Passer au contenu

Sécurité des téléprocédures : les ministères en ordre dispersé

L’arrivée des acteurs du social oblige l’Administration à définir un cadre technique commun à l’ensemble de ses téléprocédures.

Les échanges de formulaires effectués chaque année entre l’Administration et les entreprises se chiffrent à plusieurs dizaines de millions d’exemplaires. De l’obligation des grandes entreprises à déclarer leur TVA en ligne à la possibilité d’effectuer les déclarations sociales via le portail net-entreprises.fr, ces formulaires sont multiples. Internet s’est imposé de fait comme le vecteur idéal de leur dématérialisation. Ses avantages sont la diminution des coûts et la rapidité des traitements. A condition, bien sûr, d’en sécuriser les échanges. L’infrastructure à clés publiques (ICP) répond à ce besoin dans la mesure où elle offre des services d’authentification et de confidentialité. Mais encore faut-il que toutes les instances de l’Etat s’accordent sur un modus operandi commun, passage obligé d’un guichet unique sécurisé ouvert à l’ensemble des téléprocédures.

Un manque de coordination interétatique

Le projet TéléTVA n’est donc, dans ce contexte, que la première expression de cette volonté gouvernementale. Le ministère des Finances (Minefi) réceptionne, en effet, plus de 16 millions de déclarations de TVA chaque année. Pour commencer, il ne s’est adressé qu’aux entreprises réalisant un chiffre d’affaires de plus de 15 millions d’euros (100 millions de francs), soit dix-sept mille d’entre elles. Celles-ci sont donc désormais dans l’obligation de déclarer et de régler leur TVA en ligne. Pour ce faire, elles doivent disposer d’un certificat d’authentification référencé par le Minefi, mais moins d’un millier d’entre elles sont effectivement équipées. Près de quatre mille autres ont seulement entamé la démarche. Le Minefi a donc d’ores et déjà défini sa propre politique de certification, étape indispensable pour encadrer les échanges. Les opérateurs de certification référencés sont Certinomis et Certplus, tandis que les autorités de certification sont en majorité des banques. Le problème ? Ni autorité ni opérateur de certification, le Minefi est dans l’impossibilité technique d’arrêter une autorisation accordée à un certificat. “ Si le Minefi reconnaît n autorités de certification à un moment donné, il n’a plus, par la suite, la possibilité de valider les certificats, puisque cette tâche a été déléguée aux fournisseurs référencés “, explique un observateur.

Des mots de passe, en attendant la signature électronique

Une telle approche répond aux exigences de sécurité en circuit fermé propres à la TVA, dont le règlement est effectué auprès de la Banque de France. Mais elle n’est pas forcément adaptée aux nouvelles téléprocédures applicables, entre autres, aux impôts sur les sociétés, à la taxe professionnelle et aux taxes foncières.Cette limitation est d’autant plus pénalisante que, de son côté, le Groupement d’intérêt public de modernisation des déclarations sociales (GIP-MDS) lance parallèlement ses propres projets. Il compte, en effet, employer lui aussi des certificats pour sécuriser les téléprocédures des organismes de protection sociale. Le ministère de l’Emploi et de la Solidarité assure la tutelle de ce groupement dont les membres cumulent le traitement de plus de 130 millions de formulaires chaque année ! Certes, le GIP-MDS a déjà ouvert un portail, baptisé Net-entreprises.fr. Mais, à la place des certificats, il émet des mots de passe associés aux fiches Siret de l’entreprise. Cependant, “ Leur niveau de sécurité est trop faible pour être tenable à moyen et long termes. Il nous faut, en effet, une authentification forte, voire une signature électronique “, reconnaît volontiers Jacques Sauret, directeur général du GIP-MDS.

Un cadre technique commun est nécessaire

Le GIP-MDS envisage donc de s’instituer d’emblée autorité de certification. Il cite comme partenaire possible le Conseil supérieur de l’Ordre des experts-comptables (CSOEC), qui exploiterait la plate-forme technique de l’infrastructure à clés publiques. Mais c’est compter sans les Experts-comptables de France, l’un des trois principaux syndicats de la profession. Son système d’ICP, basé exclusivement sur la carte à puce, est d’ores et déjà opérationnel. Frustrée par l’état d’avancement des travaux du GIP-MDS, la Caisse nationale d’assurance maladie (Cnam) prépare, quant à elle, le lancement de sa propre ICP. Cette multiplication d’initiatives menace toute velléité d’interopérabilité. Ce qui pousse Jacques Sauret à appeler de ses v?”ux la définition d’un cadre technique accepté par tous. Les 90 % d’entreprises françaises qui emploient moins de neuf salariés et qui hésitent à investir dans des solutions à base de certificats pourraient ainsi en bénéficier.Ajoutons à cela que la Direction centrale de la sécurité des systèmes d’information (DCSSI), qui doit fortement contribuer au chantier, tarde à publier le schéma d’accréditation nationale pour la signature électronique. Son objectif est de définir les critères techniques pour l’accréditation des opérateurs et des fournisseurs. Chaque ministère pouvant ensuite les décliner plus facilement sur ses propres projets. Mais, là aussi, le consensus fait défaut. Le Minefi, qui planche également sur le dossier, prend les devants. Le service de certification de la DCSSI, en charge de l’évaluation de la sécurité, ne disposerait plus que d’un droit de regard. Alors même que la DCSSI se rapproche des organismes sociaux, dont la Cnam, à laquelle elle promet de valider ses initiatives d’ICP.

Le projet de la DCSSI est contesté par les spécialistes

L’incertitude plane aussi sur le modèle d’interopérabilité. Dans une récente étude commandée par les instances publiques, la DCSSI pencherait pour un modèle ?” controversé ?” de certification croisée. Celui-ci implique d’établir un dialogue croisé entre les différentes politiques de certification au moment même où elles ne cessent de se multiplier ! Il impose également le stockage de plusieurs certificats sur une seule carte à puce. Mais la limitation des capacités de cette carte nuit, selon les spécialistes, à un niveau élevé de sécurité. Autre inconvénient de ce modèle, l’interrogation simultanée de différentes listes de révocations risque d’encombrer le réseau… L’alternative consisterait alors à créer une autorité racine neutre. Laquelle garantirait d’emblée un minimum d’homogénéité dans les standards de sécurité, facilitant de facto une interopérabilité européenne.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Samuel Cadoganet et Christine Peressini