D i m i t r i M o u t o nPréface d’Alain Bobant, président de la FNTC
Sécurité de la dématérialisationDe la signature électronique au coffre-fort
numérique, une démarche de mise en œuvre
G13418_SECURITE_PDT.indd 2 18/06/12 15:11
© Groupe Eyrolles, 2012, ISBN : 978-2-212-13418-6
1
Avant-propos
Portée de l’ouvrage La dématérialisation n’est plus « en cours » : elle fait aujourd’hui partie intégrante de notre quotidien, que ce soit dans la sphère privée, la sphère professionnelle ou les relations à l’administration.
Le présent ouvrage détaille les mécanismes de sécurité destinés à créer les conditions de la confiance dans les applications web, ainsi que les méthodologies projet destinées à leur mise en œuvre efficace.
Tout d’abord, nous définirons les notions clés de dématérialisation, de sécurité et de confiance :
• les enjeux de la dématérialisation ;
• la sécurité sous ses aspects technique, applicatif, juridique et compor-temental ;
• la nécessité de faire naître la confiance des utilisateurs pour promouvoir les usages ;
• le rôle des tiers de confiance dans la chaîne de la dématérialisation ;
• les mécanismes de cryptographie qui sous-tendent la sécurisation des services.
Nous détaillerons ensuite les notions essentielles de la sécurité applica-tive :
• l’identité numérique et le contrôle d’accès ;
• le certificat ;
• la confidentialité, via la gestion des droits et le chiffrement ;
• la signature électronique et ses avatars techniques ;
• la traçabilité et l’horodatage ;
• l’archivage électronique.
Après avoir décrit comment renforcer la valeur juridique des échanges dématérialisés au travers d’une convention de preuve, nous approfondirons :
Mouton.indb 1 13/06/12 13:15
Sécutité de la dématérialisation
2
• les cinq axes d’approche de la sécurité informatique (fonctionnel, juri-dique, organisationnel, technique et fi nancier) ;
• les étapes clés d’un projet de dématérialisation ;
• les impacts de cette nouvelle réalité sur l’organisation de l’entreprise.
À qui s’adresse ce livre ? Ce livre s’adresse avant tout aux concepteurs d’applications de dématéria-lisation confrontés à la mise en œuvre de la sécurité, que ce soit au sein des administrations, des grandes entreprises ou des PME innovantes :
• directeurs et chefs de projet ;
• directeurs Recherche et développement ;
• architectes fonctionnels ou techniques ;
• DSI, architectes SI, RSSI ;
• consultants, assistance à maîtrise d’ouvrage ou à maîtrise d’œuvre ;
• développeurs.
Il a été conçu pour apporter aux étudiants en informatique les clés qui leur permettront d’aborder sereinement le secteur d’avenir que constitue la sécurisation des services dématérialisés.
Enfi n, de par sa volonté de clarté et de pédagogie, il est également abor-dable sans restriction par le lecteur curieux qui souhaite en savoir plus sur la dématérialisation, la sécurité et la confi ance.
À propos de l’auteur Dimitri Mouton est ingénieur de Télécom Paris (ENST).
Il a débuté sa carrière à France Télécom R&D, au sein du laboratoire Sécu-rité des services et des réseaux, où il a déposé vingt brevets sur les sujets du prépaiement, de la signature électronique et de la sécurité des termi-naux mobiles.
Il a ensuite été responsable Études et développement d’Achatpublic.com, où il a conçu la plate-forme de dématérialisation des marchés publics et d’enchères électroniques inversées.
Puis il a rejoint CertEurope, opérateur de services de e-confi ance, en tant que directeur Recherche et développement.
Il a fondé en 2009 le cabinet de conseil en dématérialisation Demaeter, au sein duquel il accompagne de nombreux projets de conception et de sécurisation de services dématérialisés.
Mouton.indb 2 13/06/12 13:15
Avant-propos
3
Il est également expert indépendant en solutions de vote par Internet.
