DCS" POLITIQUE DE CERTIFICATION

Transcription

1 Autorité de Certification "Renault Sub DCS" POLITIQUE DE CERTIFICATION Date : 20/06/02 Version : 1.02 Réf. : Politique de Certification Renault Sub DCS 1.02 Sommaire : 1 PRESENTATION GENERALE DE LA PC-DCS Identification de la PC-DCS - OID Liste des acronymes utilisés Définitions des termes utilisés dans la PC-DCS Types de certificats concernés par la PC-DCS Supports des certificats Téléprocédures Type d'applications concernées par la PC-DCS Liste des applications autorisées Liste des applications interdites Modification de la PC-DCS Coordonnées des entités responsables de la présente PC-DCS Organisme responsable Personne physique responsable Personne déterminant la conformité de la DPC à la PC 11 2 DISPOSITIONS DE PORTEE GENERALE Intervenants et Rôles Services d'enregistrement et de Certification Les abonnés Obligations Obligations communes à toutes les composantes de l'icp Obligations de l'ac "Renault Sub DCS" S'agissant des fonctions de gestion des certificats S'agissant de la fonction de gestion des supports et données d'activation S'agissant de la fonction de publication S'agissant des fonctions de journalisation et d'archivage S'agissant de la fonction de séquestre Obligations des AED Obligations de l'ace Obligations des affaires Renault (concessions / succursales) Obligations de l administrateur renault.net Obligations de l'abonné Obligations des utilisateurs de certificats Responsabilité de Renault en qualité d'ac Respect et interprétation des dispositions juridiques Droit applicable Règlement des différends Dispositions pénales Permanence de la PC-DCS Publication et dépôt de documents Informations publiées Fréquence de diffusion Contrôle d'accès Dépôt des documents 16

2 2.6 Contrôle de conformité à la PC-DCS Fréquence du contrôle de conformité Indépendance et qualifications du contrôleur Périmètre du contrôle de conformité Communication des résultats Actions entreprises en cas de non-conformité Politique de confidentialité de l'ac "Renault Sub DCS" Types d'informations considérées comme confidentielles Divulgation des informations sur demande de leur propriétaire 17 3 IDENTIFICATION ET AUTHENTIFICATION Identification de l'abonné Conventions de noms Nécessité d'utilisation de noms explicites Règles d'interprétation des différentes formes de noms Unicité des noms Procédure de résolution de litige sur déclaration de nom Vérification de l'identité de la personne physique Reconnaissance, authentification et rôle des noms de marques Preuve de possession de la clé privée / Format de signature Authentification de l'abonné Authentification lors d'une demande initiale Authentification lors du renouvellement de clés (hors révocation) Authentification lors de la génération d un nouveau certificat après révocation Authentification d'une demande de révocation Authentification d'une demande de révocation d un certificat administrateur renault.net Authentification d'une demande de révocation d un certificat hors administrateur renault.net 19 4 BESOINS OPERATIONNELS Demande de certificat Renault Sub DCS Origine de la demande Informations à fournir Archivage des dossiers Opérations à effectuer Emission et distribution d'un certificat Renault Sub DCS Certificat administrateur renault.net Certificat abonné (hors administrateur renault.net) Acceptation d'un certificat Renault Sub DCS Suspension et révocation de certificat Renault Sub DCS Causes possibles de révocation Révocation d'un certificat d'ac Révocation d'un certificat d'abonné Origine d'une demande de révocation d'un certificat d'abonné Procédure de demande de révocation d'un certificat d'abonné Traitement d'une demande de révocation d'un certificat d'abonné Procédure du traitement de la révocation de l AC Délai de traitement d une révocation Certificat d une des composantes de l AC Certificat d'abonné Publication des causes de révocation d'un certificat d'abonné Intégrité de la LCR Contrôle en ligne du statut de révocation de certificat Formes de publication des LCR Besoins spécifiques en cas de révocation pour compromission de clé Suspension de certificats Re-génération de certificats Renault Sub DCS Journalisation des événements 23

3 4.7 Archives Renouvellement de clé d'une composante de l'icp Récupération en cas de sinistre ou de compromission Cessation d'activité d'une composante de l'icp Fin d'abonnement 25 5 CONTROLE DE SECURITE PHYSIQUE, CONTROLE DES PROCEDURES, CONTROLE DU PERSONNEL Contrôles de sécurité physique Contrôles des procédures Contrôle du personnel 25 6 REGLES TECHNIQUES DE SECURITE Génération et installation de bi-clés Génération d'un bi-clé d'abonné Transmission de la clé publique (de l'abonné) à l'émetteur de certificat Tailles des clés des abonnés Contrôle de qualité des paramètres des clés de l'ac Mode de génération de clé de l'icp Usage de la clé publique des abonnés Protection de la clé privée Dispositifs de gestion des éléments secrets de l'abonné Contrôle de la clé privée de signature de l'ac Récupération de clé privée de confidentialité de l abonné Autres aspects de la gestion des bi-clés Archivage des clés publiques des abonnés Durée de vie des certificats Données d'activation des clés privées des abonnés Génération et utilisation des données d'activation Protection des données d'activation Contrôles techniques du système durant son cycle de vie Contrôles des développements des systèmes Contrôles de la gestion de la sécurité Contrôles de la sécurité réseau 27

