Politique de Certification pour les Certificats d Autorité de Certification émis par l autorité de certification NOTAIRES DE FRANCE

Transcription

1 PC Gestion des certificats émis par l AC Notaires de France Format RFC 3647 Politique de Certification pour les Certificats d Autorité de Certification émis par l autorité de certification NOTAIRES DE FRANCE PC NOTAIRES DE FRANCE Statut du document : Standard Version : 01.2 Date de la dernière mise à jour : 21/02/2017 PUBLIÉ Entrée en vigueur le 02/03/2017 Ce document est la propriété du CSN et de REAL.NOT Page 1 sur 45

2 Historique du document 21/02/ /12/ /06/2016 Version : 01.2, Standard Prise en compte des remarques de l audit à blanc CSN Version : 01.1, Standard Prise en compte des remarques de l audit à blanc CSN Version : 01.0, Standard Création du document Page 2 sur 45

3 Table des matières HISTORIQUE DU DOCUMENT... 2 TABLE DES MATIERES INTRODUCTION PRESENTATION GENERALE IDENTIFICATION DU DOCUMENT ENTITES INTERVENANT DANS L IGC Autorités de certification Opérateur de Service de Certification Autorité d enregistrement Mandataires de certification Porteurs de certificats Utilisateurs de certificats USAGE DES CERTIFICATS Domaines d utilisation applicables Domaines d utilisation interdits GESTION DE LA PC Entité gérant la PC Point de contact Entité déterminant la conformité d une DPC avec ce document Procédures d approbation de la conformité de la DPC DEFINITIONS ET ACRONYMES Acronymes Définitions RESPONSABILITES CONCERNANT LA MISE A DISPOSITION DES INFORMATIONS DEVANT ETRE PUBLIEES ENTITES CHARGEES DE LA MISE A DISPOSITION DES INFORMATIONS INFORMATIONS DEVANT ETRE PUBLIEES DELAIS ET FREQUENCES DE ATION CONTROLE D ACCES AUX INFORMATIONS PUBLIEES IDENTIFICATION ET AUTHENTIFICATION NOMMAGE Types de noms Nécessité d utilisation de noms explicites Anonymisation ou pseudonymisation des porteurs Règles d interprétation des différentes formes de noms Unicité des noms Identification, authentification et rôle des marques déposées VALIDATION INITIALE DE L IDENTITE Méthode pour prouver la possession de la clé privée Validation de l identité d un responsable d AC Filles Informations non vérifiées du porteur Validation de l autorité du demandeur Contrôle de l autorité du demandeur et approbation de la demande Critères d interopérabilité IDENTIFICATION ET VALIDATION D UNE DEMANDE DE RENOUVELLEMENT DE CLES Page 3 sur 45

4 Identification et validation pour un renouvellement courant Identification et validation pour un renouvellement après révocation IDENTIFICATION ET VALIDATION D UNE DEMANDE DE REVOCATION EXIGENCES OPERATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS DEMANDE DE CERTIFICAT Origine d une demande de certificat Processus et responsabilités pour l établissement d une demande de certificats TRAITEMENT D UNE DEMANDE DE CERTIFICAT Exécution des processus d identification et de validation de la demande Acceptation ou rejet de la demande Durée d établissement du certificat DELIVRANCE DU CERTIFICAT Actions de l AC concernant la délivrance du certificat Notification par l AC de la délivrance du certificat au porteur ACCEPTATION DU CERTIFICAT Démarche d acceptation du certificat Publication du certificat Notification par l AC aux autres entités de la délivrance du certificat USAGE DE LA BI-CLE ET DU CERTIFICAT Utilisation de la clé privée et du certificat Utilisation de la clé publique et du certificat par l utilisateur du certificat RENOUVELLEMENT D UN CERTIFICAT Causes possibles de renouvellement d un certificat Origine d une demande de renouvellement Procédure de traitement d une demande de renouvellement Notification au porteur de l établissement du nouveau certificat Démarche d acceptation du nouveau certificat Publication du nouveau certificat Notification par l AC aux autres entités de la délivrance du nouveau certificat DELIVRANCE D UN NOUVEAU CERTIFICAT SUITE A CHANGEMENT DE LA BI-CLE Cause possible de changement de bi-clé Origine d une demande de nouveau certificat Procédure de traitement d une demande de nouveau certificat Notification au porteur de l établissement du nouveau certificat Démarche d acceptation du nouveau certificat Publication du nouveau certificat Notification par l AC aux autres entités de la délivrance du nouveau certificat MODIFICATION DU CERTIFICAT Cause possible de modification d un certificat Origine d une demande de modification de certificat Procédure de traitement d une demande de modification de certificat Notification au porteur de l établissement du certificat modifié Démarche d acceptation du certificat modifié Publication du certificat modifié Notification par l AC aux autres entités de la délivrance du certificat modifié REVOCATION ET SUSPENSION DES CERTIFICATS Causes possibles d une révocation Origine d une demande de révocation Procédure de traitement d une demande de révocation Page 4 sur 45