Dimitri Mouton est membre de la Fédération nationale des tiers de confi ance depuis 2003. Il y anime trois groupes de travail consacrés au vote électronique, à la traçabilité, à l’identité numérique et la signature électronique, ainsi que des cycles de formation, notamment à la signature électronique.
Il est coauteur de l’ouvrage Les marchés publics dématérialisés (éd. Moniteur, Paris, 2004), et de nombreux guides de la confi ance de la FNTC.
À propos de l’illustrateur Artiste peintre, graphiste et illustrateur, Stéphane Torossian crée depuis quelques années des supports de communication, identités visuelles et solutions graphiques dans le domaine de la dématérialisation.
Mouton.indb 3 13/06/12 13:15
XI
Table des matières
Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Portée de l’ouvrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
À qui s’adresse ce livre ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
À propos de l’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
À propos de l’illustrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Partie 1 – Les clés de la révolution numérique
Chapitre 1 – La dématérialisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Du traitement automatisé des données à la suppression du papier . . . 7
Le « zéro papier » : un mythe utile ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Les composants d’un service dématérialisé . . . . . . . . . . . . . . . . . . . . . . 10
Internet : une zone de non-droit ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Chapitre 2 – La sécurité de la dématérialisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Les différents types de risques et de réponses . . . . . . . . . . . . . . . . . . . . 15
La sécurité technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
La sécurité applicative et juridique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
La sécurité comportementale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
La chaîne de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Normalisation et référentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Un peu de cryptographie pour y voir plus clair . . . . . . . . . . . . . . . . . . . . 24
Chapitre 3 – La notion de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Une définition de la confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
La confiance dans l’économie numérique du point de vue juridique . 38
Le tiers de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
La chaîne de la confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Mouton.indb 11 13/06/12 13:15
Sécutité de la dématérialisation
XII
Partie 2 – L’identité numérique
Chapitre 4 – La gestion d’identités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
La notion d’identité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
L’identité numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Identifi cation et authentifi cation : quelle différence ? . . . . . . . . . . . . . . 58
Les différents modes d’identifi cation et d’authentifi cation . . . . . . . . . 59
Du bon usage des identifi ants et des mots de passe . . . . . . . . . . . . . . . 72
Quelques exemples emblématiques de projets de gestion d’identités 78
Chapitre 5 – Le certifi cat, une carte d’identité numérique . . . . . . . . . . . . . . . . . . . . . 85
Qu’est-ce qu’un certifi cat ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Le cycle de vie du certifi cat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
La chaîne de la certifi cation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Identité numérique et certifi cats : deux exemples de projets . . . . . . . 129
Les conséquences catastrophiques d’une sécurité insuffi sante : la faillite de Diginotar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Chapitre 6 – La confi dentialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Qu’est-ce qui est confi dentiel… et vis-à-vis de qui ? . . . . . . . . . . . . . . 143
Le cas particulier des données à caractère personnel . . . . . . . . . . . . . 144
Limiter l’accès aux données : la gestion des habilitations . . . . . . . . . 145
Rendre les données inintelligibles : le chiffrement . . . . . . . . . . . . . . . 146
Transmettre des secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Conserver et utiliser des secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Rompre le lien entre les personnes et les données : l’anonymisation 157
Partie 3 – La signature électronique
Chapitre 7 – La signature électronique en pratique . . . . . . . . . . . . . . . . . . . . . . . . . 161
Signature manuscrite et signature électronique : deux actes très ressemblants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Signature manuscrite et signature électronique : quelques différences pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Comprendre le cadre juridique : un passage obligé . . . . . . . . . . . . . . . 164
Chapitre 8 – La signature électronique : un objet technique . . . . . . . . . . . . . . . . . . 175
La réalisation technique d’une signature électronique . . . . . . . . . . . . 175
