SignNTrack – Swiss E-Signature Software & Document Management

Log in

Authenticité électronique – définition & mise en œuvre

Comprendre l’authenticité en signature électronique : comment prouver l’identité du signataire, le lien avec le document, et vérifier la validité via certificats, MFA et piste d’audit.

Mis à jour : Temps de lecture : ~8 min

Définition & concepts clés

L’authenticité électronique est la propriété qui permet d’attester l’identité du signataire d’un document et son implication effective dans l’acte de signature. Elle se distingue de l’intégrité (document non altéré) et contribue à la non-répudiation avec la piste d’audit et l’horodatage.

Composants de l’authenticité

  • Identification fiable du signataire : authentification (MFA), eID ou KYC.
  • Signature numérique liée au signataire : clé privée et certificat (avancé/qualifié).
  • Contrôle exclusif des moyens de signature (dispositif sécurisé, HSM, clé FIDO2).
  • Horodatage et audit-trail retraçant chaque étape (invitation → auth → signature → téléchargement).

Dans les parcours de signature en ligne, l’authenticité prouve que la bonne personne a signé, au bon moment, avec ses propres moyens.

Cadres juridiques : eIDAS & ZertES

Sous eIDAS (UE) et ZertES (CH), l’authenticité est assurée par le niveau de signature :

  • SES : authenticité limitée (identité minimale), adaptée aux faibles risques.
  • AES : authenticité renforcée via identification et contrôle exclusif des clés.
  • QES : authenticité au plus haut niveau, avec certificat qualifié délivré par un QTSP et équivalence manuscrite.

Vérifier l’authenticité d’une signature

  1. Ouvrir le PDF signé et consulter le panneau de signatures.
  2. Contrôler le certificat : chaîne de confiance, usage, identité du signataire.
  3. Vérifier le statut CRL/OCSP et l’horodatage (avant expiration/révocation).
  4. Comparer les informations (adresse mail, eID, logs) avec la piste d’audit.
  5. Confirmer l’intégrité via hachage et empreintes.

En cas d’incohérence (certificat non valide, horodatage manquant), l’authenticité peut être contestée.

Menaces & contremesures

  • Usurpation d’identitéMFA forte (TOTP/FIDO2), Zero Trust.
  • Compromission de clé → stockage en HSM, rotation/révocation rapide.
  • Phishing → dispositifs FIDO2 liés au domaine, éducation des utilisateurs.
  • Documents modifiés → revalidation des empreintes et horodatage.

Bonnes pratiques pour garantir l’authenticité

  1. Évaluer le risque et choisir SES/AES/QES en conséquence.
  2. Imposer MFA et lier identité/certificat au signataire (eID ou KYC).
  3. Protéger les clés (HSM, tokens matériels) et consigner les activations.
  4. Maintenir l’audit-trail complet et exportable.
  5. Mettre à jour politiques de révocation, rotation de certificats, plans de preuve.

Pages associées

FAQ – Authenticité électronique

L’authenticité est-elle garantie sans certificat ?

Non. Sans certificat (avancé/qualifié), l’authenticité repose surtout sur des facteurs faibles (email/SMS). Un certificat lié au signataire renforce considérablement la preuve.

Quelle différence entre authenticité et intégrité ?

Authenticité = qui a signé ; intégrité = le document n’a pas été altéré. Les deux sont nécessaires pour une preuve solide.

La QES assure-t-elle l’authenticité ?

Oui, au plus haut niveau : la QES s’appuie sur un certificat qualifié délivré après vérification d’identité stricte, avec équivalence manuscrite sous eIDAS/ZertES.

Garantir l’authenticité de vos signatures

Testez SignnTrack – certificats AES/QES, MFA FIDO2/TOTP, horodatage et audit-trail conformes eIDAS/ZertES.

Essayer gratuitement

À retenir : l’authenticité électronique prouve qui a signé. Elle repose sur l’identification forte, les certificats, le contrôle exclusif des clés et une piste d’audit complète – socle de la valeur probante des contrats numériques.