LA VERSION ELECTRONIQUE FAIT FOI

Transcription

1 EXIGENCES SPECIFIQUES POUR LA QUALIFICATION DES PRESTATAIRES DE SERVICES DE CONFIANCE CERT CEPE REF 21 Révision 05 Section «Certifications»

2 SOMMAIRE 1. OBJET DU DOCUMENT REFERENCES ET DEFINITIONS DOMAINE D APPLICATION MODALITES D APPLICATION MODIFICATIONS EXIGENCES A SATISFAIRE PAR L ORGANISME DE CERTIFICATION11 7. PROCESSUS D ACCREDITATION - MODALITES D EVALUATION MODALITES FINANCIERES ANNEXE A : PORTEE D ACCREDITATION CERT CEPE REF 21 rév. 05 Page 2 sur 20

3 1. OBJET DU DOCUMENT Le présent document a pour objet de définir les exigences et le processus d accréditation d organismes tierce partie (dénommés ci après organismes de certification) qui, d une part, qualifient des prestataires de services de confiance délivrant des certificats électroniques (cas des PSCE) ou des contremarques de temps (cas des PSHE), conformément aux textes réglementaires en vigueur (évoqués aux paragraphes 1.1, 1.2 et 1.3), et, d autre part, délivrent des attestations de conformité à ces mêmes prestataires ou aux prestataires techniques, dans le contexte évoqué au ) Le décret n du 30 mars 2001 pris pour l'application de l'article du code civil et relatif à la signature électronique fixe les conditions qu un procédé de signature électronique doit remplir afin d être présumé fiable. L une de ces conditions porte sur l usage de certificats de signature électronique qualifiés. Un certificat de signature électronique est dit qualifié lorsqu il est délivré par un prestataire de services de certification électronique (PSCE) respectant les exigences listées à l article 6 dudit décret. Afin d attester du respect de ces exigences, un PSCE peut demander à être qualifié. L arrêté du 26 juillet 2004, pris par le Ministre chargé de l Industrie, en application de l article 7 du décret, relatif à la reconnaissance de la qualification des PSCE et à l accréditation des organismes qui procèdent à leur évaluation en précise la procédure : la qualification d un PSCE est délivrée par un organisme de certification accrédité à cet effet, l organisme de certification s appuie sur le référentiel technique prévu en annexe de l arrêté précité. L activité accréditée est, dans ce cas, la qualification des prestataires de services de certification électronique selon l'arrêté du 26 juillet ) L article 9 de l ordonnance n du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives prévoit une procédure de qualification des prestataires de services de confiance (PSCO). Les PSCO, au sens de cette ordonnance, couvrent tous les types de prestataires dans le domaine de la sécurité des systèmes d information, ils incluent notamment les PSCE. Le décret n du 2 février 2010, pris notamment pour l application de l article 9 de ladite ordonnance définit la procédure de qualification : la qualification d un PSCO est délivrée par un organisme de certification habilité par l ANSSI par délégation du Premier ministre ; l accréditation de l organisme de certification est un pré-requis à cette habilitation ; L organisme de certification s appuie sur les référentiels techniques inclus dans le référentiel général de sécurité (RGS). Ces référentiels techniques permettent notamment de qualifier deux familles de PSCO : les PSCE 1 (selon trois niveaux de sécurité) et les prestataires de services d horodatage électronique (PSHE) selon un unique niveau de sécurité. 1 Il est à noter que le référentiel technique du RGS utilisé pour qualifier des PSCE n est pas le même que celui prévu pour qualifier des PSCE selon l arrêté du 26 juillet CERT CEPE REF 21 rév. 05 Page 3 sur 20

4 L activité accréditée est, dans ce cas, la qualification des PSCE et des PSHE selon le RGS. 1.3) Le décret n du 20 avril 2011 relatif à l'horodatage des courriers expédiés ou reçus par voie électronique pour la conclusion ou l'exécution d'un contrat fixe les conditions qu un procédé d horodatage électronique doit remplir afin d être présumé fiable. L une de ces conditions porte sur le prestataire de services d horodatage électronique (PSHE) qui doit respecter les exigences listées à l article 3 dudit décret. Afin d attester du respect de ces exigences, un PSCE peut demander à être qualifié, conformément à l article 6. L arrêté du 20 avril 2011, pris par le Ministre chargé de l'industrie, de l'énergie et de l'économie numérique, en application de l article 6 du décret, relatif à la reconnaissance de la qualification des PSHE et à l accréditation des organismes qui procèdent à leur évaluation en précise la procédure : la qualification d un PSHE est délivrée par un organisme de certification accrédité à cet effet, l organisme de certification s appuie sur le référentiel technique prévu en annexe de l arrêté précité. L activité accréditée est, dans ce cas, la qualification des prestataires de services d horodatage électronique selon l'arrêté du 20 avril ) Des prestataires de services de confiance et/ou des prestataires techniques peuvent demander à être reconnus par un organisme tierce partie, selon tout ou partie des normes européennes ETSI TS (sans les compléments définis en annexe à l arrêté du 26 juillet 2004), ETSI TS et ETSI TS ainsi que selon tout ou partie des annexes du RGS. L activité accréditée est, dans ce cas, l attestation de conformité pour : - des PSCE délivrant des certificats qualifiés selon la spécification ETSI TS (équivalente à la spécification AFNOR AC Z74-400) ; - des PSCE délivrant des certificats à des personnes physiques selon la spécification ETSI TS ; - des prestataires techniques qui assurent une partie des fonctions techniques, pour le compte des PSCE ou des PSHE, prévues dans les référentiels du RGS (annexes A6 à A12 pour la version 1.0 du RGS et annexes A2, A3 et A5 pour la version 2.0 du RGS) et les normes ETSI TS , ETSI TS et ETSI TS REFERENCES ET DEFINITIONS Il appartient à tout organisme candidat ou accrédité de se tenir à jour des documents et versions de référence et de prendre en compte la réglementation applicable en vigueur Documents de référence Normes NF EN ISO/CEI «Evaluation de conformité Exigences pour les organismes procédant à l audit et à la certification de systèmes de management», caduque au 15/06/2017 CERT CEPE REF 21 rév. 05 Page 4 sur 20

