Signé, sécurisé, délivré : Authentifier les accords numériques à l'heure du Web3

Sameer Hajarnis,

Avec l'essor de l'économie numérique, les entreprises et les consommateurs se sentent de plus en plus à l'aise pour effectuer des transactions de grande valeur en ligne. Pour suivre le rythme du Web3, les organisations ont dû proposer des alternatives numériques flexibles à leurs processus commerciaux. Parmi ces processus figure la signature électronique, ou plutôt "e-signature", l'alternative numérique à la signature de documents en personne. Bien que les signatures électroniques facilitent le processus de consommation, de nombreuses organisations négligent les pratiques de sécurité tout au long du cycle de vie de la transaction. Parallèlement, la notarisation en ligne à distance devient également plus courante, les transactions de grande valeur, notamment les accords contractuels, les hypothèques et les procurations, étant numérisées. Alors que le paysage des menaces continue de progresser, on craint de plus en plus que les pirates informatiques ne manipulent l'intégrité des accords numériques, d'autant plus que de plus en plus de transactions d'une valeur de plus en plus élevée ont lieu en ligne.

Selon MSB Docs, 65 % des entreprises qui utilisent le stylo et le papier déclarent que la collecte des signatures physiques ajoute une journée entière à leur processus de travail. En plus d'accélérer le flux de travail, la signature électronique améliore l'expérience du client, élimine les erreurs, assure le suivi des processus, etc. La banalisation de la signature électronique s'est produite si rapidement, mais elle était si pratique que de nombreuses organisations ont négligé les mesures de sécurité lors de la mise en œuvre de ces processus numérisés.

Parallèlement, les cyberattaques deviennent de plus en plus sophistiquées ; récemment, le Neustar International Security Council a constaté que seule la moitié des entreprises disposent des budgets nécessaires pour répondre à leurs exigences actuelles en matière de cybersécurité. Cette situation est particulièrement alarmante pour les secteurs qui effectuent des transactions en ligne de grande valeur, comme les banques, les soins de santé, les administrations publiques, etc. Selon l'Insurance Information Institute, le nombre d'usurpations d'identité a augmenté de 45 % en 2020, et la transformation numérique rapide qui a eu lieu au cours de cette année-là n'aurait pas contribué à améliorer ce chiffre.

Missing élément de média.

La principale raison pour laquelle les entreprises continuent d'abandonner la cybersécurité est qu'elles pensent qu'elle perturbera le parcours client. L'abandon et la désaffection des clients ont atteint des sommets et, aujourd'hui, le moindre désagrément fait fuir les consommateurs. Alors que les clients recherchent la confiance numérique, de nombreuses entreprises pensent que les processus de sécurité peuvent perturber l'expérience client, mais l'enquête 2022 de Digicert sur l'état de la confiance numérique a révélé que 47 % des consommateurs ont cessé de faire des affaires avec une entreprise après avoir perdu confiance dans la sécurité numérique de cette dernière. Par ailleurs, 84 % des clients envisageraient de changer de fournisseur.

Compte tenu de ces conséquences, les organisations devraient envisager les cyberinitiatives suivantes pour sécuriser les interactions numériques.

Conformité

Les entreprises doivent se conformer aux exigences en matière de sécurité des signatures électroniques. Les solutions de signature électronique sont régies par les lois ESIGN et UETA. Ces lois ont été adoptées pour (1) renforcer la légitimité des signatures électroniques dans le monde des affaires, (2) s'assurer que toutes les parties ont consenti à faire des affaires par voie électronique et (3) authentifier l'identité du signataire. Ces réglementations peuvent varier en fonction de la situation géographique et/ou du secteur d'activité de l'entreprise.

Au cours de l'année écoulée, neuf Américains sur dix ont été victimes d'une tentative de fraude. Pour protéger les identités et les informations critiques des utilisateurs, le gouvernement est intervenu pour faire appliquer des mesures de sécurité strictes. Il est de la plus haute importance que les solutions de signature électronique soient conformes à ces lois, car elles garantissent le plus haut niveau de sécurité et réduisent la probabilité d'une fraude à l'identité.

