Aller au contenu principal
Version: 8.4

EBICS

Introduction

EBICS (Electronic Banking Internet Communication Standard) est un protocole de communication sécurisé conçu pour faciliter l’échange de fichiers entre les entreprises et les établissements bancaires.

Ce protocole, à vocation multi-bancaire, permet à une entreprise de communiquer avec l’ensemble des banques européennes ayant adopté cette norme, sans dépendre d’un prestataire ou d’une solution propre à un seul établissement. Les échanges de données s’effectuent au format XML, garantissant une structure standardisée et lisible pour les différents systèmes d’information.

Avant toute utilisation d’EBICS, l’entreprise doit conclure un contrat avec la ou les banques concernées. Ce document précise les types de transactions autorisées, les niveaux d’accès et les droits attribués à chaque utilisateur. Il contient également des informations détaillées sur les comptes bancaires associés, assurant ainsi un cadre clair et sécurisé pour toutes les opérations effectuées via le protocole.

Les principaux flux du protocole EBICS

Avec le protocole EBICS, toutes les transactions sont initiées par le client. Cela s’applique aussi bien aux échanges effectués du client vers la banque (par exemple, l’envoi d’ordres de virement ou de prélèvement) qu’à ceux effectués de la banque vers le client (comme la transmission des relevés de compte).

Récupération des relevés: EBICS offre la possibilité de récupérer automatiquement les relevés bancaires mis à disposition par la banque. Cette fonctionnalité facilite le suivi des opérations et l’intégration des données bancaires dans les systèmes comptables ou de gestion de l’entreprise.

Envoi d’ordres bancaires: le protocole permet également l’envoi d’ordres bancaires (virements, prélèvements, etc.) depuis le système du client vers la banque.

Lorsque ces ordres sont signés électroniquement, la banque procède alors à leur exécution, garantissant la sécurité, la traçabilité et la conformité de l’opération.

Les différentes requêtes du protocole EBICS

Les différentes requêtes EBICS disponibles sur AOS :

INI : permet l’envoi de la clé publique du certificat de signature à la banque. Ce certificat peut être autosigné et permet l'identification de l’utilisateur auprès de la banque.

HIA : permet l'envoi des clés publiques des certificats d'authentification et d'encryption à la banque. Ces certificats permettent d’effectuer des opérations avec la banque.

HPB : permet la récupération des clés publiques des certificats de la banque. Ces certificats permettent les échanges avec la banque.

FDL : cette requête permet la récupération des fichiers mis à disposition par la banque. Cette requête est notamment utilisée pour la réception des relevés bancaires ou les accusés de réception.

FUL : cette requête permet l’envoi d’un fichier à la banque. Cette requête est notamment utilisée pour l’envoi des ordres bancaires.

HTD : permet de récupérer les informations de l’utilisateur.

PTK : permet de récupérer les logs de l’utilisateur.

La différence entre EBICS T et TS

EBICS T (Transport): le mode EBICS T (Transport) est utilisé pour l’échange sécurisé de fichiers entre le client et la banque. Dans ce mode, les fichiers transmis sont d’abord reçus et stockés par la banque, puis placés en attente jusqu’à leur validation par signature électronique.

Chaque transfert nécessite une unique signature de transport, assurant ainsi l’intégrité des données échangées. L’utilisation de certificats de signature auto-signés est autorisée, ce qui simplifie la mise en œuvre du protocole tout en maintenant un niveau de sécurité adapté.

Cependant, il est important de noter que la signature EBICS T n’a pas de valeur d’exécution. L’ordre transmis doit impérativement être confirmé par un autre canal de communication avant d’être traité.

Ainsi, les fichiers restent en attente de validation jusqu’à la réception d’une confirmation signée par une personne habilitée au sein de l’organisation. C’est uniquement cette confirmation, transmise via un canal distinct, qui déclenche l’exécution effective de l’ordre par la banque.

EBICS TS: EBICS TS (Transport + Signature): le mode EBICS TS (Transport + Signature) est destiné à la validation et à l’exécution sécurisée des ordres de paiement et d’encaissement. Il permet une automatisation complète des échanges bancaires tout en garantissant un haut niveau de sécurité.

