Secrétariat Général Département de la Production et de l'infrastructure Informatiques Cellule Architecture Courrier électronique : -DG75-C470

Transcription

1 Etab=DG75, Timbre=C470, TimbreDansAdresse=Vrai, Version=W2000/Charte7, VersionTravail=W2000/Charte7 Secrétariat Général Département de la Production et de l'infrastructure Informatiques Cellule Architecture Courrier électronique : -DG75-C470 NOTE Dossier suivi par : Jean-Pierre Le Goff Tél. : Mél : DG75-C470 Paris, le 11 juin 2010 N 182/DG75-C470/ Objet : Dématerialisation des échanges pour la BRPP L annexe à cette note constitue le cahier des charges des dispositifs de télétransmission des bulletins d état civil et avis électoraux. Il sera mis à la disposition des organismes qui souhaiteront obtenir l homologation du dispositif qu ils proposent pour télétransmettre ces documents entre les communes et l Insee. L'adjoint à la secrétaire générale pour les questions informatiques Signé : Jean-Pierre GRANDJEAN TIMBRE DG75-C bd Adolphe Pinard PARIS CEDEX 14 - FRANCE - Tél. standard : N SIRET : Code APE : 84.11Z - Service Insee Contact : (tarification "appel local") RÉPUBLIQUE FRANÇAISE

2 Annexe Dématérialisation des échanges pour la BRPP Cahier des charges des dispositifs de télétransmission des bulletins d état civil et avis électoraux Réf. : N 182/DG75-C470/ du11 juin 2010 Page 2 / 17

3 Descriptif du Document Auteurs : JLJ, JPLG Statut du document : Version publiée le 15 juin 2010 Version du document : 1.5 Historique des versions successives N Date Auteur(s) Modifications /05/2009 JL. JESTIN Création /09/2009 JP. LE GOFF Révision suite à remarques de Aql, Oppida et Insee /10/2009 JP. LE GOFF Révision suite à réunion INSEE/CESTI du 14/ /01/2010 JP. LE GOFF Prise en compte des remarques de JP. Grandjean et P. Seguin /05/2010 JP. LE GOFF Prise en compte des recommandations du RGS /06/2010 JP. LE GOFF Renumérotation et révision des exigences de niveau de sécurité (Préconisation CTSC) Réf. : N 182/DG75-C470/ du11 juin 2010 Page 3 / 17

4 SOMMAIRE 1 Préambule La dématérialisation des échanges Périmètre de la télétransmission Principes de dématérialisation retenus Les acteurs de la télétransmission La télétransmission dans la chaîne de travail Les clauses de conformité imposées aux dispositifs de télétransmission Architecture globale Normes pour les échanges de données Sécurisation des échanges Confidentialité des données Authentification, intégrité Protection contre les intrusions Fonctionnalités Émission des flux Traçabilité Modalités d'exploitation Exigences techniques Formats des échanges Dénomination des fichiers Protocoles utilisés entre les dispositifs de télétransmission et l'insee Sécurité des télétransmissions Authentification Confidentialité et intégrité des données Sécurité des données au sein du dispositif, validité des échanges Processus d'homologation Annexe 1 : Service d échanges de fichiers (SEF) Réf. : N 182/DG75-C470/ du11 juin 2010 Page 4 / 17

