CEDICAM : POLITIQUE DE CERTIFICATION DE L ACR

Transcription

1 Politique de Certification N page : 1/40 Ref :PC_AC_racine_CA_V1_v1.0 CEDICAM : POLITIQUE DE CERTIFICATION DE L ACR Objet: Ce document consiste en la politique de certification de l ACR Numéro de version: 1.0 Nombre de pages: 40 Etat du document: Projet Version finale Rédacteur : Emmanuel Montacutelli KEYNECTIS Diffusion: Externe Interne KEYNECTIS Cedicam KEYNECTIS KEYNECTIS Historique: Date Version Rédacteur Commentaires Validé par 12/10/ EM Création du document 26/11/ EP Modification et commentaires 01/12/ EM Intégration des commentaires 04/12/ EP Intégration des modifications 11/12/ Commentaires suite à audit 13/01/ EM Intégration des commentaires suite à l audit 01/02/ EP Modification et validation du CAP Les membres du CAP 21/12/ EP Mise en conformité des termes Abonné par Porteur Les membres du CAP PC_AC_racine_CA_V1_v 1.0.doc Page 1 sur 40

2 Politique de Certification N page : 2/40 SOMMAIRE 1 INTRODUCTION Généralités Nom du Document et Identification Les composantes de l IGC Comité d'approbation des Politiques (CAP) Autorité de Certification (AC) Autorité de Certification Racine (ACR) Service de Publication (SP) Opérateur de Certification (OC) Porteur Autres participants Utilisateur de Certificat (UC) Utilisation des certificats AC Bi-clés et certificats d AC Utilisation interdite des certificats Application de la politique Organisme responsable de la présente politique Personne responsable Personne déterminant la conformité de l implémentation de la présente PC/DPC Procédure d'approbation du présent document Définitions et Acronymes Définitions Acronymes ANNUAIRES ET SERVICES DE PUBLICATION Service de publication Informations publiées Heure et fréquence de publication Contrôle d'accès au service de publication IDENTIFICATION ET AUTHENTIFICATION Nommage Types de noms Utilisation de noms explicites Anonymat ou utilisation de pseudonyme Règles d'interprétations des différentes formes de noms Unicité des noms Reconnaissance, vérification, et rôle des noms de marques déposées Vérification initiale d'identité Preuve de possession de la clé privée Vérification de l'identité des organisations Vérification de l'identité des personnes Informations non vérifiées Validation du représentant légal Critères de reconnaissance Vérifications aux fins de renouvellement de clés Vérifications aux fins de renouvellement de clés en situation normale Vérifications aux fins de renouvellement de clés après révocation du certificat Vérifications aux fins de révocation...17 PC_AC_racine_CA_V1_v 1.0.doc Page 2 sur 40

3 Politique de Certification N page : 3/40 4 EXIGENCES OPERATIONNELLES Types de certificat Origine de la demande de certificat Procédure d'enregistrement et responsabilités Traitement d'une demande de certificat Identification et authentification Approbation ou rejet d'une demande de certificat Durée de traitement d'une demande de certificat Emission d'un certificat Actions effectuées par l'acr pendant l'émission d'un certificat d AC Notification de l'émission d'un certificat Acceptation d'un certificat Procédure d'acceptation d'un certificat Publication d'un certificat par l'ac Notification de l'émission d'un certificat par l'ac à d'autres entités Utilisation des bi-clés et des certificats Utilisation des bi-clés et des certificats Utilisation des clés publiques et des certificats par les tierces parties Demande d un nouveau certificat Changement de clés (ou certification d'une nouvelle clé publique) Modification d'un certificat Révocation et suspension d'un certificat Motif de révocation d'un certificat Certificat d ACR Certificat d AC Origine d'une demande de révocation Procédure de demande de révocation Délai accordé au porteur pour formuler la demande de révocation Délai de traitement d une révocation Exigences de vérification de révocation pour les tierces parties Fréquences de publication des LAR Service d'état des certificats Fin de la relation entre l ACR et l'ac Séquestre et recouvrement de clés MESURES DE SECURITE PHYSIQUE, PROCEDURES ET MISE EN ŒUVRE Sécurité physique Situation géographique Accès physique Energie et air conditionné Exposition aux liquides Prévention et protection incendie Conservation des supports Mise hors service des supports Sauvegardes hors site Mesures de sécurité procédurales Rôles de confiance Nombre de personnes nécessaires à l exécution de tâches sensibles Identification et authentification des rôles Rôles nécessitant une séparation des fonctions Mesures de sécurité vis-à-vis du personnel Qualifications, compétence et habilitations requises Procédures de vérification des antécédents Exigences en matière de formation initiale...23 PC_AC_racine_CA_V1_v 1.0.doc Page 3 sur 40

4 Politique de Certification N page : 4/ Exigences et fréquence en matière de formation continue Gestion des métiers Sanctions en cas d actions non autorisées Exigences vis-à-vis du personnel des prestataires externes Documentation fournie au personnel Procédures de constitution des données d audit Type d événements à enregistrer Fréquence de traitement des journaux Période de conservation des journaux Protection des journaux d événements Procédures de sauvegarde des journaux d événements Système de collecte des journaux d événements Evaluation des vulnérabilités Archivage des données Type de données archivées Période de conservation des archives Protection des archives Exigences d horodatage des données Système de collecte des archives Procédures de récupération et de vérification des archives Renouvellement de bi-clé ACR et AC Compromission et plan de reprise Procédures en cas d'incident et de compromission Corruption des ressources informatiques, des logiciels, et/ou des données Procédures en cas de compromission de la clé privée de l ACR Capacités de reprise d'activité à la suite d'un sinistre Fin de vie d'ac MESURES TECHNIQUES DE SECURITE Génération et installation des bi-clés ACR Fourniture de la clé privée à l AC Fourniture de la clé publique à l'acr Fourniture de la clé publique d'ac aux tierces parties Taille de clés Production des paramètres des clés publiques et contrôle de qualité Utilisation de la clé (selon le champ "key usage" du certificat X 509 V3) Protection des clés privées et normes relatives au module cryptographique Normes applicables aux ressources cryptographiques et contrôles Contrôle de la clé privée par de multiples personnes Séquestre de clé privée Sauvegarde de clé privée Archivage de clé privée Importation / exportation d'une clé privée Stockage d'une clé privée dans un module cryptographique Méthode d'activation d'une clé privée Méthode de désactivation d'une clé privée Méthode de destruction d'une clé privée Certification des ressources cryptographiques Autres aspects de la gestion des bi-clés Archivage des clés publiques Durée de validité opérationnelle des certificats et durée d'utilisation des bi-clés Données d'activation Génération et installation des données d'activation Protection des données d'activation...30 PC_AC_racine_CA_V1_v 1.0.doc Page 4 sur 40

5 Politique de Certification N page : 5/ Autres aspects touchant aux données d'activation Mécanismes de sécurité des systèmes informatiques Exigences techniques de sécurité des ressources informatiques Indice de sécurité informatique Contrôles techniques du système pendant son cycle de vie Contrôle des développements des systèmes Contrôles de gestion de la sécurité Contrôle de sécurité du système pendant son cycle de vie Mécanismes de sécurité du réseau Horodatage/Système de datation CERTIFICATS, CRL, ET PROFILS OCSP Profil de Certificats Extensions de Certificats Identifiant d'algorithmes Formes de noms Identifiant d'objet (OID) de la Politique de Certification Extensions propres à l'usage de la Politique Syntaxe et Sémantique des qualificateurs de politique Interprétation sémantique de l'extension critique "Certificate Policies" Profil de LAR LAR et champs d'extensions des LAR CONTROLES DE CONFORMITE ET AUTRES EVALUATIONS Fréquence et motifs des audits Identité / Qualification des auditeurs Lien entre l'auditeur et l'entité contrôlée Points couverts par l'évaluation Mesures prises en cas de non-conformité Communication des résultats AUTRES QUESTIONS COMMERCIALES ET JURIDIQUES Tarifs Frais d'émission et de renouvellement de certificats Frais d'accès aux certificats Frais d'accès aux LCR et aux informations d'état des certificats Frais pour d'autres services Politique de remboursement Responsabilité financière Couverture par les assurances Autres ressources Couverture et garantie concernant les entités utilisatrices Confidentialité des informations Informations confidentielles Information considérées comme non confidentielles Obligation de protection des informations confidentielles Confidentialité des informations à caractère personnel Plan de confidentialité Information considérées comme personnelles Information non considérées comme n'étant pas à caractère personnel Obligation de protection des informations à caractère personnel Consentement exprès et préalable à l'utilisation de données à caractère personnel Divulgation due à un processus judiciaire ou administratif Autres motifs de divulgation de données à caractère personnel...35 PC_AC_racine_CA_V1_v 1.0.doc Page 5 sur 40

6 Politique de Certification N page : 6/ Droits relatifs à la propriété intellectuelle Obligations et garanties Obligations et garanties de CAP Obligations et garanties de l'acr Obligations et garanties de l'ac Obligations et garanties des autres participants Déni de garanties Limites de responsabilité Indemnités Durée et fin anticipée de validité de la PC Durée Résiliation Effets de la résiliation et survie Avis individuels et communication avec les participants Amendements Procédure pour apporter un amendement Mécanisme et délais des notifications Motifs selon lesquels un OID doit être changé Règlement des différents Droit applicable Conformité au droit applicable Divers Totalité de l'accord Affectation Divisibilité Exonération des droits Force majeure Autres dispositions...40 PC_AC_racine_CA_V1_v 1.0.doc Page 6 sur 40

7 Politique de Certification N page : 7/40 1 INTRODUCTION 1.1 Généralités Le Groupe Crédit Agricole développe ses activités de commerce électronique et s'est donc doté d'une Infrastructure de Gestion de Clés (IGC ou ICP) destinée à fournir des certificats à ses clients. Cette IGC est gérée pour le groupe CEDICAM par le CEDICAM (CENTRE D'ECHANGES DE DONNEES ET D'INFORMATIONS DU CREDIT AGRICOLE MUTUEL). Dans l IGC, les certificats des porteurs sont émis par des Autorité de Certification dite «en ligne» (notées AC «en ligne» ou AC). Ces AC sont elles-même signées par des AC dites «hors ligne» plus communément appelé AC Racine (ACR). Ainsi donc, les certificats des AC «en ligne» sont signés par l ACR. Le CEDICAM est ACR au sens responsabilité du terme et met en œuvre plusieurs bi-clés et certificats d ACR. Les certificats et les bi-clés des AC «hors ligne» servent à authentifier, en signant les AC «en ligne», le domaine de certification. Ce document décrit la Politique de Certification ACR inhérente à l Autorité opérationnelle de Certification Racine ciaprès désignée comme ACR de l'igc du CEDICAM gérée par le CEDICAM. Une Politique de Certification (PC) est identifiée par un nom unique (OID*). Elle est composée d'un ensemble de règles décrivant les conditions de recevabilité d'un certificat pour des applications ayant des besoins de sécurité communs. Une PC est définie indépendamment des modalités de mise en œuvre de l'igc à laquelle elle s'applique. Elle décrit les exigences auxquelles l'igc doit se conformer pour l'enregistrement et la validation des demandes de certificats, et pour la gestion des certificats. Les procédures de certification sont rassemblées dans un document appelé Déclaration des Pratiques de Certification (DPC), distinct de la PC, qui décrit comment ces exigences sont atteintes en pratique. Cette PC est donc associée à la DPC relative à l'acr". Contrairement à la PC, la consultation de la DPC n'a pas vocation à être publique et doit faire l'objet d'une demande argumentée auprès du CEDICAM. La gestion des certificats couvre toutes les opérations relatives à la vie d'un certificat, depuis son émission jusqu'à la fin de vie de ce certificat (péremption, révocation). Le but de la présente PC est de fournir aux Clients/Porteurs du Gourpe Crédit Agricole les informations relatives aux garanties offertes par les certificats d AC qu il émet, ainsi que les conditions d utilisation de ces certificats. La présente politique de certification (PC) a pour objet de décrire la gestion du cycle de vie des certificats des AC «hors ligne» et «en lignes» et de leurs bi-clés associées. La présente Politique de Certification (PC) est conforme au RFC 3647 «X.509 Public Key Infrastructure Certificate Policy Certification Practice Statement Framework» de l Internet Engineering Task Force (IETF). 1.2 Nom du Document et Identification La présente PC appelée : «AC Racine groupe CREDIT AGRICOLE v1» est la propriété du CEDICAM. Cette PC est enregistrée par un numéro d'identifiant d'objet (OID) qui est : La DPC correspondante est identifiée par un numéro d'identifiant d'objet (OID) qui est : Des éléments plus explicites comme le nom, le numéro de version, la date de mise à jour, permettent d identifier la présente PC et la DPC, néanmoins le seul identifiant de la version applicable de la PC et de la DPC est l OID associé. Les PC et DPC correspondantes aux OID ci-dessus sont ci-après désignées sous le nom de "PC" et de "DPC". PC_AC_racine_CA_V1_v 1.0.doc Page 7 sur 40