Chaque transfert comprend une signature de transport associée à une ou deux signatures TS (Transport + Signature). Ces signatures sont réalisées à l’aide de certificats de signature stockés sur un support physique, tel qu’un token USB, assurant ainsi l’authenticité et l’intégrité des ordres transmis.

Dans ce mode, la signature possède un pouvoir d’exécution : l’ordre signé électroniquement est directement traité par la banque dès sa réception, sans qu’une confirmation complémentaire soit nécessaire. Ce mécanisme, appelé également « validation jointe », permet une exécution rapide et fiable des opérations.

Le protocole EBICS TS représente ainsi le niveau de sécurité le plus élevé du standard EBICS. En contrepartie, sa mise en œuvre est plus complexe et requiert que l’entité utilisatrice dispose d’une certification délivrée par une Autorité de certification reconnue, garantissant la conformité et la fiabilité du processus de signature électronique.

Configuration de la banque et du contrat

Configurer l’application

A partir de la version 8.0 : Config applicative → Gestion des applications → EBICS

Pour les versions antérieures : Config applicative → Gestion des applications → Paiement bancaire → activer l’option EBICS

Une fois EBICS activé, une nouvelle entrée de menu va apparaître dans le module Comptabilité.

Prérequis

Accès : Comptabilité → Configuration → EBICS

Afin de pouvoir utiliser EBICS, les prérequis sont suivants :

  • Souscription du client d’un contrat EBICS auprès de sa banque.

  • EBICS TS : certificats de signature sur support physique (Token USB)

Paramétrer une banque

Accès : Comptabilité → Configuration → EBICS → Banques EBICS

Dans les informations générales, renseigner les informations suivantes :

  1. Banque: la banque permet d’établir un lien entre le compte EBICS et la banque configurée dans Axelor Open Suite (AOS), afin de faciliter et sécuriser les échanges automatisés de données bancaires.

  2. Host ID : host id correspond généralement au BIC (Bank Identifier Code) de la banque et est fourni directement par celle-ci. Ce code identifie de manière unique l’établissement bancaire au sein du protocole EBICS.

  3. Protocole : il désigne le type de protocole de sécurité utilisé pour les échanges. Deux options sont possibles : SSL ou TLS. Aujourd’hui, la majorité des banques utilisent le protocole TLS, qui garantit un niveau de sécurité plus élevé.

  4. URL : il s’agit de l’adresse du serveur EBICS de la banque, sur laquelle les requêtes sont envoyées pour effectuer les transactions et échanges de fichiers.

  5. Langue : ce paramètre est utilisé uniquement pour les communications avec les serveurs EBICS étrangers, afin de définir la langue d’échange.

  6. Fax, e-mail et durée de validité des certificats : ces informations sont purement indicatives et servent à documenter la configuration du lien bancaire.

  7. Extensions X509 : ces options concernent la configuration des certificats auto-signés utilisés pour l’authentification et la signature des échanges. Les paramètres associés dépendent des exigences de la banque et peuvent, dans la plupart des cas, être laissés sur leurs valeurs par défaut.

Paramétrer un contrat

Accès : Comptabilité → Configuration → EBICS → Contrat EBICS

Lors de la configuration d’un contrat EBICS dans Axelor Open Suite (AOS), plusieurs paramètres doivent être définis sur la fiche du contrat afin d’assurer une communication correcte et sécurisée avec la banque.

  1. Partner ID : il s’agit du code de compte banque attribué par la banque lors de la souscription du contrat EBICS. Ce code identifie l’entreprise cliente dans le cadre des échanges EBICS.

  2. Banque EBICS : ce champ fait référence à la banque configurée précédemment dans AOS, à laquelle le contrat EBICS est rattaché.

  3. Mode : ce paramètre indique le type de protocole EBICS souscrit auprès de la banque, à savoir EBICS T (Transport) ou EBICS TS (Transport + Signature), selon le niveau de sécurité et d’automatisation souhaité.

  4. Mode de test : certaines banques proposent un mode EBICS de test, permettant de simuler l’envoi d’ordres avant leur mise en production. Il convient de vérifier auprès de la banque si cette option est disponible.