5 NF EN ISO/CEI «Évaluation de la conformité Exigences pour les organismes procédant à l audit et à la certification des systèmes de management Partie 1: Exigences» ETSI TS : «Exigences concernant la politique mise en œuvre par les autorités de certification délivrant des certificats qualifiés» (équivalente à AFNOR AC Z74-400), version de mai 2007 ; ETSI TS : «Policy Requirements for Certification Authorities issuing public key certificates», version d avril 2010 ; ETSI TS :«Policy requirements for Time-Stamping Authority», version d octobre 2008 ; Annexes du RGS version 1.0 disponibles sur : [RGS_A_6] Politique de Certification Type "Confidentialité", version 2.3 du 11 février 2010 [RGS_A_7] : Politique de Certification Type "Authentification", version 2.3 du 11 février 2010 [RGS_A_8] : Politique de Certification Type "Signature électronique", version 2.3 du 11 février 2010 [RGS_A_9] : Politique de Certification Type "Authentification serveur", version 2.3 du 11 février 2010 [RGS_A_10] : Politique de Certification Type "Cachet", version 2.3 du 11 février 2010 [RGS_A_11] : Politique de Certification Type "Authentification et signature", version 2.3 du 11 février 2010 [RGS_A_12] : Politique d Horodatage Type, version 2.3 du 11 février 2010 Annexes du RGS version 2.0 disponibles sur : [RGS_A_2] Politique de Certification Type "Certificats électroniques de personne", version 3.0 du 27 février 2014 [RGS_A_3] : Politique de Certification Type "Certificats électroniques de services applicatifs", version 3.0 du 27 février 2014 [RGS_A_5] : Politique d Horodatage Type, version 3.0 du 27 février Lignes directrices IAF MD 2 : Document d exigences IAF pour le transfert d une certification sous accréditation de systèmes de management; IAF MD 4 : Document d exigences IAF pour l utilisation de techniques d audit assistées par ordinateur («TAAO») pour la certification sous accréditation de systèmes de management; Ces documents sont disponibles sur Règles applicables en matière d échantillonnage dans le cadre de la qualification des PSCE et des PSHE. La version en vigueur de ce document est disponible sur Textes réglementaires Loi n du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique ; CERT CEPE REF 21 rév. 05 Page 5 sur 20

6 Décret n du 30 mars 2001, pris pour l'application de l'article du code civil et relatif à la signature électronique ; Décret n du 18 avril 2002 relatif à l évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l information ; Arrêté du Ministre chargé de l Industrie, du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l'accréditation des organismes qui procèdent à leur évaluation ; Ordonnance n du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ; Décret n du 2 février 2010, pris pour l application des articles 9, 10 et 12 de l ordonnance n relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ; Arrêté du Premier Ministre, du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques. La première version du RGS est disponible sur Arrêté du Premier Ministre, du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques. La seconde version du RGS est disponible sur Décret n du 20 avril 2011 relatif à l horodatage des courriers expédiés ou reçus par voie électronique pour la conclusion ou l exécution d un contrat. Arrêté du 20 avril 2011 relatif à la reconnaissance de la qualification des prestataires de services d horodatage électronique et à l accréditation des organismes qui procèdent à leur évaluation. Ces textes réglementaires sont disponibles sur Référentiels techniques Pour les PSCE Il existe cinq référentiels techniques : 1. l annexe de l arrêté du 26 juillet 2004 qui identifie la norme ETSI TS (ou la norme équivalente AFNOR AC Z74-400) complétée par trois exigences supplémentaires pour la qualification des PSCE qui délivrent des certificats électroniques pour un usage donné de signature électronique ; 2. la version 1.0 du 6 mai 2010 du RGS et en particulier les annexes A6 à A11. Ces annexes sont appelées «Politique de Certification Type» et listent les règles de sécurité que doivent respecter les PSCE souhaitant délivrer des certificats électroniques pour différents usages 2 et différents niveaux de sécurité 3 ; 3. la version 2.0 du 13 juin 2014 du RGS et en particulier les annexes A2 et A3. Ces annexes sont appelées «Politique de Certification Type» et listent les règles 2 Confidentialité (annexe A6), authentification (annexe A7), signature électronique (annexe A8), authentification serveur (annexe A9), cachet (annexe A10), authentification et signature électronique (annexe A11). 3 Trois niveaux de sécurité aux exigences croissantes : une étoile (*), deux étoiles (**) et trois étoiles (***), excepté pour l annexe A10 qui ne compte que deux niveaux de sécurité (*) et (**). CERT CEPE REF 21 rév. 05 Page 6 sur 20

