10/04/2001
Comment
Vediorbis industrialise la signature électronique des
contrats
La
signature électronique, les infrastructures à
clefs publiques, on en cause beaucoup (y compris sur
JDNet Solutions), mais on les voit encore peu. Le projet
d'industrialisation de la signature électronique
du géant de l'intérim Vediorbis
a donc naturellement retenu notre attention. L'entreprise
s'est intéressée
à cette problématique dans le cadre de
sa stratégie Web qui se décline sur quatre
portails, respectivement pour les entreprises, pour
les intérimaires, pour la communication institutionnelle
et, enfin, pour le recrutement interne. "Il s'agit
d'un investissement majeur qui vise à faire du
Web un véritable outil de travail, explique Pierre-Michel
Bret, directeur informatique. Le dispositif consacré
à la signature électronique, encore en
phase pilote, concernera très vite plusieurs
milliers de clients".
Avant d'en venir à la signature même, Vediorbis
avait déjà avancé sur le terrain
de la dématérialisation des contrats en
proposant aux entreprises de les valider en ligne. Un
premier pas qui posait toutefois deux types de problèmes.
Techniquement tout d'abord. Si l'opération était
acceptable pour signer quelques contrats, elle ne se
prêtait pas à des signatures en masse -
les entreprises qui travaillent avec Vediorbis reçoivent
jusqu'à 300 contrats par semaine. Légalement
ensuite. Accessible par la simple saisie d'un mot de
passe et d'un login, cette validation ne constitue pas
un acte non-répudiable. Ennuyeux. Seuls moyens
de rendre les actes électroniques non-répudiables,
en passer par la signature électronique et une
authentication forte des intervenants.
Des contraintes d'ergonomie fortes
Pour traiter cette problématique, l'entreprise
se tourne vers Dictao,
société de conseil et d'intégration
spécialiste des infrastructures de confiance.
Avant de s'occuper de l'appel d'offre, le prestataire
couche sur le papier le périmètre exact
de l'application et l'ensemble des contraintes. Côté
périmètre, ce sont exclusivement les contrats
de mise à disposition des intérimaires
signés entre les agences et les entreprises qui
seront concernés et non les contrats intérimaire-agence.
Pour une raison simple, les clients des contrats de
mise à disposition sont connus ce qui permet
d'envisager sereinement la gestion des certificats électroniques.
Les contraintes concernent notamment l'ergonomie: pour
parvenir à un outil de signature "en masse",
l'application doit permettre de valider en une fois
10 à 20 contrats. D'autant plus que la législation
impose de signer les contrats dans les 48 heures qui
suivent l'embauche de l'intérimaire.
Dictao procède à un examen des offres
du marché et se penche sur des solutions comme
FormSecure de Baltimore, Form Signing de iPlanet, ICS
Viewer de Pureedge ou encore Inform Filler de Shana
Corporation. Au moment de l'appel d'offres, le prestataire
ne trouve toutefois pas son bonheur sur le marché
des solutions packagées. Pour respecter le cahier
des charges, Dictao préconise à Vediorbis,
un développement spécifique, adossé
à l'API (interface de programmation) de chiffrement
de Microsoft, et couplé à des cartes à
puce.
Résultat, les agences de Vediorbis comme les
clients disposent de cartes à puce (et de lecteurs
adéquats) sur lesquelles sont stockés
leurs clefs privées. Les agences signent les
contrats avec leurs clefs, les soumettent aux clients,
qui les signent à leur tour avec leur propre
clef. Pour signer, les clients se rendent sur le portail
qui leur est dédié. Dès qu'ils
entrent dans la phase de validation des contrats, tous
les flux sont chiffrés (SSLv3, 128 bits). Les
clients peuvent afficher sur une page 10 à 20
contrats en fonction du niveau de détail souhaité.
Pour signer ces contrats, un script dans la page appelle
le composant ActiveX développé par Dictao
qui prend en charge l'appel de la clef privée
et les opérations de chiffrement. Cette procédure
achevée, la cinématique de l'application
Web reprend son cours.
Sélection d'une autorité de certification
"Pour des raisons de sécurité
et pour conserver une architecture propre, nous avons
pris soin de bien dissocier la logique de l'application
Web de la procédure de signature", souligne
Marc de Montgolfier, chef de projet de cette mission
chez Dictato. D'autant que Vediorbis a manifestement
déjà mené une bonne urbanisation
de son système d'information: le front office
Web est confié au serveur Web iPlanet et au serveur
d'application Weblogic
de Bea; le back office s'appuie pour sa part sur
des produits signés Progress Software; l'ensemble
communique via un bus logiciel MQ Series d'IBM qui véhicule
des messages formatés en XML. L'application de
signature n'a donc nullement perturbé cet existant;
elle a simplement été "branchée"
sur cette infrastructure. Les contrats signées
par les agences sont donc transmis via cette architecture
- les synchronisation entre le back office et le portail
s'effectuant à midi et minuit, au maximum 12
heures s'écoulent entre la soumission d'un contrat
par une agence et sa mise en ligne.
Pour réellement industrialiser de bout en bout
la signature électronique de ces contrats de
mise à disposition, deux autres points ont dû
faire l'objet d'une attention particulière. Tout
d'abord le lecteur de carte à puce: en fonction
des postes de travail des agences et des clients, il
faut recourir à des produits de Schlumberger
ou de Gemplus. Enfin, dernier point, la sélection
d'une autorité de certification qui délivrera
aux clients leurs certificats numériques et leur
enregistrement sur une carte à puce. Un appel
d'offres a donc été lancé mais
à l'heure où nous écrivons, le
nom de l'autorité retenue n'est pas encore publique.
Une fois cette brique ajoutée à l'édifice,
Vediorbis sera fin prêt pour industrialiser l'usage
de la signature électronique.
A lire aussi: Le
jargon des espaces de confiance en 10 points.
|