8 Politique de Certification N page : 8/ Les composantes de l IGC Pour délivrer les bi-clés et les certificats d une AC, l IGC s appuie sur les services suivants : - Enregistrement : ce service récupère et vérifie les informations d'identification du contact administratif du CEDICAM qui demande un certificat, avant de transmettre la demande de certificat au service de génération de certificat ; - Service génération de bi-clé : ce service génère la bi-clé de l ACR et remet la clé publique à certifier au service de génération de certificat ; - Génération de certificat : ce service génère les certificats électroniques de l AC et de l ACR à partir des informations transmises par le service d enregistrement ; - Révocation de certificat : ce service traite les demandes de révocation des certificats d AC et détermine les actions à mener, dont la génération des Liste d AC révoquée (LAR ou ARL) ; - Service de Publication : ce service met à disposition des utilisateurs de certificat (UC) et des porteurs de certificat les informations nécessaires à l utilisation des certificats émis par l AC (conditions générales, politiques de certification publiées par l'acr, certificats d'ac et d ACR, ), ainsi que les résultats des traitements du service de gestion des révocations (LAR, avis d information, ). La présente PC définit les exigences de sécurité pour tous les services décrits ci-dessus afin de délivrer des certificats aux AC. La Déclaration des Pratiques de Certification (noté DPC) donnera les détails des pratiques de l ACR dans cette perspective Comité d'approbation des Politiques (CAP) Comité qui est constitué de représentants du CEDICAM, pour créer, contrôler le respect et faire évoluer la documentation des politiques régissant l ICP. En tant qu autorité, le CAP doit : - Définir et valider l organisation de l IGC et autoriser la création d AC et d ACR ; - Définir et contrôler la présente PC et la DPC associée ; - Contrôler la mise en œuvre de la DPC ; - Valider les accords d interopérabilité avec d autres IGC ; - Arbitrer les litiges ; - Procéder, le cas échéant, aux demandes de révocation de l ACR Opérationnelle et/ou de l AC Opérationnelle Autorité de Certification (AC) Autorité à laquelle le Client fait confiance pour émettre et gérer des certificats porteur et des LCR*. Afin de lever l ambiguïté terminologique concernant l Autorité de Certification, les conventions suivantes seront prises pour ce document : - Le terme Autorité Certifiante désigne le concept d autorité légale émettant des certificats pour une communauté ; - Le terme Autorité opérationnelle de Certification (AC opérationnelle) correspond à l entité organisationnelle et technique qui reçoit la demande de certificat, constitue le gabarit de certificat et le signe avec sa clé privée. Lorsqu il est question de certificat d AC, c est toujours l AC opérationnelle qui est évoquée. - Le terme d Autorité de Certification (AC) désigne de manière indifférenciée ces deux concepts. PC_AC_racine_CA_V1_v 1.0.doc Page 8 sur 40

9 Politique de Certification N page : 9/40 Une AC met en œuvre une ou plusieurs PC et DPC afin de gérer des certificats porteurs. Une AC Opérationnelle possède un certificat d AC gérer par une ACR Opérationnelle Autorité de Certification Racine (ACR) Une ACR Opérationnelle met en œuvre un service de génération de bi-clé, un service de génération des certificats, un service de révocation de certificat pour la gestion de son certificat et des certificats d AC conformément à la présente PC et à la DPC supportée. L ACR a pour responsabilité de garantir le lien (infalsifiable et univoque) entre une identité d AC et une bi-clé cryptographique. Cette garantie est apportée par le certificat d AC qu elle signe avec sa clé privée d ACR Opérationnelle Service de Publication (SP) Le SP est une entité qui rend les certificats d AC et les LAR disponibles auprès des UC. Le SP agit conformément à la présente PC qui est établie par l AC Opérateur de Certification (OC) L Opérateur de Certification assure des prestations techniques, en particulier cryptographiques, nécessaires au processus de certification, conformément à la présente PC et à la DPC associée que met en œuvre l ACR. L OC est techniquement dépositaire de la clé privée de l ACR utilisée pour la signature des certificats d AC et d ACR. Sa responsabilité se limite au respect des procédures que l ACR définit afin de répondre aux exigences de la présente PC ainsi qu à ses propres procédures. De plus, l OC mène une analyse de risque permettant de déterminer les objectifs de sécurité propres à couvrir les risques métiers de l'ensemble de l'igc et les mesures de sécurité techniques et non techniques correspondantes à mettre en œuvre. L OC possède aussi un plan de continuité sur lequel s appuie l ACR pour la continuité des services d IGC. Cette analyse de risque et ce plan de continuité couvrent le seul périmètre de l OC en tant qu hébergeur de moyens qui permettent à l ACR de mettre en œuvre ses services d IGC. Dans la présente PC, son rôle et ses obligations ne sont pas distingués de ceux de l ACR. Cette distinction sera précisée dans la DPC Porteur Est considéré comme porteur, toute entité détentrice d une bi-clé et d'un certificat associé délivrés par l'igc selon la PC d une AC «en ligne». Le porteur pourra indifféremment est une personne physique, un système informatique ou une application. Lorsque le porteur n'est pas une personne physique, il est représenté par la personne qui en est responsable (administrateur système par exemple, ) Autres participants Utilisateur de Certificat (UC) Application utilisatrice*, personne physique ou morale, organisme administratif ou système informatique matériel qui utilisent un certificat de porteur, afin de valider les fonctions de sécurité mises en œuvre à l aide des certificats (signature, chiffrement et authentification). Dans le cadre de cette PC, l'uc doit valider les certificats d AC et d ACR et contrôler les LAR. 1.4 Utilisation des certificats AC Bi-clés et certificats d AC Une bi-clé d ACR sert à signer des certificats d AC et d ACR et des LAR. Un certificat électronique d ACR identifie les chaînes de certification. Les bi-clés d AC servent à signer des certificats porteurs et des Liste de Certificats Révoqués (LCR). PC_AC_racine_CA_V1_v 1.0.doc Page 9 sur 40

10 Politique de Certification N page : 10/40 Les chaînes de certification issues de l IGC possèdent la structure suivante : - Certificat ACR : certificat électronique auto-signé d une ACR ; - Certificat d AC : certificat électronique délivré à une AC ou une ACR ; - Certificat porteur : certificat électronique délivré à un porteur par une AC Utilisation interdite des certificats Les utilisations de certificats émis par l'acr opérationnelle à d'autres fins que celles prévues par la présente PC ne sont pas autorisées. Cela signifie que l'acr certifiante ne peut être en aucun cas tenue pour responsable d'une utilisation des certificats qu'elle émet autre que celles prévues dans la présente PC. Les certificats ne peuvent être utilisés que conformément aux lois en vigueur et applicables, en particulier seulement dans les limites autorisées par les lois sur l'importation et l'exportation. 1.5 Application de la politique Organisme responsable de la présente politique La présente PC est sous la responsabilité du CAP Personne responsable Coordonnées de la personne ou de la direction responsable de l élaboration de la PC : Fonction, titre de l'entité responsable Responsable du Pôle Plateforme et Système d Echange et Certification Adresse mél [email protected] Adresse courrier 83, boulevard des Chênes GUYANCOURT Immeuble PROVENCE Personne déterminant la conformité de l implémentation de la présente PC/DPC La conformité de la Déclaration des Pratiques de Certification (DPC-CA Certificat) à la Politique de Certification (Politique de Certification CA Certificat) est déterminée par le Comité d Approbation des Politiques de l Autorité Certifiante sous la responsabilité de :Jean-Marc DEGEZ. Fonction, titre de l'entité responsable Responsable du Pôle Plateforme et Système d Echange et Certification Responsable sécurité des SI et PCA du Dept. Contrôle des Risques Responsable Projet MOA Certification Responsable Projet MOA Certification Adresse mél [email protected] [email protected] [email protected] [email protected] Adresse courrier 83, boulevard des Chênes GUYANCOURT Immeuble PROVENCE 83, boulevard des Chênes GUYANCOURT Immeuble PROVENCE 83, boulevard des Chênes GUYANCOURT Immeuble PROVENCE 83, boulevard des Chênes GUYANCOURT Immeuble PROVENCE PC_AC_racine_CA_V1_v 1.0.doc Page 10 sur 40

11 Politique de Certification N page : 11/ Procédure d'approbation du présent document Cette PC sera revue périodiquement par le Comité d'approbation des Politiques de l Autorité Certifiante, notamment pour : - Assurer sa conformité aux normes de sécurité attendues par les applications qui référencent des familles de certificats porteurs ; - Mettre à jour la liste des applications concernées par la PC ; - Adapter aux évolutions technologiques. La périodicité minimale de révision de cette PC est de un (1) an. Ce présent paragraphe indiquera les principales modifications de ce document en comparaison à la version antérieure. 1.6 Définitions et Acronymes Définitions Porteur : personne physique qui utilise un certificat CA Certificat au nom du Client. Le Client peut avoir un ou plusieurs Porteurs. Dans la phase amont de certification il est un demandeur de certificat et dans le contexte du certificat X.509 il est un porteur. Accord d'utilisation de LCR: Un accord spécifiant les termes et conditions sous lesquels une Liste de Certificats Révoqués ou les informations qu'elle contient peuvent être utilisées. Application utilisatrice : service applicatif exploitant les certificats émis par l Autorité de Certification* pour des besoins d authentification ou de signature du Porteur. Audit : Contrôle indépendant des enregistrements et activités d'un système afin d'évaluer la pertinence et l'efficacité des contrôles du système, de vérifier sa conformité avec les politiques et procédures opérationnelles établies, et de recommander les modifications nécessaires dans les contrôles, politiques, ou procédures. [ISO/IEC POSIX Security]. Autorité de Certification (AC) : autorité à qui un ou plusieurs utilisateurs se fient pour créer et attribuer des certificats. Facultativement, l'autorité de certification peut créer les clés d'utilisateur [ISO/IEC ; ITU-T X.509]. Bi-clé : une bi-clé est un couple composé d'une clé privée (devant être conservée secrète) et d'une clé publique, nécessaire à la mise en œuvre d'une prestation de cryptographie basée sur des algorithmes asymétriques. Dans le cas des certificats CA Certificat, la même bi-clé assure les fonctions : de signature (la clé privée est utilisée à des fins de signature et la clé publique à des fins de vérification) ; d'échange de clés ou de transport de clé (transport des clés secrètes [symétriques] mises en œuvre pour chiffrer ou déchiffrer un message protégé en confidentialité). Les bi-clés de chiffrement, utilisés pour le chiffrement de données (hors clés symétriques) ne sont pas prises en compte par les AC du CEDICAM. Cérémonie de clés : Une procédure par laquelle une bi-clé d'ac ou AE est générée, sa clé privée transférée éventuellement sauvegardée, et/ou sa clé publique certifiée. Certificat : clé publique d'une entité, ainsi que d'autres informations, rendues impossibles à contrefaire grâce au chiffrement par la clé privée de l'autorité de certification qui l'a émis [ISO/IEC ; ITU-T X.509]. Certificat d'ac : certificat pour une AC émis par une autre AC. [ISO/IEC ; ITU-T X.509]. Dans ce contexte, les certificats AC (certificat auto signé). PC_AC_racine_CA_V1_v 1.0.doc Page 11 sur 40

