POLITIQUE DE CERTIFICATION. Certificats Personne Physique KWA. AUTORITE DE CERTIFICATION CA_LCL_KWebSign

Transcription

1 CA_LCL_KWebSign Version : 1.3 Référence : politique_certification_credit_agricole_kwebsign_ personne_physique

2 HISTORIQUE DES MODIFICATIONS Historique du document : Date Version Rédacteur Objet Statut 25 août MQ Rédaction Projet 01/12/ DM Adaptation K.Websign Projet 15/12/ EM1 Relecture, formalisation et mise au format Projet PRIS v2 15/12/ MQ Relecture et corrections mineures Projet 11/01/ DM,TR prise en compte remarques TRB & Projet séparation KWA et KWS 19/01/ MQ Relecture Projet 21/01/ DM Relecture Projet 06/03/ DM Prise en compte des relectures Finale 24/03/ DS Personnalisation PC finale 03/04/ DM Complément OID et CRL etc.. FINALE 20/12/ DS Personnalisation PC au Crédit Agricole A valider 21/03/ MP Prise en compte des relectures FINALE. Page 2 sur 36

3 SOMMAIRE 1 INTRODUCTION Présentation générale de la politique de certification Identification de la politique de certification Les composantes de l Infrastructure de Gestion de Clés L'Autorité de Certification (AC) L Autorité d Enregistrement (AE) L Opérateur de Certification (OC) Porteurs de certificats Application utilisatrice ou Utilisateur de certificat Usages des certificats et applications concernées par la politique de certification Usages autorisés Usages interdits Gestion de la politique de certification Entité gérant la PC Point de contact Entité déterminant la conformité d'une DPC avec cette PC Acronymes et définitions Liste des acronymes Définitions OBLIGATIONS CONCERNANT LA MISE A DISPOSITION DES INFORMATIONS DEVANT ETRE PUBLIEES Entités chargées de la mise à disposition des informations Types d informations publiées Délais et fréquences de publication Politique de certification Liste des Certificats Révoqués - certificats de porteur Liste des Certificats Révoqués - Certificats de l AC Contrôles d accès aux informations publiées Politique de certification IDENTIFICATION ET AUTHENTIFICATION POUR LA DELIVRANCE DE CERTIFICAT Nommage Types de noms Utilisation de noms explicites Anonymisation ou pseudonymisation des porteurs Règles d interprétation des différentes formes de nom Unicité des noms Procédure de résolution de litige sur déclaration de nom Méthode pour prouver la possession de la clé privée Enregistrement initial d un porteur et validation de la demande d émission d un certificat Authentification et validation d une demande de révocation par le porteur Authentification d une demande de renouvellement EXIGENCES OPERATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS Origine d une demande de certificat Processus de demande initiale d un certificat Traitement d une demande de certificat Délivrance du certificat Acceptation du certificat Destruction des biclés Révocation d'un certificat Renouvellement d'un certificat Modification d un certificat de porteur Page 3 sur 36

4 4.4 Suspension d un certificat de porteur Fonction d information sur l état des certificats Séquestre et recouvrement de clés MESURES DE SECURITE NON TECHNIQUES DES OPERATIONS Mesures de sécurité physique Situation géographique Accès physique Energie et air conditionné Exposition aux liquides Prévention et protection incendie Mise hors service des supports Sauvegardes hors site Mesures de sécurité procédurales Rôles de confiance Nombre de personnes nécessaires à l exécution de tâches sensibles Identification et authentification des rôles Mesures de sécurité vis-à-vis du personnel Qualifications, compétence et habilitations requises Procédures de vérification des antécédents Exigences en matière de formation initiale Exigences et fréquence en matière de formation continue Gestion des métiers Sanctions en cas d actions non autorisées Exigences vis-à-vis du personnel des prestataires externes Documentation fournie au personnel Procédures de constitution des données d audit Type d événements à enregistrer Processus de journalisation Protection des journaux d événements Procédures de sauvegarde des journaux d événements Système de collecte des journaux d événements Evaluation des vulnérabilités Archivage des données Type de données archivées Période de conservation des archives Protection des archives Procédures de sauvegardes des archives Exigences d horodatage des données Système de collecte des archives Procédures de récupération et de vérification des archives Changement de clé d AC Reprise suite à compromission et sinistre Procédures de remontée et de traitement des incidents et des compromissions Procédures de reprise en cas de corruption des ressources informatiques (matériels, logiciels et/ou données) et en cas de compromission de la clé privée d une composante Capacités de continuité d activité suite à un sinistre Fin de vie de l ICP MESURES DE SECURITE TECHNIQUES ET LOGIQUES Génération et installation de bi-clés Génération des bi-clés Clés d AC Clés de porteur de certificat KWA Transmission de la clé privée à son propriétaire Transmission de la clé publique porteur à l AC Taille des clés Page 4 sur 36