5 Délai accordé au porteur pour formuler la demande de révocation Délai de traitement par l AC d une demande de révocation Exigences de vérification de la révocation par les utilisateurs de certificats Fréquence d établissement des LCR Délai maximum de publication d une LCR Disponibilité d un système de vérification en ligne de la révocation et de l état des certificats Exigences de vérification en ligne de la révocation des certificats par les utilisateurs de certificats Autres moyens disponibles d information sur les révocations Exigences spécifiques en cas de compromission de la clé privée Causes possibles d une suspension Origine d une demande de suspension Procédure de traitement d une demande de suspension Limites de la période de suspension d un certificat FONCTION D INFORMATION SUR L ETAT DES CERTIFICATS Caractéristiques opérationnelles Disponibilité de la fonction Dispositifs optionnels FIN D ABONNEMENT SEQUESTRE DE CLE ET RECOUVREMENT Politique et pratiques de recouvrement par séquestre de clés Politique et pratiques de recouvrement par encapsulation des clés de session MESURES DE SECURITE NON TECHNIQUES MESURES DE SECURITE PHYSIQUE Situation géographique et construction des sites Accès physique Alimentation électrique et climatisation Exposition aux dégâts des eaux Prévention et protection incendie Conservation des supports Mise hors service des supports Sauvegarde hors site MESURES DE SECURITE PROCEDURALES Rôles de confiance Nombre de personnes requises par tâche Identification et authentification pour chaque rôle Rôles exigeant une séparation des attributions MESURES DE SECURITE VIS A VIS DU PERSONNEL Qualifications, compétences, et habilitations requises Procédures de vérification des antécédents Exigences en matière de formation initiale Exigences en matière de formation continue et fréquences des formations Fréquence et séquence de rotations entre différentes attributions Sanctions en cas d actions non autorisées Exigences vis à vis du personnel des prestataires externes Documentation fournie au personnel PROCEDURES DE CONSTITUTION DES DONNEES D AUDIT Type d événement à enregistrer Fréquence de traitement des journaux d événements Période de conservation des journaux d événements Page 5 sur 45

6 Protection des journaux d événements Procédure de sauvegarde des journaux d événements Système de collecte des journaux d événements Notification de l enregistrement d un événement au responsable de l événement Evaluation des vulnérabilités ARCHIVAGE DES DONNEES Types de données à archiver Période de conservation des archives Protection des archives Procédure de sauvegarde des archives Exigences d horodatage des données Système de collecte des archives Procédure de récupération et de vérification des archives CHANGEMENT DE CLES D AC REPRISE SUITE A COMPROMISSION ET SINISTRE Procédure de remontée et de traitement des incidents et des compromissions Procédure de reprise en cas de corruption des ressources informatiques (matériels, logiciels et / ou données) Procédures de reprise en cas de compromission de la clé privée d une composante Capacités de continuité d activité suite à un sinistre FIN DE VIE DE L IGC Transfert d activité ou cessation d activité affectant l AC et l OSC Cessation d activité affectant l activité AC du CSN Cessation d activité affectant l activité AE du CSN MESURES DE SECURITE TECHNIQUES GENERATION ET INSTALLATION DE BI CLES Génération de bi clé Transmission de la clé privée à son propriétaire Transmission de clé publique à l AC Transmission de la clé publique de l AC aux utilisateurs de certificats Tailles des clés Vérification de la génération des paramètres des bi clés et de leur qualité Objectifs d usages de la clé MESURES DE SECURITE POUR LA PROTECTION DES CLES PRIVEES ET POUR LES MODULES CRYPTOGRAPHIQUES Standards et mesures de sécurité pour les modules cryptographiques Contrôle des clés privées par plusieurs personnes Séquestre de la clé privée Copie de secours de la clé privée Archivage de la clé privée Transfert de la clé privée vers / depuis le module cryptographique Stockage de la clé privée dans le module cryptographique Méthode d activation de la clé privée Méthode de désactivation de la clé privée Méthode de destruction des clés privées Niveau d évaluation sécurité du module cryptographique AUTRES ASPECTS DE LA GESTION DES BI CLES Archivage des clés publiques Durée de vie des bi-clés et des certificats DONNEES D ACTIVATION Page 6 sur 45

7 Génération et installation des données d activation Protection des données d activation Autres aspects liés aux données d activation MESURES DE SECURITE DES SYSTEMES INFORMATIQUES Exigences de sécurité technique spécifiques aux systèmes informatiques Niveau d évaluation sécurité des systèmes informatiques MESURES DE SECURITE LIEES AU DEVELOPPEMENT DES SYSTEMES Mesures liées à la gestion de la sécurité Niveau d évaluation sécurité du cycle de vie des systèmes MESURES DE SECURITE RESEAU HORODATAGE / SYSTEME DE DATATION PROFILS DES CERTIFICATS, OCSP ET DES CRL PROFILS DES CERTIFICATS Numéro de version Extensions de certificat OID des algorithmes Forme des noms Contrainte sur les noms OID des PC Utilisation de l extension contraintes de politique Sémantique et syntaxe des qualifiants de politique Sémantiques de traitement des extensions critiques de la PC PROFIL DES LISTES DE CERTIFICATS REVOQUES Numéro de version Extensions de CRL et d entrées de CRL PROFIL OCSP Numéro de version Extensions OCSP AUDIT DE CONFORMITE ET AUTRES EVALUATIONS FREQUENCES ET / OU CIRCONSTANCES DES EVALUATIONS IDENTITES : QUALIFICATION DES EVALUATEURS RELATIONS ENTRE EVALUATEURS ET ENTITES EVALUEES PERIMETRE DES EVALUATIONS ACTIONS PRISES SUITE AUX CONCLUSIONS DES EVALUATIONS COMMUNICATION DES RESULTATS AUTRES PROBLEMATIQUES METIERS ET LEGALES TARIFS RESPONSABILITE FINANCIERE Couverture par les assurances Autres ressources Couverture et garantie concernant les entités utilisatrices CONFIDENTIALITE DES DONNEES PROFESSIONNELLES Périmètre des informations confidentielles Informations hors du périmètre des informations confidentielles Responsabilités en terme de protection des informations confidentielles PROTECTION DES DONNEES PERSONNELLES Politique de protection des données personnelles Informations à caractère personnel Page 7 sur 45