4 PREAMBULE L initiative TéléTVA s inscrit dans la politique de modernisation entreprise par la Direction Générale des Impôts (DGI) depuis plusieurs années. Cette modernisation, permise par les nouvelles technologies de l information et de la communication se traduit par une réduction des flux de papier au profit des échanges dématérialisés : les téléprocédures. Les téléprocédures ont pour vocation de rendre les échanges entre l'administration et les administrés plus souples, plus rapides et plus sûrs. Parmi les téléprocédures, la TéléTVA désigne un ensemble de services permettant de déclarer et de payer la TVA grâce à un échange informatique unique avec la Direction Générale des Impôts. Le dispositif mis en oeuvre par la TéléTVA est utilisable pour toutes les téléprocédures du ministère destinées aux entreprises. Ces échanges d'information entre les entreprises et l'administration reposent sur des exigences de confiance propres aux systèmes de communication ouverts. La Direction Générale des Impôts veut donc que ces échanges aient lieu dans le cadre de systèmes à base d'infrastructures à Clés Publiques (ci-après appelées ICP ou PKI pour Public Key Infrastructure) et de certificats électroniques. Dans le cas des téléprocédures, les certificats sont utilisés pour assurer l authentification des internautes via la signature électronique, l intégrité des messages envoyés, leur nonrépudiation par l émetteur et le chiffrement des échanges garantissant la confidentialité. Renault s'est doté d'une Infrastructure à Clé Publique (ICP) destinée à fournir des certificats à ses concessionnaires et succursales. Cette Infrastructure à Clé Publique (ICP) est gérée pour le groupe Renault par la direction DTS de Renault. Une des premières applications visée en dehors de Renault est l'ensemble des téléprocédures du Ministère de l'economie, des Finances et de l'industrie (MINEFI). Ce document constitue la Politique de Certification de l'autorité de Certification "Renault Sub DCS", c'est à dire l'ensemble des engagements de celle-ci concernant la délivrance de certificats électroniques. L'ambition de cette Autorité de Certification "Renault Sub DCS" est de satisfaire aux exigences du MINEFI afin que les certificats émis soient éligibles aux Téléprocédures. L'Autorité de Certification "Renault Sub DCS" s'inscrit dans une hiérarchie d'autorités de Certification. Le modèle de confiance est le suivant : AC Root Renault (AC Racine - auto-signée) AC Renault Sub DCS Le serveur de certificat Renault Root gère les certificats Renault Root. C'est l'autorité de certification principale. Le serveur de certificat Renault Sub DCS est une autorité de certification subordonnée de l'autorité de certification ROOT. Ce serveur fournit un service permettant aux abonnés du

5 DCS de récupérer des certificats. Un programme VGI assure le mécanisme de fabrication de certificats. 1 PRESENTATION GENERALE DE LA PC-DCS Ce document décrit la PC-DCS (DCS = Dealer Communication System) de l'infrastructure à Clés Publiques de Renault gérée par Renault, ci-après désignée comme AC "Renault Sub DCS". Une Politique de Certification (PC) est identifiée par un nom unique (OID*). Elle est composée d'un ensemble de règles décrivant les conditions de recevabilité d'un certificat pour des applications ayant des besoins de sécurité communs. Une PC est définie indépendamment des modalités de mise en oeuvre de l'infrastructure à Clés Publiques (ICP) à laquelle elle s'applique. Elle décrit les exigences auxquelles l'icp doit se conformer pour l'enregistrement et la validation des demandes de certificats, et pour la gestion des certificats. Les procédures de certification sont rassemblées dans un document appelé Déclaration des Pratiques de Certification (DPC), distinct de la PC, qui décrit comment ces exigences sont atteintes en pratique. Cette PC est donc associée à la DPC relative à l'ac "Renault Sub DCS". Contrairement à la PC, la consultation de la DPC n'a pas vocation à être publique et doit faire l'objet d'une demande argumentée auprès de l'ac. La gestion des certificats couvre toutes les opérations relatives à la vie d'un certificat, depuis son émission jusqu'à la fin de vie de ce certificat (péremption, révocation). Le but de la présente PC est de fournir aux abonnés de l AC Renault Sub DCS les informations relatives aux garanties offertes par les certificats Renault Sub DCS qu elle émet, ainsi que les conditions d utilisation de ces certificats. 1.1 Identification de la PC-DCS - OID La présente PC est identifiée par l'oid La Déclaration des Pratiques de Certification correspondante est référencée par l'oid Les PC et DPC correspondantes aux OID ci-dessus sont ci-après désignées sous le nom de "PC" et de "DPC". 1.2 Liste des acronymes utilisés AC Autorité de Certification. AE Autorité d'enregistrement ACE Autorité Centrale d'enregistrement AED Autorité d'enregistrement Décentralisée C Country (Pays) CISSI Commission Interministérielle pour la Sécurité des Systèmes d'information CN Common Name DGI Direction Générale des Impôts DN Distinguished Name DPC Déclaration des Pratiques de Certification DSA Digital Signature Algorithm EAR Entité d'audit et de Référencement ICP Infrastructure à Clés Publiques LDAP Light Directory Access Protocol LCR Liste des Certificats Révoqués