7 de sécurité que doivent respecter les PSCE souhaitant délivrer des certificats électroniques pour différents usages 4 et différents niveaux de sécurité 5 ; 4. la norme ETSI TS (ou la norme équivalente AFNOR AC Z74-400) ; 5. la norme ETSI TS Cette norme liste les règles de sécurité que doivent respecter les PSCE qui délivrent des certificats électroniques. Remarques : les exigences techniques définies en annexe de l arrêté du 26 juillet 2004 constituent un sous-ensemble de celles contenues dans l annexe A8 de la version 1.0 du RGS pour le niveau de sécurité (***), qui prévoit des exigences supplémentaires concernant notamment les gabarits des certificats électroniques ainsi que des variables de temps. De ce fait, une offre d un PSCE qualifiée conforme aux exigences de cette annexe A8 au niveau (***) par un organisme de certification est considérée comme conforme aux exigences de l arrêté du 26 juillet La réciproque n est pas vraie ; les exigences techniques définies en annexe de l arrêté du 26 juillet 2004 constituent un sous-ensemble de celles contenues dans l annexe A2 de la version 2.0 du RGS pour l usage «signature électronique» et pour le niveau de sécurité (***), qui prévoit des exigences supplémentaires concernant notamment les gabarits des certificats électroniques ainsi que des variables de temps. De ce fait, une offre d un PSCE qualifiée conforme aux exigences de cette annexe A8 au niveau (***) par un organisme de certification est considérée comme conforme aux exigences de l arrêté du 26 juillet La réciproque n est pas vraie ; lorsqu ils utilisent les référentiels 1. ou 2. pour auditer les PSCE, les organismes de certification délivrent des attestations de qualification. Sinon, ils délivrent des attestations de conformité ; dans le cas d un prestataire technique seules les exigences qui lui sont applicables sont auditées. Il lui est délivré une attestation de conformité à l issue de l audit par l organisme de certification Pour les PSHE Il existe trois référentiels techniques : 1. la version 1.0 du 6 mai 2010 du RGS et en particulier l annexe A12. Cette annexe est appelée «Politique d Horodatage Type» et liste les règles de sécurité que doivent respecter les PSHE souhaitant délivrer des contremarques de temps pour un unique niveau de sécurité ; 2. la version 2.0 du 13 juin 2014 du RGS et en particulier l annexe A5. Cette annexe est appelée «Politique d Horodatage Type» et liste les règles de sécurité que doivent respecter les PSHE souhaitant délivrer des contremarques de temps pour un unique niveau de sécurité ; 3. la norme ETSI TS Cette norme liste les règles de sécurité que doivent respecter les PSHE qui délivrent des contremarques de temps. 4 Certificats électroniques de personne : signature électronique, authentification, confidentialité, authentification et signature électronique (annexe A2) ; services applicatifs : cachet, signature de codes et authentification serveur (annexe A3). 5 Trois niveaux de sécurité aux exigences croissantes : une étoile (*), deux étoiles (**) et trois étoiles (***), excepté pour le double usage «authentification et signature électronique» de l annexe A2 qui ne compte que deux niveaux de sécurité (*) et (**). CERT CEPE REF 21 rév. 05 Page 7 sur 20

8 Remarque : Dans le cas d un prestataire technique, seules les exigences qui lui sont applicables sont auditées. Il lui est délivré une attestation de conformité à l issue de l audit par l organisme de certification Définitions et acronymes Définitions Pour les besoins du présent document, les définitions suivantes s appliquent : Attestation de conformité - Document par lequel un organisme de certification atteste de la conformité des fonctions fournies par un prestataire technique aux exigences qui lui sont applicables ou de la conformité d un PSCO à des référentiels techniques (normes ETSI TS et ETSI TS ) hors cadre réglementaire. Attestation de qualification - Document par lequel un organisme de certification atteste de la qualification d un prestataire de services de certification électronique délivrant des certificats de signature électronique qualifiés, de la qualification d un prestataire de services d horodatage électronique délivrant des contremarques de temps, ou de la qualification d un PSCO. Autorité de certification (AC) - Au sein d'un PSCE, une Autorité de Certification a en charge, au nom et sous la responsabilité de ce PSCE, l'application d'au moins une politique de certification et est identifiée comme telle, en tant qu'émetteur (champ "issuer" du certificat), dans les certificats émis au titre de cette politique de certification. Autorité d'horodatage (AH) - Au sein d'un PSHE, une Autorité d'horodatage a en charge, au nom et sous la responsabilité de ce PSHE, l'application d'au moins une politique d'horodatage en s'appuyant sur une ou plusieurs Unités d'horodatage. Certificat électronique - Fichier électronique attestant qu une bi-clé appartient à une personne physique, une personne morale, un élément matériel ou un logiciel identifié, directement ou indirectement (pseudonyme). Il est délivré par un PSCE. En signant le certificat, l AC valide le lien entre l'identité de la personne ou de l élément considéré avec la clé publique. Le certificat est valide pendant une durée limitée précisée dans celui-ci. Contremarque de temps - Donnée signée qui lie une représentation d'une donnée à un temps particulier, exprimé en heure UTC (temps universel coordonné), établissant ainsi la preuve que la donnée existait à cet instant-là. Déclaration des pratiques de certification (DPC) - Une DPC identifie les pratiques (organisation, procédures opérationnelles, moyens techniques et humains) que l AC applique dans le cadre de la fourniture de ses services de certification électronique aux usagers et en conformité avec la ou les PC qu'elle s'est engagée à respecter. Déclaration des pratiques d horodatage (DPH) - Une DPH identifie les pratiques (organisation, procédures opérationnelles, moyens techniques et humains) que l AH CERT CEPE REF 21 rév. 05 Page 8 sur 20