5 1 Préambule Avertissement : Dans ce qui suit, le terme «commune» sera utilisé pour désigner indifféremment une commune ou un intermédiaire dûment mandaté pour les opérations de gestion du répertoire des personnes ou du fichier électoral dont il est traité ici ; le terme opérateur désignera un «TdT» (Tiers de Transmission) qui propose aux communes un service de transmission de données vers ou de l Insee, homologué par l Insee sur recommandation d un «CESTI» (Centre d Évaluation de la Sécurité des Technologies de l Information) ; le terme «dispositif» désignera l ensemble des équipements (matériel et logiciel), l organisation et les procédures mobilisés pour assurer ce service. Le cahier des charges des dispositifs de télétransmission complète le cadre réglementaire des échanges de données qui interviennent entre les communes et l'insee pour la gestion du répertoire national d'identification des personnes physiques et la tenue du fichier général des électeurs et des électrices. La mise en œuvre de la dématérialisation des échanges entre les communes et l'insee pour la transmission des données d'état civil et des avis électoraux est subordonnée à un accord explicite préalable signé entre les parties qui précise le périmètre de la dématérialisation envisagée et les modalités de transmission retenues, en particulier s'il y a recours à un dispositif de télétransmission homologué. Le présent cahier des charges explicite les conditions que doit remplir un dispositif de télétransmission pour être homologué. Il s'adresse aux collectivités désireuses d'initier une démarche de télétransmission avec l'insee ainsi qu aux industriels et collectivités qui souhaitent proposer à des communes des solutions pour la télétransmission des bulletins d'état civil et des avis électoraux. La mise en œuvre effective et le raccordement d'un dispositif de télétransmission homologué sont subordonnés à la signature préalable, entre l'opérateur du dispositif et l'insee, d'une convention respectant le modèle arrêté par l'institut. Dans la suite du document, les exigences qui conditionnent l'homologation d'un dispositif de télétransmission sont repérées et numérotées sous la forme : Exigence n.x texte de l'exigence (1.x pour les exigences générales, 2.x pour les exigences techniques, 3.x pour les exigences de sécurité, 4.x pour les exigences concernant la sécurité des données au sein du dispositif et la validité des échanges) Ce cahier des charges sera complété par trois documents : Une «convention de raccordement type d un dispositif de télétransmission homologué», contresigné du TdT concerné et de l Insee ; Une annexe (jointe) décrivant le «Service d Échange de Fichiers» proposé par l Insee à ses partenaires ; Une annexe technique, spécifique à chaque TdT, qui indique en particulier les options retenues (protocoles d échange, chiffrement, échanges de clés publiques, etc.) et les interlocuteurs. Cette annexe pourra évoluer dans le temps, sans préjudice pour l homologation ou la convention, sous réserve que son contenu reste conforme à leurs prescriptions. Réf. : N 182/DG75-C470/ du11 juin 2010 Page 5 / 17

6 2 La dématérialisation des échanges La tenue du répertoire national d'identification des personnes physiques et celle du fichier général des électeurs ont été confiées à l'insee dès sa création en Ces missions régaliennes sont encadrées par de nombreux textes législatifs et réglementaires fréquemment mis à jour, notamment : le décret RNIPP du 22 janvier 1982 ; l'instruction générale relative à l'état civil (IGREC) du 11 mai 1999 ; l'instruction relative aux bulletins statistiques d'état civil du 24 janvier 2008 ; les articles L.37, R.20, R.21 et R.2 du code électoral relatifs au contrôle des inscriptions par l'insee ; la circulaire du ministère de l'intérieur du 19 octobre 2006 relative aux échanges d'information entre les communes et l'insee pour le contrôle des inscriptions sur les listes électorales. La mise à jour du répertoire national d'identification des personnes physiques et celle du fichier général des électeurs sont conditionnées par l envoi par les communes à l Insee des informations qu elles collationnent du fait des responsabilités qui leur sont confiées dans la gestion de l état civil et de la liste électorale. Pendant longtemps, cet envoi s est fait sous la forme de documents papier. Depuis quelques années, il s est progressivement dématérialisé. Cette dématérialisation consiste en la transmission d'un fichier de données conforme à des spécifications publiées. Elle est directement liée à la mise en œuvre par les communes de logiciels de gestion pour le domaine concerné (état civil ou fichier électoral) et elle a vocation à s'y intégrer. Plusieurs solutions techniques de transmission ont été validées par l'insee : elles sont décrites dans le cahier des charges de la dématérialisation de la transmission des bulletins d'état civil et des avis électoraux destiné aux communes. Le choix de la solution pour la transmission à l'insee des données d'état civil ou électorales est laissé à l'initiative de la commune. Cependant, entre les différentes solutions possibles, le recours à un dispositif de télétransmission homologué est recommandé : il s inscrit dans la logique d'interopérabilité des échanges entre administrations et dans la continuité des projets Actes et Hélios. Périmètre de la télétransmission La télétransmission porte sur les échanges entre les communes et l'insee dans le cadre de la tenue du répertoire national d'identification des personnes physiques et du fichier général des électeurs. Ces échanges concernent essentiellement la transmission par les communes des bulletins statistiques d'état civil, des avis d'inscription et de radiation sur la liste électorale principale ou sur les listes électorales complémentaires, la transmission en retour par l'insee des demandes de radiation, d'apposition de mention ou des propositions d'inscription d'office. La télétransmission pourra être élargie ultérieurement à d'autres échanges de même nature dans le cadre de la gestion de ces répertoires. Le présent cahier des charges a pour objet la description des conditions que doit remplir un dispositif de télétransmission pour être homologué. L'homologation des logiciels métier utilisés par les communes en amont de la télétransmission relève de processus différents et ne fait pas l'objet d'exigences dans ce cahier des charges. Principes de dématérialisation retenus La dématérialisation a notamment pour objet de permettre d'intégrer dans les logiciels métier de gestion des communes la production des fichiers de données destinés à l'insee et leur transmission, ainsi que la réception et le traitement des fichiers émis par l'insee. Ces envois, après test et accord de passage en production matérialisé par la signature d'une convention entre la commune et l'insee, remplacent les envois papier. Toute nouvelle convention de dématérialisation incorporera l usage de la norme d'échanges de fichiers de données au format XML définie dans le cadre du projet BRPP2 de refonte des applications de gestion des répertoires de l Insee et publiée sur le site web de l'insee ( rubrique définitions et méthodes. Réf. : N 182/DG75-C470/ du11 juin 2010 Page 6 / 17