6 MD2 Message Digest n 2 MD5 Message Digest n 5 MINEFI Ministère de l'économie, des Finances et de l'industrie O Organisation OID Object Identifier OU Organisation Unit OSC Opérateur de Service de Certification PC Politique de Certification PC² Procédures et Politiques de Certification de Clés RSA Rivest Shamir Adelman S/MIME Secure/Multipurpose Internet Mail Extensions SHA-1 Secure Hash Algorithm One SSL Secure Sockets Layer TLS Transport Layer Security 1.3 Définitions des termes utilisés dans la PC-DCS Le symbole (*) signifie que le terme est défini dans le présent paragraphe. Il est utilisé dans le reste du document lorsqu'il est important de renvoyer à la définition du terme employé. Abonné : Personne physique représentant une personne morale, qui obtient des services de l'icp Renault Sub DCS de Renault pour émettre des télédéclarations signées et chiffrées à destination des services du MINEFI gestionnaires des téléprocédures. L abonné peut également être désigné sous le nom de porteur de certificat. Dans la phase amont de certification il est un demandeur de certificat et dans le contexte du certificat X.509 il est un sujet. Les abonnés sont les employés du réseau Renault en France (concessionnaire et succursales). Autorité de Certification : autorité à laquelle les abonnés font confiance pour émettre et gérer des clés, des certificats et des LCR*. Ce terme désigne l'entité responsable des certificats signés en son nom. Dans le cadre de l'icp Renault Sub DCS de Renault, l'ac nommée "Renault Sub DCS" est gérée au nom du groupe Renault par la direction DTS de Renault. Renault est le maître d'oeuvre de l'icp. Cette ICP assure les fonctions suivantes : - Mise en application de la PC-DCS, - Gestion des certificats, - Publication des listes des certificats révoqués, - Journalisation et archivage des évènements et informations relatives au fonctionnement de l infrastructure. Les certificats sont proposés sous forme logicielle. La fonction d enregistrement des certificats fait partie des fonctions indispensables d une ICP. Elle est remplie par une Autorité d Enregistrement*, distincte de l'ac qui lui est rattachée. Autorité d'enregistrement (AE) : dans le cas de l'icp Renault Sub DCS de Renault, les fonctions de l'ae seront remplies par une Autorité Centrale d'enregistrement et des Autorités d'enregistrement Décentralisées. Autorité Centrale d Enregistrement : L'Autorité Centrale d'enregistrement (ACE) correspond à l'entité responsable de la validation des informations fournies par les Autorités d'enregistrement Décentralisées (AED). L'ACE est gérée par Renault (service DTSI-EOL- DCF). Ses fonctions sont les suivantes : - Contrôle, validation des demandes de certificats et de révocations transmises par les AED (certificats des administrateurs renault.net des AED),

7 - Transmission des demandes validées à l Autorité de Certification pour exécution, - Journalisation et archivage des demandes. Autorités d Enregistrement Décentralisées (administrateurs renault.net en concessions/succursales) : les Autorités d Enregistrement Décentralisées (AED) correspondent aux entités en relation directe avec les usagers des certificats. Dans le contexte des téléprocédures, elles correspondent à une décentralisation de la fonction «Enregistrement» auprès des concessionnaires ou des succursales Renault*. Leur rôle consiste à enregistrer les demandes de certificats Renault Sub DCS et à vérifier que les demandeurs ou les porteurs de certificat sont identifiés, que leur identité est authentique et que les contraintes liées à l usage d un certificat sont remplies, tout cela conformément à la politique de certification. Les AED réceptionnent et vérifient, selon les critères établis dans la présente PC-DCS, les demandes de révocation de certificats Renault Sub DCS. Les demandes sont soit transmises à l AC (demandes concernant les employés de l entité, hors administrateur renault.net), soit transmises à l'ace (demandes concernant les administrateurs renault.net) pour traitement. Concession Renault : entreprise ayant signé un contrat de vente et de réparation d automobiles avec Renault (assure la fonction d AED). Succursale Renault : entreprise appartenant à RFA (Renault France Automobile), filiale du groupe Renault, assurant la vente et la réparation d automobiles (assure la fonction d AED). Affaire Renault : une affaire désigne soit une concession Renault, soit une succursale Renault. Administrateur renault.net : employé de l affaire (concession ou succursale Renault), mandaté par le responsable de l affaire, pour gérer l accès à l outil renault.net, c est-à-dire donner ou retirer des certificats Renault Sub DCS aux employés de l affaire, et définir les applications utilisables par chaque employé. L administrateur renault.net remplit la fonction d AED. Responsable d affaire : le terme «responsable d affaire» désigne le propriétaire de la concession Renault ou le directeur de la succursale Renault (ou leur représentant dûment habilité). Il remplit le rôle d AED dans le cadre de la désignation de l administrateur renault.net de l affaire. DCS : Dealer Communication System, système d information permettant la communication entre le constructeur (Renault) et son réseau de distribution (concessions, succursales). Le DCS de Renault s appelle «renault.net». renault.net : DCS* de Renault (Dealer Communication System). Bi-clé : un bi-clé est un couple composé d'une clé privée (devant être conservée secrète) et d'une clé publique, nécessaire à la mise en oeuvre d'une prestation de cryptologie basée sur des algorithmes asymétriques. Il existe deux types de bi-clés : les bi-clés de signature dont la clé privée est utilisée à des fins de signature et la clé publique à des fins de vérifications ; les bi-clés d'échange de clé ou de transport de clé, par lesquels le transport des clés secrètes (symétriques) est effectué (ces clés secrètes étant celles mises en œuvre pour chiffrer ou déchiffrer un message protégé en confidentialité). La clé privée d'un bi-clé d'échange de clé est aussi appelée "clé privée de confidentialité". Dans le cadre de l'ac "Renault Sub DCS", le même bi-clé assure la signature et l'échange de clé. Chaîne de confiance : ensemble des certificats nécessaires pour valider la filiation d'un certificat porteur. Dans le cas d'un certificat signé par l'ac "Renault Sub DCS", la chaîne de confiance comprend le certificat de l'ac "Renault Sub DCS" et celui de l'ac racine "CA Root Renault". Clé privée de confidentialité : c'est la clé privée du bi-clés d'échange de clé*.