La vérifi cation d’une signature électronique . . . . . . . . . . . . . . . . . . . . 180
Mouton.indb 12 13/06/12 13:15
Table des matières
XIII
Biométrie et signature électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Chapitre 9 – Le cachet et les autres formes de signatures . . . . . . . . . . . . . . . . . . . . 191
L’ambiguïté du terme « signature électronique » . . . . . . . . . . . . . . . . . 191
La signature de personne morale : le cachet . . . . . . . . . . . . . . . . . . . . 191
Les autres usages du mécanisme technique de « signature » . . . . . . 193
Chapitre 10 – Défi nir son besoin et choisir un outil de signature électronique . . . 197
Déterminer le contexte du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Les différentes façons de réaliser des signatures électroniques . . . . 198
Partie 4 – Tracer, conserver et certifi er les données
Chapitre 11 – La traçabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
La traçabilité, défi nition et usages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Les différentes formes de traçabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Inclure la traçabilité dans son projet . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Quelques exemples de projets incluant la traçabilité . . . . . . . . . . . . . 231
Chapitre 12 – L’archivage électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Conserver à long terme les documents électroniques . . . . . . . . . . . . . 235
Défi nir un plan d’archivage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Chapitre 13 – La convention de preuve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Une convention de preuve… Pour quoi faire ? . . . . . . . . . . . . . . . . . . . 251
Constituer une convention de preuve . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Partie 5 – Organiser la dématérialisation et mener son projet
Chapitre 14 – Mener un projet de dématérialisation . . . . . . . . . . . . . . . . . . . . . . . . 267
Les méthodologies normalisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Les cinq axes d’approche décisionnels . . . . . . . . . . . . . . . . . . . . . . . . . 268
Le déroulement d’un projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Chapitre 15 – Organiser la dématérialisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
La dématérialisation : un projet d’entreprise transverse . . . . . . . . . . . 297
Vers une direction de la dématérialisation ? . . . . . . . . . . . . . . . . . . . . . 298
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Mouton.indb 13 13/06/12 13:15
VII
Préface
Au fil de l’évolution de ses supports, l’écrit a été valorisé grâce à la compé-tence et au sérieux des scribes, des secrétaires, des clercs…, intermédiaires éclairés qui l’ont produit, et qui ont contribué à le préserver de la perte ou de la destruction. L’intervention de ces personnes consciencieuses et érudites suscitait un sentiment de sécurité et de confiance dans le public.
Le tsunami planétaire d’Internet et les violentes éruptions technologiques des quinze dernières années, ont provoqué une mutation irréversible des activités humaines au travers de l’émergence de la dématérialisation. Après que le droit a adapté un nouveau cadre juridique au phénomène, la révolution numérique a très rapidement pris de l’ampleur, s’imposant à tous irrésistiblement.
La dématérialisation de l’écrit s’est organisée autour de la mise en place d’un assortiment de processus et d’outils destiné à satisfaire les critères d’une sécurité absolue. C’est ainsi que la confiance s’est dissociée de l’élément humain qui la véhiculait, pour se raccorder aux instruments tech-niques que nous forgeons sans relâche.
Dimitri Mouton porte un regard expert sur cette dynamique du futur.
Son analyse méthodique, aiguisée et pertinente, clarifie le sujet.
Il nous incite à prendre le temps d’une réflexion sur la « technologisation » de la société.
Tandis que la machine à fabriquer les rêves tourne à plein régime, il est trop tôt pour savoir si nous pourrons supporter l’accélération du rythme des cycles technologiques et le raccourcissement des mutations socié-tales qui en résultent. Mais il n’est pas trop tard pour s’alarmer du fait que l’homme paraît vouloir figurer désormais en simple filigrane dans la page numérique qu’il vient d’ouvrir.
Devons-nous concéder aux seuls mécanismes techniques le soin d’as-sumer l’énorme exigence de confiance que la dématérialisation requiert, ou tenter de rééquilibrer le rôle de l’humain dans leur mise en œuvre ?
La Fédération nationale des tiers de confiance (FNTC) s’investit aux côtés de ceux qui s’appliquent à résoudre les défis du xxie siècle issus de ces
Mouton.indb 7 13/06/12 13:15
Sécutité de la dématérialisation
VIII
bouleversements. Elle présente l’originalité de réunir dans le même cénacle des fournisseurs de solutions technologiques de sécurité, reconnus pour leur compétence, et des vecteurs traditionnels de la confi ance, porteurs institutionnels des valeurs de neutralité, de pérennité et de légitimité.