7 Un fichier de données pourra inclure un ou plusieurs événements concernant un des deux domaines (État Civil ou Fichier Électoral), soit : pour un échange d'une commune vers l'insee : un ou plusieurs bulletins d'état civil de tout type ; un ou plusieurs avis électoraux, sans distinction de la liste concernée. pour les échanges de l'insee vers les communes : un ou plusieurs avis de radiation, de proposition d'inscription d'office ou d'apposition de mention, sans distinction de liste. Les acteurs de la télétransmission L'Insee met en place les infrastructures nécessaires à la réception et au stockage des bulletins d'état civil et des avis électoraux. Il met également à disposition des communes la liste des dispositifs de télétransmission homologués. Il définit avec l'opérateur de chaque dispositif les modalités d'échange avec son serveur d'échanges des données. Le partenaire de l'échange, émetteur ou destinataire, est une commune ou un intermédiaire. Le terme "intermédiaire" sera par la suite utilisé pour désigner les organismes concentrateurs qui prennent en charge pour le compte de plusieurs communes la production des fichiers de données et leur transmission à l'insee. Le tiers de transmission (TDT) est l'opérateur du dispositif de télétransmission. Il met en œuvre un dispositif de télétransmission homologué et garantit le respect du présent cahier des charges et des dispositions de la convention de raccordement. Ce tiers de transmission peut être : une commune mettant en œuvre un dispositif homologué pour son propre compte ; un intermédiaire tenant le rôle de concentrateur pour un groupement de communes et mettant en œuvre un dispositif de télétransmission homologué pour son propre compte ; un prestataire offrant le service de télétransmission à plusieurs communes ou intermédiaires. La télétransmission dans la chaîne de travail La télétransmission est un processus qui s intercale entre la gestion des données dans le logiciel des communes et la prise en compte ou la production des données à l'insee. Le processus global d échange de données entre la commune et l Insee peut être ainsi décomposé : la production d'un fichier de données par le logiciel de gestion de la commune ou de son intermédiaire ; la transmission sécurisée du fichier vers le tiers de transmission choisi par la commune ou son intermédiaire, selon les modalités définies entre lui et le TDT ; la transmission sécurisée du fichier entre le TDT et le serveur d'échanges de l'insee selon le protocole défini dans la convention de raccordement du tiers de transmission ; la réception du fichier par le serveur d'échanges de l'insee et la production d'un accusé de réception ; la transmission de l'accusé de réception à la commune ou à l intermédiaire via le dispositif de télétransmission que celui-ci a retenu. Si la commune a également adhéré à la dématérialisation des envois que l'insee lui adresse pour la gestion électorale, le processus sera dans ce cas : la production d'un fichier de données par l'application BRPP2 de l Insee de gestion des répertoires ; la transmission sécurisée du fichier depuis le serveur d'échanges de l'insee vers le tiers de transmission choisi par le destinataire selon les modalités définies dans la convention de raccordement du TDT ; la transmission sécurisée du fichier par le tiers de transmission vers la commune selon les modalités définies entre elle et le TDT ; la prise en compte du fichier dans le logiciel de gestion de la commune. Le partenaire de l'insee pouvant être une commune ou un intermédiaire et le tiers pouvant être spécifique à un partenaire, trois organisations d'échanges peuvent être rencontrés : Réf. : N 182/DG75-C470/ du11 juin 2010 Page 7 / 17

8 Commune TDT propre serveur d'échanges de l'insee Intermédiaire TDT propre serveur d'échanges de l'insee Communes, Intermédiaires TDT partagé serveur d'échanges de l'insee Réf. : N 182/DG75-C470/ du11 juin 2010 Page 8 / 17