9 applique dans le cadre de la fourniture de ses services d'horodatage et en conformité avec la ou les PH qu'elle s'est engagée à respecter. Fonction (de sécurité) : activité régie par des règles destinées à garantir la sécurité d une prestation de certification ou d horodatage électronique. Mandataire de certification (MC) - Le mandataire de certification est désigné par et placé sous la responsabilité de l'entité cliente. Il est en relation directe avec le prestataire technique en charge de l enregistrement des porteurs de certificats. Il assure pour lui un certain nombre de vérifications concernant l'identité et éventuellement, les attributs des porteurs de cette entité (il assure notamment le face-à-face pour l'identification des porteurs lorsque celui-ci est requis). Politique de certification (PC) - Ensemble de règles, identifié par un nom (OID), définissant les exigences auxquelles une AC se conforme dans la mise en place et la fourniture de ses prestations et indiquant l'applicabilité d'un certificat à une communauté particulière et/ou à une classe d'applications avec des exigences de sécurité communes. Une PC peut également, si nécessaire, identifier les obligations et exigences portant sur les autres intervenants, notamment les porteurs et les utilisateurs de certificats. Politique d'horodatage (PH) - Ensemble de règles, identifié par un nom (OID), définissant les exigences auxquelles une AH se conforme dans la mise en place et la fourniture de ses prestations et indiquant l'applicabilité d'une contremarque de temps à une communauté particulière et/ou une classe d'application avec des exigences de sécurité communes. Une PH peut également, si nécessaire, identifier les obligations et exigences portant sur les autres intervenants, notamment les abonnés et les utilisateurs de contremarques de temps. Prestataire de services de certification électronique (PSCE) - Un PSCE est un type de PSCO particulier. Un PSCE se définit comme toute personne ou entité qui est responsable de la gestion de certificats électroniques tout au long de leur cycle de vie, vis-à-vis des porteurs et utilisateurs de ces certificats. Un PSCE peut fournir différentes familles de certificats correspondant à des finalités différentes et/ou des niveaux de sécurité différents. Un PSCE comporte au moins une AC mais peut en comporter plusieurs en fonction de son organisation. Les différentes AC d'un PSCE peuvent être indépendantes les unes des autres et/ou liées par des liens hiérarchiques ou autres (AC Racines / AC Filles). Un PSCE est identifié dans un certificat dont il a la responsabilité au travers de son AC ayant émis ce certificat et qui est elle-même directement identifiée dans le champ "issuer" du certificat. Prestataire de services d'horodatage (PSHE) - Un PSHE est un type de PSCO particulier. Un PSHE se définit comme toute personne ou entité qui est responsable de la génération et de la gestion de contremarques de temps, vis-à-vis de ses abonnés et des utilisateurs de ces contremarques de temps. Un PSHE peut fournir différentes familles de contremarques de temps correspondant à des finalités différentes et/ou des niveaux de sécurité différents. Un PSHE comporte au moins une AH mais peut en comporter plusieurs en fonction de son organisation. Un PSHE est identifié dans les certificats de clés publiques des UH dont il a la responsabilité au travers de ses AH. CERT CEPE REF 21 rév. 05 Page 9 sur 20

10 Prestataire de services de confiance (PSCO) - Terme générique désignant l ensemble des familles de prestations de services qui permettent de sécuriser les échanges et traitements électroniques d informations Les PSCE et les PSHE sont deux familles de PSCO. Prestataire technique - Prestataire externe qui met en œuvre pour le compte d un prestataire de service de confiance une ou plusieurs fonctions techniques (exemples : la fabrication technique des certificats électroniques, la remise des certificats aux porteurs, la révocation et le renouvellement des certificats). Profil : ensemble cohérent d attributs permettant de caractériser plusieurs sites similaires. Qualification des prestataires de services de certification électronique délivrant des certificats de signature électronique qualifiés- Le processus par lequel un organisme de certification s assure et atteste, conformément à l'arrêté du 26 juillet 2004, qu'un PSCE fournit des prestations conformes aux exigences de l article 6 du décret n du 30 mars Qualification des prestataires de services d horodatage électronique - Le processus par lequel un organisme de certification s assure et atteste, conformément à l'arrêté du 20 avril 2011, qu'un PSHE fournit des prestations conformes aux exigences de l article 6 du décret n du 20 avril Qualification des prestataires de services de confiance - Le processus par lequel un organisme de certification s assure et atteste de la conformité d un PSCO (PSCE ou PSHE) aux exigences associées du RGS, le cas échéant pour un niveau de sécurité donné. Site : lieu physique au sein duquel est assuré tout ou partie d une fonction de sécurité. Système de management de services de confiance - Ensemble d'éléments corrélés ou interactifs (organisation, politiques, pratiques et procédures, moyens humains et techniques) mis en œuvre par un prestataire de services de confiance afin de fournir le service considéré. Typologie de profil : ensemble des profils pour un prestataire à auditer Acronymes ANSSI DGME DGCIS OID PC PH PSCE PSHE PSCO RGS Agence Nationale de la Sécurité des Systèmes d Information Direction Générale pour la Modernisation de l Etat Direction Générale de la Compétitivité, de l Industrie et des Services Object IDentifier Politique de Certification Politique d Horodatage Prestataire de Service de Certification Electronique Prestataire de Service d Horodatage Electronique Prestataire de Services de Confiance (PSCE ou PSHE) Référentiel Général de Sécurité CERT CEPE REF 21 rév. 05 Page 10 sur 20