12 Politique de Certification N page : 12/40 Certificat auto-signé : certificat d'ac signé par la clé privée de cette même AC. Les ACR possèdent des certificats auto-signés. Certificats porteur : certificats numériques concernés par une Politique de Certification et émis par une AC opérationnelle. Ils sont proposés sous forme logicielle ou sur support matériel (carte à puce ou clé cryptographique USB). Chaîne de confiance (chaîne de certification) : ensemble ordonné des certificats nécessaires pour valider la filiation d'un certificat porteur. Dans le cas d'un certificat signé par l'ac, la chaîne de confiance comprend le certificat de l'ac "CA Certificat" et celui de l'acr "CA Root Credit Agricole". Chemin de certification : (ou chaîne de confiance, ou chaîne de certification) chaîne constituée de multiples certificats nécessaires pour valider un certificat. Clé privée : clé de la bi-clé asymétrique d'une entité qui doit être uniquement utilisée par cette entité [ISO/IEC ]. Clé publique : clé de la bi-clé asymétrique d'une entité qui peut être rendue publique. [ISO/IEC ] Client : personne contractante avec l AED : Personne morale qui demande un certificat CA Certificat pour chacun de ses Porteurs ; Personne physique qui demande un certificat CA Certificat pour chacun de ses Porteurs dans le cadre de son activité professionnelle. Comité d Approbation des Politiques : comité qui est constitué de représentants du CEDICAM, pour créer, contrôler le respect et faire évoluer la documentation des politiques régissant l ICP du Crédit Agricole. C est l autorité responsable de l Autorité Certifiante*. Compromission : violation, avérée ou soupçonnée, d'une politique de sécurité, au cours de laquelle la divulgation non autorisée, ou la perte de contrôle d'informations sensibles, a pu se produire. En ce qui concerne les clés privées, une compromission est constituée par la perte, le vol, la divulgation, la modification, l'utilisation non autorisée, ou d'autres compromissions de la sécurité de cette clé privée. Composante de l'gc : plate-forme jouant un rôle déterminé au sein de l'igc* dans le cycle de vie du certificat. Confidentialité : La propriété qu'a une information de n'être pas rendue disponible ou divulguée aux individus, entités, ou processus [ISO/IEC :2004]. Déclaration des Pratiques de Certification (DPC) : une déclaration des pratiques qu'une entité (agissant en tant qu'autorité de Certification) utilise pour approuver ou rejeter des demandes de certificat (émission, gestion, renouvellement et révocation de certificats). [RFC 3647]. Demande de certificat : message transmis par l'ae à l'ac pour obtenir l'émission d'un certificat d'ac. Disponibilité : La propriété d'être accessible sur demande, à une entité autorisée [ISO/IEC :2004]. Données d'activation : Des valeurs de données, autres que des clés, qui sont nécessaires pour exploiter les modules cryptographiques ou les éléments qu'ils protègent et qui doivent être protégées (par ex. un PIN, une phrase secrète, ). Fonction de hachage : fonction qui lie des chaînes de bits à des chaînes de bits de longueur fixe, satisfaisant ainsi aux deux propriétés suivantes : PC_AC_racine_CA_V1_v 1.0.doc Page 12 sur 40

13 Politique de Certification N page : 13/40 Il est impossible, par un moyen de calcul, de trouver, pour une sortie donnée, une entrée qui corresponde à cette sortie; Il est impossible, par un moyen de calcul, de trouver, pour une entrée donnée, une seconde entrée qui corresponde à la même sortie [ISO/IEC ]; Il est impossible par calcul, de trouver deux données d'entrées différentes qui correspondent à la même sortie. Identifiant d'objet (OID) : identifiant alphanumérique unique enregistré conformément à la norme d'enregistrement ISO pour désigner un objet ou une classe d'objets spécifiques (Qualificateur de politique*). Infrastructure à Clé Publique (ICP ou IGC) : également appelée IGC (Infrastructure de Gestion de Clés), c'est l'infrastructure requise pour produire, distribuer, gérer et archiver des clés, des certificats et des Listes de Certificats Révoqués ainsi que la base dans laquelle les certificats et les LCR doivent être publiés. [2nd DIS ISO/IEC (08/1997)]. Intégrité : fait référence à l'exactitude de l'information, de la source de l'information, et au fonctionnement du système qui la traite. Interopérabilité : implique que le matériel et les procédures utilisés par deux entités ou plus sont compatibles; et qu'en conséquence il leur est possible d'entreprendre des activités communes ou associées. Journaux d'exploitation ou d événement : journaux collectant toutes les traces d'exécution des traitements, transactions et programmes produites par un système d'information (dénommés aussi "logs" ou "journaux d'événements"). Liste de Certificats Révoqués (LCR) : liste signée numériquement par une AC et qui contient des identités de certificats qui ne sont plus valides. La liste contient l'identité de la LCR d'ac, la date de publication, la date de publication de la prochaine LCR et les numéros de série des certificats révoqués. Modules cryptographiques (ou ressource cryptographique) : Un ensemble de composants logiciels et matériels utilisés pour mettre en oeuvre une clé privée afin de permettre des opérations cryptographiques (signature, chiffrement, authentification, génération de clé ). Dans le cas d'une AC, le module cryptographique est une ressource cryptographique matérielle évaluée et certifiée (FIPS ou critères communs), utilisé pour conserver et mettre en oeuvre la clé privée AC. Période de validité d'un certificat : La période de validité d'un certificat est la période pendant laquelle l'ac garantit qu'elle maintiendra les informations concernant l'état de validité du certificat. [RFC 2459]. PKCS #10 : (Public-Key Cryptography Standard #10) mis au point par RSA Security Inc., qui définit une structure pour une Requête de Signature de Certificat (en anglais: Certificate Signing Request: CSR). Plan de secours (après sinistre) : plan défini par une AC pour remettre en place tout ou partie de ses services d'icp après qu'ils aient été endommagés ou détruits à la suite d'un sinistre, ceci dans un délai défini dans l'ensemble PC/DPC. Point de distribution de LCR : entrée de répertoire ou une autre source de diffusion des LCR; une LCR diffusée via un point de distribution de LCR peut inclure des entrées de révocation pour un sous-ensemble seulement de l'ensemble des certificats émis par une AC, ou peut contenir des entrées de révocations pour de multiples AC. [ISO/IEC ; ITU-T X.509]. Politique de Certification (PC) : ensemble de règles qui indique l'applicabilité d'un certificat à une communauté particulière et/ou une classe d'applications possédant des exigences de sécurité communes. [ISO/IEC ; ITU-T X.509]. La Politique de Certification est identifiée par un OID* défini par l'ac*. PC_AC_racine_CA_V1_v 1.0.doc Page 13 sur 40

14 Politique de Certification N page : 14/40 Politique de sécurité : ensemble de règles édictées par une autorité de sécurité et relatives à l'utilisation, la fourniture de services et d'installations de sécurité [ISO/IEC ; ITU-T X.509]. Porteur de secret (ou données d activation) : personnes qui détient une donnée d activation liée à la mise en œuvre de la clé privée d une AC ou ACR à l aide d un module cryptographique. Qualificateur de politique : Des informations concernant la politique qui accompagnent un identifiant de politique de certification (OID) dans un certificat X.509. [RFC 3647]. RSA : algorithme de cryptographique à clé publique inventé par Rivest, Shamir, et Adelman Acronymes - AC : Autorité de Certification ; - ACR : Autorité de Certification Racine ; - AE : Autorité d'enregistrement ; - DN: Distinguished Name ; - DPC : Déclaration des pratiques de certification ; - EAL: Evaluation assurance level, norme ISO (Critères Communs) pour la certification des produits de sécurité ; - FIPS: United State Federal Information Processing Standards, norme fédérale américaine pour l'évaluation de produits de sécurité ; - HTTP: Hypertext Transport Protocol ; - ICP : Infrastructure à Clés Publiques ; - IGC : Infrastructure de Gestion de Clés ; - IP: Internet Protocol ; - ISO: International Organization for Standardization ; - LCR : liste de certificats révoqués ; - LDAP: Lightweight Directory Access Protocol ; - OCSP: Online Certificate Status Protocol ; - O : Organisation ; - OID: Object Identifier ; - OU : Organisational Unit ; - PC : Politique de Certification ; - PIN: Personal Identification Number ; - PKCS: Public-Key Cryptography Standard ; - RFC: Request for comment ; - RSA: Rivest, Shamir, Adleman ; - SHA: Secure Hash Algorithm (norme fédérale américaine) ; - SSL : Secure Sockets Layer - TLS : Transport Layer Security - SP : Service de Publication ; - URL: Uniform Resource Locator. PC_AC_racine_CA_V1_v 1.0.doc Page 14 sur 40

15 Politique de Certification N page : 15/40 2 ANNUAIRES ET SERVICES DE PUBLICATION 2.1 Service de publication Le service de publication est le service en charge de la publication du présent document et de tous autres documents ou informations dont la publication est nécessaire afin d assurer la bonne utilisation des certificats délivrés au titre de la présente PC. 2.2 Informations publiées L'AC s'assure que les termes et conditions applicables à l'usage des certificats qu'elle délivre sont mis à la disposition des porteurs et des UC. L'AC, via le SP, rend disponibles les informations suivantes: - La présente PC : - Les certificats d AC et d ACR : - Les LAR : Heure et fréquence de publication La PC de l ACR et les documentations relatives aux demandes de certificat et de révocation sont publiées tout le temps avec une disponibilité définie dans la DPC. Les certificats d AC et d ACR sont publiés tout le temps avec une disponibilité définie dans la DPC. Les LAR sont publiées tout le temps avec une disponibilité du SP définie dans la DPC. 2.4 Contrôle d'accès au service de publication Le SP s'assure que les informations sont disponibles et protégées en intégrité contre les modifications non autorisées. Les informations ne sont disponibles qu au profit des UC. Des habilitations spécifiques sont mises en place afin de n'autoriser l'accès en modification à la PC qu'au personnel autorisé. L'ACR s'assure que toute information conservée dans une base documentaire de son IGC et dont la diffusion publique ou la modification n'est pas prévue est protégée. PC_AC_racine_CA_V1_v 1.0.doc Page 15 sur 40

16 Politique de Certification N page : 16/40 3 IDENTIFICATION ET AUTHENTIFICATION 3.1 Nommage Types de noms Les identités utilisées dans un certificat sont décrites suivant la norme X.500. Dans chaque certificat X 509, le fournisseur (Issuer) et le porteur (subject) sont identifiés par un Distinguished Name (DN) Utilisation de noms explicites Les certificats d AC et d ACR émis conformément à la présente PC sont toujours explicites et nominatifs Anonymat ou utilisation de pseudonyme L'identité utilisée pour les certificats d AC et d ACR n'est ni un pseudonyme ni un nom anonyme (Cf ) Règles d'interprétations des différentes formes de noms Les UC (applications, réseaux, machines, organisme extérieurs, ) et les porteurs peuvent se servir des certificats d AC, d ACR et de porteurs, contenus dans les chaînes de certification autorisées (Cf ), pour mettre en œuvre et valider des contrôles d'accès et des fonctions de sécurité, en vérifiant entre autre les identités (DN) des porteurs, des AC et des ACR contenues respectivement dans les certificats de porteur, certificat d AC et d ACR Unicité des noms Les identités des certificats (cf ) sont uniques au sein du domaine de certification de l'acr et de l AC. L'ACR et l AC assurent cette unicité au moyen de son processus d'enregistrement. En cas de différent au sujet de l'utilisation d'un nom pour un certificat, le CAP a la responsabilité de résoudre le différent en question Reconnaissance, vérification, et rôle des noms de marques déposées Sans objet. 3.2 Vérification initiale d'identité Preuve de possession de la clé privée La preuve de la possession de la clé privée par l ACR et de l AC est réalisée par les procédures de génération (Cf ) de la bi-clé privée correspondant à la clé publique à certifier et le mode de transmission de la clé publique (Cf ) Vérification de l'identité des organisations L authentification est réalisée par le CAP qui communique les données d identification de l organisme à inclure dans l identité de l AC et de l ACR (Cf ) à l OC au préalable de la cérémonie des clés Vérification de l'identité des personnes L authentification d un individu impliqué dans la gestion du cycle de vie des certificats de l AC et de l ACR est réalisée par rapport facial, ou par une méthode apportant un degré d assurance équivalent, entre l individu et la CAP Informations non vérifiées Aucune information non vérifiée n'est introduite dans les certificats Validation du représentant légal Les certificats d ACR sont émis au nom du CEDICAM. Les certificats d AC sont émis au nom du CEDICAM et LCL Critères de reconnaissance PC_AC_racine_CA_V1_v 1.0.doc Page 16 sur 40