9 3 Les clauses de conformité imposées aux dispositifs de télétransmission Ce chapitre énonce l'ensemble des clauses dont le respect conditionne l'homologation de tout dispositif de télétransmission. Exigence 1.1 : Un dispositif de télétransmission devra s'insérer entre le logiciel de gestion de l'état civil ou du fichier électoral d'une commune et le service d'échanges de fichiers de l'insee, et garantir la transmission sécurisée des flux de données entre ces deux dispositifs. Il communiquera avec le serveur d'échanges de l'insee selon les modalités ci-après. Architecture globale Le dispositif de télétransmission doit s'insérer dans l'architecture globale définie au chapitre 2. Normes pour les échanges de données Le dispositif de télétransmission a vocation à échanger avec l'insee des données de bulletins d'état civil ou d'avis électoraux sous forme de fichiers XML ou d'archives Zip. Tout échange abouti produira un accusé de réception de format XML. Les fichiers XML devront être conformes aux normes publiées par l Insee. La qualification du processus de production des fichiers XML par la commune fait l'objet d'une procédure d'homologation spécifique, indépendante de celle de la transmission. Sécurisation des échanges Confidentialité des données Les données transférées par le dispositif ou utilisées pour son fonctionnement, sont confidentielles, et ne doivent en aucun cas être utilisées à d autres fins. Leur utilisation, par ailleurs, doit répondre aux prescriptions de la loi n du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Authentification, intégrité Le dispositif de télétransmission doit respecter les exigences de sécurisation décrites ciaprès, qui ont pour objet, pour chaque transfert de fichier, de permettre l'authentification de l'émetteur et de garantir l'intégrité des données transmises Protection contre les intrusions Exigence 1.2 : L opérateur devra inclure dans son dispositif des mécanismes assurant la détection et la prévention des attaques par le réseau de télécommunications qui permet les transmissions. La mise en œuvre et l'exploitation de ce dispositif devront inclure la mise à jour de ces mécanismes. Le dispositif fournira un suivi des transactions permettant d'identifier les tentatives d'accès frauduleux et l'usage de certificats révoqués par l'autorité de certification émettrice. Fonctionnalités Émission des flux Exigence 1.3 : Réf. : N 182/DG75-C470/ du11 juin 2010 Page 9 / 17

10 Le dispositif devra permettre aux communes ou intermédiaires l échange de tous fichiers convenus avec le «service d'échanges de fichiers» (SEF) de l'insee : les fichiers de données et les accusés de réception conformes aux prescriptions du Traçabilité Exigence 1.4 Le dispositif de télétransmission devra tenir à jour une liste des fichiers échangés avec l'insee. Cette liste identifiera le partenaire de l'insee concerné par l'échange, le nom de chaque fichier échangé, la date et l'heure de l émission, la date et l heure de la réception. Pour un envoi destiné à l'insee, la date et l'heure de réception seront celles de l'accusé de réception de l'insee. Pour un envoi en provenance de l'insee, la date et l'heure de réception seront celles de remise du fichier au destinataire. Cette liste devra être exportable dans un fichier au format CSV comportant une ligne par fichier échangé. La convention de raccordement signée par le tiers de transmission opérateur du dispositif précisera les conditions de fourniture et conservation de cette liste. Modalités d'exploitation Une commune ou son intermédiaire doit pouvoir transmettre à tout moment ses données au moyen du dispositif de télétransmission homologué qu'elle a retenu. En cas de nécessité due à la charge globale de transmission vers le service d'échanges de l'insee, le dispositif doit pouvoir limiter les flux de données transmis. Dans la convention de raccordement, l'opérateur du dispositif s'engagera à adapter sa capacité de stockage afin de pourvoir conserver les données transmises par les communes sans les transmettre au service d'échanges de l'insee pendant 3 jours ouvrés. Quel que soit l'état du service d'échanges de l'insee, les fonctionnalités du dispositif de télétransmission devront dans la mesure du possible rester accessibles à la commune ou à son intermédiaire. Exigence 1.5 : En fonctionnement courant, l acheminement des fichiers destinés aux communes ou à l Insee doit être effectué dès leur réception par le dispositif de télétransmission. Cependant, celui-ci devra disposer de fonctionnalités de contrôle de flux permettant la limitation du volume de données transmis vers l'insee. Ce dispositif devra pouvoir être activé sur demande de l'insee dans un délai de 4 heures ouvrables. Exigence 1.6 : L annexe technique précisera les modalités de prise en compte des demandes de limitation de flux de l'insee. Exigence 1.7 : Le dispositif de télétransmission devra être capable de stocker provisoirement des fichiers provenant des communes ou des intermédiaires pour faire face à une limitation de flux ou à un arrêt du service d'échanges de l'insee. Exigence 1.8 : Le dispositif de télétransmission devra intégrer un dispositif de relance automatique des flux des communes vers l'insee sans que ce dernier ait à intervenir. Exigences techniques Formats des échanges Les fichiers échangés seront produits par les communes et l Insee au format XML, éventuellement compressés au format «Zip» et chiffrés. Réf. : N 182/DG75-C470/ du11 juin 2010 Page 10 / 17