8 Code personnel utilisateur : secret (mot clé) choisi par l abonné. Le code personnel utilisateur est utilisé pour le retrait du certificat. Comité d Approbation des Politiques : comité qui est constitué des représentants de l entité responsable de l ICP Renault Sub DCS et des représentants des grandes applications concernées par l ICP, pour créer, contrôler le respect et faire évoluer la documentation des politiques régissant l ICP Renault Sub DCS. Common Name (CN) : identité réelle de l'abonné* titulaire du certificat (exemple CN = Jean Dupont). Composante de l'icp : plate-forme jouant un rôle déterminé au sein de l'icp* dans le cycle de vie du certificat. Compromission : une clé est dite compromise lorsqu'elle est connue par d'autres personnes que celles habilitées à la mettre en oeuvre. Déclaration des Pratiques de Certification (DPC) : énoncé des procédures et pratiques appliquées par une AC* pour émettre et gérer des certificats. Distinguished Name (DN) : nom distinctif X.500 de l'abonné* pour lequel le certificat est émis. Données d'activation : données privées associées à un abonné* permettant de mettre en oeuvre sa clé privée. Émission (d'un certificat) : fait d'exporter un certificat à l'extérieur d'une AC* (pour une remise à l'abonné, une demande de publication). Enregistrement (d'un abonné) : opération qui consiste pour une Autorité d'enregistrement* à constituer le profil d'un demandeur de certificat à partir de son dossier de demande, conformément à la Politique de Certification*. Entité d'audit et de Référencement (EAR) : organisme qui, sous la responsabilité du MINEFI, est chargé du référencement des certificats recevables pour la signature de télédéclarations vers le MINEFI et de l audit en vue de la vérification du respect des procédures édictées par le MINEFI. Génération (d'un certificat) : action réalisée par une AC* et qui consiste à signer l'ensemble des champs contenus dans un certificat édité par l'ace*, après avoir vérifié la signature de l'ace*. Identificateur d'objet (OID) : identificateur alphanumérique unique enregistré conformément à la norme d'enregistrement ISO pour désigner un objet ou une classe d'objets spécifiques. Infrastructure à Clé Publique (ICP) : ensemble de composants, fonctions et procédures dédiés à la gestion de clés et de certificats utilisés par des services de sécurité basés sur la cryptographie à clé publique. Journaux d'exploitation ou d événement: journaux collectant toutes les traces d'exécution des traitements, transactions et programmes produites par un système d'information (dénommés aussi "logs" ou "journaux d'événements"). Liste de Certificats Révoqués (LCR) : liste de numéros de certificats ayant fait l'objet d'une révocation*. Module cryptographique : un module cryptographique est un dispositif matériel, du type carte à mémoire, carte PCMCIA ou autre, permettant de protéger les éléments secrets tels que les clés privées ou les données d'activation, et de procéder à des calculs cryptographiques mettant en oeuvre ces éléments. Politique de Certification (PC) : ensemble de règles, définissant les exigences auxquelles l'ac* se conforme dans la mise en place de prestations adaptées à certains types d'applications. La Politique de Certification est identifiée par un OID* défini par l'ac*. Porteurs de (certificats) : voir abonnés*.

9 Profil (d'un demandeur de certificat) : informations qui permettent de renseigner les champs du certificat. Publication (d'un certificat) : opération consistant à mettre un certificat à disposition d'utilisateurs pour leur permettre de vérifier une signature ou de chiffrer des informations (ex : annuaire X.500). Référencement : opération consistant à contrôler la conformité d'une famille de certificats afin que ceux-ci soient acceptés par le MINEFI dans le cadre des télédéclarations. Si le résultat de cette opération est positif, cette famille de certificats est inscrite dans la liste tenue par l'ear* du MINEFI. Re-génération d un certificat : La re-génération d un certificat correspond à la génération d un nouveau certificat en utilisant une procédure simplifiée pour un abonné après la révocation de son certificat. Ce processus est utilisé uniquement lorsque la cause de révocation est la perte du certificat. Renouvellement (d'un certificat) : opération effectuée en fin de période de validité d'un certificat et qui consiste à générer un nouveau certificat pour un abonné. La regénération de certificat après révocation* n'est pas un renouvellement. Révocation (d'un certificat) : opération demandée par l'abonné, l AE ou l AC ou par toute autre personne autorisée par l'ac dont le résultat est la suppression de la garantie d'engagement de l'ac* sur un certificat donné, avant la fin de sa période de validité. Par exemple, la compromission d'une clé ou le changement d'informations contenues dans un certificat doivent conduire à la révocation du certificat. L'opération de révocation est considérée comme terminée lorsque le numéro de certificat à révoquer et la date de révocation sont publiés dans la Liste des Certificats Révoqués (LCR*). Signature électronique : Une donnée qui résulte de l'usage d'un procédé répondant aux conditions définies à la première phrase du second alinéa de l'article du code civil. Utilisateurs (de certificats) : gestionnaires des applications nécessitant la mise en œuvre des certificats délivrés par l'ac. Dans le cas de l'ac "Renault Sub DCS", ce terme désigne notamment les services du MINEFI gestionnaires des téléprocédures. Validation (de certificat) : opération de contrôle du statut d'un certificat ou d'une chaîne de certification*. Vérification (de signature) : opération de contrôle d'une signature électronique. 1.4 Types de certificats concernés par la PC-DCS Seuls les certificats émis pour les employés des concessions et succursales de Renault en France sont concernés par la PC-DCS. Ces employés doivent être enregistrés dans le Référentiel Réseau France (RRF). 1.5 Supports des certificats Téléprocédures La clé privée et le certificat correspondant Renault Sub DCS sont stockés sur le poste de travail de l abonné. 1.6 Type d'applications concernées par la PC-DCS Liste des applications autorisées L'Autorité de Certification "Renault Sub DCS" distribue des certificats électroniques qui peuvent être utilisés dans le cadre : de la téléprocédure de déclaration de TVA (Télé-TVA), de déclaration d'échanges de Biens (Télé-DEB) dans le cadre de la télétransmission EFI ;