11 SSI Sécurité des Systèmes d Information 3. DOMAINE D APPLICATION Ce document s applique à toutes les demandes d accréditation d organismes d évaluation de la conformité pour les activités citées en objet. 4. MODALITES D APPLICATION Ce document est applicable à compter du 01/01/ MODIFICATIONS Ce document porte l indice 05. Les modifications sont indiquées par un trait vertical dans la marge gauche. Les modifications portent sur l ajout de la référence à la norme NF EN ISO/CEI , et sur l intégration des correspondances avec les chapitres de la norme NF EN ISO/CEI EXIGENCES A SATISFAIRE PAR L ORGANISME DE CERTIFICATION Dans la suite du document, seules les exigences spécifiques à la qualification des PSCO ont été précisées, étant entendu que les exigences générales des référentiels d accréditation et procédures en vigueur s appliquent. Ces exigences spécifiques sont rapportées sous le chapitre de la norme NF EN ISO/CEI et NF EN ISO/CEI qu elles spécifient et dont l intitulé est alors repris, ainsi que la référence au paragraphe de la norme, entre parenthèses. De ce fait, quand il n y a pas d exigence supplémentaire, le chapitre de la norme n est pas repris Exigences relatives aux organismes de certification (NF EN ISO/CEI et NF EN ISO/CEI , 6, 7, 8 et 10) Organisme de certification Organisation (NF EN ISO/CEI et NF EN ISO/CEI ) La structure prévue au de la norme NF EN ISO/CEI doit comprendre notamment un représentant de l ANSSI, un représentant de la DGME et un représentant de la DGCIS. Ces représentants doivent être considérés comme des parties intéressées appropriées au sens du de la norme NF EN ISO/CEI Sous-traitance (NF EN ISO/CEI et NF EN ISO/CEI ) En cas de sous-traitance, l organisme de certification doit s assurer que le sous-traitant satisfait aux exigences applicables du présent document et être en mesure à tout moment de produire les justifications correspondantes à cette assurance. CERT CEPE REF 21 rév. 05 Page 11 sur 20

12 Conditions pour l octroi, le renouvellement, l extension, la suspension et le retrait de la qualification (NF EN ISO/CEI et NF EN ISO/CEI ) Les dispositions établies doivent clairement distinguer les activités de qualification et de celles d attestation de conformité. Octroi, renouvellement, extension, suspension et retrait de la qualification dans le cas des PSCO recourant à des prestataires techniques : L organisme de certification doit prendre en compte les attestations de conformité valides, présentées par le PSCO candidat à la qualification, et attestant de la conformité de certaines fonctions de l offre du PSCO aux exigences correspondantes du référentiel technique utilisé pour sa qualification (autrement dit, une qualification pour un usage et un niveau de sécurité donné ne peut être octroyée à un PSCO que dans le cas où tous ses prestataires techniques disposent d une attestation de conformité valide pour cet usage et ce niveau de sécurité). L organisme de certification peut demander au PSCO, communication des rapports d audit correspondants aux attestations de conformité. Dans ce cas, l organisme de certification ne doit pas procéder à une nouvelle évaluation des prestataires techniques titulaires d une attestation de conformité. Il doit s assurer en revanche, lors de l évaluation, de la cohérence des systèmes de management du service de confiance mis en place par le PSCO et par ses prestataires techniques. La qualification ainsi délivrée reste valide tant que les attestations de conformité sur lesquelles elle repose sont valides. L organisme de certification doit exiger du PSCO qualifié qu il lui transmette avant leurs échéances les nouvelles attestations de conformité valides sur lesquelles repose sa qualification. A défaut, l organisme de certification doit suspendre la qualification du PSCO et retirer cette qualification après un délai maximal de 3 mois après la suspension. Extension de qualification : Un PSCO, ayant déjà obtenu une attestation de qualification pour une offre et un niveau de sécurité donnés, peut demander à l organisme de certification une extension de qualification pour une autre offre ou un autre niveau de sécurité. L octroi de cette extension, sous la forme d une nouvelle attestation de qualification, sera obtenu à l issue d une évaluation complémentaire de conformité aux exigences n ayant pas déjà fait l objet d une évaluation et s assurant de la bonne intégration des nouvelles fonctionnalités objet de l extension dans le système de management du service de confiance mis en place par le PSCO. Suspension et retrait de la qualification dans le cas particulier des PSCE qualifiés selon l arrêté du 26 juillet 2004 : Pour les PSCE qualifiés conformément à l arrêté du 26 juillet 2004, les modalités de suspension ou de retrait doivent prévoir de prendre en compte les informations transmises par l ANSSI tel que prévu à l article 9 du décret n Si, au cours d un contrôle mené par l ANSSI il s avère que le PSCE ne satisfait pas aux exigences pour lesquelles il a été qualifié, l organisme de certification qui lui a délivré l attestation de qualification est informé par l ANSSI. Il est alors tenu d appliquer immédiatement sa procédure de suspension pour cette attestation et de mener une réévaluation, sous 15 jours ouvrés, du PSCE pouvant conduire à un retrait de cette qualification. Le périmètre de cette réévaluation doit couvrir les points contrôlés négativement et signalés par l ANSSI. Le résultat de cette réévaluation est communiqué CERT CEPE REF 21 rév. 05 Page 12 sur 20