11 3.1.7 Dénomination des fichiers Des conventions de dénomination et de localisation des fichiers échangés devront en faciliter l usage aux applications cibles. Les noms des fichiers échangés seront conformes au modèle suivant : [opération] : BRPP [partenaire] : Siret de la commune ou de l'intermédiaire, ou Siret Insee [appli-partenaire] : identification de l'application partenaire qui produit ou reçoit le fichier (ec ou fe) [sens] : "e" pour émission vers l'insee ou "s" pour sortie de l'insee [libre-appli] : champ libre défini par l'application Insee [Timestamp] : donnée garantissant l'unicité de l'envoi [extension] : xml.zip.gpg fichier de données compressé et chiffré. arx accusé de réception du fichier décrit dans les champs précédents Exigence 2.1 Pour tout envoi vers le serveur d échanges de l'insee, l opérateur devra s'assurer que le fichier transmis respecte les règles d appellation précisées dans le cahier des charges, et que le numéro Siret de l'émetteur est bien celui de la commune qui demande la transmission Protocoles utilisés entre les dispositifs de télétransmission et l'insee L'Insee a construit une offre de service d'échanges de fichiers (SEF) en TCP/IP avec ses partenaires. Le SEF propose deux protocoles de communication : FTP ou CFT (Pesit E) : En FTP, l'insee joue le rôle de serveur et le partenaire celui de client (venant déposer ou chercher les fichiers) ; En CFT, l'émetteur est client du site vers qui il envoie un fichier. Dans ce cadre, chacun est client quand il envoie un fichier, et serveur lorsqu'il en reçoit un. Les caractéristiques du SEF sont décrites dans l annexe 1 jointe. Exigence 2.2 Pour tout échange de données avec l Insee, l opérateur devra utiliser les services du SEF conformément aux prescriptions d usage énoncées dans l annexe 1 et aux exigences cidessous. Sécurité des télétransmissions La sécurisation des télétransmissions visera deux objectifs : assurer une authentification réciproque des partenaires de l échange ; garantir la confidentialité et l'intégrité des données échangées. Ces deux objectifs découleront d options techniques retenues par l opérateur et mises en œuvre par une organisation propre. Ces options, les rôles et les coordonnées des personnes les assumant devront être détaillées dans l annexe technique Authentification Exigence 3.1 : L opérateur devra mettre en œuvre dans son dispositif de télétransmission des connexions sécurisées SSL v3/tls v1 avec authentification mutuelle des deux parties pour tout échange avec les communes comme avec l Insee. Exigence 3.2 : Le protocole SSL/TLS sera mis en œuvre à l'aide de certificats d'authentification au format X.509v3, révocables pour tous motifs. Certificats utilisables par les dispositifs de télétransmission, les communes ou leurs intermédiaires et l Insee. Les certificats admissibles pour l authentification seront : les certificats émis par une autorité de certification, référencés PRIS v1 (Politique de Référencement Intersectorielle de Sécurité version 1), et ce durant toute la validité juridique de la PRIS v1; Réf. : N 182/DG75-C470/ du11 juin 2010 Page 11 / 17