5 6.1.5 Contrôle de la qualité des paramètres des clés Objectifs d usage de la clé Mesures de sécurité pour la protection des clés privées Standards et mesures de sécurité pour les modules cryptographiques Module AC Module porteur Contrôle de la clé privée d AC par plusieurs personnes Séquestre de la clé privée Copie de secours de la clé privée Archivage de la clé privée Méthode d activation de la clé privée Clé d AC Clé de porteur KWA Méthode de destruction des clés privées Autres aspects de la gestion des bi-clés Archivage des clés publiques Durée de vie des bi-clés et des certificats Données d activation Données d activation correspondant à la clé privée de l AC Données d activation correspondant à la clé privée KWA du porteur Mesures de sécurité des systèmes informatiques Mesures de sécurité du système durant son cycle de vie Mesures de sécurité liées au développement des systèmes Gestion de la sécurité Mesures de sécurité réseau Mesures de sécurité pour les modules cryptographiques PROFILS DES CERTIFICATS ET DES LISTES DE CERTIFICATS REVOQUES Profil des certificats Profil de LCR AUDIT DE CONFORMITE ET AUTRES EVALUATIONS Fréquences et / ou circonstances des évaluations Identités / qualifications des évaluateurs Relations entre évaluateurs et entités évaluées Sujets couverts par les évaluations Actions prises suite aux conclusions des évaluations Communication des résultats DISPOSITIONS DE PORTEE GENERALE Barèmes des prix Tarifs pour la fourniture ou le renouvellement de certificats Tarifs pour accéder aux certificats Tarifs pour accéder aux informations d'état et de révocation des certificats Tarifs pour d'autres services Politique de remboursement Responsabilité financière Couverture par les assurances Autres ressources Couverture et garantie concernant les entités utilisatrices Loi applicable et juridictions compétentes Droits de propriété intellectuelle Politique de confidentialité Types d informations considérées comme confidentielles Délivrance aux autorités habilitées Protection des données personnelles Durée et fin anticipée de validité de la politique de certification Page 5 sur 36

6 9.7.1 Durée de validité Fin anticipée de validité Effets de la fin de validité et clauses restant applicables Administration de la politique de certification Délai de préavis Forme de diffusion des avis Modifications nécessitant l adoption d une nouvelle politique Procédures d informations Rôles et obligations de l ICP et de ses composantes Autorité de certification Autorités d enregistrement Porteurs de certificats Utilisateurs de certificats Limite de responsabilité Page 6 sur 36

7 1 INTRODUCTION 1.1 Présentation générale de la politique de certification Ce document constitue la Politique de Certification (PC) du CEDICAM agissant en tant qu Autorité de Certification (ci-après désignée «AC») pour le groupe Crédit Agricole et pour les besoins de sécurisation des applications web du groupe Crédit Agricole. La présente politique de certification s adresse aux utilisateurs des applications web du groupe Crédit Agricole. Les certificats électroniques gérés et émis conformément à la présente politique de certification, ci-après désignés dans le présent document «certificats KWA», sont délivrés aux utilisateurs des applications web proposées par le groupe Crédit Agricole utilisant le Service K.WebSign. Les certificats KWA ont pour caractéristiques principales de : (i) identifier la personne physique, agissant pour son propre compte, utilisatrice de l application Web Crédit Agricole, ci-après «le porteur», (ii) identifier par un identifiant unique la transaction associée au document électronique signé par le porteur manifestant ainsi son consentement. Cette politique de certification décrit d'une part les engagements de l'ac relatifs à l émission et à la gestion des certificats KWA, étant précisé que la gestion des certificats couvre toutes les opérations relatives à la vie d un certificat depuis son émission jusqu à son expiration et d autre part les conditions d utilisation des certificats KWA. Les certificats, objets de la présente PC sont conformes à la norme [X.509]. La présente politique de certification a été établie à partir du document «Procédures et Politiques de Certification de Clés (PC²)» émis par la Commission Interministérielle pour la Sécurité des Systèmes d'information (CISSI), des documents types de «Politique de Référencement Intersectorielle de Sécurité v2.0» de l ADAE et du SGDN- DCSSI, ainsi que du document RFC 3647 «Certificate Policy and Certification Practices Framework» de l'ietf. 1.2 Identification de la politique de certification La présente politique de certification est identifiée par l'oid Une déclaration des pratiques de certification (DPC) est associée à la présente PC du groupe Crédit Agricole. Cette DPC n est pas publique, mais peut être consultée sur simple demande adressée au CEDICAM (voir point de contact). 1.3 Les composantes de l Infrastructure de Gestion de Clés En préambule, il est rappelé que le service de certification électronique du groupe Crédit Agricole ayant pour objet la délivrance de certificats KWA repose sur la mise en œuvre et l exploitation d'une Infrastructure de Gestion de Clés (IGC). A cette fin, le CEDICAM, pour le groupe Crédit Agricole, a mis en place une Autorité de Certification qui assure les prestations de délivrance et de gestion des certificats KWA tout au long de leur cycle de vie (génération, diffusion,...). Les différentes fonctions de l IGC, coordonnées par l AC, correspondant aux différentes étapes du cycle de vie des bi-clés et des certificats, sont les suivantes : Fonction de demande de certificat - Cette fonction reçoit les informations d'identification du futur porteur d'un certificat, ainsi qu'éventuellement d'autres attributs spécifiques, avant de transmettre la demande correspondante à la fonction adéquate de l'igc, en fonction des services rendus et de l'organisation de l'igc. Dans le cadre de la présente PC, la fonction de demande de certificat est mise en œuvre par la plate-forme. Page 7 sur 36