En associant la multiplicité des talents, des aptitudes, des savoir-faire et des expériences de ces nouveaux « intermédiaires éclairés », la FNTC peut favoriser fortement l’essor d’une « dématérialisation en toute confi ance », et permettre à l’homme de demeurer maître de son destin.
Alain Bobant
Huissier de justice
Président de la Fédération nationale des tiers de confi ance
Mouton.indb 8 13/06/12 13:15
1PARTIE 1Les clés
de la révolution numérique
Mouton.indb 5 13/06/12 13:15
2PARTIE 2L’identité numérique
Mouton.indb 53 13/06/12 13:15
3PARTIE 3La signature électronique
Mouton.indb 159 13/06/12 13:15
4PARTIE 4Tracer, conserver
et certifi er les données
Mouton.indb 209 13/06/12 13:15
5PARTIE 5Organiser la
dématérialisation et mener son projet
Mouton.indb 265 13/06/12 13:16
301
Cas pratiques
accès au compte bancaire 56Achatpublic.com 43, 117, 125,
149, 201Adobe Reader 200affaire Kerviel 299anonymisation de données
médicales 26Applatoo 47, 154archivage
des e-mails 241des versions de travail des
documents 241du code source 242
attaqueman in the middle 104
contre Facebook 141authentification forte 195badge multi-usage 275Banque Casino 203Carte nationale d’identité
électronique 129Certigreffe 109changement de certificat 68CNIE (Carte nationale d’identité
électronique) 129confidentialité des e-mails 146conservation des contrats
conclus avec des particuliers 248
construction d’un bâtiment 235
dématérialisationdes achats 293des factures 9des marchés publics 149,
153, 166, 184, 216, 233fiscale des factures 192, 271
dépôt de marque à l’INPI 57DICT.fr 44, 205Diginotar 133, 139documents RH 241, 246données médicales 157e-attestations 44, 205e-bourgogne 280e-commerce 217e-stonia 129ETSCAF 145horodatage de signature
électronique 223huissiers de justice 244Idénum 131jedeclare.com 281jeux d’argent et de hasard en
ligne 215, 233justificatif de domicile 8lettre recommandée
électronique 217magasin de certificats de
Windows 97Microsoft Office 199notaires 244parapheur électronique 293
Index
Mouton.indb 301 13/06/12 13:16
Index
302
Planet Limousin 70, 120, 202, 204, 213, 280
réponse aux marchés publics 57reseaux-et-canalisations.gouv.fr
70réseaux sociaux 57scellement
d’un certifi cat 194d’une LCR 194d’une réponse OCSP 194d’un horodatage 194de code exécutable 193des traces applicatives 194
services publics dématérialisés 218
signature électroniqued’e-mails 180d’un fi chier ZIP 179et engagement 273par tablette graphique 189
Signexpert 199, 282souscription de contrat
dématérialisé en agence 205télédéclaration IR 38Télé IR 202téléservice Réseaux et
canalisations 117, 126, 192, 202, 206, 217
traçabilitébancaire 215, 220des FAI et fournisseurs
d’hébergement de contenu 216
et données à caractère personnel 272
validation des CGU 206vérifi er une signature
manuscrite 87vote par Internet 150, 153, 155,
231
Défi nitions
AC (Autorité de certifi cation) 92, 107
accusé de réception 227AdES-A (Archiving) 177AdES (Advanced Electronic
Signature) 177AdES-BES (Basic Electronic
Signature) 177AdES-C (Complete) 177AdES-L (Long-term) 177AdES-T (Timestamp) 177AdES-X (Extended) 177AE (Autorité d’enregistrement)
107annuaire 78anonymisation 157ANSSI (Agence nationale de la
sécurité des systèmes d’information) 30
applet Java 200AR (Autorité de révocation) 108
archivageélectronique 235, 262plan d’ 245
archivescourantes 242défi nitives 243intermédiaires 243recherche d’ 249restauration d’ 249
Arjel (Autorité de régulation des jeux en ligne) 215
attaqueécoute et rejeu 77force brute 33, 74man in the middle 133par dictionnaire 75
