Lexique

A

Abonnement

L'offre de SG Trust Services est une offre d'abonnement à un service de certificats électroniques. L'abonnement est reconductible de façon tacite et ne se termine que si l'une des deux parties – SG Trust Services ou le client – en fait la demande expresse.

Authentification

L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité (personne, ordinateur…), afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications…). L'authentification permet donc de valider l'authenticité de l'entité en question. L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité.

Autorité de Certification (AC)

C’est l’autorité à laquelle les porteurs font confiance pour émettre et gérer des clés, des certificats et des listes de révocation. Elle possède avant tout une fonction légale de responsabilité. L’autorité de certification signe les certificats qu’elle émet.

SG Trust Services est une Autorité de Certification référencée par le Ministère des Finances depuis octobre 2001.

Autorité d'Enregistrement (AE)

Entité en charge de vérifier l’identité des demandeurs de certificat. L’autorité d’enregistrement s’assure que les demandeurs de certificat prennent l’engagement d’utiliser les certificats uniquement dans les conditions définies dans la politique de certification.

L’autorité d’enregistrement a également pour mission de réceptionner et traiter les demandes de révocation de certificats.

Dans le cadre des téléprocédures administratives, les agences Société Générale et Crédit du Nord assurent le rôle d'autorité d'enregistrement.

 

B

Bi-clé

Association d'une clé privée et d'une clé publique. La clé privée est secrète tandis que la clé publique est communiquée à tous.

 

C

Certificat électronique

Un certificat est une pièce d’identité électronique. Il contient l’identité du titulaire (une personne physique) et l’identité de la personne morale pour laquelle le certificat est délivré. Le certificat est stocké sur une clé USB à cryptoprocesseur, une carte à puce ou sur le PC de l’utilisateur. Une clé privée (un secret propre à l’utilisateur) garantit que le certificat est bien utilisé par la bonne personne. L’autorité de certification, SG Trust Services, a la charge de contrôler que l'utilisateur à qui elle délivre le certificat est bien celui qu'il prétend être (vérification du Kbis et des statuts pour une entreprise, identité des utilisateurs, pouvoirs des différents interlocuteurs…).

Client

Personne morale signataire des conditions générales, des conditions particulières et de la Fiche Mandataire de Certificats, qui habilite les porteurs à utiliser des certificats et qui donne mandat au mandataire de certificats de le représenter pour la gestion de certificats. Par client, on entend également le représentant de l’entreprise (personne physique dûment habilitée par la personne morale). Ce représentant n’est pas forcément le représentant légal de l’entreprise.

Compromission

Une clé est dite compromise lorsqu’elle est connue par d’autres personnes que le porteur. Ce dernier ne doit pas hésiter à révoquer son certificat s’il suspecte une compromission de sa clé.

 

D

Demande Individuelle Porteur (DIP)

Fiche individuelle d'information établie pour chaque porteur pour la création, le renouvellement, la révocation ou l'arrêt d'un certificat. Cette fiche est obligatoire, même si elle concerne un gestionnaire de certificats également porteur.

Dossier De Souscription (DDS)

Le Dossier De Souscription est le document qui rend officielle la demande d'abonnement au service de certificat. Après avoir été soumis au contrôle de l'Autorité d'Enregistrement, ce dossier permettra la mise à disposition du (des) certificat(s).

Le dossier de souscription est constitué de plusieurs parties :

  • Partie ‘‘Entreprise'',

- Conditions Générales

- Conditions Particulières

- Pièce justificative portant le n° de SIREN de l'entreprise (ou un n° d'immatriculation équivalent) :

- soit extrait K-Bis de l'entreprise portant le numéro SIREN de l'entreprise et son adresse (original datant de moins de trois mois pour les entreprises non clientes de l'agence),

- soit Certificat d'Identification au Répertoire National des Entreprises et de leurs Etablissements.