8 K.WebSign pour les certificats KWA. Le déclenchement de la demande de certificat est réalisé sous la responsabilité de l AE. Fonction de génération de certificat - Cette fonction génère les certificats (création du gabarit, signature électronique avec la clé privée de l'ac) à partir des informations transmises par l'autorité d'enregistrement et de la clé publique du porteur provenant de la fonction de génération de la bi-clé cryptographique du porteur, si c'est cette dernière qui génère la bi-clé du porteur, ou du porteur lui- même. Fonction de génération de la bi-clé cryptographique du porteur - Cette fonction génère, sous forme logicielle, la bi-clé cryptographique à destination du porteur, en utilisant la plate-forme de l application K.WebSign. Fonction de mise à disposition du certificat - Cette fonction met à la disposition du porteur, son certificat associé à la bi-clé générée précédemment.. Fonction de publication - Cette fonction met à disposition des différentes parties concernées, la politique de certification publiées par l'ac, les certificats d'ac et toute autre information pertinente destinée aux porteurs et/ou aux utilisateurs de certificats, hors informations sur l'état des certificats. Fonction de gestion des révocations de certificat - Cette fonction n est pas implémentée du fait de la durée des certificats KWA L'Autorité de Certification (AC) L AC a pour fonction principale de définir la politique de certification et de la faire appliquer, garantissant ainsi un certain niveau de confiance aux Utilisateurs. Le CEDICAM est l autorité de certification, elle assure la gestion du cycle de vie des certificats et délègue l enregistrement et le traitement des demandes d émission de certificats électroniques à d autres entités du groupe Crédit Agricole. Le certificat de l Autorité de certification KWA (CA_LCL_KWebSign) est signé par une autorité de certification racine. Dans le cadre de ses fonctions opérationnelles, l'ac est responsable des fonctions suivantes : - Etre en relation par voie contractuelle / réglementaire avec l organisme client qui utilise les certificats - Rendre accessible l ensemble des prestations déclarées dans sa PC aux porteurs de certificats et aux utilisateurs de certificats - S assurer que les exigences de la PC et les procédures de la DPC associées sont appliquées par chacune des composantes de l'igc ; - Mener une analyse de risque permettant de déterminer les objectifs de sécurité propres à couvrir les risques métiers de l'ensemble de l'igc et les mesures de sécurité techniques et non techniques correspondantes à mettre en œuvre. Elle élabore sa DPC en fonction de cette analyse de risques qui prend en compte et distingue notamment la partie identification et authentification des porteurs de certificats KWA ; - Mettre en œuvre les différentes fonctions identifiées dans sa PC, notamment en matière de génération des certificats, de remise au porteur. - Mettre en œuvre tout ce qui est nécessaire pour respecter les engagements définis dans cette PC, notamment en termes de fiabilité, de qualité et de sécurité. - Générer, et renouveler lorsque nécessaire, les bi-clés de l AC ou de l AC hiérarchiquement supérieure et les certificats correspondants (signature de certificats) - Diffuser son ou ses certificat(s) d'ac chaîne de confiance fille et racine) aux porteurs et utilisateurs de certificats L Autorité d Enregistrement (AE) L AE a pour rôle de s assurer de l'identité du demandeur de certificat KWA. L AE est désignée et habilitée par l'ac. L'AE assure les tâches suivantes : - la prise en compte et la vérification des informations du demandeur de certificat - la constitution de la demande de certificat KWA conformément aux procédures définies par l AC ;. Page 8 sur 36

9 - l'établissement et la transmission de la demande de certificat à l AC après vérification de l identité selon les procédures applicables au travers de l appel du module TransID et conformément à la PGP associée - la conservation et la protection en confidentialité et en intégrité des données personnelles d identification du porteur, y compris lors des échanges de ces données avec les autres fonctions de l'igc L Opérateur de Certification (OC) L opérateur de certification assure les prestations techniques, en particulier cryptographiques, nécessaires au processus de certification, conformément à la présente politique de certification et à la Déclaration des pratiques de certification définies par l'ac. L OC est techniquement dépositaire de la clé privée de l AC utilisée pour la signature des certificats KWA. Sa responsabilité ne peut être engagée que par l AC Porteurs de certificats Le porteur de certificat est la personne physique identifiée par une entité du groupe Crédit Agricole, dûment habilitée par l AC.. Le certificat contient l identification du porteur ainsi que le numéro unique de la transaction, objet de l'émission du certificat. Le porteur du certificat agit pour son propre compte dans le cadre de la signature des documents électroniques. Cette personne physique est un utilisateur de l'application web d une entité du groupe Crédit Agricole. L activation de la clé privée cryptographique associée au certificat KWA s effectue à l aide de la transmission d'une ou plusieurs informations dans un protocole de consentement mettant en œuvre du Texte fixe ou alea, selon un mode (secret partagé ou distribué) gérés par une application informatique d une entité du groupe Crédit Agricole. Le mode opératoire de cette activation est décrit dans la politique de gestion de preuve (PGP) Application utilisatrice ou Utilisateur de certificat L utilisateur de certificat est une application ayant pour fonctions : de faire signer électroniquement un document non modifiable présenté au porteur de certificat et associé à un numéro de transaction unique, de vérifier la signature électronique du porteur de certificat. A cette fin, elle utilise une chaîne de confiance pour chacun des certificats. Cette chaîne de confiance, composée du certificat porteur et de(s) certificat(s) d AC, ayant permis sa signature Dans le cadre de la présente PC, l application utilisatrice est l'application K.Websign hébergée par l Opérateur de Certification, pour le groupe Crédit Agricole. 1.4 Usages des certificats et applications concernées par la politique de certification Usages autorisés Les certificats, émis dans le cadre de cette présente politique de certification, sont utilisés dans le seul cadre des applications web du groupe Crédit Agricole associées au service K.Websign. Un porteur de certificat n utilise son certificat que pour signer un document électronique établi avec une entité du groupe Crédit Agricole. Il manifeste ainsi son accord sur les termes contenus dans le document, au travers du service proposé par son application web Usages interdits Il s agit de tout usage qui ne figure pas dans la liste des usages autorisés (Cf ) ou de tout usage non licite et/ou non légal. 1.5 Gestion de la politique de certification Entité gérant la PC L entité en charge de l administration et de la gestion de la politique de certification est l Autorité Administrative de l AC. Le CEDICAM est en charge de la gestion de la présente politique de certification. L AA est responsable de l élaboration, du suivi et de la modification, dès que nécessaire, de la présente politique de certification. A cette fin, elle met en œuvre et coordonne une organisation dédiée, qui statue à échéance régulière, sur la nécessité d apporter des modifications à la PC.. Page 9 sur 36