17 Politique de Certification N page : 17/40 Le CAP gère les demandes d accords et les accords de reconnaissance avec des AC extérieures à l'igc. Toute demande d accord de reconnaissance avec d autres AC doit être soumise à validation par le CAP. Si des accords de reconnaissance d AC nécessitent des opérations spécifiques (remises de certificats d AC, certification croisée, ) alors les AC des entités extérieures seront traitées conformément à la présente PC et les opérations seront alors décrites dans la PC et la DPC de l AC qui est impliquée par à l accord de reconnaissance. 3.3 Vérifications aux fins de renouvellement de clés Vérifications aux fins de renouvellement de clés en situation normale Le renouvellement de certificat s apparente à un renouvellement de la bi-clé et l attribution d un nouveau certificat conformément aux procédures initiales (Cf. 3.2) Vérifications aux fins de renouvellement de clés après révocation du certificat Le renouvellement de certificat s apparente à un renouvellement de la bi-clé et l attribution d un nouveau certificat conformément aux procédures initiales (Cf. 3.2). 3.4 Vérifications aux fins de révocation Les demandes de révocation sont authentifiées par le CAP. La procédure de vérification est identique à celle utilisée pour l'enregistrement initial (Cf. 3.2) afin de s'assurer que le porteur a effectivement fait une demande de révocation. PC_AC_racine_CA_V1_v 1.0.doc Page 17 sur 40

18 Politique de Certification N page : 18/40 4 EXIGENCES OPERATIONNELLES 4.1 Types de certificat Origine de la demande de certificat Le CAP autorise la création d un certificat d AC et d ACR Procédure d'enregistrement et responsabilités Les AC et les ACR sont enregistrées auprès du CAP. Une demande de création d AC et d ACR contient l identifiant qui doit lui signer son certificat. 4.2 Traitement d'une demande de certificat Identification et authentification Le CAP traite la demande de certificat d AC et d ACR Approbation ou rejet d'une demande de certificat Le CAP autorise ou rejette la création d une AC et d une ACR. En cas d acceptation, le CAP transmet cette demande à l OC afin de procéder à la cérémonie des clés et de création du certificat Durée de traitement d'une demande de certificat La durée du traitement d'une demande de certificat est définie dans la DPC. 4.3 Emission d'un certificat Actions effectuées par l'acr pendant l'émission d'un certificat d AC Les ACR et AC sont générées pendant une cérémonie des clés (Cf. 6.1). Le CAP vérifie le contenu des documents de nommage des AC et ACR, en termes de complétude et d exactitude des informations présentes dans ce document est utilisé comme base de réalisation de la cérémonie de clés de création des AC et des ACR. Un certificat d ACR est signé par l ACR pendant la cérémonie des clés de l ACR (Cf. 6.1). Un certificat d AC est signé au cours d une cérémonie de certification par l ACR. La cérémonie des clés de l AC et la cérémonie de certification par l ACR ne sont pas obligatoirement effectuées le même jour Notification de l'émission d'un certificat La notification est effectuée à la fin de la cérémonie des clés de l AC. 4.4 Acceptation d'un certificat Procédure d'acceptation d'un certificat Le CAP vérifie que le certificat contient les informations décrites dans la demande de certificat. Dès que le CAP confirme l adéquation entre le certificat et la demande de certificat, alors le CAP accepte le certificat émis Publication d'un certificat par l'ac Les certificats d AC et d ACR sont publiés par le SP Notification de l'émission d'un certificat par l'ac à d'autres entités Sans objet. 4.5 Utilisation des bi-clés et des certificats Utilisation des bi-clés et des certificats PC_AC_racine_CA_V1_v 1.0.doc Page 18 sur 40

19 Politique de Certification N page : 19/40 L utilisation des bi-clés et des certificats est définie au 1.4. L usage d une bi-clé et du certificat associé est par ailleurs indiqué dans le certificat lui-même, via les extensions concernant les usages des bi-clés (cf ) Utilisation des clés publiques et des certificats par les tierces parties Les certificats d ACR et les certificats d AC (composant la chaîne de certification), servent à s authentifier auprès des UC lors de la mise en œuvre de fonctions de sécurité comme la signature et le contrôle d accès. L UC authentifie les porteurs en vérifiant également l état de validité des certificats d AC et d ACR de la chaîne de certification qui a émis les certificats de porteurs. La vérification de l état de validité des certificats peut se faire à l aide des informations (LCR, certificat d AC, certificat d ACR et LAR) fournies par le SP pour les certificats d AC. 4.6 Demande d un nouveau certificat La notion de «renouvellement de certificat» correspond à la délivrance d un nouveau certificat pour lequel seuls les dates de validité et le numéro de série du certificat sont modifiés, toutes les autres informations restant identiques au certificat précédent, particulièrement la clé publique. De manière générale, il est par défaut non recommandée de prolonger ainsi des clés d ACR et d AC existante. Ce cas peut être autorisé si les conditions opérationnelles des applications utilisatrices le requièrent et qu il n existe pas d autres solutions. En ce cas, le CAP acceptera ce type de renouvellement uniquement si les recommandations en matière cryptographique (portant sur les algorithmes de signature et les algorithmes de calcul d empreinte) le permettent et n engendre pas un risque pour les applications utilisatrices. Si la demande d un nouveau certificat d AC nécessite le changement de la bi-clé de l AC, alors cette restriction est portée dans la PC de l AC. 4.7 Changement de clés (ou certification d'une nouvelle clé publique) Les bi-clés doivent être périodiquement renouvelées selon les recommandations émises par la DCSSI en matière de cryptographie afin de minimiser les possibilités d'attaques cryptographiques. Le changement de bi-clé entraîne le changement de certificat, la procédure à suivre est identique à la procédure initiale de certification décrite aux 3.2 et 4.1, 4.2 et 4.3 ci-dessus. Lorsqu une nouvelle ACR ou une AC doit être créée, alors une demande de création est effectuée auprès du CAP. 4.8 Modification d'un certificat La modification d'un certificat signifie qu un certificat contenant des informations différentes est créé avec la même clé publique que celle contenue dans le certificat initial. La modification d un certificat n est pas autorisée par la présente PC. 4.9 Révocation et suspension d'un certificat Motif de révocation d'un certificat Certificat d ACR Une ACR est révoquée en cas de perte de la clé privée, perte de contrôle de la clé privée, suspicion ou compromission de clé ou en cas de fin de vie ou fin des services des ACR Certificat d AC Une AC est révoquée en cas de perte de la clé privée, perte de contrôle de la clé privée, suspicion ou compromission de clé ou en cas de fin de vie ou fin des services de l'ac qui a émis son certificat. PC_AC_racine_CA_V1_v 1.0.doc Page 19 sur 40

20 Politique de Certification N page : 20/ Origine d'une demande de révocation Seule le CAP peut demander la révocation du certificat d une AC ou d une ACR Procédure de demande de révocation Le CAP transmet une demande de révocation à l ACR. Dans le cas de l ACR, il n est pas procédé à la révocation du certificat d ACR, mais à la révocation de tous les certificats d AC que l ACR a émis. L ACR génère une LAR qui contient le numéro de série du certificat d AC à révoquer. L AC transmet la LAR au SP pour publication. Le CAP est avisé de la modification de l'état de validité du certificat d AC. Une fois révoqué, un certificat ne peut plus changer d état de validité. Les AC révoquées, sont chargées d informer les porteurs et les Clients. Les délais de communication sont fixés par défaut dans les PC des AC Délai accordé au porteur pour formuler la demande de révocation Il n'y a pas de période de grâce dans le cas d'une révocation. Les parties en question doivent demander la révocation d'un certificat dès lors qu'elles en identifient une cause de révocation comme définie au Délai de traitement d une révocation Le service de révocation est disponible tous les jours 24H/24 et 7J/7. En cas d'indisponibilité du système, du service, ou d'autres éléments, qui échappe au contrôle de l'ac, cette dernière fait de son mieux pour que l'indisponibilité de ce service puisse permettre à l ACR de révoquer un certificat d AC au plus vite. L'ACR devra traiter une demande de révocation dès que possible suivant sa réception et de préférence immédiatement Exigences de vérification de révocation pour les tierces parties Il appartient aux UC de vérifier l'état de validité d un certificat d AC à l aide de l ensemble des LAR émises Fréquences de publication des LAR La LAR est émise tous les ans Service d'état des certificats Il n y a pas de service d état de validité des certificats autre que la publication de LAR Fin de la relation entre l ACR et l'ac En cas de fin de relation contractuelle, hiérarchique ou réglementaire entre l'acr et l AC avant la fin de validité du certificat, pour une raison ou pour une autre, le certificat de l AC doit être révoqué Séquestre et recouvrement de clés Les bi-clés et les certificats d AC émis conformément à la présente PC ne font pas l'objet de séquestre ni de recouvrement. PC_AC_racine_CA_V1_v 1.0.doc Page 20 sur 40

21 Politique de Certification N page : 21/40 5 MESURES DE SECURITE PHYSIQUE, PROCEDURES ET MISE EN ŒUVRE 5.1 Sécurité physique Situation géographique Le site d exploitation de l ACR respecte les règlements et normes en vigueur et son installation tient compte des résultats de l'analyse de risques, du métier d OC selon la méthode EBIOS, par exemple certaines exigences spécifiques de type inondation, explosion (proximité d'une zone d'usines ou d'entrepôts de produits chimiques,...) réalisées par l OC Accès physique Afin de limiter l accès aux applications et aux informations de l IGC et afin d assurer la disponibilité du système d exploitation de l ACR doivent mettre en place un périmètre de sécurité opéré pour ses besoins. La mise en œuvre de ce périmètre permet de respecter les principes de séparation des rôles de confiance telle que prévus dans cette PC. Les accès au site de l ACR, qui mettent en œuvre les services d IGC, sont limités aux seules personnes nécessaires à la réalisation des services et selon leur besoin d'en connaître. Les accès sont nominatifs et leur traçabilité est assurée. La sécurité est renforcée par la mise en œuvre de moyens de détection d intrusion passifs et actifs. Tout évènement de sécurité fait l'objet d'un enregistrement et d'un traitement Energie et air conditionné Des systèmes de protection de l'alimentation électrique et de génération d'air conditionné sont mis en œuvre par l ACR afin d'assurer la continuité des services délivrés. Les matériels utilisés pour la réalisation des services sont opérés dans le respect des conditions définies par leurs fournisseurs et ou constructeurs Exposition aux liquides Les systèmes de l ACR sont implantés de telle manière qu'ils ne sont pas sensibles aux inondations et autres projections et écoulements de liquides Prévention et protection incendie Les moyens de prévention et de lutte contre les incendies mis en œuvre par l ACR permettent de respecter les exigences et les engagements pris par l'acr dans la présente PC, en matière de disponibilité de ses fonctions Conservation des supports Dans le cadre de l'analyse de risque, les différentes informations intervenant dans les activités de l'igc doivent être identifiées et leurs besoins de sécurité définis (en confidentialité, intégrité et disponibilité). Les supports (papier, disque dur, disquette, CD, etc.) correspondant à ces informations doivent être traités et conservés conformément à ces besoins de sécurité Mise hors service des supports En fin de vie, les supports seront soit détruits soit réinitialisés en vue d une réutilisation Sauvegardes hors site L ACR réalise des sauvegardes hors site permettant une reprise rapide des services d IGC suite à la survenance d un sinistre ou d un événement affectant gravement et de manière durable la réalisation de ses services. Les précisions quant aux modalités des sauvegardes des informations sont fournies dans la DPC. 5.2 Mesures de sécurité procédurales Rôles de confiance Les personnels doivent avoir connaissance et comprendre les implications des opérations dont ils ont la responsabilité. PC_AC_racine_CA_V1_v 1.0.doc Page 21 sur 40