Lorsqu'il s'agit de notarisation en ligne à distance, les exigences de conformité deviennent encore plus complexes. Alors qu'une notarisation traditionnelle nécessite un contrôle en personne pour protéger les droits personnels et les biens des acteurs menaçants, une notarisation en ligne à distance exige des organisations qu'elles authentifient virtuellement l'identité des demandeurs. Les demandeurs doivent vérifier virtuellement leur identité par le biais de la vérification d'identité et de l'authentification basée sur les connaissances (KBA), puis exécuter la signature électronique avant qu'elle ne soit apposée par le notaire. Le non-respect de ces exigences de conformité peut entraîner la responsabilité civile des notaires ou la perte de leur licence.

Certificats de réussite

Les vendeurs doivent fournir une attestation de réussite dès la signature d'un accord électronique. Cette attestation doit inclure l'adresse IP de l'associé, son adresse électronique, la date, l'horodatage, les noms et tous les autres aspects de la transaction. Le certificat servira d'enregistrement légal de la transaction et devra être stocké sur un site sécurisé afin d'éviter toute falsification. De cette manière, les organisations peuvent être sûres que toutes les signatures électroniques sont légales et qu'elles tiendront la route devant un tribunal. Lorsqu'ils notarisent un document en ligne, les consommateurs doivent obtenir un certificat numérique qui fournit la preuve de la notarisation.

L'authentification

Pour garantir le plus haut niveau de sécurité, les fournisseurs de signatures électroniques doivent également proposer un système de cryptage à deux clés, tel que l'infrastructure à clé publique (PKI), et/ou une vérification en deux étapes. Cela permet d'éviter les attaques telles que l'homme du milieu (MITM), une attaque courante où un attaquant se positionne entre deux parties et tente d'intercepter les informations échangées entre elles. L'authentification réduit également la probabilité globale de compromettre des informations.

Pour les notarisations en ligne, les organisations peuvent atténuer les risques de sécurité grâce à la vérification de l'identité, au KBA et aux contrôles de sécurité intégrés qui empêchent les participants de signer au nom d'autres personnes.

Les processus numériques et les interactions avec les clients doivent être sécurisés à chaque point de contact tout au long d'une transaction. La plupart des fournisseurs exigent une vérification unique, ce qui peut sembler sûr pour les consommateurs lorsqu'ils effectuent une transaction. Mais pour sécuriser les signatures électroniques et les notarisations, une authentification continue est essentielle - les organisations doivent sécuriser chaque interaction tout au long du parcours du client.

La numérisation des transactions de grande valeur offre de nombreux avantages à une organisation, mais elle présente également un certain nombre de risques si les cybermenaces qui y sont associées restent ignorées. Dans le monde du Web3, les organisations doivent être pleinement conscientes des cyberattaques, des menaces internes et des manquements à la conformité qui menacent la validité des transactions en ligne. En ce qui concerne les notarisations en ligne, il est important qu'elles se déroulent dans un environnement sécurisé, car elles concernent des secteurs où des informations précieuses sont transférées (automobile, banque, immobilier, droit et assurance).

Suite à cette prise de conscience, la sécurité doit être intégrée dans tous les choix que font les fournisseurs d'applications. Les fournisseurs de solutions doivent adopter un niveau de sécurité accru pour l'intégrer dans le tissu de toutes les transactions et de tous les accords. Les organisations, en particulier celles qui traitent des transactions de grande valeur, devraient investir dans des solutions alternatives de signature électronique et de notarisation qui utilisent l'authentification multifactorielle, la vérification de l'identité, le cryptage et d'autres processus sécurisés. Ces processus protègent les informations importantes et garantissent que les personnes qui effectuent la transaction sont bien celles qu'elles prétendent être.

Ce blog, rédigé par Sameer Hajarnis, CPO chez OneSpan, a été publié pour la première fois dans Cybersecurity Insiders en mai 2023.

Missing élément de média.

Sameer est un chef de file en matière de signature électronique avec OneSpan et possède plus de deux décennies d'expérience dans les logiciels d'entreprise et les sociétés SaaS. Il dirige une équipe de professionnels de la vente qui aident les clients à numériser les flux de travail de signature électronique et de vérification d'identité.