10 1.5.2 Point de contact L AA de l AC CA_LCL_KWebSign est l entité à contacter pour toutes questions concernant la présente PC. Société Nom, prénom Adresse Téléphone CEDICAM SAVOYEN Daniel daniel.savoyen@ca-cedicam.fr Entité déterminant la conformité d'une DPC avec cette PC Les personnes habilitées à déterminer la conformité de la déclaration des pratiques de certification avec la présente politique de certification sont désignées par l AA sur la base, en particulier, de leur capacité à faire l'évaluation de la sécurité. 1.6 Acronymes et définitions Liste des acronymes AA AAE AC ADAE AE CISSI CRL ou LCR DCSSI DPC ICD ICP IETF ISO LCR ou CRL OC OE PC URL Autorité administrative Administrateur d Autorité d Enregistrement Autorité de certification Agence pour le Développement de l Administration Electronique Autorité d enregistrement Commission Interministérielle de la Sécurité des Systèmes d Information Certificate Revocation List (Liste des Certificats Révoqués) Direction Centrale de la Sécurité des Systèmes d Information du SGDN Déclaration des Pratiques de Certification International Code Designator Infrastructure à Clés Publiques Internet Engineering Task Force International Organization for Standardization Liste des Certificats Révoqués ou (Certificate Revocation List) Opérateur de Certification Opérateur d Enregistrement Politique de certification Uniform Resource Locator Définitions Le symbole (*) signifie que le terme est défini dans ce paragraphe. Il est utilisé dans le reste du document lorsqu il est important de renvoyer à la définition du terme employé. Application utilisatrice : désigne un service applicatif exploitant les certificats* émis par l autorité de certification* pour des besoins d authentification ou de signature du porteur* du certificat. Applications web: désigne un ensemble d'applications informatiques du groupe Crédit Agricole susceptible de faire appel à la plateforme K.WebSign proposée et hébergée par KEYNECTIS. Plus particulièrement désigne l ensemble cohérent d informations et de programmes informatiques de l organisme client ayant pour objet de fournir un service de transactions mettant en œuvre un protocole de consentement entre l organisme et l utilisateur.. Page 10 sur 36

11 Application K.WebSign ou plateforme K.Websign: désigne l ensemble cohérent d informations et de programmes informatiques hébergé sur les matériels de KEYNECTIS mis à disposition du Client et ayant pour objet de fournir un service de génération de fichier de preuve à des transactions en ligne. Autorité administrative (AA) : désigne l entité représentant l AC* en charge de la politique de certification* et de la déclaration des pratiques de certification* qu elle s engage à respecter et à faire appliquer. Autorité de certification (AC) : désigne l entité responsable de la gestion (cycle de vie) des certificats* émis et signés en son nom conformément aux règles définies dans la politique de certification et la déclaration des pratiques de certification associée. Autorité d enregistrement (AE) : désigne l entité qui détermine, conformément à la politique de certification, les données propres au demandeur de certificat ou au porteur de certificat. L AE a pour fonction de préparer et de traiter les demandes d émission de certificats. Bi-clé : désigne un couple composé d une clé privée (devant être conservée secrète) et d une clé publique, nécessaire à la mise en œuvre d une prestation de cryptographie basée sur des algorithmes asymétriques. Deux types de bi-clés interviennent dans cette infrastructure de clés publiques : Les bi-clés de signature dont la clé privée est utilisée à des fins de signature et/ou d authentification et la clé publique à des fins de vérification, Les bi-clés de confidentialité, dont la clé privée est utilisée par une application à des fins de déchiffrement de données ou informations et la clé publique à des fins de chiffrement de ces mêmes informations. Binary Large Object (BLOB) : désigne un ensemble formaté de données dont l'intégrité et la confidentialité sont assurées par la mise en œuvre d'une signature et d'un chiffrement au moyen de certificats. Certificat électronique : désigne un fichier électronique attestant que la clé publique appartient à une personne qu il identifie. Il est délivré par une autorité de confiance : l autorité de certification qui en signant le certificat valide le lien entre la personne et le bi-clé. Un certificat contient des informations telles que : l identité du porteur de certificat, la clé publique du porteur de certificat, la durée de vie du certificat, l identité de l autorité de certification qui l a émis, la signature de l AC qui l a émis. Un format standard de certificat est normalisé dans la recommandation X509 v3. Certificat KWA : désigne le certificat de signature émis par une Autorité de Certification et utilisé pour la signature des Données métier signées. Sa caractéristique principale est d avoir une existence éphémère impliquant leur génération à la volée pour le compte de l utilisateur identifié et de contenir une information unique référençant le document à signer appelée TransNUM. Certificat KWS : désigne le certificat de chiffrement et/ou d'intégrité et/ou de signature émis par une Autorité de Certification et utilisé par l Organisme Client pour la signature des Données métier et pour le transport des BLOB entre la plateforme Web de l entité du groupe Crédit Agricole et l'application K.WEBSIGN, hébergé par l opérateur de certification. Clé publique : désigne une clé mathématique (constituée en même temps qu une clef associée et liée mathématiquement, cette clef est secrète ou privée) rendue publique et qui est utilisée pour vérifier la signature numérique d'une donnée reçue, qui a été préalablement signée avec une clef privée. Clé privée : désigne la seconde clé du bi-clé, qui reste sous l autorité du porteur et qui sert à signer les données pour lesquelles l utilisateur veut marquer son consentement. Client : Common Name (CN) : désigne l identité du titulaire du certificat, par exemple CN=Jean Dupont.. Page 11 sur 36

