DEMATERIALISATION Signature lectronique et scurit

Editeur du Progiciel MARCO, le spcialiste de la gestion des achats et marchs publics Parc Euromdecine 95 rue Pierre Flourens 34090 MONTPELLIER Tl assistance technique : 0825 07 07 91

SOMMAIRE
1 Introduction ............................................................................................ 3 2 Principe des certificats ............................................................................ 4 3 Obtention dun certificat.......................................................................... 4 4 Fonctionnement de loutil de signature intgr ....................................... 5 5 Multi-signature et Co-signature............................................................... 7 6 Politique de scurit................................................................................ 8 7 Conclusion ............................................................................................... 8

Signature Electronique et Scurit

29/06/2012

1 Introduction
Le portail auquel vous venez daccder est compatible avec les certificats de la norme X509 et les signatures lectroniques (SMIME v2, v3) dlivrs par tous les organismes de certification (appels aussi autorits de certification) rfrencs par le MINEFI, exemple : CERTIGREFFE (Tribunaux de Greffe du Commerce), CERTINOMIS (La Poste), CHAMBERSIGN (Chambres de Commerce et dIndustrie), CERTPLUS, etc. Pour en savoir plus et obtenir des informations compltes du MINEFI (Ministre des Finances), vous pouvez consulter les sites suivants : http://www.telecom.gouv.fr/rubriques-menu/entreprises-economienumerique/certificats-references-pris-v1/179.html Document au format dfinissant la politique de certification pour les entreprises. http://www.telecom.gouv.fr/rubriques-menu/entreprises-economienumerique/certificats-references-pris-v1/categories-familles-certificats-references-prisv-1-506.html Pages html contenant des informations relatives la certification lectronique mais galement les familles de certificats rfrencs.

3 / 8

Signature Electronique et Scurit

29/06/2012

2 Principe des certificats

Un certificat quoi a sert ? Le certificat est principalement utilis pour signer lectroniquement des documents. Il fonctionne avec un outil de signature lectronique. La signature lectronique permet : Dauthentifier et de scuriser vos changes sur internet. De garantir de manire fiable l'origine des documents et des informations transmises. De garantir lintgrit des informations et documents transmis. L'usage du certificat de signature lectronique permet de vrifier si les informations n'ont pas t altres. Dassurer la non rpudiation. Le signataire dun document ne peut nier tre lauteur de la signature sense rester sous son contrle exclusif. De garantir la confidentialit grce au chiffrement. L'expditeur a l'assurance que seul le destinataire pourra consulter les informations.

3 Obtention dun certificat

Les certificats lectroniques ont t classs en 3 classes. Il est fortement recommand pour des raisons juridiques et de scurit dacheter un certificat de classe III (niveau 3 de la Politique de Rfrencement intersectoriel de Scurit) au format USB (cl token) ou ventuellement au format logiciel pour signer lectroniquement vos appels doffres. Ce certificat devra tre demand au nom de la personne habilite engager lentreprise. A dfaut, il vous faudra une dlgation de signature et/ou de pouvoir. Vous pouvez utiliser le mme certificat que celui de la tl-dclaration de TVA, la condition que celui ci soit au nom dune personne ayant pouvoir de signature des pices dun appel doffre. Attention aux dlais dobtention des certificats lectroniques, variables selon les fournisseurs. Comptez entre 48h et 72h une fois votre inscription faite auprs de lautorit de certification que vous avez choisie.

4 / 8

Signature Electronique et Scurit

29/06/2012

4 Fonctionnement de loutil de signature intgr

Une fois muni de votre signature lectronique, si vous souhaitez rpondre une consultation en ligne vous cliquez sur la zone rpondre. Attendez quelques instants que Java sinstalle, puis un cran vous guidant dans votre rponse apparat, vous pouvez alors dposer vos documents sur chaque ligne prvue cet effet en cliquant sur le bouton parcourir de ces mmes ligne.

Si vous allez pour la premire fois sur cet cran, le logiciel a besoin de loutil applet JAVA pour que vous puissiez signer lectroniquement votre dpt.

Aprs avoir slectionn vos pices, une fentre Certificat permet de slectionner votre certificat de signature lectronique. Choisissez lendroit o il se trouve (sur votre poste de travail ou sur une cl token ou sur carte puce) puis saisissez le mot de passe ou le code PIN et enfin envoyer votre envoi.