10 d'applications Renault à destination des concessionnaires et succursales françaises par le biais du DCS renault.net (Dealer Communication System) : o en mode messagerie sécurisée avec le protocole S/MIME, o en mode transactionnel sur un serveur Web sécurisé par le protocole SSL, d'applications internes à l'ac Renault Sub DCS ; d autres applications ayant signé un accord avec l'ac Renault Sub DCS. Cet accord contient en particulier l acceptation par les gestionnaires de tous les chapitres contenus dans cette PC. Dans le cas où le certificat Renault Sub DCS serait éligible à d'autres téléprocédures administratives, et si l'ac "Renault Sub DCS" accepte que les certificats Renault Sub DCS soient effectivement utilisés dans le cadre de ces nouvelles applications, alors cette PC sera revue pour que le présent paragraphe mentionne de façon explicite lesdites applications Liste des applications interdites Renault décline toute responsabilité dans l'usage que ferait un abonné de son certificat Renault Sub DCS dans le cadre d'une application non mentionnée dans le paragraphe précédent. En particulier, Renault n'acceptera aucune plainte d'aucune sorte d'abonnés ou d'utilisateurs, liées à des litiges sans rapport avec les applications mentionnées dans le précédent paragraphe. 1.7 Modification de la PC-DCS Cette PC sera revue périodiquement par le Comité d'approbation des Politiques de Renault, notamment pour : assurer sa conformité aux normes de sécurité attendues par le MINEFI et l'ear ; mettre à jour la liste des applications concernées par la PC ; s adapter aux évolutions technologiques. La périodicité minimale de révision de cette PC est de un (1) an. Ce présent paragraphe indiquera les principales modifications de ce document en comparaison à la version antérieure. Changements par rapport à la version 1.01 : Ajout de l OID des PC et DPC Renault SubDCS (paragraphe 1.1) Ajout de l URL de publication de PC Renault SubDCS (paragraphes et 2.5.4) Ajout de l URL de publication de la LCR Renault SubDCS (paragraphe 2.5.4) Précisions sur le profil des LCR (paragraphes et 7.2) Impossibilité de vérifier en ligne le statut de révocation d un certificat (paragraphe 4.4.9) 1.8 Coordonnées des entités responsables de la présente PC-DCS Organisme responsable Renault est responsable de cette PC. Renault SA 860, Quai de Stalingrad Boulogne-Billancourt Cedex FRANCE

11 1.8.2 Personne physique responsable Sylvie LEBENSTEIN RESPONSABLE RENAULT.NET API TPZ D , Quai de Stalingrad Boulogne-Billancourt Cedex FRANCE Téléphone : Fax : [email protected] Personne déterminant la conformité de la DPC à la PC La conformité de la Déclaration des Pratiques de Certification (DPC-DCS) à la Politique de Certification (PC-DCS) est déterminée par le Comité d Approbation des Politiques de Renault sous la responsabilité de : M. Jean VERGNOUX RESPONSABLE SECURITE 860, Quai de Stalingrad Boulogne-Billancourt Cedex France [email protected]. 2 DISPOSITIONS DE PORTEE GENERALE 2.1 Intervenants et Rôles Services d'enregistrement et de Certification L'ICP Renault Sub DCS est à destination des affaires Renault (concessions et succursales). L enregistrement des demandes de certificat est assurée : soit par l ACE («cellule d administration renault.net», au sein du service DTSI-EOL- DCF de Renault), soit par les AED («administrateur renault.net» de l affaire, désigné par le responsable de l affaire). L ACE («cellule d administration renault.net») enregistre les demandes de certificats des administrateurs renault.net. L AED («administrateur renault.net» de l affaire) enregistre les demandes de certificats des employés de l affaire Renault (concession ou succursale). Les services de certification de l'ac "Renault Sub DCS" sont assurés par Renault Les abonnés Les abonnés sont les employés des affaires Renault (concessions et succursales). Le responsable d affaire (propriétaire de la concession Renault ou directeur de la succursale Renault) délègue sa fonction de gestion des certificats à un administrateur renault.net, et désigne également un adjoint. Le rôle de l administrateur renault.net est de demander ou de révoquer les certificats des abonnés* (ou porteurs de certificats) de l affaire (concession ou succursale Renault).