12 Composante de l IGC : désigne une entité constituée d au moins un poste informatique, une application, un moyen de cryptologie et jouant un rôle déterminé au sein de l IGC. Une composante peut être une AC, une AE, un OC etc. Confidentialité : propriété d une donnée de n être accessible que par les personnes autorisées (EBIOS v2). Dans le cadre de la présente application cette propriété est mise en œuvre à l aide de certificat électronique de confidentialité pour chiffrer les données à protéger. Conservation électronique : stockage des données électroniques sécurisé de telle sorte à garantir la pérennité de la valeur de la preuve. Contremarque de temps : voir jeton d horodatage Déclaration des Pratiques de Certification (DPC) : désigne l énoncé des pratiques de certification effectivement mises en œuvre par une autorité de certification pour émettre et gérer des certificats. Document électronique: Ensemble de données structurées pouvant faire l'objet de traitement informatique par les applications informatiques de l organisme client Données d activation : désigne les données ou actions associées à un porteur permettant de mettre en œuvre sa clé privée. Dans le cas d un certificat KWA, ces données ou actions sont définies dans le document PGP dans la rubrique Protocoles de consentement. Données métier : C'est un document électronique sous un format PDF ou XML Données métier signées : désigne les données métier auxquelles a été apposée une signature électronique avec une clef privée associée à un certificat KWS émis par une AC gérée par le CEDICAM. Ces données (Données métiers et Signature organisme client) sont présentées à l utilisateur qui les signera électroniquement, s il y consent. Emission d un certificat : fait d exporter un certificat à l extérieur d une AC pour être remis à son porteur. Enregistrement d un porteur* : désigne l opération qui consiste pour une autorité d enregistrement à constituer et à traiter la demande de certificat d un porteur*. Enveloppe Sécurisée : désigne l ensemble des éléments créés lors de la réalisation de la transaction entre l organisme Client et l Utilisateur et lors de la fabrication d un accusé réception par K.WebSign, condensé dans un BLOB signé et chiffré. Fichier de preuve : désigne l ensemble des éléments créés lors de la réalisation de la transaction entre l organisme Client et l Utilisateur, puis conservé pendant un délai conforme aux exigences légales, permettant ainsi d assurer la traçabilité de la réalisation de la transaction conclue conformément aux procédures décrites dans la PGP. Génération (d un certificat) : action réalisée par une AC et qui consiste à construire un certificat électronique et à signer les données du certificat Horodatage : ensemble des prestations nécessaires à la génération des jetons d horodatage et à la gestion des unités d horodatage (cf. définition du profil de protection système d horodatage de la DCSSI). Infrastructure à Clés Publiques (ICP) : désigne un ensemble de moyens techniques, humains, organisationnels, documentaires et contractuels pour assurer, avec des systèmes de cryptographie asymétrique, un environnement sécurisé aux échanges électroniques. L ICP gère le cycle de vie d un certificat : il génère, distribue, gère et archive les Certificats.. Page 12 sur 36

13 Intégrité : propriété d exactitude et de complétude des données (EBIOS v2). Cette propriété est mise en œuvre à l aide de certificat électronique KWS de signature ou d intégrité pour les données stockées et à l aide de certificat électronique de contrôle d accès (SSL) pour les données échangées. Interface web d administration : désigne le programme informatique mis à disposition du Client permettant à l'administrateur et/ou l Opérateur de l application Quick Sign de réaliser un suivi de l utilisation du Service. Jeton d horodatage : donnée qui lie un condensé de donnée électronique à un temps particulier, exprimé en temps UTC, établissant la preuve que la donnée existait bien avant ce temps là (cf. définition du profil de protection système d horodatage de la DCSSI). Module TransID : logiciel qui permet de créer un identifiant TransNUM dans un BLOB et de signer et chiffrer un BLOB. Opérateur de Certification (OC) : désigne l entité technique hébergeant et opérant une plate-forme informatique sécurisée logiquement et physiquement permettant de gérer et émettre des certificats pour le compte de l autorité de certification, lorsque cette dernière ne possède pas de moyens techniques adéquats. Organisme Client : désigne l entité mettant en œuvre le service K.WebSign. Original: désigne les données métier signées auxquelles a été apposée une signature électronique avec un certificat KWA émis par cette AC dans le cadre de la présente PC. Politique de Certification (PC) : désigne l ensemble des règles énoncées et publiées par l AC décrivant les caractéristiques générales des Certificats qu elle délivre. Ce document décrit les obligations et responsabilités de l'ac, de l AE, des porteurs de Certificat et de toutes les composantes de l'icp intervenant dans l'ensemble du cycle de vie d'un Certificat. Politique de Gestion de Preuves (PGP) : désigne l ensemble des règles gouvernant le processus technique de signature de l acte, de création et de la conservation du Fichier de preuve. Politique d horodatage : Ensemble de règles qui indiquent l applicabilité d un jeton d horodatage à une communauté particulière et/ou une classe d application avec des exigences communes (cf. définition du profil de protection système d horodatage de la DCSSI). Portail métier : serveur web mis en œuvre par l organisme client et qui héberge une application de type transaction électronique avec des utilisateurs connus de l organisme client. Preuve électronique : l ensemble des données électroniques lié à une transaction électronique réussie qui est signée, horodatée et conservée conformément à la PGP. Cette preuve est aussi transmise à l organisme client. Promoteur d Application : Responsable de l application métier, au sein de l organisme client, mettant en œuvre le service K.WebSign. Porteur (de certificats KWA) : désigne une personne physique, connue de l organisme client, identifiée dans le certificat, qui fait l'objet de la transaction de signature proposée par le serveur web de l'organisme et à qui est associé un numéro unique de transaction indiqué dans le certificat Il est appelé porteur de certificat dès l instant où il dispose d un certificat émis par l AC. Protocole de saisie ou d'agrément : désigne un ensemble d'informations (informations contrôlables et ou partagées) et d'actions (Clicks de souris) ) du porteur pour signifier son agrément à l'émission du certificat KWA et à son utilisation dans le cadre de la signature électronique du document proposé par l organisme Client Service d archivage : désigne l ensemble des prestations réalisées pour l archivage de données électroniques consistant en la capture de l information, sa conservation dans son format d origine et sa restitution à la demande de la personne propriétaire de l information.. Page 13 sur 36