13 sans délai à l ANSSI. Pendant la durée de la suspension, le PSCE n est pas autorisé à délivrer des certificats qualifiés. Procédure d échantillonnage : Dans le cas de PSCO ou de prestataires techniques répartis sur de multiples sites géographiques, la procédure d échantillonnage prévue au chapitre peut être mise en œuvre Documents de certification (NF EN ISO/CEI et NF EN ISO/CEI ) L attestation émise par l organisme de certification doit : distinguer le type de reconnaissance octroyée : attestation de qualification ou attestation de conformité, afficher le cadre réglementaire sur la base duquel est délivrée l attestation de qualification : o soit selon la version 1.0 du RGS : il doit être fait référence à l ordonnance n ainsi qu au décret n et à l arrêté du Premier Ministre du 6 mai 2010, portant approbation de la version 1.0 du RGS ; o soit selon la version 2.0 du RGS : il doit être fait référence à l ordonnance n ainsi qu au décret n et à l arrêté du Premier Ministre du 13 juin 2014, portant approbation de la version 2.0 du RGS ; o soit selon la signature électronique : il doit être fait référence au décret n ainsi qu à l arrêté du 26 juillet 2004 ; o soit selon l horodatage électronique : il doit être fait référence au décret n ainsi qu à l arrêté du 20 avril indiquer le cas échéant le ou les usages (annexe du RGS) ainsi que le ou les niveaux de sécurité visés par cette attestation, mentionner également la ou les références (noms et OID) des PC ou des PH du PSCO concernée(s) par la qualification, mentionner nominativement toutes les combinaisons opérationnelles des prestataires techniques utilisées pour fournir le service au niveau donné pour lequel la qualification est délivrée. La durée pendant laquelle les attestations de qualification ou les attestations de conformité sont valables ne peut excéder trois ans conformément à l article 10 du décret n et à l article 9 de l arrêté du 26 juillet Une attestation de conformité doit de plus préciser explicitement les exigences qui ont fait l objet d une évaluation de la part de l organisme de certification Utilisation d attestation et logos (NF EN ISO/CEI et NF EN ISO/CEI ) L organisme de certification doit exiger, dans le cas d une attestation de conformité, que le PSCO indique, dans toute communication et publicité, clairement qu il n a fait l objet que d une évaluation de conformité à certaines exigences et non d une qualification selon le RGS ou selon l annexe de l arrêté du 26 juillet CERT CEPE REF 21 rév. 05 Page 13 sur 20

14 Confidentialité (NF EN ISO/CEI et NF EN ISO/CEI ) Toute décision d octroi, d extension, de refus (s il est motivé par des non-conformités au référentiel technique), de suspension ou de retrait de qualification doit être notifiée immédiatement à l ANSSI. Les rapports d audit sont adressés à l ANSSI. L organisme de certification est tenu d informer l ANSSI dès qu il est amené à conduire une réévaluation du PSCO tel que cela est prévu dans le de la NF EN ISO/CEI et le de l ISO/CEI Il doit leur en fournir les raisons Personnel de l organisme de certification (NF EN ISO/CEI et NF EN ISO/CEI ) Considérations générales ( 7.1.1) Le personnel de l organisme de certification doit disposer de compétences dans les différents domaines techniques correspondant aux différents référentiels techniques listés au chapitre 6 du présent document Critères de compétences des auditeurs ( 7.2) Les fonctions d auditeur et de responsable d audit peuvent être assurées par une même personne ; Il convient que tous les auditeurs de PSCO possèdent des connaissances et des aptitudes dans les domaines suivants : a) les technologies et les systèmes d'information, b) la sécurité de l'information de manière générale, notamment en matière de : * sécurité des systèmes d'information, * sécurité physique, * management de la sécurité de l'information, * analyse et gestion des risques. c) pour chaque famille de PSCO (PSCE ou PSHE), et le cas échéant pour chaque offre et chaque niveau de sécurité, sur lequel l'auditeur peut être amené à intervenir, les méthodes et les techniques associées afin de permettre à l'auditeur d'examiner les systèmes de management des services de confiance des PSCO et d'en tirer des résultats et des conclusions d'audit appropriés. Les connaissances et compétences pour ce domaine devraient inclure : * la terminologie du service de confiance du prestataire ; * les principes de management du système d information du service de confiance du PSCO et leurs applications ; * les outils et les processus opérationnels de management du PSCO et leurs applications. d) l offre de service elle-même et ses applications, notamment dans le cadre des télé services, afin de permettre à l'auditeur de comprendre le contexte technologique dans lequel l'audit est mené. Les connaissances et compétences pour ce domaine devraient inclure : * les caractéristiques techniques de l offre de service, * les caractéristiques de mise en œuvre du service au sein des applications. CERT CEPE REF 21 rév. 05 Page 14 sur 20

