La liste de vérification infaillible sur la sécurité des signatures électroniques
Aucune organisation ne veut de séquelles liées à la sécurité des données. Voilà pourquoi les services de TI et de sécurité de l’information font généralement des travaux exhaustifs de diligence raisonnable relativement à leur hébergement infonuagique et à leurs fournisseurs de logiciels pour se protéger contre les fuites de données, la perte de données, les logiciels malveillants, les virus, l’hameçonnage et d’autres menaces liées à la sécurité. Pour vous aider à défendre votre organisation, vos flux de travail et vos applications, nous avons dressé une liste de vérification sur la sécurité des signatures électroniques qui vous permettra plus précisément d’évaluer les services de signature électronique. Cette liste de vérification fait appel à une approche globale pour comprendre les niveaux de sécurité. Nous vous recommandons non seulement d’examiner la sécurité du service, mais aussi la façon dont les signataires sont authentifiés, l’approche du fournisseur en matière de sécurité des documents numériques et des signatures et la piste de vérification associée à la transaction numérique.
Authentification des utilisateurs
Les lois portant sur les signatures électroniques, comme la loi ESIGN aux États-Unis ou le règlement eIDAS de l’Union européenne, décrivent les types de signatures électroniques qui peuvent être utilisées pour signer les documents électroniques de façon numérique. Par exemple, une signature électronique qualifiée est différente d’une signature manuscrite, puisqu’elle nécessite une certification de la part d’un prestataire de services de confiance. Cependant, les règlements relatifs aux signatures électroniques en disent bien peu en ce qui a trait aux techniques et technologies de sécurité, et la définition juridique d’une signature électronique comprend toujours des termes portant sur l’identité du signataire. Cela signifie que vous devez vous pencher sur l’authentification des signataires, l’identité numérique et l’identification électronique :
- Authentifier les utilisateurs avant la signature électronique
- Relier cette authentification à la signature électronique et au document signé de façon électronique
Caractéristiques essentielles:
1. Une solution compatible avec plusieurs méthodes d’authentification, notamment :
- Authentification des utilisateurs à distance au moyen d’un nom d’utilisateur et d’un mot de passe
- La vérification de l’adresse courriel par l’entremise d’une invitation à la séance de signature électroniq
- L’authentification des utilisateurs à distance à l’aide de questions et réponses secrètes (aussi appelées « défi-réponse »)
- La capacité à utiliser des identifiants existants
- Une authentification dynamique fondée sur les connaissances faisant appel à des bases de données tierces (p. ex. : Equifax)
- Une compatibilité avec les certificats numériques
- La possibilité de téléverser des images dans le cadre de la transaction de signature électronique, p. ex. : photo d’un permis de conduire
2. La possibilité de configurer différentes méthodes d’authentification au sein de la même transaction;
3. La souplesse nécessaire pour adapter les méthodes d’authentification au profil de risque de votre organisation et pour automatiser chacun des processus (p. ex. : personnaliser les questions défi-réponse et le nombre de questions en fonction de vos exigences);
4. Des options souples pour l’attribution des signatures en personne, notamment la remise de déclarations assermentées et l’envoi de mots de passe (NIP) par SMS à un appareil mobile personnel (vérifiez si l’authentification des utilisateurs par SMS est incluse sans frais).
Après que vous avez évalué les fonctionnalités d’authentification des utilisateurs, la prochaine étape consiste à vérifier que le service de signature électronique conserve l’authentification dans la piste de vérification du document et intègre cette piste de vérification au document signé de façon électronique.
Apprenez-en plus au sujet de l’authentification des utilisateurs avec vérification de l’identité dans OneSpan Sign:
Piste de vérification intégrée
Les documents signés de façon électronique qui peuvent être vérifiés et archivés de façon indépendante du fournisseur de signature électronique offrent un niveau de sécurité supplémentaire. Que vous conserviez ou non un compte pour ce service de signature électronique à l’avenir, vos documents ne seront pas touchés, puisque vous, vos clients et les autres intervenants n’aurez pas à vous rendre en ligne pour accéder au document signé de façon électronique ou le vérifier.
La seule façon d’assurer une indépendance par rapport au fournisseur est d’opter pour une solution qui intègre les signatures électroniques, l’horodatage et la piste de vérification directement au document. Cette fonctionnalité crée un dossier autonome et portable.
Caractéristiques essentielles :
- La capacité de vérifier l’authenticité du document indépendamment du service de signature électronique. Autrement dit, vous n’avez pas à vous demander si le lien de vérification vers un serveur sera toujours fonctionnel dans plusieurs années ou si vous obtiendrez un message d’erreur « 404 — page introuvable » en cliquant sur ce lien.
- La possibilité d’indexer, de stocker et de récupérer le document signé de façon électronique dans le système d’archivage de votre choix, et non dans le système de stockage infonuagique du fournisseur. Cette fonctionnalité vous permet de vous conformer aux exigences de votre organisation en matière de conservation à long terme des documents.
Sécurité des documents et des signatures
Assurez-vous que votre solution de signature électronique « paquette » et sécurise le document final avec sa signature électronique au moyen d’une technologie de signature numérique. La signature numérique doit être créée à l’aide d’une infrastructure à clé privée, plutôt qu’au moyen d’une infrastructure/cryptographie à clé publique. La solution de signature électronique doit appliquer la signature numérique à deux niveaux :
- au niveau de la signature pour éviter que la signature elle-même ne soit modifiée;
- au niveau du document pour éviter que le contenu du document ne soit modifié. t.
L’utilisation de fonctionnalités de sécurité de signature numérique établit un lien entre l’intention de signature et l’information qui a été mutuellement acceptée au moment de la signature. De plus, ces fonctionnalités verrouillent le document signé de façon électronique et le rendent inviolable; par conséquent, les changements non autorisés ne pourront pas passer inaperçus.