authentifi cation 28, 58d’un serveur 64faible 69forte 69jeton d’ 80
Mouton.indb 302 13/06/12 13:16
Index
303
autoritéd’enregistrement 107d’horodatage 222de certifi cation 92, 107de révocation 108de validation 108
AV (Autorité de validation) 108bac à sable 193badge multi-usage 275bi-clé 28BPM 10cachet 191
politique de 260serveur 191
CAdES (CMS Advanced Electronic Signature) 177, 197
captcha 76Card Management System 275carte à puce 100cercle de confi ance 83certifi cat 32, 85
AKI 91autosigné 110, 118Basic constraints 92classe 120CN (Common Name) 90CRLDP 91dates de validité 91délivrance 109demande 109DN (Distinguished Name) 89enveloppe autonome 97Extended key usage 91famille de 92, 107interopérabilité 122Key usage 91magasin de 95numéro de série 91porteur de 107profi l de 89qualifi é 121, 168renouvellement 117révocation 113scellement 93
SKI 91stratégie de 92support 94support dynamique
externalisé 98support matériel 99suspension 115utilisateur de 107validation 115
Certifi cate Revocation List 114Certifi cate Signing Request 110certifi cation
chaîne de la 118croisée 119de sécurité de premier
niveau 48opérateur de 108politique de 259
chaînage cryptographique des traces 225
chaînede la certifi cation 118de la confi ance 51
chiffrement 29, 146classe
1 1212 1213 1213+ 121de certifi cat 120
clécryptographique USB 100privée 27publique 27secrète 32symétrique 32taille de la 30
CMS (Card Management System) 275
coffre-fort électronique 237Cofrac (Comité français
d’accréditation) 49condensation 24confi ance 35
Mouton.indb 303 13/06/12 13:16
Index
304
confi dentialité 143politique de 263
contremarque de temps 222convention de preuve 254CRL (Certifi cate Revocation List)
114cross-certifi cation 119cryptage 146cryptographie
à clé publique 27à clé secrète 32asymétrique 27symétrique 32
CSPN (Certifi cation de sécurité de premier niveau) 48
CSR (Certifi cate Signing Request) 110
déclaration de pratiques 257défi /réponse 64délivrance de certifi cat 109Delta LCR 115demande de certifi cat 109dématérialisation 7dictionnaire (attaque par) 75donnée à caractère personnel
144données métier 212Dublin Core 246écoute et rejeu (attaque par) 77empreinte 24enregistrement 107enrôlement 107entiercement 242enveloppe autonome 97étoiles du RGS 123famille de certifi cats 92, 107fédération d’identités 83FNTC (Fédération nationale des
tiers de confi ance) 41fournisseur d’identités 83GED 10génération de clés embarquée
101
gestiondes habilitations 145des identités et des accès 10des processus métier 10électronique de documents
10Hardware Security Module
(HSM) 102hash 24horodatage 221
autorité d’ 222certifi é 222jeton d’ 222politique d’ 258simple 221
HSM (Hardware Security Module) 102
IAM 10ICP (Infrastructure à clé
publique) 108identifi ant 60
constitution 72identifi cation 58identité 55
numérique 56IGC (Infrastructure de gestion de
clés) 108index 238infrastructure
à clé publique 108de gestion de clés 108
inscription en ligne 82intégrité 193interopérabilité des certifi cats
122ISO 15836 246jeton d’horodatage 222key logger 76LCR (Liste de certifi cats
révoqués) 114logs techniques 224magasin de certifi cats 95
de confi ance 124man in the middle 133
Mouton.indb 304 13/06/12 13:16
Index
305
matériel cryptographique 102méta-annuaire 79métadonnées 238, 246mot de passe 60
à usage unique 61constitution 74dynamique 61fort 74
obfuscation 157OC (Opérateur de certifi cation)
108OCSP (Online Certifi cate Status
Protocol) 116OTP (One-Time Password) 61PAdES (PDF Advanced