12 2.2 Obligations Obligations communes à toutes les composantes de l'icp Renault est le maître d'oeuvre de l'ac "Renault Sub DCS" et à ce titre s engage à : n'utiliser ses clés publiques et privées qu'aux fins pour lesquelles elles ont été émises et avec les outils spécifiés, selon la présente Politique de Certification ; respecter et appliquer la DPC-DCS; se soumettre aux contrôles de conformité effectués par l'entité d'audit et de Référencement du MINEFI, en respecter les conclusions et remédier aux non-conformités qu'ils révéleraient ; respecter les accords ou contrats qui le lient aux différents acteurs ; documenter ses procédures internes de fonctionnement ; mettre en oeuvre les moyens (techniques et humains) nécessaires à la réalisation des prestations auxquelles il s'engage, dans des conditions garantissant qualité et sécurité Obligations de l'ac "Renault Sub DCS" S'agissant des fonctions de gestion des certificats L'entité responsable de l'ac "Renault Sub DCS" (direction DTSI-DTS de Renault) s engage à : tenir à disposition des abonnés et des utilisateurs de certificats la notification de révocation du certificat d'une composante de l'icp ou d'un abonné ; S'agissant de la fonction de gestion des supports et données d'activation Les éléments secrets d un abonné sont gérés dans un fichier logiciel chiffré et leur mise en oeuvre est conditionnée par l utilisation d un code personnel ou autre donnée d activation. Les données d activation des secrets de l'abonné ne sont jamais choisies ou imposées par l AC, sauf lors du retrait du certificat, où l abonné se voit remettre un mot de passe pour retirer son certificat S'agissant de la fonction de publication L'AC "Renault Sub DCS" s'engage à diffuser publiquement la politique de certification, les listes de certificats révoqués (LCR). L AC s engage à ce que la Liste de Certificats Révoqués soit : fiable, c'est- à-dire comportant uniquement des informations contrôlées et à jour ; protégée en intégrité ; d'un accès contrôlé quant à la mise à jour (accès libre en consultation) ; publiée suivant les modalités décrites au 4.4 de cette PC ; disponible 24 heures sur 24 et 7 jours sur S'agissant des fonctions de journalisation et d'archivage Se reporter au chapitre 4 ( 4.6 et 4.7) S'agissant de la fonction de séquestre L AC "Renault Sub DCS" ne réalise pas de fonction de séquestre.

13 2.2.3 Obligations des AED Le contrôle effectif de la véracité des informations communiquées par les demandeurs de certificats est réalisé par les différentes AED. Les entités responsables des AED s'engagent à : Remettre à l ACE les demandes de nouveaux certificats (pour les administrateurs renault.net), et les demandes de changement ou d'ajout d administrateurs renault.net. Garantir que la personne identifiée dans le certificat Renault Sub DCS a prouvé son identité et vérifier l authenticité des pièces justificatives et l exactitude des mentions qui établissent l identité de l abonné selon les modalités décrites au chapitre 3. Protéger la confidentialité et l intégrité des données transmises par les demandeurs. Etablir le lien entre l'identité du futur abonné et la clé publique à certifier. Fournir l identifiant de l'abonné selon la convention de noms de la norme X.500 (cf ). Contrôler la complétude et la cohérence des informations fournies. S'assurer que ses abonnés connaissent leurs droits et obligations en ce qui concerne l'utilisation et la gestion des clés, des certificats. Recevoir les demandes formelles de révocation, en vérifier l origine et l exactitude, et les transmettre pour traitement soit à l AC (demandes hors administrateurs renault.net) soit à l'ace (demandes relatives aux administrateurs renault.net) selon les exigences décrites au 4.4 Maintenir les procédures de Contrôle Interne adéquates, afin de garantir la fiabilité des opérations dont elles ont la charge Obligations de l'ace L'entité responsable de l'ace s'engage à : Vérifier, à la réception d un formulaire (demande ou révocation de certificat Renault Sub DCS concernant les administrateurs renault.net), la validation effective des AED. Protéger la confidentialité et l intégrité des données transmises par les demandeurs. Etablir le lien entre la clé publique à certifier et l'identité du futur abonné. Fournir l identifiant de l'abonné selon la convention de noms de la norme X.500 (cf ). Contrôler la complétude et la cohérence des informations fournies. S'assurer que ses abonnés connaissent leurs droits et obligations en ce qui concerne l'utilisation et la gestion des clés, des certificats. Vérifier l'origine et l'exactitude d'une demande de révocation de clé (demandes concernant les administrateurs renault.net), et à mettre en oeuvre les moyens permettant de traiter cette demande selon les exigences décrites au 4.4. Maintenir les procédures de Contrôle Interne adéquates, afin de garantir la fiabilité des opérations dont elles ont la charge Obligations des affaires Renault (concessions / succursales) Les affaires Renault (concessions / succursales) sont responsables des obligations mentionnées ci-dessous qu elles soient exécutées par les administrateurs renault.net et/ou les abonnés des affaires Renault (concessions / succursales). Les affaires Renault (concessions / succursales) doivent : Désigner, sous leur responsabilité ses administrateurs renault.net et les personnes physiques auxquelles sera délivré un certificat, Garantir l authenticité, le caractère complet et à jour des informations communiquées lors de la demande de certificat ainsi que des documents qui accompagnent ces informations,