15 Auditeur d'un service de confiance Responsable d'équipe d'audit Formation initiale Second cycle dans le domaine des Pas d'exigence supplémentaire systèmes d'information (informatique, réseaux, télécommunications,...) (voir note 1) Total expérience 4 ans (voir note 2) Pas d'exigence supplémentaire professionnelle Expérience professionnelle 2 ans (voir note 3) Pas d'exigence supplémentaire en sécurité Formation d'audit Au moins 40h de formation d'audit Pas d'exigence supplémentaire Expérience d'audit (voir note 3) Au moins 4 audits complets et au moins 20 jours d'expérience d'audit en tant qu'auditeur en formation sous la direction et avec les conseils d'un auditeur ayant la compétence de responsable d'équipe d'audit. Il est recommandé que ces audits soient réalisés dans les 3 dernières années. (voir note 4) Au moins 3 audits complets et au moins 15 jours d'expérience d'audit en tant que responsable d'équipes d'audit sous la direction et avec les conseils d'un auditeur ayant la compétence de responsable d'équipe d'audit. Il est recommandé que ces audits soient réalisés dans les 2 dernières années. (voir note 4) NOTE 1 ou, dans le cas d un diplôme non français, tout diplôme reconnu équivalent à un diplôme de second cycle français, par le centre national considéré d information sur la reconnaissance des diplômes dans les États membres de l Union européenne, les pays de l Espace économique européen et les pays associés d Europe centrale et orientale. NOTE 2 - L'expérience professionnelle doit comporter au moins 4 ans dans le domaine des systèmes d'information dont 2 ans dans le domaine de la sécurité de l'information et du service de confiance considéré. Les quatre années doivent être incluses dans les huit dernières années. NOTE 3 - Initialement, les organismes de certification pourraient ne pas pouvoir trouver suffisamment de personnel disposant de l'expérience d'audit requise. Ils peuvent prendre en compte d'autres expériences pertinentes en le justifiant et en gardant la trace. NOTE 4 - Un audit complet est un audit qui couvre toutes les étapes de la préparation de l audit à l émission du rapport Il convient que l'expérience d'audit couvre la totalité des référentiels techniques listés au chapitre 6. Parmi les experts techniques sur lesquels l'organisme de certification peut s'appuyer, les experts en sécurité des systèmes d'information doivent justifier, au minimum, d'une formation de second cycle en matière de SSI et/ou justifier d'une expérience professionnelle d'au moins 4 ans dans le domaine Exigences relatives au processus de qualification (NF EN ISO/CEI et NF EN ISO/CEI ) La demande (NF EN ISO/CEI et NF EN ISO/CEI ) Lorsque le demandeur est un PSCE, il doit fournir à l organisme de certification un exemplaire de sa PC et de la DPC correspondante et, s il y a lieu, la documentation associée. Lorsque le demandeur est un PSHE, il doit fournir à l organisme de certification un exemplaire de sa PH et de la DPH correspondante et, s il y a lieu, la documentation associée. Le PSCO ou le prestataire technique doit préciser dans sa demande s il souhaite une attestation de qualification ou une attestation de conformité, ainsi que toutes les CERT CEPE REF 21 rév. 05 Page 15 sur 20

16 combinaisons opérationnelles des prestataires techniques qu il utilise pour fournir le service au niveau de sécurité donné pour lequel la qualification est demandée Préparation pour l audit (NF EN ISO/CEI et NF EN ISO/CEI ) Cette étape doit permettre à l organisme de certification de s assurer précisément du périmètre d évaluation souhaité par le demandeur. La préparation doit être conduite en fonction de ce périmètre Audit (NF EN ISO/CEI et NF EN ISO/CEI ) L audit doit être strictement limité au périmètre demandé et accepté par l organisme de certification. La durée de l audit dépend de l organisation du PSCO ou du prestataire technique (les facteurs qui peuvent influencer la durée d audit sont mentionnés dans l ISO/CEI 27006). La répartition des jours d audit est faite par l organisme de certification en fonction de la répartition des activités entre les différents prestataires techniques et des exigences qui lui en sont en conséquence applicables. Dans tous les cas, la durée d audit doit être adaptée au périmètre d audit, justifiée et documentée par l organisme. A titre indicatif, l audit complet d un PSCE assurant lui-même l ensemble des fonctions pour délivrer le service pour un niveau donné devrait être de l ordre de 12 jours. Dans le cas de PSCO ou de prestataires techniques répartis sur de multiples sites géographiques, l organisme de certification peut effectuer un échantillonnage selon les conditions définies dans l ISO/CEI et au document «Règles applicables en matière d échantillonnage dans le cadre de la qualification des PSCE et des PSHE». Le nombre de sites du PSCO ou d un prestataire technique pour une fonction donnée à auditer ainsi calculé est le même pour les audits initiaux, les audits de surveillance et de renouvellement. Cas particuliers du face à face pour l enregistrement des porteurs de certificats électroniques : a) Lorsque la vérification de l identité est réalisée en face à face, par un MC, par du personnel du PSCE ou d un prestataire technique, les modalités suivantes peuvent être appliquées en remplacement de l échantillonnage ci-dessus mentionné : - l organisme de certification demande au PSCE ou au prestataire technique : * la liste nominative des personnes habilitées à effectuer l enregistrement, * la preuve de leur compétence à vérifier une pièce d identité, * la preuve de leur formation à cette activité d enregistrement, * la preuve qu ils détiennent l ensemble des procédures du PSCE ou du prestataire technique et les formulaires d enregistrement à jour, CERT CEPE REF 21 rév. 05 Page 16 sur 20

17 * un engagement de chacune de ces personnes à respecter les règles édictées par le PSCE ou le prestataire technique et en particulier à effectuer un réel face-à-face, * assurer l archivage de ces données conformément aux exigences des référentiels techniques mentionnés au chapitre 6 et à la législation en vigueur, - l organisme de certification doit toutefois régulièrement réaliser un audit inopiné de ces opérations de face à face. Un dysfonctionnement constaté doit être traité comme une non conformité du PSCE ou du prestataire technique. b) Certains officiers publics tels que les notaires, les officiers d état-civil et dans certains cas les commissaires aux comptes et les huissiers ont un statut professionnel qui leur permet d effectuer l acte d enregistrement et de remise de certificats et garantit juridiquement la valeur du face à face. Dans ce cas, l organisme de certification peut ne pas auditer les exigences relatives à l enregistrement (face à face et vérification de l identité). L organisme de certification doit toutefois se réserver le droit d auditer ces exigences sous forme d audit inopiné, en cas de doute Appels, plaintes et contestations (NF EN ISO/CEI et NF EN ISO/CEI ) L ANSSI peut être amenée à formuler une plainte suite à un contrôle auprès d un PSCE qualifié conformément à l arrêté du 26 juillet 2004 et délivrant des certificats qualifiés de signature, suivant les dispositions prévues par l article 9 du décret n du 30 mars PROCESSUS D ACCREDITATION - MODALITES D EVALUATION 7.1. Portée d accréditation La portée de demande d accréditation identifie les référentiels techniques exploités par les organismes de certification qui procèdent à l évaluation de conformité des PSCO. La liste exhaustive de ces référentiels se trouve en annexe A du présent document. Toute demande pour intégrer un nouveau référentiel de certification à la portée d accréditation est traitée comme une extension mineure telle que décrite dans le règlement d accréditation CERT REF Modalités d évaluation Toute demande d accréditation, en vue de qualifier ou d attester de la conformité d offres de PSCO ou de prestataires techniques, sera traitée comme une demande d accréditation initiale ou d extension de la portée d accréditation à un nouveau domaine (objet du présent document), selon la procédure prévue dans le document CERT REF 05. CERT CEPE REF 21 rév. 05 Page 17 sur 20