  5. Utilisateur EBICS de transport : ce champ désigne l’utilisateur EBICS responsable du transport des ordres. Il doit être renseigné une fois que l’utilisateur transporteur est activé , sachant qu’un seul utilisateur de transport est autorisé par contrat EBICS. Attention, un utilisateur peut être activé seulement si le contrat a été créé. Donc d’abord il faut créer le contrat, ensuite l’utilisateur, et après sélectionner l’utilisateur sur le contrat.

  6. Signataire par défaut : il correspond à l’utilisateur EBICS désigné pour signer les ordres bancaires par défaut. Plusieurs utilisateurs signataires peuvent être associés à un même contrat, chacun disposant de droits de signature spécifiques selon la politique interne de l’entreprise.

Paramétrer un contrat - Relevé bancaire

Accès : Comptabilité → Configuration → EBICS → Contrat EBICS

Toujours sur la fiche du contrat, configurez les services.

  1. Services (relevés) & Codification EBICS: les services permettent de choisir et filtrer les formats de fichiers utilisés pour les relevés bancaires. Il faut vérifier que la codification Ebics correspond à la codification fournie par la banque.

  2. Mode de récupération: le mode de récupération détermine la manière dont les relevés bancaires sont téléchargés depuis la banque. Attention, il n’existe pas de contrôle, et les modes de récupération peuvent être récupérés à plusieurs reprises. Vous pouvez sélectionner un mode de récupération automatique ou sur la période (manuel).

  • Automatique: pour une récupération automatique, il est nécessaire de créer un batch et un planificateur dans AOS.

  • Période: il est également possible d’effectuer une récupération manuelle sur une période donnée. Toutefois, il convient de faire preuve de prudence : si des relevés déjà existants sont récupérés à nouveau, des doublons seront créés, car les documents précédemment téléchargés ne sont ni écrasés ni remplacés.

  • Date de dernière exécution: la date de dernière exécution est une information indicative, permettant de connaître le dernier moment où les relevés bancaires ont été récupérés. Cela facilite le suivi et la planification des opérations.

  1. Actions disponibles :

  • Récupérer les relevés bancaires: le bouton « Récupérer les relevés bancaires » permet de lancer manuellement le processus de récupération des relevés depuis la banque.

  • Voir les relevés bancaires: le bouton « Voir les relevés bancaires » donne accès à la liste complète des relevés bancaires associés au compte concerné, pour consultation ou vérification.

attention

Afin de pouvoir récupérer les relevés bancaires ou les voir, il est nécessaire d’avoir un utilisateur EBICS de transport déjà défini. Avant cette étape, il est impossible de récupérer / voir les relevés bancaires.

Paramétrer un contrat - Ordre bancaires

Accès : Comptabilité → Configuration → EBICS → Contrat EBICS Toujours sur la fiche du contrat, configurez les informations concernant les ordres bancaires.

  1. Filtrer les RIB destinataires: cette fonctionnalité permet de restreindre l’utilisation du protocole EBICS à un type spécifique d’ordre bancaire et de définir les RIB autorisés pour l’exécution de ces ordres.

Exemple : un utilisateur peut être limité à l’émission d’ordres de virement de trésorerie nationale uniquement entre les comptes appartenant aux filiales françaises d’une entreprise.

  1. Activer PSR: le Payment Status Report (PSR) offre la possibilité de sélectionner le format de fichier utilisé pour les rapports d’historique, lesquels confirment la bonne exécution des ordres bancaires. Par défaut, cette option est désactivée. En cas de besoin, il est recommandé de se rapprocher de l’établissement bancaire pour en définir les modalités d’activation.

  2. Comptes bancaires: cette section permet de sélectionner le ou les comptes bancaires associés au contrat EBICS. Il est important de noter que les comptes ajoutés doivent appartenir à la même banque que celle référencée dans le contrat EBICS.

  3. Services: les services permettent de définir et de filtrer les formats de fichiers utilisés pour les ordres bancaires. Avant toute utilisation, il convient de vérifier que la codification EBICS correspond bien à celle fournie par la banque afin d’assurer la conformité et le bon traitement des échanges.

Configuration utilisateur transport

Création de l’utilisateur transporteur

Accès : Comptabilité → Configuration → EBICS → Utilisateurs EBICS

Il ne peut y avoir qu’un seul utilisateur de transport par contrat. Cet utilisateur permet l’envoi des ordres à la banque (ordre de récupération des relevés et ordre bancaire).

