Signature électronique avec les cartes à puce PIV et CAC dans les agences gouvernementales américaines

Dilani Silva,

En ce qui concerne la confidentialité et la sécurité des données, les agences gouvernementales américaines utilisent une carte d'accès commune (CAC) ou une carte de vérification d'identité personnelle (PIV) pour gérer l'accès et authentifier les employés du gouvernement dans l'annuaire actif. De la taille d'une carte de crédit, les cartes à puce CAC et PIV stockent des données telles que des certificats numériques, des informations biométriques, une photo, la date d'expiration, l'organisme gouvernemental et le département, ainsi que d'autres informations permettant d'identifier le détenteur de la carte à puce. Lors de l'authentification ou de l'accès aux informations, l'employé de l'administration insère sa carte à puce dans un lecteur de cartes pour s'authentifier en toute sécurité.

Historique des cartes à puce CAC et PIV

Smart Card

À la fin des années 1990, le Congrès a demandé au secrétaire à la défense de mettre en place un système de gestion des identités pour le département de la défense (DoD) afin d'accroître la sécurité et l'efficacité. Un ensemble d'informations d'identification a été créé pour faciliter la gestion de l'identité dans toutes les agences du gouvernement fédéral, ce qui a conduit à la création de la carte d'accès commune (CAC). La carte CAC est rapidement devenue la norme et a été délivrée aux militaires en service actif, au DoD et aux contractants du gouvernement. La CAC est ensuite passée d'une carte de base à une carte utilisant l'infrastructure à clé publique (PKI), basée sur la cryptographie.

Vers 2006, l'élection présidentielle sur la sécurité intérieure 12 (HSPD-12) a été introduite, qui fournit des conseils sur la façon de mettre en œuvre la nouvelle norme fédérale de traitement de l'information 201 (FIPS-201). Fondamentalement, cette norme fait passer la gestion de l'identité à un niveau supérieur, en prévoyant notamment des dispositions pour les transactions sans numéraire.

Cette nouvelle norme est connue aujourd'hui sous le nom de carte de vérification de l'identité personnelle (PIV) ou de certificat d'authentification PIV (certificat PIV-auth). Bien que l'authentification PIV présente quelques difficultés d'utilisation (par exemple, l'utilisation d'un lecteur de carte relié à chaque appareil que vous utilisez, l'obligation d'activer au préalable les informations d'identification PIV), des initiatives sont en cours pour mettre en œuvre des certificats logiciels, permettant des informations d'identification dérivées. Les informations d'identification dérivées de la carte d'identité peuvent être stockées directement dans un appareil émis par le gouvernement, tel qu'un smartphone ou une tablette, ce qui élimine la nécessité d'utiliser la carte physique.

Guide des meilleures pratiques en matière de signatures électroniques pour les administrations publiques
livre électronique

Guide des meilleures pratiques en matière de signatures électroniques pour les administrations publiques

Au fur et à mesure que vous numérisez, la sécurité de vos accords numériques doit également évoluer. Nous pouvons vous aider, qu'il s'agisse d'une garantie d'identité élevée, d'une authentification CAC/PIV ou d'un hébergement certifié FedRAMP.

Obtenez le guide

Signature électronique avec les cartes à puce CAC et PIV

OneSpan Sign est utilisé par les organisations gouvernementales dont les employés et les sous-traitants signent régulièrement des formulaires et des documents à l'aide d'un certificat numérique stocké sur des cartes à puce CAC ou PIV. Cela permet une authentification forte à deux facteurs avec quelque chose que l'utilisateur connaît (le code PIN de sa carte) et quelque chose que l'utilisateur possède (la carte).

Les agences gouvernementales utilisent les cartes à puce CAC et PIV pour signer électroniquement des documents dans de nombreux cas d'utilisation tels que les contrats électroniques, les achats, les finances et les ressources humaines, pour n'en citer que quelques-uns. Par exemple, les employés de l 'USDA signent quotidiennement des documents en ligne en insérant simplement leur carte à puce LincPass dans une fente de leur clavier ou de leur ordinateur portable. Ils saisissent ensuite un code PIN de 6 à 8 chiffres. Une fois authentifiés, ils peuvent apposer leur signature électronique sur les documents.

Voici comment fonctionne le contrôle d'accès par carte à puce :

La signature électronique avec les cartes à puce CAC et PIV peut être réalisée en suivant ces étapes simples :

  • Insérez votre carte CAC ou PIV dans votre ordinateur portable, votre appareil mobile ou votre lecteur de cartes à puce
  • Connectez-vous et accédez au document qui nécessite votre signature électronique dans OneSpan Sign
  • Lorsque le document est affiché et prêt à être signé, cliquez sur le bloc de signature puis confirmez votre signature.
  • La boîte de dialogue Sélection du certificat s'affiche. Sélectionnez le certificat approprié dans la liste. Si vous y êtes invité, entrez un numéro d'identification personnel (PIN) associé au certificat de sécurité sélectionné. Une fois le code PIN confirmé, OneSpan Sign génère un hachage de vos informations au moment de la signature (nom, date, heure, adresse IP, certificat utilisé pour signer le document), ainsi qu'un hachage unique du document lui-même. Le résultat est un PDF signé électroniquement, sécurisé et inviolable, avec une piste d'audit détaillée intégrée directement dans le document.

Par exemple, le processus utilisé par le ministère de l'agriculture des États-Unis (USDA) suit ce modèle. Les employés de l'USDA signent électroniquement des documents en insérant leur carte à puce LincPass dans une fente de leur clavier ou de leur ordinateur portable. Une fois authentifiés, ils peuvent apposer leur signature électronique sur les documents pour une non-répudiation totale.

Regardez le tutoriel vidéo ci-dessous pour voir comment vous pouvez facilement signer des documents avec des cartes à puce dans OneSpan Sign.

Homme tenant un café et un téléphone
Essai gratuit

Essayez OneSpan Sign gratuitement pendant 30 jours

Voyez comme il est facile de créer, d'envoyer et de signer des accords numériques en toute sécurité.

Essayez maintenant