18 L équipe d évaluation chargée des opérations d évaluation pour le présent document comprend un évaluateur qualiticien et un ou plusieurs évaluateur(s) technique(s) compétent(s) 6 dans le domaine de l évaluation en sécurité des technologies de l information, conformément aux procédures du Cofrac. Un rapport rédigé par l évaluateur technique, différent du rapport d évaluation destiné au COFRAC, pourra être transmis et utilisé par l ANSSI au titre de l habilitation des PSCO, selon la procédure prévue à l article 10 du décret n Observations d activité Il doit être effectué au moins 1 observation d activité de qualification ou d attestation de conformité à chaque évaluation. Par activité de qualification ou attestation de conformité, on entend notamment un audit ou une réunion d un comité. Les observations d activité sont choisies en privilégiant le référentiel technique RGS. Compte-tenu des durées standards des audits initiaux et de renouvellement de qualification, il est admis que les observations ne portent pas sur la totalité de l audit Attestation d accréditation L attestation d accréditation délivrée mentionne la liste des référentiels techniques permettant l évaluation de conformité des PSCO et pour la(les)quelle(s) il a obtenu l accréditation Echange d informations Le Cofrac informe, dans les meilleurs délais, l ANSSI de toute décision d octroi, de restriction et de refus d accréditation Dispositions à prendre en cas de suspension, de retrait d accréditation ou de cessation d activité de l organisme certificateur Le Cofrac informe sans délai l ANSSI de toute mesure de suspension ou de retrait d accréditation d un organisme certificateur Dispositions à prendre en cas de suspension d accréditation Les actions à mettre en œuvre par l organisme concernant les certificats en vigueur émis sous accréditation sont établies au cas par cas en fonction de la raison de la suspension et sont indiquées dans le courrier de notification de suspension. 6 Ces derniers sont sélectionnés par le COFRAC parmi les candidats proposés par l ANSSI. CERT CEPE REF 21 rév. 05 Page 18 sur 20

19 Dispositions à prendre en cas de retrait de l accréditation ou de cessation d activité d un organisme certificateur Retrait d accréditation d un organisme certificateur L organisme n est plus autorisé à délivrer de certificats ni à maintenir les certificats existants. Il doit informer les prestataires concernés dans les meilleurs délais pour qu ils puissent s adresser à un autre organisme de certification accrédité à cet effet, afin de transférer le cas échéant la certification détenue, conformément aux dispositions de l IAF MD Cessation d activité d un organisme certificateur L organisme certificateur doit informer les prestataires concernés dans les meilleurs délais pour qu ils puissent s adresser à un autre organisme de certification accrédité à cet effet, afin de transférer le cas échéant la certification détenue, dans les conditions énoncées au MODALITES FINANCIERES L accréditation au titre du présent document constitue un domaine tel qu indiqué dans les documents CERT REF 06 et CERT REF 07. CERT CEPE REF 21 rév. 05 Page 19 sur 20

20 ANNEXE A : PORTEE D ACCREDITATION Les activités suivantes relèvent du présent document Certification pour la qualification des PSCE et des PSHE selon la version 1.0 du RGS (décret n et arrêté du 6 mai 2010 portant approbation de la version 1.0 du RGS) : Confidentialité A6 *, **, *** Authentification A7 *, **, *** Signature électronique A8 *, **, *** Authentification serveur A9 *, **, *** Cachet A10 *, **, *** Authentification et signature électronique A11 *, ** Horodatage A12 un seul niveau Certification pour la qualification des PSCE et des PSHE selon la version 2.0 du RGS (décret n et arrêté du 13 juin 2014 portant approbation de la version 2.0 du RGS) : Certificats électroniques de personne Services applicatifs Confidentialité A2 *, **, *** Authentification A2 *, **, *** Signature électronique A2 *, **, *** Authentification et signature électronique A2 *, ** Cachet A3 *, **, *** Signature de codes A3 *, **, *** Authentification serveur A3 *, **, *** Horodatage A5 un seul niveau Certification pour la qualification des PSCE selon l'arrêté du 26 juillet 2004 ; Certification des PSCE délivrant des certificats qualifiés selon la spécification ETSI TS (équivalente à la spécification AFNOR AC Z74-400) ; Certification des PSCE délivrant des certificats à clefs publiques selon la spécification ETSI TS ; Certification des PSHE délivrant des contremarques de temps selon l'arrêté du 20 avril 2011 la spécification ETSI TS ; Certification des prestataires techniques qui assurent une partie des fonctions techniques, pour le compte des PSCE ou des PSHE, prévues dans les référentiels du RGS (annexes A6 à A12 dans la version 1.0 du RGS, annexes A2, A3 et A5 dans la version 2.0 du RGS) et les normes ETSI TS , ETSI TS et ETSI TS et l arrêté du 26 juillet CERT CEPE REF 21 rév. 05 Page 20 sur 20