Interview exclusive avec Syrine Tlili, DG de l’ANCE
Présente sur les roadmaps de tous les gouvernements de ces dernières années, la transformation numérique de l’administration devrait nous sauver de l’enfer bureaucratique que nous vivons.
Adieu papiers, adieu cachets … si tout se passe comme prévu, bien entendu. Le futur appartient à la signature électronique !
Le Manager a rencontré Syrine Tlili, Directrice Générale de l’Agence Nationale de la Certification Électronique pour nous parler de cette technologie, mais aussi de l’Agence et de ses projets.
En quoi est utilisée la signature électronique ?
L’utilisation des signatures électroniques de l’ANCE est répandue au niveau de l’e-gov, de l’e-commerce et de l’e-banking.
La signature peut aussi être complémentée par l’horodatage. Ainsi, non seulement on connait qui a signé quoi, mais aussi à quelle heure exactement.
L’ANCE délivre d’autres types de certificats, en l’occurrence, les certificats de serveurs web, qui permettent d’authentifier qu’un site est bel bien authentique et non pas une copie piratée.
En visitant certains sites sécurisés tunisiens, les internautes sont alertés par leurs navigateurs que la page n’est pas vraiment sécurisée. De quoi s’agit-il ?
En 2007, le gouvernement tunisien a signé une convention avec Microsoft, grâce à laquelle la clé de notoriété de l’ANCE a été ajoutée au magasin de confiance de l’éditeur. Ainsi, les internautes utilisant Internet Explorer ne recevaient plus de messages d’erreur.
Depuis, les procédures ont évolué et il n’est plus possible d’apparaître dans les magasins de confiance des éditeurs par simple convention. Il existe aujourd’hui des normes que nous devons suivre afin de pouvoir être intégrés à ces whitelists.
En 2015, nous nous sommes fait audités conformément au standard européen ETSI et nous avons livré notre attestation de conformité à Microsoft et Mozilla. La firme de Redmond nous a déjà remis dans sa whitelist. L’éditeur de Firefox, par contre, traîne encore et nous devons démarrer la première round de discussions dans les mois à venir. Nous espérons que cette situation serait résolue dans les plus brefs délais.
Il est à noter que, sur le plan juridique, seul un certificat signé par l’ANCE ou une autorité équivalente dans un pays avec lequel la Tunisie a signé une convention de reconnaissance mutuelle est valide en cas de litige, par exemple.
Que pensez-vous de votre position de monopole ?
Nous aimerions bien voir d’autres autorités apparaître à condition que leur nombre soit dans la limite du raisonnable.
Le secteur privé est-il le bienvenu ?
Nous desservons actuellement deux types de clients : l’administration publique dans le cadre de l’e-gov, et le secteur privé.
Pour ce dernier, ce serait plus bénéfique de voir émerger une ou des entités privées pour gérer le secteur. Pour l’étatique, par contre, il vaut mieux avoir une seule autorité racine pour délivrer des certificats valables dans toutes les administrations et les instances gouvernementales.
Nous souhaitons également nouer des partenariats avec le privé afin de pouvoir exporter notre savoir-faire et ouvrir d’autres marchés à l’international, notamment en Afrique. L’ANCE a signé, dans ce cadre, des conventions avec la Côte-d’Ivoire (ARTCI), avec le Burkina Faso, et le Soudan. Nous avons commencé à vendre des certificats bien que leur nombre ne soit pas assez important, vu que le secteur de la certification électronique n’est pas assez développé dans ces pays.
Mieux encore : nous œuvrons pour que nos certificats soient reconnus au niveau européen afin d’accroître l’attractivité des solutions de l’ANCE. Nous oeuvrons actuellement pour obtenir le certificat eIDAS et pour la signature d’une convention avec l’Union Européenne afin que l’ANCE figure dans la liste de trusted authorities.
Que faites-vous pour pousser l’administration vers le zéro papier ?
Nous avons toujours œuvré et nous continuons d’œuvrer pour accélérer le passage vers une administration à zéro-papier, qui est l’un des grands axes de notre plan quinquennal.
Une fois nos certificats certifiées ETSI, ce qui devrait se faire en début 2017, la prochaine étape serait d’offrir le support nécessaire pour le développement d’une plateforme nationale se basant sur la confiance numérique. Dès l’atteinte de ce milestone, nous serons plus agressifs pour pousser l’usage de la signature électronique dans l’administration publique.
Et afin de pouvoir répondre à tous les besoins, nous allons également diversifier nos services et nos produits, en offrant l’hébergement d’autorités de certification ou en donnant accès à nos serveurs de clés privés pour la signature à distance, …
Nous pensons également à la signature électronique mobile. Les smartphones n’ont malheureusement pas d’espace de stockage cryptographique. Donc il n’est pas possible de s’assurer, par exemple, qu’elle n’a pas été volée. On peut donc avoir une signature avancée avec le smartphone, mais pas qualifiée.
La tendance actuelle est de donner l’accès, via le mobile, à des signatures hébergées sur des serveurs HSM. Mais ceci doit se faire via une connexion sécurisée, moyennant un mot de passe à usage unique, et après s’être assuré qu’il s’agit bel et bien du porteur de la signature, … Cette authentification multi-facteurs nous permettra de dire que la signature est qualifiée. C’est notre programme pour 2017.
Que pensez-vous de la loi en vigueur ?
Nous avons également proposé un nouveau texte législatif concernant la signature numérique, visant à rendre les lois plus fluides et plus adaptées à ce qui se passe actuellement. À titre d’exemple, la loi tunisienne définit la signature électronique comme étant une paire de clés. Or, ce n’est toujours pas le cas; dans certains pays européens, la voix d’une personne peut être qualifiée de signature électronique.
Notre texte proposé va alléger la loi actuelle tout en facilitant l’usage de la signature électronique.
Quel rôle joue la signature électronique pour la lutte anti-corruption ?
Falsifier une signature manuscrite est, non seulement possible, mais aussi facile à le faire. Ce n’est pas le cas pour la signature électronique qui nécessite une énorme puissance de calcul. La puissance des machines actuelles ne permettent pas de casser les clés que nous sommes actuellement en cours d’utilisation.
Avec la signature électronique il y aussi plus de transparence : toutes les transactions sont protégées dans une base de données protégée moyennant un certificat contre la modification, donc elle assurera l’intégrité des données. Avec un tas de papiers, tout un chacun peut détruire le document qu’il souhaite. Avec un système électronique, nous pouvons avoir tout l’historique des modifications, …
La confidentialité est elle aussi protégée grâce au chiffrement et à la signature électroniques, seules les personnes autorisées à le faire peuvent consulter un document.
Du coup, les pots de vins et le fameux «efra7 bya» devraient disparaître, ce qui a engendré une certaine résilience et résistance contre la signature électronique au sein de l’administration.