12 les certificats émis par une autorité de certification agréée pour les télé services des ministères financiers ; les certificats émis par une autorité de certification, référencés PRISv2 (ou RGS). Procédure d authentification L authentification d'une connexion comportera les étapes suivantes : validation par le nom d'hôte ; validation du certificat par rapport aux certificats racine ; vérification de la validité du certificat (péremption et révocation) ; vérification du compte de connexion et du mot de passe Dispositif de télétransmission et communes L annexe technique devra indiquer les options techniques, l organisation et les moyens mis en œuvre pour satisfaire aux exigences ci-dessous (particulièrement la conformité et la validité des certificats, la connexion et sa sécurité, la gestion des échanges) : Exigence 3.3 : Le dispositif de télétransmission devra disposer d'un certificat serveur afin d'assurer son authentification auprès des communes clientes. Ce certificat serveur devra s'appuyer sur les exigences de niveau une étoile (*) telles qu'elles figurent dans le référentiel général de sécurité. Exigence 3.4 : Les mesures de protection de la clé privée du certificat serveur utilisé devront être conformes aux exigences du référentiel général de sécurité pour le niveau une étoile (*). Exigence 3.5 : Pour chaque échange de données, le dispositif de télétransmission authentifiera la commune au moyen d un certificat conforme aux exigences du référentiel général de sécurité pour le niveau une étoile (*). Exigence 3.6 : L opérateur devra disposer d'un référentiel des communes qui lui sont raccordées et disposent d une convention de dématérialisation avec l Insee. Elles y seront identifiées par leur Siret. Le référentiel inclura les certificats d'authentification utilisés Dispositif de télétransmission et Insee Exigence 3.7 : L authentification du dispositif de télétransmission auprès de l Insee est soumise aux mêmes exigences que celles indiquées ci-dessus pour son authentification auprès des communes Exigence 3.8 : Le dispositif devra être capable d'accepter l'authentification du serveur d échanges de l'insee par un certificat serveur présenté lors de la négociation SSL/TLS. Exigence 3.9 : Dans le cas où PESIT sera utilisé, le dispositif de télétransmission devra être capable de transmettre le fichier à l'insee en s'authentifiant par identifiant et mot de passe et en utilisant les paramètres PESIT communiqués par l'insee. Exigence 3.10 : Dans le cas où FTPs sera utilisé, le dispositif de télétransmission devra être capable de se connecter au serveur d'échanges de l'insee en s'authentifiant par identifiant et mot de passe et en utilisant les paramètres FTP communiqués par l'insee. Il disposera alors d'un répertoire de dépôt de fichiers et d'un répertoire de collecte de fichiers Confidentialité et intégrité des données Les données transférées devront être chiffrées par l'émetteur, déchiffrées par le destinataire, et ne pourront de ce fait donner lieu à aucun traitement par le dispositif de télétransmission. Les clés de chiffrement devront être conformes au niveau de sécurité * (une étoile) décrit dans le RGS et ses annexes, et fournies ou acquises à la commune de manière Réf. : N 182/DG75-C470/ du11 juin 2010 Page 12 / 17

13 totalement indépendante du TdT, de telle sorte que celui-ci ne puisse en aucun cas prendre connaissance de la clé privée de l Insee ou de la commune Les options retenues pour l attribution, le renouvellement, la publication, la conservation et la révocation des clés de chiffrement seront indiquées dans l annexe technique. Tout échange de données devra donner lieu à un accusé de réception normalisé, conforme au schéma accuse-reception.xsd publié par l Insee à l'adresse Les codes retour possibles sont : 0 aucune erreur ; 1 erreur déchiffrement ; 2 erreur décompression ; 9 erreur technique générique. NB. La compression et le chiffrement ne s'appliqueront pas aux fichiers d'accusé de réception. Exigence 3.11 : Les données échangées seront chiffrées au moyen d algorithmes et longueurs de clés conformes aux exigences du RGS, niveau une étoile, pour la confidentialité. Seul le destinataire légitime des données devra disposer de la clé privée qui permet de les déchiffrer. Exigence 3.12 : Les échanges de clés publiques entre l Insee et ses partenaires utilisateurs d un TdT seront effectués par celui-ci, lors de leur création ou de leur renouvellement. Exigence 3.13 : La fourniture et la gestion des clés publique et privée de chiffrement des communes n incombera pas à l Insee. Elle devra si nécessaire être prise en charge par le TdT. Sous réserve du respect des exigences en matière de confidentialité, les TdT ne sauront être tenus pour responsables du contenu des données chiffrées, qu elles émanent d une commune ou de l Insee Sécurité des données au sein du dispositif, validité des échanges Il est à noter que les fichiers à transmettre sont intégralement préparés et chiffrés par les communes ou leurs intermédiaires d une part, l Insee d autre part, et que le dispositif de télétransmission doit simplement effectuer l échange, sans examen du contenu des fichiers. Par ailleurs, conformément aux exigences précédentes, les données échangées entre les communes ou intermédiaires et le dispositif d une part, entre le dispositif et l Insee d autre part, sont garanties dans leur intégrité par les mécanismes de type SSL/TLS mis en œuvre. Exigence 4.1 : Le dispositif devra veiller à ce que les données qui transitent en son sein ne peuvent y subir aucune atteinte en matière d intégrité ou confidentialité. L exigence 3.6 et la convention de raccordement prévoient que l'opérateur du dispositif de télétransmission a pour obligation de mettre à jour un référentiel en fonction des conventions signées par lui-même, les communes (ou leur intermédiaire) et l'insee. NB : Une commune ne peut s'engager dans la dématérialisation des échanges avec l'insee qu'après signature de la convention de dématérialisation. Si elle fait appel à un intermédiaire pour la préparation des données à échanger, celui-ci doit être déjà conventionné pour ce service. Dans ce cas, l'intermédiaire est le seul interlocuteur du dispositif de télétransmission et c'est lui qui doit figurer dans le référentiel de ce dispositif. Exigence 4.2 : Lorsqu'un fichier sera transmis par une commune ou son intermédiaire pour envoi au serveur d'échanges de l'insee, le dispositif devra s'assurer que le Siret de l'émetteur présent dans le nom du fichier est bien conforme à celui présent dans le référentiel pour le partenaire connecté. Exigence 4.3 : Réf. : N 182/DG75-C470/ du11 juin 2010 Page 13 / 17