Alors que des fournisseurs comme DocuSign et Adobe Sign mettent en place une signature numérique comme « enveloppe » du document (une fois que toutes les signatures ont été saisies), cette pratique n’est pas recommandée pour la signature des documents. En effet, elle laisse le document et les signatures sans protection jusqu’à ce que le processus soit terminé et conduit à un horodatage erroné : la date et l’heure indiquées sur les signatures individuelles sont incorrectes. Si un signataire et un co-signataire signent un document de façon électronique lors de journées distinctes, vous souhaiterez que cet historique soit consigné correctement dans la piste de vérification. La pratique exemplaire en cette matière consiste à mettre en œuvre un cryptage de signature numérique chaque fois qu’une signature électronique est ajoutée au document. Cette fonctionnalité crée une piste de vérification complète qui comprend la date et l’heure auxquelles chacune des signatures a été apposée au document.
Caractéristiques essentielles :
- Le document doit être sécurisé au moyen d’une signature numérique
- Chaque signature doit être sécurisée au moyen d’une signature numérique
- Une piste de vérification complète doit comprendre la date et l’heure de chacune des signatures
- La piste de vérification doit être intégrée au document de façon sécurisée
- La piste de vérification doit être associée à chacune des signatures
- Il doit être possible de vérifier la validité du document signé hors ligne, sans vous rendre sur un site Web
- La solution doit offrir une signature et une vérification de document en un seul clic
- La solution doit offrir la possibilité de télécharger un exemplaire vérifiable du document signé, accompagné de sa piste de vérification
- Le document doit être accessible à toutes les parties
Piste de vérification du processus de signature
Lorsque les entreprises réglementées font l’objet d’une vérification de conformité, elles doivent souvent démontrer le processus opérationnel exact qu’elles sont suivi. Dans cette optique, les vérificateurs souhaitent également obtenir une preuve démontrant chaque moment où les documents importants ont été modifiés, ainsi que les personnes ayant apporté ces modifications.
Nous recommandons d’enregistrer une piste de vérification complète du processus de signature, puisque cette piste vous permettra de démontrer exactement comment un client a effectué une transaction sur le Web ou à l’aide d’un appareil ou d’une application mobiles. La plupart des solutions de signature électronique sur le marché présentent des lacunes en matière de démonstration de la conformité, car elles ne possèdent pas les fonctionnalités nécessaires pour enregistrer les détails complets des gestes posés par le signataire.
Caractéristiques essentielles :
Une solution qui enregistre des renseignements sur le processus de signature, notamment :
- L’adresse IP
- L’horodatage (date et heure) de tous les événements
- Toutes les pages Web, ainsi que tous les documents, divulgations et autres renseignements présentés
- La durée consacrée à la révision de chaque document
- Ce que chacune des parties a reconnu, ce à quoi elle a consenti et ce qu’elle a signé
- Tous les autres gestes posés pendant la transaction
Dans cette optique, vérifiez que vous avez la capacité de faire des recherches dans la piste de vérification du processus d’une transaction donnée pour y trouver certains éléments, et « rejouer » ce processus pour les auditeurs ou d’autres intervenants commerciaux en quelques clics seulement.
Sécurité infonuagique
En plus des critères énumérés ci-dessus, jetez un coup d’œil aux protocoles qu’un fournisseur de signature électronique a mis en place pour repérer et prévenir les fuites de données. Il est important de comprendre les pratiques de sécurité, les certifications et l’historique du fournisseur, ainsi que de connaître la fréquence de ses vérifications de sécurité. Les travaux de diligence raisonnable relativement aux pratiques de sécurité et aux infrastructures d’un fournisseur peuvent mettre en lumière d’anciennes violations de confidentialité, des incidents passés de perte ou de fuite de données, ou d’autres risques comme une expertise insuffisante en matière de sécurité infonuagique.
Caractéristiques essentielles :
- Vérifiez que la plateforme de signature électronique fait appel à un cryptage robuste des données en transfert et au repos et qu’elle stocke les données dans un volume de base de données crypté, afin de garantir que toutes les communications utilisent un canal crypté;
- Assurez-vous que le fournisseur travaille en partenariat avec des fournisseurs de services d’infrastructures infonuagiques de premier ordre, comme Amazon Web Services, IBM Cloud ou Microsoft Azure. Ces fournisseurs utilisent des outils conçus et gérés conformément aux pratiques exemplaires en matière de sécurité, en plus de respecter diverses normes réglementaires et normes de l’industrie/des TI en matière de sécurité et de protection des données, notamment ISO 27001, SOC 1/2/3, HIPAA, FIPS 140-2, FISMA et bien d’autres;
- Faites affaire avec un fournisseur qui, en plus d’utiliser des fournisseurs de services infonuagiques qui respectent les cadres et programmes de conformité en matière de sécurité et de protection des données au niveau des centres de données, répond à des exigences supplémentaires de contrôle de sécurité et de conformité à l’échelle de l’application. Vous aurez ainsi l’assurance que la solution de signature électronique est sécurisée et que les données de vos clients sont protégées;
- Les centres de données mondiaux doivent respecter les exigences du pays en matière de résidence des données.
Pour en savoir plus au sujet de nos certifications et de nos mesures de sécurité, visitez notre Centre de confiance ou téléchargez notre white paper, qui vous aidera à déterminer les exigences de sécurité lorsque vous évaluerez les solutions de signature électronique.
- Authentification des utilisateurs
- Piste de vérification intégrée
- Sécurité des documents et des signatures
- Piste de vérification du processus de signature
- Sécurité infonuagique
[1] Gartner, Inc., SOC Attestation Might Be Assurance of Security … or It Might Not