14 Service de certification électronique : désigne l ensemble des prestations réalisées par l Autorité de Certification pour l émission de Certificats en appliquant des procédures stipulées dans la Politique de Certification et dans ses engagements contractuels le cas échéant vis à vis de ses propres Utilisateurs. Service de publication : désigne l opération consistant à rendre disponible les certificats de clés publiques émis par une AC à l ensemble des utilisateurs de ces certificats pour leur permettre de vérifier une signature ou de chiffrer des informations. Signature électronique : désigne, aux termes de l article du Code civil, «l usage d un procédé fiable d identification garantissant son lien avec l acte auquel elle s attache» et a pour objet d identifier la personne qui l appose et de manifester le consentement du signataire aux obligations qui découlent de l acte signé. Transaction électronique : échange électronique entre un utilisateur et l organisme client au cours duquel l organisme métier propose un original métier à un utilisateur qu il a déjà identifié. Le résultat final d une transaction électronique réussie entre l organisme client et l utilisateur est un original métier signé électroniquement des deux parties. Ce résultat final matérialise le consentement de chacune des parties sur le contenu de l original métier. Le résultat de cet échange électronique, le consentement bipartite, doit pouvoir être opposable en cas de litige et nécessite donc la création d une preuve électronique. TransID : module logiciel fournit par KEYNECTIS à l organisme client pour générer ou ouvrir une enveloppe sécurisée. TransNUM: désigne un numéro de référence généré par l'application organisme permettant de lier un document électronique, sur lequel est apposée une signature électronique, au porteur préalablement identifié par l application web. Uniform Resource Locator (URL) : désigne l adresse d un site ou d un dossier disponible sur Internet. Utilisateur de certificat : désigne les applications qui ont pour fonction de faire signer le porteur de certificat, de vérifier la signature électronique du porteur de certificat. Utilisateur : désigne la personne physique signataire ayant conclu une transaction avec le Client de l organisme client par l utilisation du Service K.WebSign.. Page 14 sur 36

15 2 OBLIGATIONS CONCERNANT LA MISE A DISPOSITION DES INFORMATIONS DEVANT ETRE PUBLIEES 2.1 Entités chargées de la mise à disposition des informations L AC a mis en place au sein de son IGC une fonction de publication. 2.2 Types d informations publiées L AC publie la politique de certification. 2.3 Délais et fréquences de publication Politique de certification La politique de certification est accessible 24 heures sur 24 et 7 jours sur 7. Les modifications de la politique de certification sont publiées conformément aux dispositions de l article Liste des Certificats Révoqués - certificats de porteur Les listes des Certificats Révoqués qui sont publiées sont accessibles 24 heures sur 24 et 7 jours sur 7. Elles sont mises à jour toutes les 24 heures. Compte tenu de la durée de vie d un certificat, la LCR existe mais ne contient pas de certificat Liste des Certificats Révoqués - Certificats de l AC Les certificats d AC utilisables pour la validation des certificats KWA sont publiés par le Service de Publication de l AC au profit de l entité du groupe Crédit Agricole proposant une application métier et de l application K.WebSign. 2.4 Contrôles d accès aux informations publiées L'accès en modification aux systèmes de publication (ajout, suppression, modification des informations publiées) est strictement limité aux fonctions internes habilitées de l'igc Politique de certification La PC de l AC CA_LCL_KWebsign est consultable à l adresse précisée dans le champ policy Qualifier de chaque certificat sous forme d'un OID. Page 15 sur 36