8 Informations à caractère non personnel Responsabilité en terme de protection des données personnelles Notification et consentement d utilisation des données personnelles Conditions de divulgation d informations personnelles aux autorités judiciaires ou administratives Autres circonstances de divulgation d informations personnelles DROITS SUR LA PROPRIETE INTELLECTUELLE ET INDUSTRIELLE INTERPRETATIONS CONTRACTUELLES ET GARANTIES Autorités de certification Service d enregistrement Porteurs de certificats Utilisateurs de certificats Autres participants LIMITE DE RESPONSABILITE INDEMNITES DUREE ET FIN ANTICIPEE DE VALIDITE DE LA PC Durée de validité Fin anticipée de validité Effets de la fin de validité et clauses restant applicables NOTIFICATIONS INDIVIDUELLES ET COMMUNICATIONS ENTRE LES PARTICIPANTS AMENDEMENTS A LA PC Procédures d amendements Mécanisme et période d information sur les amendements Circonstances selon lesquelles l OID doit être changé Informations aux utilisateurs DISPOSITIONS CONCERNANT LA RESOLUTION DE CONFLITS JURIDICTIONS COMPETENTES CONFORMITE AUX LEGISLATIONS ET REGLEMENTATIONS DISPOSITIONS DIVERSES Accord global Transfert d activités Conséquences d une clause non valide Application et renonciation Force majeure AUTRES DISPOSITIONS CONDITIONS GENERALES D UTILISATION DOCUMENTS ASSOCIES DOCUMENTS APPLICABLES DOCUMENTS DE REFERENCE ANNEXE 1 : EXIGENCES DE SECURITE DU MODULE CRYPTOGRAPHIQUE DE L AC EXIGENCES SUR LES OBJECTIFS DE SECURITE EXIGENCES SUR LA CERTIFICATION EDITIONS SUCCESSIVES Page 8 sur 45

9 1. Introduction 1.1. Présentation générale Le Conseil Supérieur du Notariat s est positionné comme prestataire de service de certification électronique à destination des Notaires de France, en offrant des services supports à la signature de manière à permettre aux Notaires d élaborer des actes authentiques dématérialisés et plus généralement de sécuriser l ensemble de leurs échanges. Pour ce faire, une hiérarchie de certification a été mise en place, qui est présentée dans le paragraphe 2.3. La présente politique de certification définit les exigences relatives à l AC NOTAIRES DE FRANCE. Il s agit de l autorité de certification racine permettant de signer les certificats d autorités de certification intermédiaires. Sa structure est conforme au RFC 3647, [A1] Identification du document Le numéro d OID du présent document est Entités intervenant dans l IGC Le certificat de l AC NOTAIRES DE FRANCE est un certificat auto-signé, base de la confiance de la hiérarchie de certification du Notariat mise en œuvre. L AC NOTAIRES DE FRANCE signe les différentes AC Filles mises en œuvre par le Notariat. La hiérarchie d Autorités de Certification mise en œuvre est la suivante : Le prestataire de service de certification électronique (PSCE) est le Conseil Supérieur du Notariat (CSN). Le CSN est également l autorité de certification (AC) à laquelle les utilisateurs des services de certification accordent leur confiance pour la création et l émission des certificats. Le CSN a recourt à REAL.NOT en tant qu Opérateur de Service de Certification (OSC), pour opérer les fonctions de gestion des certificats Autorités de certification L Autorité de certification est le CSN. Elle est en charge de l application de la présente politique de certification. L autorité de certification est en charge de la réalisation des fonctions d enregistrement. Elle peut déléguer la réalisation de ces étapes à l Opérateur de Service de Certification. Les opérations de validation d une demande de certificat racine sont réalisées lors d une cérémonie des clés validées par le CSN Opérateur de Service de Certification L opérateur de service de certification est REAL.NOT. Il est en charge des : - Fonctions d enregistrement ; Page 9 sur 45

10 - Fonctions de génération des certificats ; - Fonction de remise des éléments secrets aux porteurs de secrets ; - Fonction de publication ; - Fonction de gestion des révocations ; - Fonction d information sur l état des certificats ; - Fonction de mise en œuvre opérationnelle des clés privées d AC racine sur ses centres de production Autorité d enregistrement Les fonctions d enregistrement sont assurées directement par l AC dans le cadre de l organisation d une cérémonie des clés Mandataires de certification Porteurs de certificats Le porteur des AC Filles est le Conseil Supérieur du Notariat (CSN) Utilisateurs de certificats Toute application faisant confiance à la chaîne de certification émise par l AC NOTAIRES DE FRANCE est un utilisateur du certificat de cette AC racine Usage des certificats Domaines d utilisation applicables La présente politique de certification traite de la bi-clé et du certificat de l AC NOTAIRES DE FRANCE utilisées exclusivement pour : - Signer des demandes de certificats pour les AC Filles ; - Signer les ARL correspondantes ; Domaines d utilisation interdits Les certificats de l AC NOTAIRES DE FRANCE ne peuvent pas être utilisés en dehors des usages définis dans le paragraphe Gestion de la PC Entité gérant la PC La gestion de la PC est de la responsabilité du CSN Point de contact Membre du bureau du CSN, chargé des technologies de l information et de la communication 60 Boulevard de la Tour Maubourg Paris Entité déterminant la conformité d une DPC avec ce document Le CSN est en charge des opérations internes de contrôle de conformité de la DPC à la PC. Page 10 sur 45