14 Informer sans délai Renault de toute modification relative à ces informations et/ou documents, Assurer l information des abonnés sur les conditions d utilisation des certificats, de la gestion des clés ou encore de l équipement et des logiciels permettant de les utiliser, Faire assurer l acceptation du certificat par chaque abonné ainsi que les vérifications préalables à cette acceptation, Faire protéger la clé privée de chaque abonné par des moyens appropriés à son environnement, Faire protéger les données d'activation de chaque abonné par des moyens appropriés à son environnement, Faire respecter les conditions d'utilisation de la clé privée et du certificat correspondant par chaque abonné, notamment l utilisation dans le strict cadre des applications décrites au de cette PC, Faire demander la révocation d un certificat dès lors qu elle est nécessaire, Faire informer sans délai Renault en cas de suspicion de compromission ou de compromission de la clé privée d un de ses abonnés Obligations de l administrateur renault.net L administrateur renault.net a le devoir de : communiquer des informations justes lors de la demande de certificat, faire respecter les conditions d'utilisation de la clé privée et du certificat correspondant, informer sans délai l'ace ou l'ac en cas de compromission d'une clé privée, révoquer en cas de besoin tout certificat conformément au chapitre 4 ( 4.4), authentifier les futurs abonnés au moment de leur engagement Obligations de l'abonné L'abonné a l obligation de : communiquer des informations justes lors de la demande de certificat ; protéger sa clé privée par des moyens appropriés à l environnement dans lequel se trouve cette clé ; protéger ses données d'activation ; respecter les conditions d'utilisation de sa clé privée et du certificat correspondant ; informer sans délai l'aed en cas de compromission de sa clé privée Obligations des utilisateurs de certificats Les utilisateurs de certificats doivent : respecter l'usage pour lequel un certificat a été émis. vérifier la signature électronique de l'ac émettrice du certificat ; contrôler la validité des certificats (dates de validité, statut de révocation, chemin de certification). 2.3 Responsabilité de Renault en qualité d'ac Il est expressément entendu que Renault ne saurait être tenu pour responsable ni d un dommage résultant d une faute ou négligence d un utilisateur et/ou d une affaire Renault (concession / succursale Renault), et/ou de son(ses) administrateur(s) renault.net habilité(s) et/ou de ses abonnés ni d un dommage causé par un fait extérieur ou un cas de force majeur, notamment en cas de :

15 Utilisation d un Certificat pour une autre application que les Applications définies au chapitre 1.6, Utilisation d un Certificat pour garantir un autre objet que l identité de l'abonné, Utilisation d un Certificat révoqué, Mauvais modes de conservation de la clé privée du certificat de l'abonné, Utilisation d un Certificat au-delà de sa limite de validité, Non respect des obligations des autres Intervenants définies aux chapitres et 2.2.8, Faits extérieurs à l émission du Certificat tel qu une défaillance de l Application pour laquelle il peut être utilisé, Cas de force majeur tels que définis par les tribunaux français. 2.4 Respect et interprétation des dispositions juridiques Droit applicable La Loi française est applicable aux dispositions du présent document. En cas de traduction, seule la version française du présent document fera foi. En cas de difficulté, et à défaut de règlement amiable, le litige sera porté devant les juridictions compétentes Règlement des différends Toute contestation de l'abonné ou de l affaire Renault (concession / succursale Renault) relative aux dispositions du présent document sera soumise, à défaut de règlement amiable, aux juridictions compétentes Dispositions pénales Sans objet Permanence de la PC-DCS Le fait que l un des intervenants (abonné, utilisateur, AC, ) n ait pas exigé l application d une clause quelconque du présent document, que ce soit de façon permanente ou temporaire, ne pourra en aucun cas être considéré comme une renonciation aux droits de cette partie découlant de ladite clause dont l inapplication a été tolérée. Si l une quelconque des dispositions du présent document est non valide, nulle ou sans objet, elle sera réputée non écrite et les autres dispositions conserveront toute leur force et leur portée. Aucune action, quels qu en soient la nature, le fondement ou les modalités, née du présent document, ne peut être intentée par les parties plus de cinq ans après la survenance de son fait générateur. Les titres des articles du présent document sont insérés dans le seul but d'en faciliter la référence et ne peuvent être utilisés pour donner une interprétation à ces articles ou en affecter la signification. Aussi, en cas de difficulté d interprétation entre l un quelconque des titres et l une quelconque des clauses constituant le document, les titres seront déclarés comme inexistants. 2.5 Publication et dépôt de documents Informations publiées Les informations publiées seront les suivantes : la Politique de Certification (PC) ;

16 les Listes de Certificats Révoqués (LCR) Fréquence de diffusion la Politique de Certification (PC) est mise à jour sur le site du groupe Renault à l adresse indiquée dans le paragraphe après chaque modification ; les Listes de Certificats Révoqués (LCR) sont actualisées dans un délai de 24 heures hors jours non-ouvrés Contrôle d'accès Des habilitations spécifiques sont mises en place afin de n'autoriser l'accès en modification à la PC qu'au personnel autorisé Dépôt des documents L AC "Renault Sub DCS" diffuse la Politique de Certification sur le site du groupe Renault à l adresse Les LCR sont quand à elles publiées aux adresses suivantes : Contrôle de conformité à la PC-DCS Le comité d'approbation des politiques de RENAULT a la responsabilité du bon fonctionnement des composantes de l'icp, conformément aux dispositions énoncées dans le présent document. Il effectuera des contrôles réguliers de conformité et de bon fonctionnement des composantes de cette ICP. Par ailleurs, RENAULT accepte les audits demandés par le MINEFI concernant toutes les composantes de l'icp, afin que celui-ci s'assure du bon respect des exigences liées au référencement de la famille de certificat "Renault Sub DCS" Fréquence du contrôle de conformité Le contrôle de conformité est réalisé en cas de renouvellement d'un bi-clés d'ac, avant toute émission et signature de certificats par cette dernière. Ce contrôle est à nouveau réalisé au minimum tous les deux ans Indépendance et qualifications du contrôleur Le contrôleur est désigné par le Comité d'approbation des Politiques de RENAULT. Celui-ci est choisit selon des critères d'indépendance et d'expertise dans le domaine de la sécurité informatique et, en particulier, des ICP Périmètre du contrôle de conformité Le périmètre de l'audit concerne les chapitres 3 à 8 de la présente PC Communication des résultats Les résultats sont communiqués au Comité d'approbation des Politiques, qui est responsable de leur éventuelle diffusion aux entités concernées. Eu égard au caractère confidentiel de ces informations, la publication des résultats est limitée et strictement contrôlée Actions entreprises en cas de non-conformité En cas de non-conformité, le Comité d'approbation des Politiques décide de toute action correctrice nécessaire.