Electronic Signature) 177, 197PC (Politique de certifi cation)
107PDF/A 243PGP 137phishing 77PIN (Personal Identifi cation
Number) 101PKI (Public Key Infrastructure)
108plan
d’archivage 245de classement 245
politiqued’archivage électronique
240, 262de cachet 260de certifi cation 92, 107, 259de confi dentialité 263de gestion des identités et
d’authentifi cation 263de signature électronique
260de traçabilité et de gestion
de preuves 231, 261d’horodatage 258
PoP (Proof of Possession) 109porteur de certifi cat 107
prestatairede validation de certifi cats
électroniques 43prestataire de services
d’archivage électronique 43d’horodatage électronique
43, 222de certifi cation électronique
(PSCE) 43, 92, 107de confi ance 42
qualifi cation 42de gestion de preuves 43de signature électronique 43de validation de certifi cats
électroniques 43preuve
cryptographique 225de possession 109renversement de la charge de
la 170principe des quatre yeux 151profi l d’acheteur 216Proof of Possession 109protocole de consentement 203provenance 193PSAE (Prestataire de services
d’archivage électronique) 43PSCE (Prestataire de services de
certifi cation électronique) 43, 92, 107
PSCO (Prestataire de services de confi ance) 42
qualifi cation 42, 49PSGP (Prestataire de services de
gestion de preuves) 43PSHE (Prestataire de services
d’horodatage électronique) 43, 222
PSSE (Prestataire de services de signature électronique) 43
Public Key Infrastructure 108PUK (PIN Unlocking Key) 101PVCE (Prestataire de validation
de certifi cats électroniques) 43
Mouton.indb 305 13/06/12 13:16
Index
306
qualifi cation des produits de sécurité 47
question secrète 68recherche d’archives 249rejeu 69rejouable 69renouvellement de certifi cat 117renversement de la charge de la
preuve 170restauration d’archives 249réversibilité 240révocation 113RGS (Référentiel général de
sécurité) 23étoiles 123
sauvegarde 236sécurité 35
applicative 11, 18chaîne de la 21comportementale 19technique 16
session 60signataire 168, 171signature
d’approbation 179de certifi cation 179défi nition
juridique 165pratique 161
électronique 29à la volée 203avancée 171défi nition 162, 166, 171,
175dispositif sécurisé de
création 101politique de 260présumée fi able 166, 170
sécurisée 169simple 168vérifi cation 180, 181, 184
Single Sign-On 80source de temps 221SSL (Secure Socket Layer) 63SSO (Single Sign-On) 80stockage 236strate 221stratégie de certifi cat 92support
de certifi cat 94dynamique externalisé 98logiciel 95matériel 99
système de gestion des cartes 275
TBS Certifi cate 110test de Turing 76tiers
archiveur 240de confi ance 40
TLS (Transport Layer Security) 63
traçabilité 211traces applicatives 224Turing (test de) 76URL 63utilisateur de certifi cat 107VABF (Vérifi cation d’aptitude au
bon fonctionnement) 288validation de certifi cat 115Vérifi cation d’aptitude au bon
fonctionnement (VABF) 288vérifi cation de signature
électronique 180XAdES (XML Advanced
Electronic Signature) 177, 197
Normes
2TUP 267AES 32, 147, 149, 154, 287
AES CBC 32AES ECB 32
Mouton.indb 306 13/06/12 13:16
Index
307
CAdES (CMS Advanced Electronic Signature) 22, 177, 178, 179, 197, 202, 222, 261, 287
CAPI 104CMS 148, 177Convergence 140CSP (Cryptographic Service
Providers) 104, 193CSPN (Certifi cat de sécurité de
premier niveau) 233EBIOS (Expression des besoins
et identifi cation des objectifs de sécurité) 124, 284
ElGamal 151ETSI 101456 50, 127extreme programming 267GS1, recommandations pour
l’échange de factures dématérialisées fi scalement 192
