Les Identificateurs d’entités légales dans les certificats numériques

Les Identificateurs d'entités légales dans les certificats numériques

Les certificats numériques sont extrêmement importants pour crypter l’Internet. Qu’il s’agisse de crypter un site Web et d’ajouter le ‘S’ à HTTPS ou de crypter et signer un document numérique comme un PDF,  les certificats numériques sont partout. Jusqu’à présent, ils ont résolu de grands problèmes de sécurité sur Internet en cryptant les réseaux et les canaux de communication. Cependant, comme nous le savons, le cryptage n’est pas toujours suffisant.

Vous pouvez garder l’information cryptée, mais si vous l’envoyez à un criminel, le cryptage ne sert donc à rien. Par exemple, imaginez que vous visitez une boutique en ligne. La boutique est cryptée et donc vous vous sentez suffisamment en sécurité pour acheter quelque chose et vous entrez les informations de votre carte de crédit. Plus tard, vous réalisez que la boutique elle-même n’était qu’un site de phishing et que vous avez envoyé vos informations sensibles à un cybercriminel. C’est un phénomène courant sur Internet aujourd’hui.

Cela ne suffit pas de savoir que vos informations sont protégées. Aujourd’hui, nous devons savoir qui reçoit cette information et nous assurer que nous pouvons leur faire confiance. Les sites Web HTTPS avaient l’option d’ajouter l’identité aux certificats  mais c’était beaucoup trop facile d’en obtenir un si vous étiez un cybercriminel et que les personnes chargées de la vérification étaient les mêmes que celles qui vendaient les certificats, donc il n’y avait guère de motivation pour améliorer le processus.  Même les certificats de signature de code (utilisés pour nous protéger contre les applications malveillantes) étaient obtenus par des cybercriminels pour signer des applications qui pourraient infecter nos ordinateurs et nos téléphones.

Les LEI sont des identités organisationnelles

Les Identificateurs d’Entités Légales (Legal Entity Identifiers – LEI) sont de plus en plus utilisés dans l’industrie financière comme moyen d’identifier les organisations. Aujourd’hui, toute organisation opérant sur le marché financier doit avoir un LEI et déclarer sur ce LEI ses sociétés mères et ses sociétés-filles.

Cette base de données des  LEI est ouverte et accessible au public qui peut lire et contester les données. Les LEI proviennent d’unités opérationnelles locales indépendantes gérées par le GLEIF. La puissance d’un système d’identification par une tierce partie est énorme et on peut s’y fier dès maintenant pour que les rapports financiers mondiaux soient conformes aux réglementations telles que MiFID II, EMIR et MiFIR.

Au-delà des rapports commerciaux, les LEI ont déjà été surnommés comme un nouvel outil pour aider à sauver la connaissance de votre client (KYC) et d’autres processus de diligence raisonnable dans l’accueil d’un client. L’utilisation des LEI dans les certificats numériques pourrait accroître encore l’efficacité de ce système.

Par exemple, dans l’Open Banking, où les banques ouvrent les API aux sociétés FinTech, deux serveurs doivent communiquer entre eux. eIDAS exige que ces transactions de communication soient signées avec un  Certificat qualifié mais que faire si ces certificats contiennent un Identificateur d’ entité légale ? À l’heure actuelle, la vérification de l’identité dans le certificat qualifié est effectuée par une autorité de certification et n’est pas disponible dans une base de données ouverte. Il est également possible de modifier les données de l’entreprise sans modifier les détails du certificat. Cela peut créer des zones de vulnérabilité qu’un pirate peut exploiter.

Ce Qui Est Disponible Maintenant

Les Identificateurs d’entités légales ne sont pas encore intégrés avec tous les types de certificats numériques, mais vous pouvez obtenir un certificat SSL/TLS avec un LEI et un certificat de signature numérique avec un LEI.

Un bon cas d’utilisation de la signature numérique est celui des transactions B2B qui impliquent la signature de documents sur papier, tels que les contrats et les accords. Une organisation souhaitant mettre ces flux de travail en ligne et les rendre dématérialisés bénéficierait de la sécurité supplémentaire des numéros LEI attachés au certificat qui assure le cryptage et la signature du document.

Ce numéro LEI peut être vérifié par rapport aux données d’embarquement et réduit les frictions et le temps associés aux transactions entre deux parties.

Vous souhaitez obtenir un Identificateur d’entité légale pour votre entreprise ?  Obtenez-en un ici aujourd’hui.