Le statut indique l’étape en cours du processus de configuration de l’utilisateur. Il peut avoir les valeurs suivantes :

  • En attente de la configuration des certificats

  • En attente de l’envoi du certificat de signature à la banque

  • En attente de l’envoi des certificats d’authentification et d’encryption à la banque

  • Connexion active

  • Les certificats doivent être renouvelés

info

Mode administration: le bouton ”Mode administration” permet de pouvoir changer de statut sans respecter l’ordre de paramétrage de l’utilisateur. C’est pourquoi il doit être utilisé avec beaucoup d’attention.

  1. Statut: le premier statut est “En attente de la configuration des certificats” et permet la création de l’utilisateur.

  2. Nom: renseigner le nom. Le nom est indicatif et permet de reconnaître l’utilisateur. Nomenclature recommandé : “Sigle Banque” - “User ID”, exemple : BNP - CORP123456789.

  3. User Id: le user id est fourni par la banque lors de la souscription d’un contrat Ebics.

  4. Contrat EBICS: renseigner le contrat EBICS (que vous avez préalablement créé).

  5. Moyen de sécurité: le moyen de sécurité est par défaut “0000” si il n’a pas été fourni par la banque.

  6. Type d’utilisateur: définir le type d’utilisateur comme transporteur.

  7. Générer les certificats: cliquer sur le bouton afin de lancer la génération des certificats. Les certificats seront générés automatiquement et se trouveront dans le tableau Certificats. L’order id est généré. Il sera incrémenté au fur et à mesure des échanges avec la banque. Le contrat Ebics se réfère au contrat évoqué précédemment. Le mode et la banque correspondent à ceux du contrat et sont remplis automatiquement.

info

Le fait d’enregistrer le contrat résulte en création de DN.

Pour les utilisateurs transporteur, tous les certificats sont des certificats auto-signés, générés directement par la solution.

Envoi des certificats

Accès : Comptabilité → Configuration → EBICS → Utilisateurs EBICS

Toujours sur la fiche de l’utilisateur, procédez à l’envoi des certificats.

  1. En attente de l’envoi du certificat de signature: une fois les certificats générés, le statut suivant est “En attente de l’envoi du certificat de signature” et permet l’initialisation de l’utilisateur auprès de la banque via la requête INI.

  2. Envoi du certificat de signature: cliquer sur le bouton afin de lancer l’envoi du certificat.

  • Journal des requêtes: suite à l’envoi du certificat, le tableau “Journal de requêtes” sera rempli. Vous pouvez retrouver l’historique de toutes les requêtes dans le journal des requêtes. Ce journal historise l’intégralité des fichiers échangés avec la banque.

  1. En attente de l’envoi des certificats d’authentification et d’encryption à la banque: une fois l’utilisateur initialisé, le statut suivant est “En attente de l’envoi des certificats d’authentification et d’encryption à la banque” et permet leur envoi à la banque via la requête HIA.

  2. Envoi des certificats d’authentification et d’encryption: cliquer sur le bouton afin de lancer l’envoi des certificats d’authentification et d’encryption.

Activation

Accès : Comptabilité → Configuration → EBICS → Utilisateurs EBICS

Suite à l’envoi des certificats, il devient nécessaire d’activer l’utilisateur.

  1. Connexion active: une fois les certificats envoyés à la banque, l’utilisateur passe au statut “Connexion active”. Cependant, l’utilisateur n’est pas encore actif auprès de la banque.

  2. Imprimer la lettre d’initialisation: cliquer sur le bouton pour que l’utilisateur devienne actif. Il faut imprimer la lettre d’initialisation, la signer et l’envoyer à la banque par courrier.

info

Une fois l’utilisateur activé auprès de la banque, il est nécessaire d’exécuter la requête HPB afin de récupérer les certificats du serveur bancaire.

  1. Récupérer les certificats du serveur bancaire (HPB): la requête HPB est une étape obligatoire pour pouvoir :

  • Récupérer les relevés bancaires,

  • Transmettre des ordres de paiement.

Elle permet également de vérifier que l’utilisateur est bien reconnu et actif auprès de la banque. La requête HPB peut être relancée à plusieurs reprises sans aucun impact négatif sur le fonctionnement du service. Elle peut aussi être utilisée pour les utilisateurs signataires, dans le cadre de leur habilitation.