22 Politique de Certification N page : 22/40 Les rôles de confiance sont classés en 4 groupes : - Les personnels d'exploitation, dont la responsabilité est le maintien des systèmes qui supportent les ACR en conditions opérationnelles de fonctionnement ; - Les personnels d administration, dont la responsabilité est l administration technique des ACR ; - Les personnels de «sécurité», dont la responsabilité est de réaliser les opérations de vérification de la bonne application des mesures et de la cohérence de fonctionnement des ACR ; - Les détenteurs de données d activation, dont la responsabilité est de détenir et de protéger des données nécessaires à l utilisation de la clé privée de l ACR Nombre de personnes nécessaires à l exécution de tâches sensibles Plusieurs rôles peuvent être attribués à une même personne, dans la mesure où le cumul ne compromet pas la sécurité des fonctions mises en œuvre Identification et authentification des rôles L ACR doit faire vérifier l identité et les autorisations de tout membre de son personnel qui est amené à mettre en œuvre les services de l ACR avant de lui attribuer un rôle et les droits correspondants, notamment : - Que son nom soit ajouté aux listes de contrôle d accès aux locaux de l'entité hébergeant la composante concernée par le rôle ; - Que son nom soit ajouté à la liste des personnes autorisées à accéder physiquement à ces systèmes ; - Le cas échéant et en fonction du rôle, qu un compte soit ouvert à son nom dans ces systèmes ; - Eventuellement, que des clés cryptographiques et/ou un certificat lui soient délivrés pour accomplir le rôle qui lui est dévolu au sein de l'acr. Ces contrôles sont décrits dans la DPC et sont conformes à la politique de sécurité de l ACR. Chaque attribution d un rôle à un membre du personnel de l ACR lui est notifiée par écrit ou équivalent Rôles nécessitant une séparation des fonctions Les attributions de chaque rôle de l IGC sont données dans la DPC. La DPC précise comment et sous quelles conditions ces rôles peuvent être cumulés par un même exploitant. La mise en œuvre de cette séparation repose sur des mécanismes organisationnels et/ou techniques. 5.3 Mesures de sécurité vis-à-vis du personnel Qualifications, compétence et habilitations requises Chaque personne amenée à travailler au sein de l ACR est soumise à une clause de confidentialité vis-à-vis de son employeur. Il est également vérifié que les attributions de ces personnes correspondent à leurs compétences professionnelles. Toute personne intervenant dans les procédures de certification de l ACR est informée de ses responsabilités relatives aux services de l ACR et des procédures liées à la sécurité du système et au contrôle du personnel Procédures de vérification des antécédents L ACR s assure que l OC met en œuvre tous les moyens légaux dont il dispose pour s'assurer de l'honnêteté des personnels amenés à travailler au sein de la composante. Cette vérification est basée sur un contrôle des antécédents de la personne, il est notamment vérifié que chaque personne n'a pas fait l'objet de condamnation de justice en contradiction avec leurs attributions. Les personnes ayant un rôle de confiance ne doivent pas souffrir de conflit d intérêts préjudiciables à l impartialité de leurs tâches. Ces vérifications sont menées préalablement à l'affectation à un rôle de confiance et revues régulièrement (au minimum tous les 3 ans). PC_AC_racine_CA_V1_v 1.0.doc Page 22 sur 40

23 Politique de Certification N page : 23/ Exigences en matière de formation initiale Le personnel a été préalablement formé aux logiciels, matériels et procédures internes de fonctionnement et de sécurité qu'il met en œuvre et qu'il doit respecter, correspondants à la composante au sein de laquelle il opère. Le personnel a eu connaissance et compris les implications des opérations dont il a la responsabilité Exigences et fréquence en matière de formation continue Le personnel concerné reçoit une information et une formation adéquates préalablement à toute évolution dans les systèmes, dans les procédures, dans l'organisation, etc. en fonction de la nature de ces évolutions Gestion des métiers Des précisions sont fournies dans la DPC Sanctions en cas d actions non autorisées Des précisions sont fournies dans la DPC Exigences vis-à-vis du personnel des prestataires externes Des précisions sont fournies dans la DPC Documentation fournie au personnel Des précisions sont fournies dans la DPC. 5.4 Procédures de constitution des données d audit La journalisation d événements consiste à enregistrer les évènements manuellement ou électroniquement par saisie ou par génération automatique. Les fichiers résultants, sous forme papier et / ou électronique, doivent rendre possible la traçabilité et l imputabilité des opérations effectuées Type d événements à enregistrer L ACR journalisent les évènements concernant les systèmes liés aux fonctions qu'elles mettent en oeuvre dans le cadre de l'igc : - création / modification / suppression de comptes utilisateur (droits d'accès) et des données d'authentification correspondantes (mots de passe, certificats, etc.) ; - démarrage et arrêt des systèmes informatiques et des applications ; - évènements liés à la journalisation : démarrage et arrêt de la fonction de journalisation, modification des paramètres de journalisation, actions prises suite à une défaillance de la fonction de journalisation ; - connexion / déconnexion des utilisateurs ayant des rôles de confiance, et des tentatives non réussies correspondantes. D autres évènements sont également recueillis. Il s agit d évènements concernant la sécurité qui ne sont pas produits automatiquement par les systèmes mis en oeuvre: - les accès physiques aux zones sensibles ; - les actions de maintenance et de changements de la configuration des systèmes ; - les changements apportés au personnel ayant des rôles de confiance ; - les actions de destruction et de réinitialisation des supports contenant des informations confidentielles (clés, données d activation, renseignements personnels sur les Utilisateurs,...). En plus de ces exigences de journalisation communes à toutes les composantes et à toutes les fonctions de l'igc, des évènements spécifiques aux différentes fonctions de l'gc sont également journalisés: - réception d'une demande de certificat (initiale et renouvellement) ; PC_AC_racine_CA_V1_v 1.0.doc Page 23 sur 40

24 Politique de Certification N page : 24/40 - validation / rejet d'une demande de certificat ; - évènements liés aux clés de signature et aux certificats d'ac (génération (cérémonie des clés), sauvegarde / récupération, destruction,...) ; - génération des certificats de porteurs ; - transmission des certificats aux porteurs et selon les cas, acceptations / rejets ; - publication et mise à jour des informations liées à l'ac ; - génération d information de statut d un certificat. Chaque enregistrement d'un évènement dans un journal contient les champs suivants : - type de l'évènement ; - nom de l exécutant ou référence du système déclenchant l évènement ; - date et heure de l évènement ; - résultat de l évènement (échec ou réussite). L imputabilité d une action revient à la personne, à l organisme ou au système l ayant exécutée. Le nom ou l identifiant de l exécutant figure explicitement dans l un des champs du journal d évènements. Selon le type de l'évènement concerné, les champs suivants peuvent être enregistrés: - destinataire de l opération ; - nom ou identifiant du demandeur de l opération ou référence du système effectuant la demande ; - nom des personnes présentes (s il s agit d une opération nécessitant plusieurs personnes) ; - cause de l évènement ; - toute information caractérisant l'évènement (par exemple, pour la génération d'un certificat, le numéro de série de ce certificat) Fréquence de traitement des journaux Les journaux d événements sont contrôlés suivant une fréquence donnée dans la DPC, afin d'identifier des anomalies liées à des tentatives en échec Période de conservation des journaux Les journaux d'évènements sont conservés sur site pendant au moins le délai fixé dans la DPC. Ils doivent être archivés le plus rapidement possible après leur génération et au plus tard sous le délai fixé dans la DPC (recouvrement possible entre la période de conservation sur site et la période d'archivage) Protection des journaux d événements La journalisation est conçue et mise en oeuvre de façon à limiter les risques de contournement, de modification ou de destruction des journaux d évènements. Des mécanismes de contrôle d'intégrité permettent de détecter toute modification, volontaire ou accidentelle, de ces journaux. Les journaux d évènements sont protégés en disponibilité (contre la perte et la destruction partielle ou totale, volontaire ou non). Le système de datation des évènements doit respecter les exigences du 6.8. La définition de la sensibilité des journaux d évènements dépend de la nature des informations traitées et du métier. Elle peut entraîner un besoin de protection en confidentialité Procédures de sauvegarde des journaux d événements L ACR met en place les mesures requises afin d'assurer l'intégrité et la disponibilité des journaux d'évènements pour la composante considérée, conformément aux exigences de la présente PC et en fonction des résultats de l'analyse de risques de l'ac Système de collecte des journaux d événements Les opérations de journalisation sont effectuées au cours du processus considéré. En cas de saisie manuelle, l écriture se fera, sauf exception, le même jour ouvré que l évènement. Des précisions sont fournies dans la DPC. PC_AC_racine_CA_V1_v 1.0.doc Page 24 sur 40

25 Politique de Certification N page : 25/ Evaluation des vulnérabilités L ACR est en mesure de détecter toute tentative de violation de l intégrité de la composante considérée. Les journaux d évènements sont contrôlés régulièrement afin d'identifier des anomalies liées à des tentatives en échec. Les journaux sont analysés au moins à une fréquence mensuelle. Cette analyse donnera lieu à un résumé dans lequel les éléments importants sont identifiés, analysés et expliqués. Le résumé doit faire apparaître les anomalies et les falsifications constatées. 5.5 Archivage des données L archivage des données permet d'assurer la pérennité des journaux constitués par l'acr Type de données archivées Les données archivées au niveau de chaque composante, sont les suivantes : - Les logiciels (exécutables) et les fichiers de configuration des équipements informatiques ; - La politique de certification ; - La déclaration des pratiques de certification ; - Les certificats d AC et d ACR et les LAR tels qu émis ou publiés ; - Les journaux d'évènements de l ACR Période de conservation des archives Certificats et LAR émis par l ACR Les certificats de porteur et d'ac sont archivés 10 ans après leur expiration. Journaux d événements Les journaux d'évènements traités au chapitre 5.4 sont archivés pendant 10 ans après leur génération Protection des archives Pendant tout le temps de leur conservation, les archives et leurs sauvegardes : - Seront protégées en intégrité ; - seront accessibles aux seules personnes autorisées ; - pourront être consultées et exploitées Exigences d horodatage des données Si un service d'horodatage est utilisé pour dater les enregistrements, il répond aux exigences formulées à l'article Système de collecte des archives Le système assure la collecte des archives en respectant le niveau de sécurité relatif à la protection des données (Cf ) Procédures de récupération et de vérification des archives Les archives papier sont récupérables dans un délai inférieur ou égal à 48 heures ouvrées. Les sauvegardes électroniques archivées sont récupérables dans un délai inférieur ou égal à 48 heures ouvrées. 5.6 Renouvellement de bi-clé ACR et AC La période de validité de la clé de l ACR est de 10 ans. La période de validité de la clé de l'ac est au maximum de 10 ans. La durée de vie d'un certificat d'acr est de 10 ans et est déterminée selon la période de validité de la clé privée associée, en conformité avec les recommandations cryptographiques de sécurité relatives aux longueurs de clés, PC_AC_racine_CA_V1_v 1.0.doc Page 25 sur 40