11 Procédures d approbation de la conformité de la DPC L approbation de la conformité de la DPC à la Politique de certification est prononcée par le CSN, au vu des audits internes effectués Définitions et acronymes Acronymes AC Autorité de Certification CSN Conseil Supérieur du Notariat DPC Déclaration de Pratiques de Certification ETSI Institut européen des normes de télécommunication (European Telecommunications Standards Institute) IGC Infrastructure de Gestion de Clés LCR Liste des Certificats Révoqués OID Identifiant d objet (Object IDentifier) OSC Opérateur de Service de Certification PC Politique de Certification PSCE Prestataire de Service de Certification Electronique Définitions Authentification Processus permettant de vérifier l identité déclarée d une personne ou de tout autre entité, ou de garantir l origine de données reçues. Autorité de certification Autorité chargée par un ou plusieurs utilisateurs de créer et d attribuer des certificats. Bi clé Un bi clé est un couple composé d une clé privée (devant être tenue secrète) et d une clé publique, nécessaire à la mise en œuvre de techniques cryptologiques basées sur des algorithmes asymétriques. Certificat Clé publique d un utilisateur, concaténée à d autres informations rendues infalsifiables par signature avec ka clé privée de l autorité de certification qui l a délivré. Certificat d AC Certificat d une autorité de certification. Déclaration des pratiques de certification Déclaration des pratiques mises en œuvre par une autorité de certification pour émettre et gérer des certificats Données d activation Données privées associées à un porteur permettant d initialiser ses éléments secrets. Infrastructure de Gestion de Clés Page 11 sur 45

12 Ensemble de composantes fournissant des services de gestion de clés et de certificats au profit d une communauté d utilisateurs. Liste de Certificats Révoqués Liste contenant les identifiants des certificats révoqués ou invalides. Politique de certification Ensemble de règles relative à l applicabilité d un certificat à une communauté et / ou à une classe d applications ayant des besoins de sécurité communs. Page 12 sur 45

13 2. Responsabilités concernant la mise à disposition des informations devant être publiées 2.1. Entités chargées de la mise à disposition des informations L AC est chargée de la mise à disposition de la politique de certification. Ces informations sont accessibles via Internet, sur le site L accès à ce service est assuré 24h/24 et 7j/7. La mise à disposition des informations sur l état des certificats est du ressort de l OSC. Ces informations sont accessibles sur l Intranet au travers de l annuaire de publication des LCR par LDAP, et sur Internet sur le site Informations devant être publiées Les informations publiées sont les suivantes : - La présente politique de certification ; - Le document présentant les profils des certificats et CRL ; - La liste des autorités révoquées (LAR) ; - Le certificat de l AC NOTAIRES DE FRANCE en cours de validité ; - Les informations permettant aux utilisateurs de s assurer de l origine et de l état des certificats de l AC NOTAIRES DE FRANCE (certificats auto signés) en faisant une demande auprès du point de contact identifié au paragraphe Les documents PC sont publiés au format PDF/A Délais et fréquences de publication Les politiques de certification sont remises à jour et publiées tous les deux ans. Les certificats d AC sont diffusés ou mis en ligne préalablement à toute diffusion de certificats ou de LAR, dans un délai de 24 heures suivant sa génération. Les LAR sont établies tous les six (6) mois et après chaque révocation de certificat d AC. Elles sont publiées dans un délai de : - 1 heure sur l Intranet REAL à partir du point d accès ldap://annuaire.real.notaires.fr et ldaps://annuaire.real.notaires.fr; - 2 heures sur l Internet à partir du point d accès Contrôle d accès aux informations publiées Les PC et LAR sont accessibles en lecture de manière internationale à toute personne souhaitant en prendre connaissance sur le site Les ajouts, suppressions et modifications des informations publiées se font au travers d un processus automatisé qui fait l objet d une demande formelle par les personnes autorisées de l AC ou de l OSC. Ces demandes sont tracées. Page 13 sur 45

14 3. Identification et authentification 3.1. Nommage Types de noms Les noms utilisés dans un certificat sont décrits selon la norme ISO/IEC 9594 (distinguished names), [A3], chaque titulaire ayant un nom distinct (DN) Nécessité d utilisation de noms explicites Les noms pour distinguer les titulaires sont explicites. Le nom distinctif est sous la forme d une chaîne de type UTF8string de type nom X Anonymisation ou pseudonymisation des porteurs Règles d interprétation des différentes formes de noms Les règles d interprétation sont définies dans le document [A4]. Le nom de l AC NOTAIRES DE FRANCE est défini par le comité de pilotage de l AC et sous la validation du CSN Unicité des noms Un code distinctif ajouté assure le caractère unique du DN en cas d homonymie. Ce code correspond à l année de fin de validité du certificat d AC. En cas de certificat d AC devant être généré avec une même date de fin de validité, un index supplémentaire unique est ajouté (2033-1, par exemple) Identification, authentification et rôle des marques déposées Pour les marques, dénominations sociales ou autres signes distinctifs, le CSN n effectue aucune recherche d antériorité ou autre vérification ; il appartient au demandeur ou au titulaire de vérifier que la dénomination demandée ne porte pas atteinte à des droits de propriété de tiers Validation initiale de l identité La validation de l identité de la personne à l origine de la demande de certificat d AC est effectuée en face à face, lors de la cérémonie des clés Méthode pour prouver la possession de la clé privée La génération des bi clés est effectuée en central par un HSM. Les clés privées ne sont pas extractibles, et ne signent que des demandes où les clés privées sont générées dans une cérémonie des clés en présence d un huissier, sous la responsabilité de l'ac Validation de l identité d un responsable d AC Filles La validation de l identité d un responsable d une AC Fille signée par l AC NOTAIRES DE FRANCE est effectuée lors de la cérémonie des clés et décrite dans le document de cérémonie des clés Informations non vérifiées du porteur Page 14 sur 45

