Sécurité et authentification¶
Diverses fonctionnalités de sécurité sont intégrées par défaut dans Odoo Signature, telles que :
vérification par e-mail, par laquelle le signataire reçoit un lien unique vers le document ou l”enveloppe de plusieurs documents via un e-mail envoyé directement à son adresse e-mail
un hash du signataire qui relie l’identité du signataire au contenu exact du document au moment de la signature
un certificat de finalisation qui fournit les détails du processus de signature
Une sécurité supplémentaire peut être assurée en :
exigeant d’autres méthodes d”identification sécurisée, telles que SMS, Aadhaar eSign (Inde) ou itsme® (Union européenne, Royaume-Uni, Norvège et Islande)
utilisant une signature cryptographique au moyen d’un certificat numérique émis par une autorité de certification (CA) ou généré par vous-même
Hachage du signataire¶
Lorsque quelqu’un signe un document, un hash, c’est-à-dire une signature numérique unique de l’opération, est généré pour relier l’identité du signataire au contenu exact du document au moment de la signature. Ce processus garantit que toute modification apportée après l’ajout d’une signature peut être facilement détectée, maintenant l’authenticité et l’intégrité du document tout au long de son cycle de vie.
Un cadre de sécurité visuel affichant le début du hash est ajouté aux signatures et paraphes.
Astuce
Les utilisateurs internes peuvent le masquer ou l’afficher en activant ou désactivant l’option Cadre lorsqu’ils ajoutent leur signature ou leurs paraphes au document.
Le hash du signataire de chaque signataire est fourni sur le certificat d’achèvement qui est généré lorsqu’un document est entièrement signé.
Certificat d’achèvement¶
Chaque fois qu’un document ou une enveloppe de documents est entièrement signé, c’est-à-dire achevé et signé par tous les signataires, un certificat d’achèvement est généré et envoyé à tous les signataires par e-mail, accompagné du ou des documents entièrement signés.
Note
Lorsque des documents sont signés via le fil de discussion d’un enregistrement Odoo, ou lorsqu’une demande de signature initiée depuis un enregistrement Odoo est entièrement complétée (qu’il s’agisse d’un document ponctuel ou de l”utilisation d’un modèle), le certificat d’achèvement est également ajouté au fil de discussion, ainsi que le ou les documents entièrement signés.
Ce certificat contient les détails du processus de signature qui soutiennent la validité des signatures et fournissent la preuve que le document n’a pas été modifié après la signature.
Les informations suivantes sont fournies :
Détails du document, qui incluent la date et l’auteur de la création de la demande de signature, le nom du ou des fichiers
.pdfsignés, le nombre de signataires et un hash de référence unique qui peut être ajouté en option à chaque page d’un document signé.Une liste de Participants ayant signé le document, incluant la méthode de vérification et un hash du signataire unique qui garantit la traçabilité et l’intégrité.
Enregistrements horodatés, avec adresse IP et géolocalisation des Événements de signature et des Journaux d’accès.
En plus d’être envoyé par e-mail, le certificat d’achèvement d’un document signé peut être téléchargé à tout moment via l’application Signature :
Aller à et passer à la vue Kanban.
Cliquer sur l’icône points de suspension verticaux en haut à droite de la carte d’un document, puis cliquer sur Détails.
Cliquer sur Télécharger puis Certificat.
Identification sécurisée¶
Lorsqu’une demande de signature est envoyée par e-mail, le signataire accède au document en cliquant sur un lien unique contenu dans l’e-mail. Cette étape de vérification par défaut sert de confirmation que le signataire contrôle l’adresse e-mail associée à la demande de signature.
Il est également possible d’exiger une authentification supplémentaire pour un ou plusieurs signataires via l’une des méthodes suivantes :
Via Aadhar eSign (disponible en Inde)
Via itsme® (disponible dans l’Union européenne, au Royaume-Uni, en Norvège et en Islande)
Important
Ces méthodes d’authentification nécessitent l’achat de crédits. Si vous n’avez plus de crédits, l’authentification est ignorée.
Voir également
Code unique par SMS¶
Avec l’authentification par SMS, les signataires reçoivent un code à usage unique par SMS, qu’ils saisissent lorsqu’ils y sont invités pendant le processus de signature pour s’identifier.
Cette fonctionnalité est activée par défaut dans les paramètres généraux de Signature.
Note
Avant de pouvoir envoyer des messages SMS, vous devez enregistrer votre numéro de téléphone mobile. Pour ce faire, allez dans et, sous Authentifier par SMS, cliquez sur Gérer le service et acheter des crédits. Sur l’écran suivant, cliquez sur Enregistrer, puis procédez à l’enregistrement de votre numéro de téléphone.
Exiger l’authentification du signataire par SMS :
Avec le document ou l’enveloppe de document ouvert, dans le panneau de gauche, cliquez sur l’icône (points de suspension verticaux) à côté du signataire concerné, puis cliquez sur Modifier.
Dans la fenêtre contextuelle, sélectionnez Code unique par SMS comme Authentification.
Cliquez sur Enregistrer.