Lapplication signe et crypte les documents en local sur votre poste puis envoie lensemble sur la plateforme du donneur dordre.

5 / 8

Signature Electronique et Scurit

29/06/2012

En retour un cran rcapitulatif complet de votre dpt apparat puis vous allez recevoir un mail de confirmation de rception de votre dpt.

6 / 8

Signature Electronique et Scurit

29/06/2012

5 Multi-signature et Co-signature
Comment faire en cas de rponse une consultation en groupement ? Plusieurs solutions sont possibles : La premire et de loin la plus simple est de donner un pouvoir de signature (attestation signer entre toutes les parties) un mandataire (reprsentant unique de toutes les entreprises constituant le groupement) pour cette rponse uniquement qui enverra et signera les pices pour la rponse. Dans ce cas, cela revient faire une rponse lectronique comme dcrite ci-dessus. La deuxime plus complexe consiste ce que toutes les parties (entreprises ayant constitues un groupement) soient prsentes lors de lenvoi de la rponse lectronique, chacun dposera et signera les pices le concernant. Dans ce cas, cela revient effectuer une rponse lectronique en plusieurs tapes (procdure identique celle dcrite dans les pages prcdentes). La dernire solution consiste ce que chaque membre du groupement signe lensemble des pices. Dans ce cas il est ncessaire dutiliser le logiciel de signature externe CRYTONIK que nous mettons votre disposition en tlchargement libre dusage et de droits (accessible partir du menu dans la fonction outils ). Chaque membre du groupement devra signer les pices avec cet outil que les entreprises du groupement se transmettront par mail, ou autre si trop volumineux, puis le mandataire au final devra transmettre via la plateforme les pices qui auront t pralablement signes par chacun des membres du groupement.

Pour savoir, comment agir en cas de rponse dmatrialise pour un groupement dentreprise pensez bien lire le rglement de la consultation puis si cela nest pas suffisant, nhsitez pas contacter lorganisme public qui vous guidera et qui indiquera la meilleure des 3 solutions et dans tous les cas celle quil souhaite que vous mettiez en uvre.

7 / 8

Signature Electronique et Scurit

29/06/2012

6 Politique de scurit
Le prestataire de dmatrialisation AGYSOFT est tiers de confiance lors des changes lectroniques que vous souhaitez effectuer ou que vous avez dj effectus. Tous les changes lectroniques sont horodats automatiquement grce au serveur NTP (Protocole garantissant la synchronisation sur des serveurs de temps mondiaux) et synchroniss sur une horloge atomique (le fuseau horaire de rfrence est celui de PARIS). Ce protocole permet de mettre en phase lheure de nos serveurs avec lheure dun serveur rput certaine . Tous les changes sont tracs. En effet en cas de litige, AGYSOFT est mme de fournir le log (fichier traant tous les vnements) dans le respect du contrat qui le lie avec son client (organisme public). Les changes sont crypts et scuriss : Tous les changes effectus sur le portail MARCOWEB-DEMAT (retraits, dpts, mails,.) sur lequel vous vous trouvez actuellement, sont scuriss grce au protocole dchange HTTPS (systme de protection identique aux systmes bancaires). Concernant le dpt dune offre, il rpond des critres de scurit encore plus importants, pour assurer la confidentialit des donnes notamment entre les diffrents candidats mais aussi du candidat vis--vis de lorganisme public. Lors dun dpt doffre via notre plateforme, sachez que : Vos documents sont signs et crypts sur votre poste de travail avant lenvoi, Vos documents ne peuvent pas tre dcrypts avant la date limite de remise des offres, Vos documents sont en scurit sur nos serveurs.

7 Conclusion
Vous saisissez une seule fois le mot de passe de votre certificat, la plate-forme appose elle-mme la signature sur les documents qui doivent tre signs. La scurit juridique et fonctionnelle est assure par la socit ditrice du logiciel, prestataire (appel aussi tiers de confiance) que la collectivit ou ltablissement public, pour lequel vous rpondez, a choisi pour grer ses marchs dmatrialiss. Ainsi, vous pouvez tre certain que votre pli ne pourra pas tre ouvert avant la date limite de remise des offres. Enfin, pensez bien lire le rglement de la consultation et le CCAP dans lequel vous pourrez trouver des informations relatives et spcifiques cette consultation, concernant les modalits de la transmission lectronique.

8 / 8