15 Validation de l autorité du demandeur En ce qui concerne le demandeur opérant pour une AC Fille signée par l AC NOTAIRES DE FRANCE, il ne peut s agir que de la personne autorisée à effectuer cette demande. Cela est validé lors de la cérémonie des clés. A cette occasion, le maître de cérémonie demande aux personnes présentes de fournir les pièces suivantes : - Pièce justificative de l identité (carte d identité, passeport ou permis de conduire) ; - Le formulaire de demande de création de l AC Fille concerné, signé, et détaillant les caractéristiques nécessaire à la génération de ce nouveau certificat d AC (nom de l AC, caractéristiques techniques) [R4], contenant : o Le nom de l AC ; o Le nom de l organisation de l AC et son numéro SIREN ; o Le type d usage de la clé : signature de certificat seulement ou signature de certificat et de Liste de d Autorités Révoquées (LAR). Le lancement de la cérémonie des clés est lié à la vérification préalable par le maître de cérémonie du formulaire de demande de création de l AC Fille. L ensemble des actions réalisées durant la cérémonie des clés est conservé et archivé dans le procès-verbal de cérémonie Contrôle de l autorité du demandeur et approbation de la demande Le contrôle est effectué lors de la cérémonie des clés et est basé sur la vérification formelle de l identité du demandeur. L ensemble des contrôles sont notifiés dans le procès-verbal signé à l issue de la cérémonie des clés Critères d interopérabilité 3.3. Identification et validation d une demande de renouvellement de clés Un nouveau certificat ne peut pas être fourni sans renouvellement de la bi-clé correspondante. Le renouvellement se traduit alors par une nouvelle demande de certificat et bénéficie des mêmes procédures que pour une demande initiale Identification et validation pour un renouvellement courant Identique à une demande initiale Identification et validation pour un renouvellement après révocation Identique à une demande initiale Identification et validation d une demande de révocation La demande de révocation de clé pour une AC Fille signée par l AC NOTAIRES DE FRANCE ne peut émaner que d une personne autorisée, et est validée formellement avant prise en compte. Le certificat de l AC NOTAIRES DE France étant un certificat auto-signé, il ne peut pas être révoqué. En cas de compromission de la clé privée correspondante au certificat de l AC NOTAIRES DE FRANCE, l AC publiera une information sur le site permettant à tout porteur ou à toute application utilisatrice d être informé de cette compromission. Page 15 sur 45

16 4. Exigences opérationnelles sur le cycle de vie des certificats 4.1. Demande de certificat Origine d une demande de certificat Une demande de certificat émane de la personne autorisée par l organisation, présente lors de la cérémonie Processus et responsabilités pour l établissement d une demande de certificats L établissement d une demande de certificat s effectue selon une procédure de cérémonie de clés. Les opérations techniques se font dans une salle protégée et prévue à cet effet Traitement d une demande de certificat Exécution des processus d identification et de validation de la demande Les clés de l AC NOTAIRES DE FRANCE ne sont mises en œuvre que dans le cadre d une cérémonie de clés soit pour : - La signature d une demande de certificat pour un certificat d AC Fille - La signature d une nouvelle ARL En dehors de ces phases, les clés de l AC NOTAIRES DE FRANCE restent hors ligne et stockées dans un coffre-fort. La génération des clés d AC se fait lors de la phase de cérémonie des clés en présence d un représentant de l AC, des administrateurs techniques de la PKI et des porteurs de secrets. Cette génération se fait dans un environnement dédié à l AC NOTAIRES DE FRANCE. A l issue de la cérémonie des clés, cet environnement est sauvegardé et éteint pour être stocké dans un coffre-fort. Cette cérémonie des clés est constatée par un huissier et des témoins sur la base d un script de cérémonie des clés établi au préalable Acceptation ou rejet de la demande Toutes les demandes de certificat sont acceptées ou rejetées avant la signature de cette demande par l AC NOTAIRES DE FRANCE Durée d établissement du certificat Les certificats des AC Filles signés par l AC NOTAIRES DE FRANCE sont générés et installés lors de la cérémonie Délivrance du certificat Actions de l AC concernant la délivrance du certificat La génération des bi-clés est consignée lors de la cérémonie des clés. Cette génération se fait dans l environnement dédié à l AC NOTAIRES DE FRANCE. Cela consiste à faire signer par la bi-clé de l AC NOTAIRES DE FRANCE la demande de certificat de l AC Fille. Cette demande de certificat est transmise à l AC NOTAIRES DE FRANCE via un support physique dédié à cette opération Notification par l AC de la délivrance du certificat au porteur Le demandeur de certificat est présent lors de la cérémonie des clés. Page 16 sur 45

