Le LEI : l'ingrédient manquant dans la gestion des certificats numériques

Comment une simple intégration peut garantir la confiance dans l'économie numérique de demain

---

---

L’économie numérique mondiale doit beaucoup aux propriétés habilitantes des certificats numériques. Leur prolifération a permis aux organisations et aux particuliers de se passer de la lenteur de la documentation papier du « vieux monde » et d'interagir de manière numérique, en sachant que leur partenaire commercial, ainsi que les activités certifiées exécutées, sont dignes de confiance dans un contexte numérique.

Pourtant, le système comporte des failles. Au fur et à mesure que l'utilisation des certificats continue de croître en nombre et en cas d'utilisation, le temps et les coûts nécessaires à leur maintenance augmentent également. Les entités juridiques détiennent généralement plusieurs certificats provenant de différents systèmes de certificats et émetteurs. Les dossiers sont ainsi conservés dans plusieurs silos par diverses organisations, à l'échelle mondiale. L’absence de « liens » entre les certificats rend le travail de suivi de plus en plus difficile à gérer.

De plus, les données de référence disponibles avec chaque certificat (telles que le nom, la forme juridique et l’adresse) sont incorporées sous forme de chaînes de texte qui sont potentiellement distinctes de l’émetteur du certificat pour diverses raisons, notamment leur utilisation comme langue locale. Cela signifie que des vérifications manuelles sont souvent nécessaires pour établir que : a) le certificat en question correspond bien à la représentation organisationnelle de la contrepartie dans les bases de données internes, et b) le certificat lui-même reste à jour et les informations qu’il contient sont à jour.

Ce dernier point expose encore un autre problème. Les circonstances des entités changent ; mais pas les certificats numériques. Si une entité change de nom, déménage ou change son statut juridique, par exemple, ces mises à jour vitales ne peuvent pas être reflétées dans leurs certificats actifs. Pour les mettre à jour efficacement, il faut recommencer : les anciens certificats sont révoqués. Les certificats mis à jour sont réémis. Cependant, ce processus ne fonctionne que dans certaines circonstances. Si une application en aval ne peut pas accéder à la liste de révocations appropriée, les informations obsolètes persistent.

Cela suppose, bien sûr, que l'entité fait ce qu'elle doit faire. En réalité, bon nombre d'organisations laisseront leurs certificats actifs inchangés jusqu'à leur date d'expiration naturelle, et ne mettront à jour leurs données qu'ensuite. Que cela se produise délibérément ou involontairement est, dans une certaine mesure, sans importance, puisque le résultat reste le même : les informations de certificat détenues sur cette organisation ne sont pas tenues à jour de manière systématique, ou pas du tout, par les détenteurs d'informations. L'implication plus large est que les informations certifiées sont en circulation alors qu'elles sont obsolètes et que les organisations peuvent aussi souvent avoir plusieurs certificats sous des noms différents, chacun avec des informations variables et incohérentes. En bref, le système de confiance est miné.

Ce « problème de maintenance » s’intensifie à mesure que les entités développent leur utilisation des certificats numériques dans un nombre croissant d'activités commerciales, telles que l'approbation des transactions commerciales et des contrats, l'intégration de clients, les transactions au sein des réseaux commerciaux d'importation / d'exportation et de la chaîne d'approvisionnement, ou la communications des documents et rapports réglementaires.

En réponse, les entités ont un besoin urgent d'un moyen simple et rapide de s'assurer que les informations qu'elles obtiennent au moyen de certificats numériques sont suffisamment fiables.

Une solution élégante : intégrer le LEI dans les certificats numériques

L'intégration de l'identifiant d'entité juridique (LEI) dans les certificats numériques au moment de l'émission résout tout de suite ces problèmes. L'identifiant d'entité juridique est un code alphanumérique de 20 caractères, reposant sur la norme ISO 17442, relié à des informations de référence clés, qui permet d’identifier de façon claire et unique des entités juridiques, à l'échelle mondiale. Chaque LEI contient des informations sur la structure de propriété des entités répondant aux questions ‘qui est qui’ et ‘qui appartient à qui’ – ce qui est crucial pour ceux qui essaient de réduire les risques.

Si le LEI peut être intégré dans les certificats numériques, il peut devenir le lien commun entre eux dont le besoin est si urgent. Cela permettrait à quiconque de relier facilement tous les enregistrements de certificats associés à une entité, de déterminer quels certificats sont à jour et d'éliminer les différences. Ainsi, cela peut apporter la certitude de l'identité et la confiance au sein de toute interaction en ligne entre des entités, facilitant pour tous la participation au marché numérique mondial en toute sécurité. Cela réduit aussi de façon significative la complexité et les coûts, en termes de personnel et de technologie, liés à la due diligence et à la validation des clients, des partenaires et des fournisseurs.

Afin de faciliter l'utilisation des LEI dans les certificats numériques, la Global LEI Foundation a travaillé en étroite collaboration avec des organisations de normalisation telles que l'Organisation internationale de normalisation (ISO) et l'Institut européen des normes de télécommunication (ETSI) dans l'UE. Ces normes techniques sont nécessaires pour que le secteur des autorités de certification intègre systématiquement les LEI dans les certificats*.

Perspectives : adoption de solutions numériques, API et nouveaux cas d'utilisation pour les certificats numériques

Les recherches de la Global LEI Foundation qui ont identifié les défis KYC dans le secteur des services financiers révèlent que 61 % des parties prenantes estiment que la croissance des solutions numériques rendra en fait la vérification d'identité plus difficile. Au fur et à mesure que les entités continuent d'adopter des solutions numériques qui utilisent les technologies émergentes, telles que l'Internet des objets et la blockchain, leur utilisation des certificats numériques augmentera, notamment parce que la technologie des certificats numériques bénéficie désormais d'un soutien réglementaire consolidé, ce qui permet une plus grande fiabilité et une plus grande confiance dans l'identité numérique. Cela continuera à stimuler la demande pour le type précis de vérification automatisée que le LEI peut permettre. Pour faire face à ce niveau de demande, la gestion des certificats n'a d'autre choix que de devenir plus rapide, et les informations actuelles doivent pouvoir être obtenues à la demande via des interfaces de programmation d'application (API). Le LEI pourrait ici devenir un élément essentiel de l'utilisation des certificats numériques – et des signatures numériques – dans tout type de chaîne d'approvisionnement distribuée.

Aujourd'hui, les différents systèmes d'identification numérique reposent sur des normes, des clés et des systèmes de chiffrement divers, et le seul lien commun qui les unit est le nom de l'entité, qui peut varier considérablement et changer au fil du temps. Sans un lien numérique cohérent entre les systèmes d'identification, les méthodes automatisées entraîneront toujours des erreurs et des défis supplémentaires pour les organisations. Le LEI est parfaitement en mesure de fournir ce lien cohérent et, ce faisant, de consolider définitivement sa position en tant que force dans l'économie numérique dans son ensemble.

*Veuillez noter que la méthode d'inclusion du LEI est différente entre les deux normes mentionnées et que la GLEIF n'a pas encore pris position quant à la meilleure méthode à adopter, car nous observons actuellement les tendances du marché et l'adoption du marché pour fournir des conseils cohérents.

---