- Copie des statuts à jour de l'entreprise portant la signature des représentants

- Autorisation de prélèvement (une par conditions particulières et une par contrat de vente Kit de connexion)

  • Partie ‘‘Gestionnaire de certificats'',

- Fiche d'Identification Gestionnaire

- Un justificatif d'identité du Gestionnaire de certificats

- Le cas échéant, Contrat de vente Kit de connexion

  • Partie ‘‘Porteur'',

- Demande Individuelle Porteur

- Un justificatif d'identité du Porteur de certificat.

Il est important que tous les documents concernant l'entreprise, le gestionnaire et le porteur soient établis en double exemplaire : après avoir été validé et accepté par l'agence (rôle d'Autorité d'Enregistrement), le premier est renvoyé au client et le deuxième est conservé par SG Trust Services.

 

E

EDI

Echange de Données Informatisé d'ordinateur à ordinateur (d'application à application) selon des messages préétablis et normalisés via un mode de communication électronique.

EFI

Echange de Formulaires Informatisés. Il correspond à une déclaration et/ou un paiement par internet

 

F

Fédération Nationale des Tiers de Confiance (FNTC)

SG Trust Services est membre de la Fédération Nationale des Tiers de confiance (F.N.T.C), organisation regroupant, au niveau national et international, les professionnels tels que les Autorités, Tiers et Prestataires d'activités connexes ainsi que les organisations professionnelles concernées directement ou indirectement par la sécurisation des échanges électroniques et la conservation des informations. Elle a pour but la représentation et la défense des droits et des intérêts matériels et moraux tant collectifs qu'individuels ainsi que le développement de la profession des Tiers de confiance. Pour en savoir plus : http://www.fntc.org.

 

G

Gestionnaire de certificats

Personne physique qui a reçu mandat du client pour le représenter lors d'une demande de certificat ou d'une révocation. Le gestionnaire de certificats est informé de tout événement survenu sur le certificat. Il doit remplir une fiche d'identification gestionnaire, en plus de la Demande Individuelle Porteur (s'il est également porteur).

 

I

Infrastructure à Clé Publique (ICP ou PKI en anglais)

Ensemble des moyens techniques qui permettent d'émettre ou de révoquer un certificat numérique. Son rôle est de s'assurer que les clés publiques correspondent bien aux entités auxquelles elles sont sensées appartenir. Une infrastructure à clé publique peut offrir notamment des services de protection de la confidentialité, de l'intégrité, de l'authentification et de la non-répudiation.

 

K

Kit de connexion

Le kit de connexion comprend un lecteur de carte à puce, ainsi que le CD ROM d'installation correspondant. Ce kit est composé d'un lecteur externe de carte à puces et du CD ROM d'installation correspondant (fourniture possible par SG Trust Services).

 

L

Liste des Certificats Révoqués (LCR)

C’est la liste des numéros de certificats ayant fait l’objet d’une révocation. Elle est disponible sur le site internet de SG Trust Services. L’adresse est indiquée dans le champ « Points de distribution CRL » du certificat.

 

M

Mandataire de certificats :

Personne physique qui a reçu mandat du client pour le représenter lors d'une demande de certificat ou d’une révocation. Le mandataire de certificats est informé de tout événement survenu sur le certificat. Il doit remplir une fiche d’identification gestionnaire, en plus de la Demande Individuelle Porteur (s’il est également porteur).

 

MINEFE :

Ministère de l'Economie, des Finances et de l'Emploi.

 

P

PKI (Public Key Infrastructure, ou ICP en français)

Ensemble des moyens techniques qui permettent d'émettre ou de révoquer un certificat numérique. Son rôle est de s'assurer que les clés publiques correspondent bien aux entités auxquelles elles sont sensées appartenir. Une infrastructure à clé publique peut offrir notamment des services de protection de la confidentialité, de l'intégrité, de l'authentification et de la non-répudiation.

Porteur (d'un certificat)

C’est la personne physique à laquelle SG Trust Services délivre un certificat.