14 Lorsque le dispositif transmettra un fichier provenant de l'insee à son destinataire final, il devra s'assurer que ce fichier lui est bien destiné, par vérification de l'application partenaire 1 et du Siret du destinataire. 1 [appli-partenaire] : identification de l'application partenaire qui produit ou reçoit le fichier (ec ou fe) Réf. : N 182/DG75-C470/ du11 juin 2010 Page 14 / 17

15 4 Processus d'homologation L'homologation a pour objet de certifier la conformité du dispositif proposé au présent cahier des charges. Cette homologation est prononcée par le directeur général de l'insee ou son représentant sur la base d'un rapport d'évaluation établi par un ou plusieurs centres d'évaluation de la sécurité des technologies de l'information (CESTI) agréés et référencés pour les domaines "techniques informatiques et réseaux" par les services du Premier ministre (l agence nationale de la sécurité des systèmes d information (ANSSI)). L'opérateur du dispositif de télétransmission qui souhaite solliciter une homologation adresse à l'insee une demande formulée en ce sens dans laquelle il s'engage à présenter un dispositif conforme aux exigences du cahier des charges. Cette demande doit s'accompagner d'un dossier décrivant le dispositif à homologuer, avec sa documentation de mise en œuvre et toutes autres informations pouvant compléter cette description. Le demandeur précisera notamment si le dispositif est destiné à un usage propre (le demandeur sera le seul partenaire de l'insee pour l usage de ce dispositif) ou s'il est destiné à un service mutualisé. L'Insee accuse réception du dépôt de cette demande dont l'instruction est subordonnée à la fourniture d'un ou plusieurs rapports d'évaluation établis par un ou plusieurs centres d'évaluation habilités (Cf. ci-dessus). L'opérateur du dispositif de télétransmission choisit le (ou les) centres (s) d'évaluation qu'il sollicitera, et définit avec lui les modalités de l'homologation (objet, modalités pratiques, coût à la charge du demandeur). Il doit mettre à disposition du ou des centres agréés qu'il a choisis tous les éléments nécessaires à la procédure d'homologation après accord, le cas échéant, du fournisseur du dispositif. À l'issue des travaux d'évaluation, le (ou les) centre (s) sollicité (s) remet (tent) un rapport au demandeur et à l'insee. Ces rapports sont confidentiels. Ils sont validés par le demandeur et l'insee en liaison avec le centre évaluateur. Sur la base des rapports validés, éventuellement après vérifications complémentaires, l'insee établit un rapport statuant sur l'homologation. La décision d'homologation est notifiée par l'insee au demandeur. L'homologation est délivrée pour une période de 5 ans. Si pendant cette période des modifications substantielles du cahier des charges interviennent, un complément d'homologation devra être établi et répercuté dans la décision d'homologation. Le raccordement du dispositif de télétransmission est effectué après signature d'une convention de raccordement entre le responsable du dispositif et l'insee. Par cette convention, le responsable du dispositif s'engage à le mettre en œuvre conformément aux modalités du cahier des charges, à en garantir le bon fonctionnement et à en assurer la maintenance. En cas de non respect de ses obligations par l'opérateur d'un dispositif de télétransmission, le raccordement du dispositif peut être suspendu par l'insee. Réf. : N 182/DG75-C470/ du11 juin 2010 Page 15 / 17