26 Politique de Certification N page : 26/40 notamment conformément aux recommandations des autorités nationale ou internationale compétentes en la matière. Une ACR ne peut pas générer de certificats dont la durée de vie dépasse la période de validité de son certificat d'acr. Un certificat AC à une durée de vie maximale de 10 ans. Dès qu'une nouvelle clé privée est générée pour l'acr, seule celle-ci est utilisée pour générer de nouveaux certificats d AC. Le précédent certificat d'acr reste valable pour valider le chemin de certification des anciens certificats d AC émis par la précédente clé privée d'acr, jusqu'à l'expiration de tous les certificats émis à l'aide de cette bi-clé. La clé privée de l ancienne ACR peut être utilisée pour révoquer les anciens certificats d AC. Fin de vie du certificat d'acr Date au plus tard d'émission d'un certificat AC Durée de vie d'un certificat AC Durée de vie du certificat d ACR en cours Temps Date au plus tard de génération d'un certificat d'acr Durée de vie du certificat de la nouvelle ACR L Autorité Certifiante (ACR) se réserve la possibilité de renouveler les clés des ACR opérationnelles dont elle est responsable avant leur limite de validité. La décision d un tel renouvellement anticipé peut être prise en fonction de divers critères (notamment en cas d évolution soudaine de l état de l art cryptographique obligeant à l emploi de clés de longueur supérieure) et relève du Comité d Approbation des Politiques. 5.7 Compromission et plan de reprise Procédures en cas d'incident et de compromission L ACR a établi un plan de continuité de service, en s appuyant sur celui de l OC, qui met en évidence les différentes étapes à exécuter dans l'éventualité de la corruption ou de la perte des ressources système, des logiciels et ou des données et qui pourraient perturber ou compromettre le bon déroulement des services d'acr. L OC a conduit une analyse de risque (Cf ) pour évaluer les risques métier et déterminer les exigences de sécurité et procédures opérationnelles afin de rédiger un plan de reprise d'activité. Les risques pris en compte sont régulièrement revus et le plan est révisé en conséquence. Le plan de continuité de l'acr fait partie du périmètre audité, selon le paragraphe 8 ci-dessous. Les personnels de l'acr dans un rôle de confiance sont spécialement entraînés à réagir selon les procédures définies dans le plan de reprise d'activité qui concernent les activités les plus sensibles. Dans le cas ou l ACR détecte une tentative de piratage ou une autre forme de compromission, elle mène une analyse afin de déterminer la nature des conséquences et leur niveau. Si nécessaire, l'ampleur des conséquences est évalué par l ACR afin de déterminer si les services de l'ac doivent être rétablis, quels certificats doivent être révoqués, l'acr doit être déclarée compromise, certains services peuvent être maintenus (en priorité les services de révocation et de publication d'état des certificats) et comment, selon le plan de reprise d'activité. PC_AC_racine_CA_V1_v 1.0.doc Page 26 sur 40

27 Politique de Certification N page : 27/ Corruption des ressources informatiques, des logiciels, et/ou des données Si le matériel de l'acr est endommagé ou hors service alors que les clés de signature ne sont pas détruites, l'exploitation est rétablie dans les plus brefs délais, en donnant la priorité à la capacité de fourniture des service de révocation et de publication d'état de validité des certificats, conformément au plan de reprise d'activité de l'acr Procédures en cas de compromission de la clé privée de l ACR Si la clé de signature de l'acr est compromise, perdue, détruite, ou soupçonnée d'être compromise : - Le CAP, après enquête sur l'évènement décide de révoquer le certificat de l'acr ; - Toutes les AC dont les certificats ont été émis par l'acr compromise, sont avisées dans les plus brefs délais que le certificat d'acr a été révoqué ; - Le CAP décide ou non de générer un nouveau certificat d'acr ; - Une nouvelle bi-clé ACR est générée et un nouveau certificat d'acr est émis ; - Les AC sont informés de la capacité retrouvée de l'acr de générer des certificats Capacités de reprise d'activité à la suite d'un sinistre Le plan de reprise d activité après sinistre traite de la continuité d'activité telle qu'elle est décrite au Le SP est installé afin d'être disponible 24 heures sur 24 et 7 jours sur 7 suivant un taux de disponibilité fournie dans la DPC. 5.8 Fin de vie d'ac En cas de fin de vie ou de fin d'activité, l'acr doit : - Arrêter d'émettre des certificats de porteurs ; - Archiver tous les journaux de vérification et autres enregistrements avant la fin de l'activité ; - Détruire toutes ses clés privées à la fin de l'activité. PC_AC_racine_CA_V1_v 1.0.doc Page 27 sur 40

28 Politique de Certification N page : 28/40 6 MESURES TECHNIQUES DE SECURITE 6.1 Génération et installation des bi-clés ACR Suite à l'accord du CAP, une bi-clé est générée lors d'une cérémonie de clé à l aide d'une ressource cryptographique matérielle. Les cérémonies de clés se déroulent sous le contrôle d'au moins trois personnes dans des rôles de confiance (maître de cérémonie et témoins). Elle se déroule dans les locaux de l'oc. Les témoins attestent, de façon objective et factuelle, du déroulement de la cérémonie. Les rôles des personnels impliqués dans les cérémonies de clés sont précisés dans la DPC Fourniture de la clé privée à l AC La clé privée de l ACR reste et est mise en œuvre dans les locaux sécurisés de l OC. Il n y a pas de notion de transmission de clé privée d AC par l ACR car l AC génère elle-même sa clé privée Fourniture de la clé publique à l'acr La clé publique de l AC à certifier est transmise au format PKCS#10 à l'acr qui la signe pour générer le certificat d AC lors de la cérémonie de certification de clé d AC, de telle sorte à garantir l intégrité et la confidentialité de la communication Fourniture de la clé publique d'ac aux tierces parties Les certificats d ACR et d AC générés sont remis au représentant de l AC au cours de la cérémonie où ils sont générés Taille de clés Les recommandations des organismes nationaux et internationaux compétents (relatives aux longueurs de clés, algorithmes de signature, algorithme de hachage ) sont périodiquement consultées afin de déterminer si les paramètres utilisés dans l'émission de certificats d AC et d ACR doivent ou ne doivent pas être modifiés. L'utilisation de l'algorithme RSA avec fonctions de hachage SHA-1 ou SHA-{224, 256, 384, 512} est recommandé pour l'ac et l ACR. La taille de la bi-clé de l AC est au minimum de 2048 bits Production des paramètres des clés publiques et contrôle de qualité Les équipements utilisés pour la génération des bi-clés d ACR sont des ressources cryptographiques matérielles certifiées selon les critères communs au niveau EAL 4+ ou FIPS level 2 minimum Utilisation de la clé (selon le champ "key usage" du certificat X 509 V3) L'utilisation du champ "key usage" dans le certificat de l AC est la suivante : - Key CertSign ; - Key CRL Sign. 6.2 Protection des clés privées et normes relatives au module cryptographique Normes applicables aux ressources cryptographiques et contrôles Les ressources cryptographiques de l'ac sont certifiées au niveau EAL 4+ selon les critères communs ou FIPS level 2 minimum. La ressource cryptographique matérielle de l ACR utilise des générateurs d aléas qui sont conformes à l état de l art, aux standards en vigueur ou suivent les spécifications de la normalisation lorsqu ils sont normalisés. Les algorithmes utilisés devront être conformes aux standards en vigueurs ou suivre les spécifications de la normalisation lorsqu ils sont normalisés Contrôle de la clé privée par de multiples personnes PC_AC_racine_CA_V1_v 1.0.doc Page 28 sur 40

29 Politique de Certification N page : 29/40 L'activation de la clé privée d'acr est contrôlée par au moins 3 personnes détenant des données d'activations et qui sont dans des rôles de confiance. Les personnes de confiance participant à l'activation de la clé privée d'acr font l'objet d'une authentification forte. L ACR est activée dans un boîtier cryptographique afin qu elle puisse être utilisée par les seuls rôles de confiances qui peuvent émettre des certificats Séquestre de clé privée Les clés privées d'acr et des porteurs ne font jamais l'objet de séquestre Sauvegarde de clé privée La bi-clé d'acr est sauvegardée sous le contrôle de plusieurs personnes à des fins de disponibilité. Les sauvegardes des clés privées sont réalisées à l'aide de ressources cryptographiques matérielles. Les sauvegardes sont rapidement transférées sur site sécurisé de sauvegarde délocalisé afin de fournir et maintenir la capacité de reprise d'activité de l'acr. Les sauvegardes de clés privées d'acr sont stockées dans des ressources cryptographiques matérielles ou sous forme chiffrée Archivage de clé privée Les clés privées d'arc ne sont jamais archivées Importation / exportation d'une clé privée Les clés d'acr sont générées, activées et stockées dans des ressources cryptographiques matérielles. Quand elles ne sont pas stockées dans des ressources cryptographiques ou lors de leur transfert, les clés privées d'acr sont chiffrées. Une clé privée d'acr chiffrée ne peut être déchiffrée sans l'utilisation d'une ressource cryptographique matérielle et la présence et l authentification de plusieurs personnes dans des rôles de confiance Stockage d'une clé privée dans un module cryptographique Les clés privées d'acr stockées dans des ressources cryptographique matérielles sont protégées avec le même niveau de sécurité que celui dans lequel elles ont été générées Méthode d'activation d'une clé privée Les clés privées d'acr ne peuvent être activées qu'avec un minimum de trois personnes dans des rôles de confiance et qui détiennent des données d'activation de l'acr en question Méthode de désactivation d'une clé privée Après utilisation, les ressources cryptographiques matérielles sont désactivées. Les ressources cryptographiques sont ensuite stockées dans une zone sécurisée pour éviter toute manipulation non autorisée par des rôles non fortement authentifiés Méthode de destruction d'une clé privée Les clés privées d'acr sont détruites quand elles ne sont plus utilisées ou quand les certificats auxquels elles correspondent sont expirés ou révoqués. La destruction d'une clé privée implique la destruction des copies de sauvegarde, et l'effacement de cette clé sur la ressource cryptographique qui la contient, de manière à ce qu'aucune information ne puisse être utilisée pour la recouvrer Certification des ressources cryptographiques Les ressources cryptographiques matérielles utilisées par l'acr sont certifiées au niveau EAL4+ selon les critères communs (norme ISO 15408) ou FIPS level 2 minimum. 6.3 Autres aspects de la gestion des bi-clés Archivage des clés publiques Les clés publiques sont archivées par archivage des certificats (Cf ci-dessus) Durée de validité opérationnelle des certificats et durée d'utilisation des bi-clés Une ACR ne peut émettre de certificats d'une durée de vie supérieure à celle de son propre certificat. De ce fait, la durée de vie du certificat d une ACR inférieur ne peut excéder la durée de vie du certificat de l ACR qu il l émet. PC_AC_racine_CA_V1_v 1.0.doc Page 29 sur 40