16 3 IDENTIFICATION ET AUTHENTIFICATION POUR LA DELIVRANCE DE CERTIFICAT 3.1 Nommage Types de noms Les noms utilisés sont conformes aux spécifications de la norme X.500. Dans chaque certificat, l AC (issuer) et le porteur (subject) sont identifiés par un «Distinguished Name» (DN) de type X501 dont le format exact est précisé dans le 7 Profils des certificats Utilisation de noms explicites Les noms choisis pour désigner les porteurs de certificats doivent être explicites. Un DN du certificat comporte les éléments suivants: l identification de la société propriétaire de l'ac Le DN du porteur est construit à partir des prénom et nom et adresse extraits des bases informatiques détenues par le site de l'organisme client et collectée lors de son enregistrement auprès du service d'abonnement le TransNUM : numéro de transaction unique généré lors de la présentation du document à signer par l'application métier de l organisme client. Le TransNUM peut comprendre des informations sur l application et l organisme client jouant le rôle d AE Anonymisation ou pseudonymisation des porteurs L utilisation d un pseudonyme ou d un identifiant anonyme n est pas autorisée pour les certificats Règles d interprétation des différentes formes de nom Sans objet Unicité des noms L unicité d un certificat est basée sur l unicité de son numéro de série à l intérieur du domaine de l AC. Chaque DN permet d identifier de façon unique un porteur au sein de l ICP grâce à l'utilisation du numéro unique de transaction TransNUM pour les certificats KWA Procédure de résolution de litige sur déclaration de nom L AC est responsable de l unicité des noms de ses porteurs et de la résolution des litiges portant sur la revendication d utilisation d un nom. Tout différent portant sur ce point devra être soumis à l AA (voir point de contact) Méthode pour prouver la possession de la clé privée Pour les certificats KWA, la preuve de la possession de la clé privée utilisée pour la signature est apportée par les moyens techniques et organisationnels (protocole de consentement) utilisés par la plateforme K.WebSign lors de la demande de certificat. 3.2 Enregistrement initial d un porteur et validation de la demande d émission d un certificat L enregistrement d un porteur se fait directement auprès de l application métier qui joue le rôle de l AE. La procédure d identification, d authentification et de validation de la demande d émission d un certificat est décrite dans la PGP au travers des protocoles de consentement utilisés pour chaque application utilisateurs des certificats KWA. L identité du porteur est définie et attribuée par l entité du groupe Crédit Agricole qui gère les utilisateurs de ses applications web.. Page 16 sur 36

17 La méthode d attribution de cette identité est définie par l entité du groupe Crédit Agricole mettant en œuvre une application métier et qui enregistre l ensemble de ses utilisateurs avec ses données d identité, en fonction de l analyse de risque de l application et soumis à validation de l AC. 3.3 Authentification et validation d une demande de révocation par le porteur Il n y a pas de révocation pour les certificats KWA. 3.4 Authentification d une demande de renouvellement Il n'y a pas de renouvellement pour les certificats de type KWA.. Page 17 sur 36

18 4 EXIGENCES OPERATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS 4.1 Origine d une demande de certificat Un certificat porteur ne peut être demandé que pour procéder à la signature de "données métiers signées " entre le porteur et l entité du groupe Crédit Agricole, proposant une application WEB. Cet accord déclenche une ouverture de session sur la plate-forme K.WebSign. L utilisateur (application métier) authentifie la plate-forme K.WebSign à l aide du protocole SSL V2. L ouverture de cette session provoque le transfert du formulaire de demande de certificat porteur à l application K.WebSign Ce formulaire est chiffré par une clef publique contenue dans le certificat fourni par l'ac KEYNECTIS à la plate-forme K.WebSign et signé par l AE à l aide d un certificat KWS-signature du Crédit Agricole, au nom de l entité groupe Crédit Agricole, responsable de la plate-forme WEB métier. L application K.WebSign est la seule à pouvoir déchiffrer le formulaire, elle authentifie l AE et vérifie la signature du formulaire d autorisation de demande de certificat porteur Processus de demande initiale d un certificat Suite à l authentification positive de l AE et du formulaire transmis, l application K.WebSign demande à l utilisateur de fournir des informations précises au travers d'un protocole de saisie afin de déclencher : La génération d une bi-clé cryptographique au moyen d un module logiciel La demande associée du certificat porteur auprès de l AC KWA du groupe Crédit Agricole en utilisant une requête signée et chiffrée par des certificats RA émis par des AC techniques de KEYNECTIS Traitement d une demande de certificat L AC authentifie l application K.WebSign par la validation d'un certificat de RA émis par l'ac KEYNECTIS KRA L AC authentifie la validité de la demande de certificat du porteur en vérifiant la signature de la requête par la biclef du porteur de certificat KWA. L AC génère un certificat porteur pour une durée de vie de cinq minutes contenant les données du DN précisée au Délivrance du certificat Le certificat n est pas publié ni remis au porteur de certificat. En cas de rejet de la demande de certificat porteur par la plate-forme K.WebSign, cette dernière en informe le demandeur en justifiant le rejet par un code retour qui provoque la destruction de la bi-clé cryptographique et rétablit la liaison vers l'application métier de l entité du groupe Crédit Agricole Acceptation du certificat L acceptation du certificat est tacite pour le porteur de certificat qui connaît le profil de certificat porteur décrit dans la présente politique de certification Destruction des biclés Le bi-clé est détruit après usage dans la signature du document. 4.2 Révocation d'un certificat Du fait de la durée de vie d'un certificat il n'y a pas de fonction de révocation des certificats. 4.3 Renouvellement d'un certificat Modification d un certificat de porteur Du fait de la durée de vie d'un certificat il n'y a pas de fonction de renouvellement des certificats. 4.4 Suspension d un certificat de porteur Service non supporté. Page 18 sur 36

19 4.5 Fonction d information sur l état des certificats Du fait de la durée de vie d'un certificat il n'y a pas de fonction d information sur l état des certificats. 4.6 Séquestre et recouvrement de clés Le séquestre et le recouvrement de clés privées des porteurs ne sont pas autorisés par la présente politique de certification.. Page 19 sur 36