ISO 14641 237ISO 14641-1 22ISO 14721 237ISO 15408 48ISO 15489 237ISO 27000 22ITIL 267label FNTC
coffre-fort électronique 237tiers archiveur 237
LDAP 79Merise 267MoReq2010 237NF Z42-013 22, 237NF Z42-025 23NTP (Network Time Protocol)
221OAIS (Open Archival
Information System) 237PAdES (PDF Advanced
Electronic Signature) 22, 177, 178, 179, 197, 202, 261, 287
PC/SC (Personal Computer/Smart Card) 104
PGP 137PKCS 22PKCS#7 148, 177PKCS#11 104, 193PKCS#12 98, 156PKCS#15 105RACHE (Rapid Application
Conception and Heuristic Extreme-programming) 267
Référentiel général d’accessibilité pour les administrations (RGAA) 287
Référentiel général d’interopérabilité (RGI) 287
RFC 2527 22RFC 2560 22, 116RFC 2630 22, 148RFC 3039 92RFC 3161 22, 222
annexe A 223RFC 3647 259RFC 4055 22RFC 4330 221RFC 5280 22, 89, 115RGAA (Référentiel général
d’accessibilité pour les administrations) 287
RGI (Référentiel général d’interopérabilité) 287
RGS (Référentiel général de sécurité) 23, 167, 172, 191, 258, 259, 274, 282
étoiles 23RSA 27, 147, 149, 154, 164, 175,
287SHA256 24, 175, 287S/MIME 148Sovereign Keys 140SSL (Secure Socket Layer) 63,
151standard d’échange de données
pour l’archivage DAF 237Time Stamp Protocol (TSP) 222
Mouton.indb 307 13/06/12 13:16
Index
308
TLS (Transport Layer Security) 63
TSP (Time Stamp Protocol) 222UML 286X.500 79
X.509 89, 90XAdES (XML Advanced
Electronic Signature) 22, 177, 178, 179, 197, 261, 287
XMLDSig 178
Paroles d’experts
Borghesi Alain, Cecurity.com 239Caprioli Éric, avocat, cabinet
Caprioli et associés 252Colin Pascal, Keynectis 50Denuzière Jean, Ilex 81Du Boullay Charles, CDC Fast et
CDC Arkhinéo 218Kaeb Thomas, Wacom 188Maraval Philippe, Pôle Emploi 185Maréchaux Bertrand, ANTS 130Mattatia Fabrice, CDC 131
Plas Didier, Genitech 287Poidevin Emmanuel,
e-attestations 45Pourcher Gilles, Région
Limousin 294Saphores Jean, CSOEC 281Treins Michel, Ineris 71Trotin Armelle, LSTI 135Vantorre Ignace, Sogelink 20Zimmermann Philip,
cryptologue 139
Textes législatifs et réglementaires
arrêtédu 26 juillet 2004 49du 28 août 2006 252RGS du 18 mai 2010 24
Code civilarticle 1108-2 270article 1156 255article 1162 255article 1316 12article 1316-1 12, 194, 239article 1316-2 252, 254article 1316-3 12article 1316-4 164, 165, 166,
187, 260, 272, 273, 282article 1369-8 217
Code de commerce, article L.123-22 248
Code de la consommationarticle L.132-1 253, 255article L.134-2 248article R132-2 253
Code de la propriété intellectuelle
article L.331-12 216article L.336-3 216
Code des marchés publics 185article 56 216, 271article 57 270
Code des postes et télécommunications, article L.34-1 216
Code général des impôtsannexe 3, article 96 F 272article 289 V 192, 271
communication de la Commission européenne du 8 octobre 1997 38
décretn° 79-1037 du
3 décembre 1979 242n° 2001-272 du 30 mars 2001
101, 107, 122, 164, 166, 168, 169, 170, 191, 272, 282
Mouton.indb 308 13/06/12 13:16
Index
309
n° 2002-535 du 18 avril 2002 47, 49
n° 2011-144 du 2 février 2011 217
RGS 2010-112 du 2 février 2010 48
délibération CNIL n° 2010-371 du 21 octobre 2010 150, 232
directive1999/93/CE du
13 décembre 1999 38, 39, 121, 164, 171, 172, 173, 191, 192, 251
Commerce électronique 2000/31/CE du 8 juin 2000 39
loiInformatique et libertés
n° 78-17 du 6 janvier 1978 7, 11, 144, 220, 230, 272
n° 2000-230 du 13 mars 2000 11, 164, 166, 251, 252
n° 2004-575 pour la confi ance dans l’économie numérique (LCEN) du 21 juin 2004 39, 122, 215
n° 2004-801 du 6 août 2004 144
n° 2009-526 du 12 mai 2009 270
n° 2010-476 du 12 mai 2010 215