Lors de la signature du document, une fenêtre supplémentaire Validation finale s’affiche où le signataire saisit d’abord son numéro de téléphone, puis le code à usage unique reçu.
Aadhaar eSign¶
Aadhaar eSign permet aux signataires en Inde de signer numériquement des documents en utilisant leur numéro Aadhaar et une vérification OTP (mot de passe à usage unique). Cela fournit un moyen sécurisé et juridiquement valide de compléter les signatures directement dans Odoo Signature.
Important
Dans Odoo Signature, Aadhaar eSign ne peut être utilisé que pour les demandes de signature contenant un seul document. De plus, un seul signataire par document peut être requis de s’authentifier via Aadhaar eSign, et cette partie doit être la dernière partie à signer le document.
Cette méthode est donc plus adaptée pour un document unique avec un seul signataire, ou lorsque le premier signataire est la partie qui envoie la demande de signature.
Pour activer l’authentification avec Aadhaar eSign, allez dans , puis activez Signer avec Aadhaar eSign.
Exiger l’authentification du signataire via Aadhaar eSign :
Avec le document ou l’enveloppe de document ouvert, dans le panneau de gauche, cliquez sur l’icône (points de suspension verticaux) à côté du signataire concerné.
Dans la fenêtre contextuelle, sélectionnez Via Aadhaar eSign sous Authentification.
Cliquez sur Enregistrer.
Lors de la signature du document, une page supplémentaire Vérification finale s’affiche où l’authentification via Aadhaar est requise.
Note
La certification numérique d’eMudhra est disponible dans le document téléchargé.
Itsme®¶
L’authentification Itsme® permet aux signataires dans l’Union européenne, le Royaume-Uni, l’Islande et la Norvège de prouver leur identité.
Pour activer l’authentification avec itsme®, allez dans , puis activez S’identifier avec itsme®.
Pour exiger l’authentification du signataire via itsme® :
Avec le document ou l’enveloppe de document ouvert, dans le panneau de gauche, cliquez sur l’icône (points de suspension verticaux) à côté du signataire concerné.
Dans la fenêtre contextuelle, sélectionnez Via itsme® sous Authentification.
Cliquez sur Enregistrer.
Lors de la signature du document, une page supplémentaire Vérification finale s’affiche, où l’authentification via itsme® est requise.
Signature cryptographique¶
Odoo Signature vous permet d’utiliser votre propre certificat numérique pour signer des documents. Un certificat numérique utilise la cryptographie, qui repose sur des algorithmes mathématiques sécurisés, pour garantir l’authenticité et l’intégrité d’un document signé.
L’authenticité est garantie car votre identité vérifiée est liée à la signature, tandis que l’intégrité est garantie car le document ne peut être modifié sans invalider, ou « casser », la signature cryptographique.
Un certificat numérique est stocké dans un fichier tel qu’un fichier .p12 ou .pfx. Il s’agit d’un conteneur sécurisé qui contient :
une clé privée qui applique une signature cryptographique unique à un document ; et
des informations d’identification sur le signataire et une clé publique partagée avec le destinataire pour la validation de la signature
Le fichier est toujours protégé par un mot de passe, qui n’est jamais stocké en texte brut. Odoo utilise ce mot de passe pour déchiffrer la clé privée au moment où un document est signé.
Obtenir ou créer un certificat numérique¶
La plupart des entreprises obtiennent leur certificat numérique auprès d’une autorité de certification (AC) de confiance. Dans de nombreux cas, l”AC fournit directement le fichier .p12 ou .pfx, ainsi que son mot de passe.
Il est également possible de générer un certificat soi-même. Adobe Acrobat et Microsoft, par exemple, permettent la création de certificats numériques.
Note
Les certificats numériques auto-générés n’offrent pas le même niveau de confiance qu’un certificat obtenu auprès d’une AC de confiance. Cependant, ils peuvent être utiles si vous devez fournir une signature numérique de manière urgente ou pour des situations moins officielles.
Une fois que vous avez obtenu ou créé un certificat numérique, vous pouvez ensuite le télécharger dans votre base de données Odoo.
Télécharger un certificat numérique dans Odoo¶
Pour télécharger un certificat numérique dans Odoo :
Allez dans .
Sous Signature cryptographique, cliquez sur le menu déroulant Certificat de signature et cliquez sur Créer.
Dans la fenêtre contextuelle, compléter les champs pertinents :
Nom : Saisir un nom pour le certificat.
Certificat : Cliquer sur Télécharger votre fichier, puis sélectionner le fichier de certificat approprié au format
.p12ou.pfx.Mot de passe du certificat : Saisir le mot de passe du certificat pour le fichier téléchargé ; il doit comporter au minimum six caractères. Ce mot de passe est utilisé pour décrypter la clé privée lors du processus de signature.
Cliquez sur Enregistrer.
Note
Après le téléchargement du certificat, deux champs en lecture seule sont complétés automatiquement : la date de Validité, c’est-à-dire la date à partir de laquelle il devient valide, et le Numéro de série qui sera ajouté aux documents signés.
Dans un environnement multi-sociétés, un certificat peut être téléchargé par société.