17 4.4. Acceptation du certificat Démarche d acceptation du certificat L acceptation du certificat signé par l AC NOTAIRES DE FRANCE est consignée sur le procès-verbal de la cérémonie des clés. Le procès-verbal est contresigné par l huissier présent et remis au responsable de l AC NOTAIRES DE FRANCE Publication du certificat Le certificat de l AC NOTAIRES DE FRANCE et des certificats signés par cette AC sont publiés sur l intranet REAL au travers de l annuaire LDAP de publication des certificats annuaire.real.notaires.fr, et sur l Internet sur le site Notification par l AC aux autres entités de la délivrance du certificat 4.5. Usage de la bi-clé et du certificat Utilisation de la clé privée et du certificat La clé privée est utilisée pour : - Signer des certificats d AC Filles; - Signer la liste des autorités révoquées ; Utilisation de la clé publique et du certificat par l utilisateur du certificat L utilisation de la clé publique et du certificat est limitée au contrôle des certificats gérés par les AC Filles, et à la validation des LAR Renouvellement d un certificat La notion de renouvellement de certificat, au sens RFC 3647 [A1], correspondant à la seule modification des dates de validité, n est pas retenue. Seule la délivrance d un nouveau certificat suite à changement de la bi-clé est autorisée Causes possibles de renouvellement d un certificat Origine d une demande de renouvellement Procédure de traitement d une demande de renouvellement Notification au porteur de l établissement du nouveau certificat Démarche d acceptation du nouveau certificat Publication du nouveau certificat Page 17 sur 45

18 Notification par l AC aux autres entités de la délivrance du nouveau certificat 4.7. Délivrance d un nouveau certificat suite à changement de la bi-clé Cause possible de changement de bi-clé Les bi-clés des certificats émis par l AC NOTAIRES DE FRANCE ont une durée de vie de 8 ans. La délivrance d un nouveau certificat avant la fin de vie ne peut être que la conséquence d une révocation, ou de la demande de renouvellement au bout de 4 ans pour garantir la continuité de service Origine d une demande de nouveau certificat Dans tous les cas, la procédure de demande de nouveau certificat est identique à la procédure de demande initiale Procédure de traitement d une demande de nouveau certificat Identique à la demande initiale Notification au porteur de l établissement du nouveau certificat Identique à la demande initiale Démarche d acceptation du nouveau certificat Identique à la demande initiale Publication du nouveau certificat Identique à la demande initiale Notification par l AC aux autres entités de la délivrance du nouveau certificat Identique à la demande initiale Modification du certificat Les modifications de certificats ne sont pas autorisées Cause possible de modification d un certificat Origine d une demande de modification de certificat Procédure de traitement d une demande de modification de certificat Notification au porteur de l établissement du certificat modifié Démarche d acceptation du certificat modifié Publication du certificat modifié Page 18 sur 45

19 Notification par l AC aux autres entités de la délivrance du certificat modifié 4.9. Révocation et Suspension des certificats Causes possibles d une révocation Les causes de révocation sont les suivantes : - Obsolescence des informations relatives au porteur figurant dans le certificat - Compromission, suspicion de compromission, perte ou vol de clé privée - Compromissions ou dépréciation d algorithme - Cessation de l activité de l AC - Décision suite à un échec de contrôle de conformité - Compromission de l AC NOTAIRES DE FRANCE Origine d une demande de révocation La personne pouvant demander une révocation de certificat est le titulaire du certificat, ou le titulaire de l AC NOTAIRES DE FRANCE (autorité du CSN) Procédure de traitement d une demande de révocation Le traitement d une demande de révocation est effectuée par une personne autorisée détentrice des droits correspondants Délai accordé au porteur pour formuler la demande de révocation La demande de révocation doit être formulée au plus tôt dès la connaissance d une cause effective de révocation Délai de traitement par l AC d une demande de révocation L AC s engage à traiter la demande de révocation d un certificat d AC dans les meilleurs délais après réception de la demande avec un délai maximal de 24 heures Exigences de vérification de la révocation par les utilisateurs de certificats L utilisateur d un certificat est tenu de vérifier l état des certificats et de la chaîne correspondante (AC NOTAIRES DE FRANCE) Fréquence d établissement des LCR Les LAR sont établies tous les six (6) mois et après chaque révocation de certificat d AC Délai maximum de publication d une LCR Les LAR sont publiées dans un délai de : - 1 heure sur l Intranet REAL à partir du point d accès ldap://annuaire.real.notaires.fr et ldaps://annuaire.real.notaires.fr; - 2 heures sur l Internet à partir du point d accès Disponibilité d un système de vérification en ligne de la révocation et de l état des certificats Les systèmes de révocation et de vérification ont un taux de disponibilité de 99,5 pour cent, et sont disponibles sous 24 heures. Page 19 sur 45