16 5 Annexe 1 : Service d échanges de fichiers (SEF) L'Insee a construit une offre de service d'échanges de fichiers en TCP/IP avec ses partenaires. Cette annexe présente le cadre dans lequel s'inscrit cette offre. Les éléments nécessaires à la mise en place des flux et le contexte technique précis seront définis au lancement de la prestation. Les flux considérés sont des flux «métier» c est à dire que les informations qui transitent sont soit émises par des applications Insee soit à destination des applications Insee. Il s agit donc d un système d échange de fichiers inter-applications asynchrone. Offre de services Ce service d échanges repose sur : - une chaîne unique d échange de fichiers avec les partenaires externes ; - une automatisation des interactions avec les applications internes ; - une automatisation des traitements de transformations techniques et d acheminement des données. Les échanges réseau peuvent se faire via AdER ou via internet. Deux protocoles de communication sont disponibles, FTP ou CFT (Pesit E) : o FTP mode passif ; o En FTP, l'insee joue le rôle de serveur et le partenaire celui de client (venant déposer ou chercher les fichiers) ; o En CFT, l'émetteur est client du site vers qui il envoie un fichier. Dans ce cadre, chacun est client quand il envoie un fichier, et serveur lorsqu'il en reçoit un. Les fichiers à transmettre sont déposés par le partenaire ou par l Insee sur un serveur situé sur la passerelle internet de l Insee. Un serveur de l Insee récupère les fichiers déposés par le partenaire ou met à disposition du partenaire les fichiers produits par les applications Insee. La sécurité est assurée par : o Authentification mutuelle forte et chiffrement des transferts : chiffrement des connexions par SSLV3 ou TLSv1 ; authentification mutuelle par certificats X509 ; en FTPS, chiffrement explicite avec chiffrement des canaux de commandes et de données ; authentification FTP par couple identifiant/mot de passe. Pour tout transfert comportant des données confidentielles, il est nécessaire de chiffrer également les données : o Chiffrement des données : format CMS ou OpenPGP ; algorithmes et tailles de clés standards (recommandé : AES 128 bits). Selon les besoins, il peut être mis en place des avis de mise à disposition d un fichier : selon la cible (interne /externe), ces avis peuvent être de différentes natures (message ; accusé réception, ). Résumé : Un échange se fera toujours avec une sécurisation du transfert (SSLV3 ou TLSv1). Ceci nécessite de la part du partenaire l achat d un certificat commercial tel que défini dans le "Authentification" alinéa "Certificats utilisables" ci-dessus. Tout échange de données confidentielles doit s accompagner du chiffrement des données. Voir ci-dessous le politique de gestion des clés. Réf. : N 182/DG75-C470/ du11 juin 2010 Page 16 / 17

17 Dès lors qu un des échanges nécessite le chiffrement des données, le chiffrement des données sera effectué pour tous les types d échanges y compris ceux effectués sur support physique. Politique de gestion des clés Si le chiffrement des données doit être mis en place, un document appelé «politique de gestion des clés» dont l Insee fournira le canevas sera signé après accord sur son contenu par les deux parties. L échange de clés maîtres est fait en face à face par le Responsable sécurité du système d information (RSSI) de l Insee et son homologue chez le partenaire. La politique de gestion des clés signée à l occasion d un transfert donné sera valable pour les autres transferts qui seraient mis en place ultérieurement (moyennant la création des clés applicatives adéquates). C est pourquoi, même si le besoin n est pas immédiat, nous demandons que partenaire et Insee génèrent une clé maître. Recommandations : Afin de faciliter les transmissions de fichiers, il est recommandé : o D effectuer la compression des fichiers. La compression des fichiers est dans certains cas incontournable. Elle est faite au format zip ou gzip. o De limiter la durée des transferts à une heure maximum afin de minimiser les risques d interruption. o D étudier, en cas de volumétrie importante, la possibilité de faire des envois plus fréquents et de volumétrie moindre ou opter pour un transfert sur support physique respectant les règles de sécurité préconisées pour la protection des données. Protocole de tests La mise en place du service d échanges de fichiers nécessite le déroulement d un protocole de test et le passage en production se fait après validation par les deux parties du fonctionnement de bout en bout de l échange. Cette mise en place passe par : La définition des paramètres du transfert et des besoins des applications clientes ; Le déroulement de tests visant à vérifier progressivement : o La capacité de s échanger des données - contexte réseau ; o La capacité à faire des transferts sécurisés - mise en œuvre SSL ou TLSv1 ; o La capacité à faire des transferts de données chiffrées (chiffrement / déchiffrement) ; o La capacité à faire l échange de bout en bout : depuis (ou vers) l application fournissant (ou utilisant) les données échangées avec la mise en œuvre éventuellement de la compression/décompression. Réf. : N 182/DG75-C470/ du11 juin 2010 Page 17 / 17