ordonnance n° 2005-1516 du 8 décembre 2005 23, 42, 218, 227, 256
règlement n° 97-02 de la Banque de France 51
RGS (Référentiel général de sécurité) 23, 39, 42, 123
Mouton.indb 309 13/06/12 13:16
Index-Mouton.pdfTable des matièresAvant-propos Portée de l’ouvrage À qui s’adresse ce livre ? À propos de l’auteur À propos de l’illustrateur
Les clés de la révolution numérique La dématérialisation Du traitement automatisé des données à la suppression du papier Le « zéro papier » : un mythe utile ? Les composants d’un service dématérialisé Internet : une zone de non-droit ?
La sécurité de la dématérialisation Les différents types de risques et de réponses La sécurité technique La sécurité applicative et juridique La sécurité comportementale La chaîne de la sécurité Normalisation et référentiels Un peu de cryptographie pour y voir plus clair
La notion de confiance Une définition de la confiance La confiance dans l’économie numérique du point de vue juridique Le tiers de confiance La chaîne de la confiance
L’identité numérique La gestion d’identités La notion d’identité L’identité numérique Identification et authentification : quelle différence ? Les différents modes d’identification et d’authentification Du bon usage des identifiants et des mots de passe Quelques exemples emblématiques de projets de gestion d’identités
Le certificat, une carte d’identité numérique Qu’est-ce qu’un certificat ? Le cycle de vie du certificat La chaîne de la certification Identité numérique et certificats : deux exemples de projets Les conséquences catastrophiques d’une sécurité insuffisante : la faillite de Diginotar
La confidentialité Qu’est-ce qui est confidentiel… et vis‑à‑vis de qui ? Le cas particulier des données à caractère personnel Limiter l’accès aux données : la gestion des habilitations Rendre les données inintelligibles : le chiffrement Transmettre des secrets Conserver et utiliser des secrets Rompre le lien entre les personnes et les données : l’anonymisation
La signature électronique La signature électronique en pratique Signature manuscrite et signature électronique : deux actes très ressemblants Signature manuscrite et signature électronique : quelques différences pratiques Comprendre le cadre juridique : un passage obligé
La signature électronique : un objet technique La réalisation technique d’une signature électronique La vérification d’une signature électronique Biométrie et signature électronique
Le cachet et les autres formes de signatures L’ambiguïté du terme « signature électronique » La signature de personne morale : le cachet Les autres usages du mécanisme technique de « signature »
Définir son besoin et choisir un outil de signature électronique Déterminer le contexte du service Les différentes façons de réaliser des signatures électroniques
Tracer, conserver et certifier les données La traçabilité La traçabilité, définition et usages Les différentes formes de traçabilité Inclure la traçabilité dans son projet Quelques exemples de projets incluant la traçabilité
L’archivage électronique Conserver à long terme les documents électroniques Définir un plan d’archivage
La convention de preuve Une convention de preuve… Pour quoi faire ? Constituer une convention de preuve
Organiser la dématérialisation et mener son projet Mener un projet de dématérialisation Les méthodologies normalisées Les cinq axes d’approche décisionnels Le déroulement d’un projet
Organiser la dématérialisation La dématérialisation : un projet d’entreprise transverse Vers une direction de la dématérialisation ?
Index