Politique de Certification

Ensemble de règles définissant les exigences auxquelles l'Autorité de Certification se conforme dans la mise en place de prestations adaptées à certains types d'applications. La Politiquea de Certification (PC) décrit donc tous les aspects organisationnels associés à un certificat donné.

La politique de certification de SG Trust Services est consultable en ligne.

PRIS V1

Politique de Référencement Intersectorielle de Sécurité Version 1.

Cette politique permet un référencement d’entreprises délivrant des certificats numériques conformes à cette politique.

Les certificats émis par SG Trust Services sont acceptés par tous les téléservices des autorités administratives nécessitant des certificats d’entreprise PRIS V1 (marchés publics en ligne, www.net-entreprises.fr pour les déclarations sociales, Téléc@rtegrise, TéléTVA...).

 

R

Référencement

C'est une autorisation qu'accorde une autorité reconnue à une entreprise par l'homologation de sa Politique de Certification. Ce référencement permet à une entreprise d'émettre des certificats qui seront valides pour effectuer toute opération dans le cadre de l'application proposée par l'autorité reconnue.

Les certificats délivrés par SG Trust Services sont référencés par le MINEFE depuis le 4 mai 2001 et par l'URSSAF depuis octobre 2001.

Renouvellement d'un certificat

Opération effectuée par tacite reconduction en fin de période de validité d'un certificat et qui consiste à générer un nouveau certificat pour un porteur. Le certificat est renouvelé tous les deux ans pour des raisons de sécurité. La régénération d’un certificat après révocation n'est pas un renouvellement.

Révocation d'un certificat

Cette opération consiste à rendre un certificat invalide avant la fin de sa période de validité en cas de perte, de vol ou de compromission par exemple. La révocation peut être demandée par le mandataire de certificats, le porteur, l’autorité d’enregistrement, l’autorité de certification ou par toute autre personne autorisée par l’autorité de certification.

La révocation s’effectue en ligne (Rubrique Espace client / Révoquer) ou bien par téléphone, fax, mail, courrier ou en agence.

RGS

L'Etat harmonise et renforce la politique de sécurité des certificats numériques et crée le RGS V2. Cette Politique se distingue de la précédente par une séparation des usages des certificats (Authentification, Signature, Chiffrement) et des types de certificats (sur support logiciel ou sur support matériel).

Désormais le référencement des certificats s'effectue en fonction du niveau de risque de leurs applications. Suivant ce niveau, les différentes autorités publiques et privées, définissent le certificat requis pour leurs applications.

- 1 étoile : Les certificats électroniques référencés niveau « 1 étoile » sont utilisés par des applications pour lesquelles les risques de tentatives d'usurpation d'identité pour falsifier la signature des documents sont moyens. La vérification de l'identité du porteur se fait par l'envoi d'un dossier papier ou électronique.

- 2 étoiles : Les certificats électroniques référencés niveau « 2 étoiles » sont utilisés par des applications pour lesquelles les risques de tentatives d'usurpation d'identité pour falsifier la signature des documents sont forts. La vérification de l'identité du porteur se fait par la vérification des pièces d'identités originales, en face à face avec le porteur.

- 3 étoiles : Les certificats électroniques référencés niveau « 3 étoiles » sont utilisés par des applications pour lesquelles les risques de tentatives d'usurpation d'identité pour falsifier la signature des documents sont très forts. Comme pour le « 2 étoiles » la vérification d'identité du porteur donne lieu à un face à face.

 

Pour en savoir plus : http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/

 

S

Signature numérique

La signature numérique permet d'identifier l'émetteur d'un message et d'assurer que son contenu n'a pas été modifié.

Elle est aujourd'hui reconnue et admise en preuve au même titre que l'écrit sur support papier. Cf. articles 1316-1 à 1316-4 du code civil.

 

T

Téléprocédures administratives

Elles regroupent les applications du secteur public (TVA, URSSAF, carte grises, appels d’offres…) pour lesquelles une authentification forte à base de certificats PRIS V1 ou RGS (à partir de 2013) est nécessaire ou recommandée selon les cas d’usage.