  1. Autres requêtes EBICS: les autres requêtes disponibles sont spécifiques et doivent être exécutées uniquement en cas de besoin particulier, selon les exigences de la banque ou du contexte d’utilisation.
info

Accès : Comptabilité → Configuration → EBICS → Banque EBICS

Suite aux manipulations décrites plus haut, revenez sur la fiche de la banque et rafraîchissez la page. Le tableau “Certificats” sera rempli car les certificats ont été importés.

Configuration Utilisateur signataire

Créer l’utilisateur signataire

Accès : Comptabilité → Configuration → EBICS → Utilisateurs EBICS

Un même contrat peut comporter plusieurs utilisateurs signataires.

Ces utilisateurs ont pour rôle de signer les ordres bancaires directement depuis la solution, afin qu’ils soient immédiatement pris en compte par la banque.

La création d’un utilisateur signataire est similaire à celle d’un utilisateur transporteur. Il suffit de :

  1. Sélectionner « Signataire » comme type d’utilisateur,

  2. Et d’associer l’utilisateur Axelor correspondant. L’utilisateur Axelor renseigné doit être celui qui se connectera à la solution pour signer les ordres bancaires.

  3. Une fois l’utilisateur créé, la génération des certificats diffère toutefois de celle appliquée aux utilisateurs transporteurs, en raison du rôle spécifique du signataire dans le processus de validation bancaire.

Chargement du certificat de signature

En mode EBICS TS, la génération des certificats permet de créer automatiquement les certificats de chiffrement et d’authentification.

En revanche, le certificat de signature n’est pas généré par la solution : il doit être récupéré depuis le token USB physique fourni par la banque.

Pour charger le certificat de signature dans AOS :

  1. Certificat: sélectionnez le fichier correspondant dans le champ « Certificat »,

  2. Charger le certificat: puis cliquez sur le bouton « Charger le certificat ».

attention

Il est impératif de sélectionner le fichier au préalable avant de cliquer sur le bouton de chargement, sans quoi l’opération échouera.

Signataire et mode EBICS T

En mode EBICS T, il n’existe pas d’utilisateurs signataires au sens strict, car les ordres bancaires sont transmis sans signature électronique. Toutefois, il reste possible d’envoyer des ordres non signés à la banque.

Afin d’introduire une étape de validation interne avant l’envoi des ordres bancaires, la solution Axelor Open Suite (AOS) permet de créer des utilisateurs signataires en mode EBICS T.

Cette option vise à instaurer un contrôle complémentaire au sein du processus interne, bien qu’elle ne confère aucun pouvoir d’exécution bancaire — rappelons qu’en mode EBICS T, seules les opérations de transport sont effectuées.

Pour activer un utilisateur signataire en mode EBICS T :

  1. Passez en mode Administration ;

  2. Modifiez le statut de l’utilisateur signataire pour le définir comme actif ;

  3. Cette activation s’effectue sans envoi de certificat à la banque.

Signature des ordres bancaires

Lorsqu’un ordre bancaire est émis via EBICS et qu’un mode de paiement y est associé, celui-ci passe automatiquement par le statut “En attente de signature”. La procédure de signature diffère ensuite selon le mode EBICS utilisé.

En mode EBICS T: dans ce mode, la signature s’effectue directement depuis la solution. L’utilisateur signataire doit simplement :

  1. Cliquer sur le bouton «Signer»,

  2. Saisir le mot de passe associé à son utilisateur EBICS. Cette action valide l’ordre au sein de la plateforme, sans transmission de signature électronique à la banque.

En mode EBICS TS:

En mode EBICS TS, la signature repose sur l’utilisation du token physique fourni par la banque. L’utilisateur signataire doit :

  1. Avoir installé sur son navigateur le plugin Swift 3SKey,

  2. Être en possession de son token USB,

  3. Cliquer sur le bouton « Signer ».

  4. Une fenêtre Swift (pop-up) s’ouvre alors, permettant à l’utilisateur de sélectionner son token et de signer l’ordre à l’aide de son code secret.

attention

Attention : l’utilisateur signataire configuré dans EBICS doit impérativement correspondre à l’utilisateur actuellement connecté à la plateforme Axelor, sans quoi la signature échouera.