20 5 MESURES DE SECURITE NON TECHNIQUES DES OPERATIONS 5.1 Mesures de sécurité physique Situation géographique Le site d exploitation technique de l autorité de certification est situé à Paris (FRANCE) dans les locaux de l opérateur de certification. La construction du site respecte les règlements et normes en vigueur et son installation tient compte des résultats de l'analyse de risque, du métier d'opérateur de certification selon la méthode EBIOS, par exemple certaines exigences spécifiques de type inondation, explosion (proximité d'une zone d'usines ou d'entrepôts de produits chimiques,...) Accès physique Afin de limiter l accès aux applications et aux informations de l ICP et afin d assurer la disponibilité du système de l AC, un périmètre de sécurité a été mis en place. La mise en œuvre de ce périmètre permet de respecter les principes de séparation des rôles de confiance tels que prévus dans la présente PC. Les accès au site des composantes d AC et d AE sont limités aux seules personnes nécessaires à la réalisation des services et selon leur besoin d'en connaître. Les accès sont nominatifs et leur traçabilité d accès est assurée. La sécurité est renforcée par la mise en œuvre de moyens de détection d intrusion passifs et actifs. Tout évènement de sécurité fait l'objet d'un enregistrement et d'un traitement. Le système d'information supportant les services de certification est installé au sein du périmètre de sécurité de l opérateur de certification Energie et air conditionné Des systèmes de protection de l'alimentation électrique et de génération d'air conditionné sont mis en œuvre afin d'assurer la continuité des services délivrés. Les matériels utilisés pour la réalisation des services sont opérés dans le respect des conditions définies par leurs fournisseurs et/ou constructeurs Exposition aux liquides Les systèmes de l ICP sont implantés de telle manière qu'ils ne sont pas sensibles aux inondations et autres projections et écoulements de liquides Prévention et protection incendie Les moyens de prévention et de lutte contre les incendies mis en œuvre permettent de respecter les exigences et les engagements pris par l'ac dans sa PC Mise hors service des supports En fin de vie, les supports cryptographiques seront soit détruits soit réinitialisés en vue d une réutilisation Sauvegardes hors site L AC conduit des sauvegardes hors site, en s appuyant sur les procédures convenues avec l opérateur de certification, permettant une reprise rapide de l activité de l AC. Les précisions quant aux modalités des sauvegardes des informations sont fournies dans la DPC. 5.2 Mesures de sécurité procédurales Rôles de confiance Afin de veiller à la séparation des tâches critiques, il est fait distinction de cinq rôles fonctionnels au sein des composantes de l ICP. Il s agit des rôles fonctionnels suivants : Responsable système : il est chargé de la mise en service et de la maintenance du système. Page 20 sur 36

21 Responsable de sécurité : il est chargé de la gestion de la sécurité au niveau du système ainsi que de l exploitation et de la sauvegarde des fichiers d audit du système Administrateur de composante : il est chargé, au sein de la composante à laquelle il est rattaché, de la mise en œuvre de la politique de certification et de la déclaration des pratiques de certification de l ICP. Opérateur : il est chargé de l exploitation technique du système et des applications. Responsable qualité : il est chargé d assurer la cohérence des actions des différents rôles décrits précédemment et la qualité des fonctions fournies par la composante par rapport à la politique de certification, à la déclaration des pratiques de certification et à la politique de sécurité de la composante. En plus de ces rôles de confiance au sein de chaque composante de l'igc, en fonction de l'organisation de l'igc et des outils mis en œuvre, l'ac peut être amenée à distinguer d'autres rôles de confiance, comme ceux de porteurs de parts de secrets d'igc. Ces porteurs de parts de secrets ont la responsabilité d'assurer la confidentialité, l'intégrité et la disponibilité des parts de secrets qui leur sont confiés Nombre de personnes nécessaires à l exécution de tâches sensibles Plusieurs rôles peuvent être attribués à une même personne, dans la mesure où le cumul ne compromet pas la sécurité des fonctions mises en œuvre. Concernant les rôles de confiance, les cumuls suivants sont interdits : responsable de sécurité et ingénieur système / opérateur contrôleur et tout autre rôle ingénieur système et opérateur Identification et authentification des rôles Chaque entité opérant une composante de l'igc a fait vérifier l identité et les autorisations de tout membre de son personnel amené à travailler au sein de la composante avant de lui attribuer un rôle et les droits correspondants, notamment : que son nom soit ajouté aux listes de contrôle d accès aux locaux de l'entité hébergeant la composante concernée par le rôle ; que son nom soit ajouté à la liste des personnes autorisées à accéder physiquement à ces systèmes ; le cas échéant et en fonction du rôle, qu un compte soit ouvert à son nom dans ces systèmes ; éventuellement, que des clés cryptographiques et/ou un certificat lui soient délivrés pour accomplir le rôle qui lui est dévolu au sein de l'igc. Ces contrôles sont décrits dans la DPC de l'ac et sont conformes à la politique de sécurité de la composante. Chaque attribution d un rôle à un membre du personnel de l IGC est notifiée par écrit. 5.3 Mesures de sécurité vis-à-vis du personnel Qualifications, compétence et habilitations requises Chaque personne amenée à travailler au sein des composantes de l ICP est soumise à une clause de confidentialité vis-à-vis de son employeur. Il est également vérifié que les attributions de ces personnes correspondent à leurs compétences professionnelles. Toute personne intervenant dans les procédures de certification de l ICP est informée de ses responsabilités relatives aux services de l ICP et des procédures liées à la sécurité du système et au contrôle du personnel Procédures de vérification des antécédents Chaque entité opérant une composante de l'igc met en œuvre tous les moyens légaux dont elle dispose pour s'assurer de l'honnêteté des personnels amenés à travailler au sein de la composante. Cette vérification est basée sur un contrôle des antécédents de la personne, notamment il est vérifié que chaque personne n'a pas fait l'objet de condamnation de justice en contradiction avec leurs attributions.. Page 21 sur 36