, souligne Claude Mégevet.

L’événement : Thierry Piette Coudol (avocat, président de l’Ialta): ” Un Monsieur sécurité pour l’Administration “

Force est de constater que les administrations avancent vers les téléprocédures en ordre dispersé. Chacune donne l’impression de tirer la couverture à elle. Le ministère des Finances a naturellement tendance à aller plus vite. Il est déjà fortement informatisé et exploite de grosses bases d’informations. Or, il aurait fallu commencer par définir un cadre technique global pour la signature électronique. Puis le décliner par ministère. Les travaux engagés par le Projet d’action gouvernemental pour la société de l’information (Pagsi) n’ont pas abouti. Si l’impulsion vient forcément de l’Etat, elle ne doit pas pour autant faire l’impasse sur un partenariat avec les fournisseurs. L’instance représentative en étant la Fédération nationale des tiers de confiance. Une solution serait de nommer un Monsieur sécurité au sein même de l’Administration. Il aurait en charge, à la fois, l’usage des certificats, la signature électronique et le chiffrement.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Samuel Cadoganet et Christine Peressini