30 Politique de Certification N page : 30/ Données d'activation Génération et installation des données d'activation Les données d'activation des clés privées d'acr sont générées durant les cérémonies de clés (Cf. Erreur! Source du renvoi introuvable.). Les données d'activation sont générées automatiquement selon un schéma de type M of N. Dans tous les cas les données d'activation sont remises à leurs porteurs immédiatement après génération. Les porteurs de données d'activation sont des personnes habilitées pour ce rôle de confiance Protection des données d'activation Les données d'activation sont protégées de la divulgation par une combinaison de mécanismes cryptographiques et de contrôle d'accès physique. Les porteurs de secret sont responsables de la gestion et de la protection des parts de secrets dont ils sont porteurs. Un porteur de secret ne peut détenir plus d'une donnée d'activation d'une même ACR à un même instant Autres aspects touchant aux données d'activation Les données d'activation ne sont en aucun cas transmises à une entité tierce, en particulier dans le cas ou les ressources cryptographiques sont changées ou retournées au constructeur pour maintenance. Les autres aspects de la gestion des données d'activation sont précisés dans la DPC. 6.5 Mécanismes de sécurité des systèmes informatiques Exigences techniques de sécurité des ressources informatiques Les fonctions suivantes sont fournies par le système d'exploitation, ou par une combinaison du système d'exploitation, de logiciels et de protection physiques. Un composant d'acr comprend les fonctions suivantes : - Authentification des rôles de confiance ; - Contrôle d'accès discrétionnaire ; - Interdiction de la réutilisation d'objets ; - Requiert l'identification des utilisateurs ; - Assure la séparation rigoureuse des tâches ; - Fournit une autoprotection du système d'exploitation. Quand un composant d'acr est hébergé sur une plate forme évaluée au regard d'exigences d'assurance de sécurité, il doit être utilisé dans sa version certifiée. Au minimum le composant utilise la même version de système d'exploitation que celle sur lequel le composant a été certifié. Les composants d'acr sont configurés de manière à limiter les comptes et services aux seuls éléments nécessaires pour supporter les services d'acr Indice de sécurité informatique Les composants d'ac utilisés pour supporter les services d'acr et qui sont hébergés par l OC ont été conçus en suivant les recommandations du document du CEN CWA "Security requirement for trustworthy system managing digital certificates for electronic signatures". 6.6 Contrôles techniques du système pendant son cycle de vie Contrôle des développements des systèmes Le contrôle des développements des systèmes s'effectue comme suit : - Des matériels et des logiciels achetés de manière à réduire les possibilités qu'un composant particulier soit altéré ; - Les matériels et logiciels mis au point l'ont été dans un environnement contrôlé, et le processus de mise au point défini et documenté. Cette exigence ne s'applique pas aux matériels et aux logiciels achetés dans le commerce ; - Tous les matériels et logiciels doivent être expédiés ou livrés de manière contrôlée permettant un suivi continu depuis le lieu de l'achat jusqu'au lieu d'utilisation ; - Les matériels et logiciels sont dédiés aux activités d'acr. Il n'y a pas d'autre application, matériel, connexion réseau, ou composant logiciels installés qui ne soit pas dédiés aux activités d'acr ; PC_AC_racine_CA_V1_v 1.0.doc Page 30 sur 40

31 Politique de Certification N page : 31/40 - Il est nécessaire de prendre soin de ne pas télécharger de logiciels malveillants sur les équipements de l'acr. Seules les applications nécessaires à l'exécution des activités IGC sont acquises auprès de sources autorisées par politique applicable de l'acr. Les matériels et logiciels de l'acr font l'objet d'une recherche de codes malveillants dès leur première utilisation et périodiquement par la suite ; - Les mises à jour des matériels et logiciels sont achetées ou mises au point de la même manière que les originaux, et seront installés par des personnels de confiance et formés selon les procédures en vigueur Contrôles de gestion de la sécurité La configuration du système d'acr, ainsi que toute modification ou évolution, est documentée et contrôlée par l AC. Il existe un mécanisme permettant de détecter toute modification non autorisée du logiciel ou de la configuration de l'acr. Une méthode formelle de gestion de configuration est utilisée pour l'installation et la maintenance subséquente du système d ACR. Lors de son premier chargement, on vérifie que le logiciel de l'acr est bien celui livré par le vendeur, qu'il n'a pas été modifié avant d'être installé, et qu'il correspond bien à la version voulue Contrôle de sécurité du système pendant son cycle de vie En ce qui concerne les logiciels et matériels évalués, l'acr poursuit sa surveillance des exigences du processus de maintenance pour maintenir le niveau de confiance. 6.7 Mécanismes de sécurité du réseau Les composants de l ACR ne sont jamais connectés à un réseau. 6.8 Horodatage/Système de datation Il n y a pas d horodatage utilisé par l ACR mais une datation des évènements. Des procédures automatiques ou manuelles doivent être utilisées pour maintenir l'heure du système. Les réglages de l'horloge sont des événements susceptibles d'être audités. PC_AC_racine_CA_V1_v 1.0.doc Page 31 sur 40

32 Politique de Certification N page : 32/40 7 CERTIFICATS, CRL, ET PROFILS OCSP 7.1 Profil de Certificats Les certificats émis par l'acr sont des certificats au format X.509 v3 (populate version field with integer "2"). Les champs des certificats sont définis par le RFC Extensions de Certificats L ensemble des informations contenues dans un certificat sont décrites dans la DPC. Les certificats contiennent les extensions suivantes : - Authority Key Identifier (non critique) ; - Basic Constraints (critique) ; - Certificate Policies (non critique) ; - CRL Distribution Points (non critique) ; - Key usage (critique) ; - Subject Key Identifier (non critique) Identifiant d'algorithmes Décrit dans la DPC Formes de noms Les formes de noms respectent les exigences du pour l identité des AC et ACR Identifiant d'objet (OID) de la Politique de Certification Les certificats d AC et d ACR contiennent tous l'oid de la présente PC qui est donné au Extensions propres à l'usage de la Politique Sans objet Syntaxe et Sémantique des qualificateurs de politique Sans objet Interprétation sémantique de l'extension critique "Certificate Policies" Pas d'exigence formulée. 7.2 Profil de LAR LAR et champs d'extensions des LAR Toutes les AC «hors ligne» émettent une ARL. Les caractéristiques de LAR sont : Caractéristiques de chaque LAR : Durée de validité : donnée dans la DPC. Périodicité de mise à jour : à chaque cérémonie de clé d AC Version de la CRL (v1 ou v2) : v2 Extensions : Numéro de la CRL et AKI URL http de publication : URI= donnée dans la DPC. PC_AC_racine_CA_V1_v 1.0.doc Page 32 sur 40

33 Politique de Certification N page : 33/40 8 CONTROLES DE CONFORMITE ET AUTRES EVALUATIONS 8.1 Fréquence et motifs des audits Le CAP de l ACR a la responsabilité du bon fonctionnement des composantes de l'icp de l ACR, conformément aux dispositions énoncées dans le présent document. Il effectuera des contrôles réguliers de conformité et de bon fonctionnement des composantes de l ACR. Par ailleurs, le CEDICAM s engage à effectuer les audits demandés et éventuellement ceux imposés par des applications utilisatrices autorisées, pour lesquels il s y oblige contractuellement, afin que ceux-ci s'assurent du bon respect des exigences liées à ces applications. Ces audits pourront éventuellement être réalisés aux frais de l Autorité Certifiante, selon les dispositions du contrat la liant à l application, et pourront concerner toutes les composantes de l'icp ACR. Le contrôle de conformité est réalisé en cas de renouvellement d une bi-clé d'acr, avant toute génération et émission de certificats par cette dernière. Ce contrôle est à nouveau réalisé au minimum tous les un (1) an. 8.2 Identité / Qualification des auditeurs Le contrôleur est désigné par le Comité d'approbation des Politiques de l Autorité Certifiante. 8.3 Lien entre l'auditeur et l'entité contrôlée Dans le cas où le contrôle est effectué à la demande d un tiers, le contrôleur est choisi selon des critères d'indépendance et d'expertise dans le domaine de la sécurité informatique et, en particulier, des ICP. Dans les autres cas, le contrôleur désigné pourra éventuellement être une entité d audit interne au Crédit Agricole experte dans le domaine de la sécurité informatique. 8.4 Points couverts par l'évaluation L'objectif de l'audit de conformité est de vérifier qu'une composante de l'ac opère ses services en conformité avec la présente PC et sa DPC. 8.5 Mesures prises en cas de non-conformité En cas de non-conformité, le Comité d'approbation des Politiques décide de toute action correctrice nécessaire. En fonction du degré de non-conformité de la DPC à la PC, le CAP peut : - Demander la mise en place d'actions correctrices dont la réalisation sera vérifiée lors du prochain audit ; - Demander la correction des non-conformités selon un calendrier précis à la suite duquel un contrôle de mise en conformité sera effectué ; - Révoquer le certificat de l ACR opérationnelle ; - Révoquer un ou des certificats d AC opérationnelle. 8.6 Communication des résultats Les non-conformités révélées par ces audits seront publiées aux responsables des applications utilisatrices autorisées, pour lesquelles l Autorité Certifiante s y oblige contractuellement. Eu égard au caractère confidentiel de ces informations, la publication des résultats est limitée et strictement contrôlée. PC_AC_racine_CA_V1_v 1.0.doc Page 33 sur 40

34 Politique de Certification N page : 34/40 9 AUTRES QUESTIONS COMMERCIALES ET JURIDIQUES 9.1 Tarifs Frais d'émission et de renouvellement de certificats Le cas échéant la DPC apporte des précisions Frais d'accès aux certificats Le cas échéant la DPC apporte des précisions Frais d'accès aux LCR et aux informations d'état des certificats Le cas échéant la DPC apporte des précisions Frais pour d'autres services Le cas échéant la DPC apporte des précisions Politique de remboursement Le cas échéant la DPC apporte des précisions. 9.2 Responsabilité financière Couverture par les assurances La DPC donne les procédures d assurances relatives à cette exigence Autres ressources Sans objet Couverture et garantie concernant les entités utilisatrices La DPC définie les garanties relatives l utilisation. 9.3 Confidentialité des informations Informations confidentielles L'ACR garantit que seuls ses personnels dans des rôles de confiance autorisés, les personnels contrôleurs dans la réalisation des audits de conformité, ou d'autres personnes détenant le besoin d'en connaître, ont accès aux informations confidentielles suivantes et peuvent les utiliser : - Registres et archives ; - Données d'identité personnelle ; - Clés privées d ACR détenues par l OC ; - Données d'activation de l'acr ; - Résultats et rapports de contrôle de conformité ; - Plans de reprise après sinistre ; - Accords contractuels ou non avec l'acr ; - Politique de sécurité interne de l'acr ; - Parties de la DPC considérées comme confidentielles Information considérées comme non confidentielles Aucune des informations publiées dans la présente PC n'est considérée comme confidentielle. Néanmoins, cellesci peuvent être visées par la loi sur la propriété intellectuelle. Seules les données d activation et les clés privées sont considérées comme des informations confidentielles Obligation de protection des informations confidentielles L'ACR doit respecter les exigences définies par les lois européennes et françaises concernant la protection des données personnelles (données confidentielles et personnelles). PC_AC_racine_CA_V1_v 1.0.doc Page 34 sur 40

35 Politique de Certification N page : 35/ Confidentialité des informations à caractère personnel Plan de confidentialité L'ACR recueille, stocke, traite, divulgue des données à caractère personnel dans le respect des principes fondamentaux en matière de protection des données consacrés dans les lois européennes sur la protection des données à caractère personnel. L ACR respecte les prescriptions des lois européennes et françaises concernant la gestion et la protection des données à caractère personnel Information considérées comme personnelles L'ACR considère que les informations suivantes sont des informations à caractère personnel : - Identité des porteurs de secret ; - Demande (renseigné) de certificat ; - Demande (renseigné) de révocation ; - Motif de révocation Information non considérées comme n'étant pas à caractère personnel Sans objet Obligation de protection des informations à caractère personnel L'ACR traite et protège toutes les données à caractère personnel de manière à ce que seuls des personnels dans des rôles de confiance (internes ou autorités judiciaires) y aient accès, selon la présente PC. La loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés s applique au contenu de tous les documents collectés, détenus ou transmis par l ACR dans le cadre de la délivrance d un certificat. Les porteurs disposent d un droit d accès et de rectification des données collectées par l ACR pour l émission du certificat et la gestion de son cycle de vie. Ce droit peut s exercer auprès du CAP. Toutes les données collectées et détenues par l ACR sont considérées comme confidentielles, hormis les données figurant dans le certificat. En vertu des articles à du Code pénal applicable lorsqu une infraction est commise sur le territoire français, les atteintes et les tentatives d atteintes aux systèmes de traitement automatisé de données sont sanctionnées, notamment l accès et le maintien frauduleux, les modifications, les altérations et le piratage de données, etc. Les peines encourues varient de 1 à 3 ans d emprisonnements assortis d une amende allant de à euros pour les personnes morales Consentement exprès et préalable à l'utilisation de données à caractère personnel Aucune des données à caractère personnel fournies par un porteur ne peut être utilisée par l ACR, pour une autre utilisation autre que celle définie dans le cadre de la présente PC, sans consentement exprès et préalable de la part du porteur. Ce consentement est considéré comme obtenu lors de la soumission de la demande de certificat et du fait de l'acceptation par le porteur du certificat émis par l'acr (en accord avec la présente PC) au titre de l utilisation par les applications utilisatrice Divulgation due à un processus judiciaire ou administratif L'ACR agit conformément aux réglementations européenne et française et dispose de procédures sécurisées pour permettre l'accès des autorités judiciaires aux données à caractère personnel Autres motifs de divulgation de données à caractère personnel L'ACR obtient l'accord du CAP de transférer ses données à caractère personnel dans le cas d'un transfert d'activité tel qu'il est décrit au 5.8. PC_AC_racine_CA_V1_v 1.0.doc Page 35 sur 40