20 Le statut de révocation d un certificat est fourni de manière automatisée au travers des LCR, y compris pour les certificats expirés. En cas de défaillance du système, l OSC s engage à rétablir le système sous 24h. En cas de défaillance en période non ouvrée, la cellule de crise de l OSC s activera afin de garantir le rétablissement du système sous 24h. Ces services bénéficient d une redondance et d un plan de reprise d activité qui permet d assurer leur disponibilité Exigences de vérification en ligne de la révocation des certificats par les utilisateurs de certificats Voir Autres moyens disponibles d information sur les révocations Exigences spécifiques en cas de compromission de la clé privée Le CSN publiera sur le site une information claire de la compromission de la clé privée. L AC indiquera sur son site les impacts et les précautions à prendre en la matière Causes possibles d une suspension La suspension de certificat n est pas prévue Origine d une demande de suspension Procédure de traitement d une demande de suspension Limites de la période de suspension d un certificat Fonction d information sur l état des certificats Caractéristiques opérationnelles Les LAR sont au format v2, publiées : - dans un annuaire LDAP v3 accessible au sein de la communauté notariale : ldap ://annuaire.real.notaires.fr:389 et ldaps://annuaire.real.notaires.fr :636; - sur le site internet Disponibilité de la fonction La fonction d information sur l état des certificats est disponible 24 heures sur 24, 7 jours sur Dispositifs optionnels L OSC dispose d une procédure permettant de vérifier l état de révocation des certificats expirés (date de fin de validité atteinte) à la demande des utilisateurs, envoyée par mail à l adresse exploitation.carte.real@notaires.fr. Les modalités de demandes sont décrites sur le site Fin d abonnement Page 20 sur 45

21 4.12. Séquestre de clé et recouvrement Il n est pas procédé à un séquestre de clé Politique et pratiques de recouvrement par séquestre de clés Politique et pratiques de recouvrement par encapsulation des clés de session Page 21 sur 45

22 5. Mesures de sécurité non techniques Les exigences présentées dans ce chapitre résultent de l analyse de risques réalisée sur l IGC [R1], et des exigences définies dans le SMSI du CSN validé par son comité de pilotage pour la composante OSC Mesures de sécurité physique Situation géographique et construction des sites La localisation géographique des sites ne nécessite pas de mesures particulières face à des risques de type tremblement de terre, explosion, risque volcanique ou crue Accès physique L accès physique aux fonctions de génération des certificats, génération des éléments secrets du porteur et de gestion des révocations, toutes fonctions opérées par l OSC, est strictement limité aux seules personnes nominativement autorisées. L accès physique aux composantes de l IGC supportant ces fonctions est limité aux seules personnes autorisées par la mise en place d un périmètre de sécurité physique, permettant la séparation des rôles entre les différents intervenants. La traçabilité des accès est assurée. En dehors des heures ouvrables, des mesures de détection d intrusion physique sont mises en œuvre. Des mesures de sécurité physique sont également mises en place pour limiter les accès aux supports sensibles (supports de clés, dossier d enregistrement, DPC, documents d applications) Alimentation électrique et climatisation Des mesures de secours sont mises en œuvre par l OSC de manière à ce qu une interruption de service d alimentation électrique, ou une défaillance de climatisation ne portent pas atteinte aux engagements pris par l AC en matière de disponibilité (gestion des révocations et informations relatives à l état des certificats en particulier) Exposition aux dégâts des eaux La définition du périmètre de sécurité prend en considération les risques inhérents aux dégâts des eaux. Des moyens de protection devront être mis en œuvre pour parer les risques résiduels (rupture de canalisation par exemple) Prévention et protection incendie Les moyens de prévention et de lutte contre l incendie permettent de respecter les engagements pris par l AC en matière de disponibilité (gestion des révocations et informations relatives à l état des certificats en particulier), et de pérennité de l archivage Conservation des supports Les moyens de conservation des supports permettent de respecter les engagements pris par l AC en matière de restitution et de pérennité de l archivage Mise hors service des supports Les supports recensés comme sensibles en termes de confidentialité font l objet de mesures de destruction, ou peuvent être réutilisés dans un contexte opérationnel identique à un même niveau de sensibilité. Page 22 sur 45

23 Sauvegarde hors site Afin de permettre une reprise après incident conforme aux engagements pris par l AC, l OSC met en place des sauvegardes hors site des informations et fonctions critiques. La confidentialité des informations, et l intégrité des applications sauvegardées sont garantie de manière homogène sur le site opérationnel et sur le site de sauvegarde. Cela concerne en particulier les fonctions de gestion des révocations et d information sur l état des certificats Mesures de sécurité procédurales Rôles de confiance Les rôles de confiance suivant sont définis : AC Le Responsable Sécurité est chargé de la mise en œuvre de la PC, de ses évolutions, et de sa prise en compte par les différentes structures concernées. Il fait faire les contrôles de conformité, valide les plans d action relatives aux mesures correctives, Le Responsable Sécurité est le RSSI du CSN ou son représentant désigné, sous le contrôle direct du président du CSN AE L autorité d enregistrement est sous la responsabilité du CSN OSC Un Comité de Pilotage est mis en place, chargé de l application opérationnelle de la PC au travers de la mise en œuvre des mesures définies dans la DPC concernant particulièrement l OSC. Le Comité de Pilotage fait réaliser les analyses de risques sur le périmètre dont il a la charge, décide de la stratégie de gestion des risques, valide et suit les plans d actions correspondants. Il fait réaliser les audits internes sur sa composante, et suit la mise en place des mesures correctives nécessaires. Les demandes de certificats d AC Filles sont validées au cours de cérémonie de clés qui réunissent : - Le représentant de l AC NOTAIRES DE FRANCE - Le représentant de l AC Fille - Les porteurs de secrets correspondants au quorum - Le responsable de sécurité - Le maître de cérémonie - L administrateur de l IGC - L huissier de justice. Le Responsable de la sécurité est en charge de l implémentation des pratiques de sécurité. Ce rôle est porté par différentes personnes qui ont en charge la sécurité logique ou la sécurité physique. Le RSSI, responsable de la sécurité globale de l OSC, est le président de REAL.NOT. L administrateur système est en charge de l installation, la configuration et la maintenance des systèmes de confiance de l IGC. L opérateur système est en charge des actions quotidiennes sur l IGC, notamment les sauvegardes et les restaurations. L Auditeur système dispose d un rôle qui lui permet d accéder aux traces systèmes des composantes de l IGC et de les analyser. Le Responsable d application IGC est en charge de la définition, la mise en œuvre, la gestion et le suivi des mesures de sécurité logiques au niveau du réseau et de l application. Pour ce faire, il s appuie sur les administrateurs système. L Administrateur de l IGC est un chargé d applications de REAL.NOT disposant du rôle de confiance Ingénieur / Administrateur Système. Page 23 sur 45

