La sécurité d'un document dématerialisé se construit autour des notions bien connues d'intégrité, de confidentialité et de non-répudiation. Ces trois piliers de la sécurité sont aujourd'hui parfaitement intégrés aux techniques issues du chiffrement asymétrique, dont la signature électronique. « C'est elle que nous mettons le plus souvent en oeuvre. Elle permet d'assurer l'intégrité et la non-répudiation des transactions », explique Jean-Yves Faurois, directeur Sécurité et Qualité chez Certplus.

Et lorsque l'on parle de signature électronique, les PKI (infrastructures à clé publique) ne sont jamais très loin : elles sont les mieux adaptées pour créer, gérer et révoquer les certificats indispensables à la signature d'un document.

Hébergée sur Internet (Entrust, Baltimore, IdealX) ou externalisée (Certplus, VeriSign), la PKI n'est pourtant que le point de départ de la gestion des certificats numériques au format X.509. Ce sont ces derniers qui rendent tout possible. Avec la clé privée qui leur est associée, ils permettent la signature d'un document (assurant son intégrité et sa non-répudiation), et peuvent également assurer son chiffrement (garantissant sa confidentialité).

« Nous croyons beaucoup en la PKI. D'un point de vue technique et procédural, c'est ce qui nous semble représenter la meilleure solution aujourd'hui », reconnaît Bertrand Barroux, directeur technique de la société b-process, spécialiste de la dématérialisation des documents.

Mais si le certificat est la clé de voûte de la confidentialité de tout projet de dématérialisation, ce n'est pas suffisant. « Un certificat X.509 permet de garantir l'authenticité dans l'espace [un utilisateur, une machine, Ndlr], mais pas dans le temps », prévient Peter Silvester, concepteur du projet OpenEvidence chez la SSII EdelWeb. Il met ainsi en lumière le besoin d'horodater les documents, une contrainte de sécurité propre à la dématérialisation. « L'horodatage n'est pas un composant essentiel pour la majorité des PKI, mais il est crucial dans un projet de dématérialisation. Il faut être capable de garantir que tel document a été enregistré par tel utilisateur, à telle date », précise Joël Milgram, consultant chez l'éditeur Software AG.

L'architecture de sécurité idéale pour un projet de dématérialisation des documents est ainsi constituée de certificats X.509 gérés par une PKI, elle-même liée à un service d'horodatage de confiance (de préférence externalisé), et le tout intégré au processus de décisionnel spécifique de l'entreprise.

Hélas, cette structure est loin d'être courante. « Nous n'avons aujourd'hui aucun client en production qui utilise des certificats ! », s'exclame Bertrand Barroux. Et pourtant, la société dispose de sa propre autorité de certification, et reconnaît tous les certificats du marché. Elle utilise donc pour l'instant le couple login-mot de passe sur un tunnel SSL, associé à une authentification par LDAP. Mais la situation devrait évoluer rapidement. Le certificat X.509 est, en effet, de plus en plus reconnu par les applications récentes.