36 Politique de Certification N page : 36/ Droits relatifs à la propriété intellectuelle Tous les droits de propriété intellectuelle détenus par l ACR sont protégés par la loi, règlement et autres conventions internationales applicables. La contrefaçon de marques de fabrique, de commerce et de services, dessins et modèles, signes distinctif, droits d'auteur (par exemple : logiciels, pages Web, bases de données, textes originaux, etc.) est sanctionnée par les articles L et suivants du Code de la propriété intellectuelle. L AC détient tous les droits de propriété intellectuelle et elle est propriétaire de la présente PC et de la DPC associée, des certificats émis par l AC et des informations de révocation correspondantes. Le porteur détient tous les droits de propriété intellectuelle sur les informations personnelles contenues dans les certificats porteurs émis par l'ac et dont il est propriétaire. 9.6 Obligations et garanties Obligations et garanties de CAP Les obligations du CAP sont : - D'élaborer et de valider la PC et la DPC associée ; - De maintenir la présente PC et la DPC associée ; - D'assurer le suivi et le contrôle de l IGC par le biais d audit ; - D autoriser la génération et la révocation des certificats d ACR et d AC Obligations et garanties de l'acr L'ACR s'assure que toutes les exigences détaillées dans la présente PC et la DPC associée, sont satisfaites en ce qui concerne l'émission et la gestion de certificats. L'ACR est responsable du maintien de la conformité aux procédures prescrites dans la présente PC. L'ACR fournit tous les services de certification en accord avec sa DPC. Les obligations communes aux composantes de l'acr sont : - Protéger les clés privées et leurs données d'activation en intégrité et confidentialité ; - N'utiliser ses clés cryptographiques et certificats qu'aux seules fins pour lesquelles ils ont été générés et avec les moyens appropriés, comme spécifié dans la DPC ; - Respecter et appliquer les dispositions de la partie de la DPC qui les concerne (cette partie de la DPC doit être transmise à la composante concernée) ; - Accepter que l'équipe de contrôle effectue les audits et lui communiquer toutes les informations utiles, conformément aux intentions du CAP de contrôler et vérifier la conformité avec la PC ; - Documenter ses procédures internes de fonctionnement afin de compléter la DPC générale ; - Mettre en oeuvre les moyens techniques et employer les ressources humaines nécessaires à la mise en place et la réalisation des prestations auxquelles elle s'engage dans la PC/DPC Obligations et garanties de l'ac Les obligations de l AC sont de : - Transmettre la clé publique, correspondant à la clé privée qu elle utilisera, à l ACR pour la faire certifier par l ACR ; - Faire auditer son IGC ; - Respecter les exigences minimales définies par l ACR, pendant, au minimum, la durée de validité de son certificat d AC ; - Se conformer aux procédures et instructions particulières publiées par l ACR pour lui adresser ses demandes de certification, de révocation, ou toute autre demande à l attention de l ACR ; PC_AC_racine_CA_V1_v 1.0.doc Page 36 sur 40

37 Politique de Certification N page : 37/40 - Assurer l authenticité, l exactitude et la complétude des informations transmises à l ACR par elle-même et par les autorités auxquelles elle délègue ; - Assurer l information des porteurs et clients en cas de révocation de l AC ou de l ACR ; - Publier les LAR de l ACR dans les délais impartis ; - Informer dans les plus brefs délais l ACR de tout événement modifiant ou susceptible de modifier les conditions d application de la présente PC notamment pour une cause motivant une révocation Obligations et garanties des autres participants Les obligations de l UC sont de : - Contrôler l état de validité des certificats d AC à l aide des LAR publiée ; - Vérifier que les certificats d AC sont signés par une ACR valide. 9.7 Déni de garanties L ACR garanti au travers de ses services d IGC : - L'identification et l'authentification de l ACR avec son certificat auto signé ; - L'identification et l'authentification des AC avec les certificats d AC générés par l ACR ; - La gestion des certificats correspondant et des informations de validité des certificats selon la présente PC. Aucune autre garantie ne peut-être mise en avant par l'ac, les porteurs, les clients et les UC dans leurs accords contractuels (s'il en est). 9.8 Limites de responsabilité En ce qui concerne les certificats émis, l ACR est seulement responsable des exigences et des principes édictés dans la présente PC. L'ACR est aussi responsable de tout dommage causé à un porteur ou un UC en raison d'une exécution incorrecte des procédures définies dans la présente PC et la DPC associée. L'ACR décline toute responsabilité à l'égard de l'usage des certificats émis par elle ou des bi-clés publiques/privées associées dans des conditions et à des fins autres que celles prévues dans la présente PC. L ACR n est tenue qu à une obligation de moyen pour la mise en œuvre des services de certification qu elle fournit. Seule la responsabilité de l ACR peut être mise en cause en cas de non-respect des dispositions prévues par les présentes. L ACR décline toute responsabilité à l égard de l usage qui est fait des certificats d AC qu elle a émis dans des conditions et à des fins autres que celles prévues dans la présente politique de certification que dans tout autre document contractuel applicable associé. L ACR décline toute responsabilité quant aux conséquences des retards ou pertes que pourraient subir dans leur transmission tous messages électroniques, lettres, documents, et quant aux retards, à l altération ou autres erreurs pouvant se produire dans la transmission de toute télécommunication. L ACR ne saurait être tenue responsable, et n assume aucun engagement, pour tout retard dans l exécution d obligations ou pour toute inexécution d obligations résultant de la présente politique lorsque les circonstances y donnant lieu et qui pourraient résulter de l interruption totale ou partielle de son activité, ou de sa désorganisation, relèvent de la force majeure au sens de l Article 1148 du Code civil. De façon expresse, sont considérés comme cas de force majeure ou cas fortuit, outre ceux habituellement retenus par la jurisprudence des cours et tribunaux français, les conflits sociaux, la défaillance du réseau ou des installations ou réseaux de télécommunications externes. PC_AC_racine_CA_V1_v 1.0.doc Page 37 sur 40

38 Politique de Certification N page : 38/40 Il est expressément entendu que le CEDICAM ne saurait être tenu pour responsable ni d un dommage résultant d une faute ou négligence d un Client et/ou de son(ses) MC habilité(s) et/ou de ses porteurs ni d un dommage causé par un fait extérieur ou un cas de force majeur, notamment en cas de : - Utilisation d un certificat pour une autre application que les Applications définies par l AC ; - Utilisation d un certificat d AC et d ACR pour garantir un autre objet que l identité du Porteur ; - Utilisation d un certificat d AC révoqué ; - Mauvais modes de conservation de la clé privée du certificat du Porteur ; - Utilisation d un certificat au-delà de sa limite de validité ; - Non respect des obligations des autres Intervenants définies au paragraphe Indemnités Les parties conviennent qu en cas de prononcé d une quelconque responsabilité de l ACR vis-à-vis d un tiers utilisateur, les dommages, intérêts et indemnités à sa charge seront déterminés lors de l arbitrage du litige Durée et fin anticipée de validité de la PC Durée La présente PC devient effective une fois approuvée par le CAP. La PC doit rester en application au moins jusqu'à la fin de vie du dernier certificat émis au titre de cette PC Résiliation Selon l'importance des modifications apportées à la PC, le CAP devra décider soit de faire procéder à un audit de la PC/DPC des ACR concernées, soit de donner instruction à l'acr de prendre les mesures nécessaires pour se rendre conforme dans un délai fixé Effets de la résiliation et survie La fin de validité de la présente PC entraîne la cessation de toutes les obligations et responsabilités de l'acr pour les certificats d ACR et d AC émis conformément à la présente PC Avis individuels et communication avec les participants Le CAP fournit la nouvelle version de la PC au SP dès qu'elle est validée. Les porteurs doivent être informés de tous les changements envisagés avant la mise en application de la nouvelle PC Amendements Procédure pour apporter un amendement Le CAP révise sa PC et sa DPC au moins une fois par an. D'autres révisions peuvent être décidées à tout moment à la discrétion du CAP. Les corrections de fautes d'orthographe ou de frappe qui ne modifient pas le sens de la PC sont autorisées sans avoir à être notifiées. Le CAP informe l ACR des modifications entraînant des modifications de la DPC Mécanisme et délais des notifications Le CAP donne un préavis de 2 mois jours au moins aux composantes de l'acr de son intention de modifier sa PC/DPC avant de procéder aux changements et en fonction de l'objet de la modification Motifs selon lesquels un OID doit être changé En cas de projet de modification des spécifications, les cas suivants sont envisageables pour l'acr : - Des changements typographiques ne donnant pas lieu à notification et à modification de l'oid de la PC/DPC ou de l'url ; - Des changements sur le niveau de qualité et de sécurité des fonctions de l'acr vis-à-vis des certificats d AC, sans pour autant perdre la conformité de ces derniers avec la PC, et moyennant une période de PC_AC_racine_CA_V1_v 1.0.doc Page 38 sur 40

39 Politique de Certification N page : 39/40 notification d un mois avant le début des changements et ne donnant pas lieu à modification de l'oid de la PC/DPC ou de l'url ; - Des changements entraînant la perte de la conformité des certificats d AC et d ACR avec la PC et impliquant la modification de l'oid de la PC/DPC et de l'url de téléchargement. Les modifications définitives sont soumises aux responsables des applications utilisatrices autorisées avant d'être publiées. Les modifications sont publiées le jour où l'on en donne notification. Par ailleurs, l AC avertit les Clients des modifications Règlement des différents En cas de litige entre une AC et une ACR, le CAP règle les litiges. A défaut de règlement amiable, le litige sera porté devant les juridictions compétentes. En cas de difficulté entre un porteur et l ACR, les parties se conformeront à la procédure de règlement des litiges prévue dans les contrats signées entre les AC et les Clients. A défaut de règlement amiable, le litige sera porté devant les juridictions compétentes. Toute contestation du Porteur ou du Client relative aux dispositions du présent document et du contrat de souscription entre le porteur et l AC sera soumise, préalablement à toute instance judiciaire, à la procédure décrite à l'article "droit applicable" du contrat de souscription de l AC Droit applicable La Loi française est applicable aux dispositions du présent document. En cas de traduction, seule la version française du présent document fera foi Conformité au droit applicable La présente PC est sujette aux lois, règles, règlements, ordonnances, décrets et ordres nationaux, d'état, locaux et étrangers concernant les, mais non limités aux, restrictions à l'importation et à l'exportation de logiciels ou de matériels cryptographiques ou encore d'informations techniques. La Loi française est applicable aux dispositions du présent document. En cas de traduction, seule la version française du présent document fera foi Divers Totalité de l'accord Le cas échéant, la DPC précisera les exigences spécifiques Affectation Sauf si spécifié dans d'autres contrats, seule la CAP a le droit d'affecter et de déléguer la présente PC à une partie de son choix Divisibilité Le caractère inapplicable d'une disposition de la PC, suite à une décision de justice, n'affecte en rien la validité des autres dispositions de cette PC Exonération des droits Les exigences définies dans la PC/DPC doivent être appliquées selon les dispositions de la PC et de la DPC associée sans qu'aucune exonération des droits, dans l'intention de modifier tout droit ou obligation prescrit, soit possible. PC_AC_racine_CA_V1_v 1.0.doc Page 39 sur 40

40 Politique de Certification N page : 40/ Force majeure L'ACR ne saurait être tenue pour responsable de tout dommage indirect et interruption de ses services relevant de la force majeure, laquelle aurait causé des dommages directs aux porteurs ou aux applications utilisatrice Autres dispositions Le cas échéant, la DPC en fournira les détails. PC_AC_racine_CA_V1_v 1.0.doc Page 40 sur 40