24 Des porteurs de secrets sont également définis pour l AC NOTAIRES DE FRANCE. Chacun possède une part du secret permettant d activer le HSM détenant la clé privée de l AC Nombre de personnes requises par tâche Toute tâche sensible est réalisée par deux personnes au moins. La reconstruction du secret de l AC nécessite le regroupement de 3 personnes parmi 5 chacune possédant une partie du secret Identification et authentification pour chaque rôle Des mesures d identification et d authentification sont mises en place afin de supporter la mise en œuvre de la politique de contrôle d accès et la traçabilité des opérations ; la politique de contrôle d accès limite l accès aux seules personnes habilitées à réaliser les opérations d administration et de génération de clés sur l infrastructure de confiance. Les rôles attribués sont notifiés par écrit aux personnes concernées dans la description de poste Rôles exigeant une séparation des attributions Certains rôles de confiance sont dissociés et séparés de tout autre rôle de confiance. Un porteur de secrets ne peut détenir qu une seule part d un même secret Mesures de sécurité vis à vis du personnel Qualifications, compétences, et habilitations requises Tout intervenant amené à occuper un rôle identifié comme sensible est soumis à une clause de confidentialité et de non conflit d intérêts, gérée par REAL.NOT. En outre les intervenants disposant d un rôle de confiance attestent sur l honneur n avoir commis aucun délit en matière de cybercriminalité. L OSC s assure que les attributions des personnels opérant sur des postes sensibles correspondent à leurs compétences professionnelles. Notamment les personnels de l OSC suivent des formations au moins annuellement sur les menaces informatiques et les pratiques de sécurité du système d information. Le personnel d encadrement possède l expertise appropriée, et est familier des procédures de sécurité. Toute personne intervenant dans des rôles de confiance est informée de ses responsabilités (description de poste) et des procédures liées à la sécurité du système et au contrôle du personnel Procédures de vérification des antécédents Des procédures de vérification des antécédents sont mises en place pour les personnes appelées à occuper un rôle de confiance. Ces procédures de vérification ne sont pas nécessaires pour les Notaires du fait du caractère assermenté de la profession Exigences en matière de formation initiale Le personnel est formé aux logiciels, matériels et procédures internes de fonctionnement Exigences en matière de formation continue et fréquences des formations Chaque évolution dans les systèmes, procédures ou organisations fait l objet d information ou de formation aux intervenants dans la mesure où cette évolution impacte le mode de travail de ces intervenants. Les intervenants sont formés à la gestion des incidents et sont au fait de l organisation de remontée d incidents Fréquence et séquence de rotations entre différentes attributions Sanctions en cas d actions non autorisées Se reporter au règlement intérieur. Page 24 sur 45

25 Exigences vis à vis du personnel des prestataires externes Les exigences vis-à-vis des prestataires externes sont contractualisées. La vérification de l application des exigences par les prestataires fait l objet d audits réguliers Documentation fournie au personnel Les règles de sécurité sont communiquées au personnel lors de la prise de poste, en fonction du rôle affecté à l intervenant. Les personnes appelées à occuper un rôle opérationnel dans l infrastructure de gestion de clés disposent des procédures correspondantes Procédures de constitution des données d audit Type d événement à enregistrer Les événements suivants sont enregistrés : - Les événements systèmes des différentes composantes de l IGC (démarrage des serveurs, accès réseau, ) que ce soit sur le site actif ou le site de secours ; - Les événements techniques des applications composant l IGC, sur le site actif ou le site de secours ; - Les événements fonctionnels des applications composant l IGC (demande de certificats, validation, révocation, ) sur le site actif ou le site de secours ; - Les évènements liés aux clés de signature et aux certificats d'ac (génération (cérémonie des clés), sauvegarde / récupération, révocation, renouvellement, destruction,...) ; - La publication et mise à jour des informations liées à l'ac (PC, certificats d'ac, etc.) ; - Les opérations effectuées. Ces journaux permettent d assurer la traçabilité et l imputabilité des actions effectuées (horodatage, affectation à l intervenant). En dehors de ces événements, l AC NOTAIRES DE FRANCE maintient à jour un référentiel sur le site détaillant : - Le nom de l AC NOTAIRES DE FRANCE ; - Le nom de la personne responsable du certificat. L OSC conserve également dans un coffre sécurisé l ensemble des documents signés durant la cérémonie des clés : - Le script de cérémonie des clés ; - Le PV de cérémonie des clés. N Acteur Description des tâches 1 Maître cérémonie de Inscription des informations suivantes sur le Procès-verbal : - Nom de l AC - Nom du responsable de l AC 2 Maître cérémonie de Signature du Procès-verbal Page 25 sur 45