17 En fonction du degré de non-conformité de la DPC à la PC, l'ac concernée peut : demander la mise en place d'actions correctrices dont la réalisation sera vérifiée lors du prochain audit ; demander la correction des non-conformités selon un calendrier précis à la suite duquel un contrôle de mise en conformité sera effectué ; révoquer le certificat. 2.7 Politique de confidentialité de l'ac "Renault Sub DCS" Types d'informations considérées comme confidentielles Les informations suivantes sont considérées comme confidentielles : les clés privées des entités propriétaires de certificats ; les données d'activation pour les abonnés ; les journaux d'événements des composantes de l'ac et de l'ae ; les données d'enregistrement de l'abonné, et notamment les données personnelles (à l'exception des informations à caractère personnel contenues dans les certificats) ; les rapports d'audit ; la DPC Divulgation des informations sur demande de leur propriétaire Les informations nominatives recueillies lors de l enregistrement de l'abonné de même que celles qui seront recueillies ultérieurement, sont destinées à Renault et à l'autorité de Certification "Renault Sub DCS" qui, de convention expresse, sont autorisés à les conserver en mémoire informatique, à les utiliser, ainsi qu'à les communiquer aux mêmes fins aux personnes morales de Renault, voire à des tiers ou à des sous-traitants pour des besoins de gestion. Les droits d'accès et de rectification peuvent être exercés auprès de M. Jean VERGNOUX RESPONSABLE SECURITE 860, Quai de Stalingrad Boulogne-Billancourt Cedex France [email protected]. 3 IDENTIFICATION ET AUTHENTIFICATION Ce chapitre traite des principes retenus pour identifier et authentifier un abonné lors de : la création initiale du certificat "Renault Sub DCS" dudit abonné ; le renouvellement du certificat "Renault Sub DCS " dudit abonné ; la ré-génération du certificat "Renault Sub DCS" dudit abonné ; la révocation du certificat "Renault Sub DCS " dudit abonné. 3.1 Identification de l'abonné Conventions de noms Le nom de l'abonné figurent dans le champ "Objet" ("Subject " en anglais) du certificat Renault Sub DCS, sous la rubrique CN ("Common Name") au format printablestring X.501. Cette mention est obligatoire. Il est constitué du prénom usuel et du nom patronymique. Ce nom est celui de l'abonné tel qu'il figure dans le référentiel renault.net de Renault.

18 3.1.2 Nécessité d'utilisation de noms explicites Les informations portées dans le champ "Objet" du certificat Renault Sub DCS sont décrites ci-dessous de manière explicite : UID : identifiant Renault de l abonné (IPN) ; E : adresse électronique de l'abonné ; CN : prénom et nom de l'abonné (rubrique CN, telle que décrit au 3.1.1) ; OU : identifiant Renault de la concession ou de la succursale Renault O : toujours égal à «Renault» C : nom de pays de l'organisation représentée par l'abonné, formulé selon la convention internationale de nommage («FR» pour la France) Règles d'interprétation des différentes formes de noms Aucune interprétation particulière n'est à faire des informations portées dans le champ "Objet" des certificats Renault Sub DCS Unicité des noms L'unicité d'un certificat est établie par celle du numéro de série, au sein de l'autorité de Certification "Renault Sub DCS". L'AC s'engage également à ce que le champ "Objet" présente aussi un caractère d'unicité, obtenu par la présence de l identifiant Renault (IPN) de l'abonné Procédure de résolution de litige sur déclaration de nom La présence de l IPN assure l unicité du champ objet. La déclaration de nom ne peut donc pas faire l objet de litige Vérification de l'identité de la personne physique La vérification est du ressort de l ACE ou de l'aed, selon les modalités décrites au Reconnaissance, authentification et rôle des noms de marques Sans objet Preuve de possession de la clé privée / Format de signature Sans objet. 3.2 Authentification de l'abonné Authentification lors d'une demande initiale L'authentification lors d'une demande initiale est décrite au Authentification lors du renouvellement de clés (hors révocation) Les bi-clés sont périodiquement renouvelés afin de minimiser les attaques cryptographiques. Ainsi, les bi-clés des abonnés sont renouvelées tous les deux ans. Avant l expiration du certificat, l abonné est informé de la fin de vie du certificat. Sauf avis contraire de l'abonné, et sur validation de l abonné, le certificat est automatiquement renouvelé.

19 3.2.3 Authentification lors de la génération d un nouveau certificat après révocation L'abonné suit le processus normal de demande de certificat décrit au 4.1, si celle-ci intervient après une révocation. Un nouveau bi-clé est alors généré Authentification d'une demande de révocation Authentification d'une demande de révocation d un certificat administrateur renault.net L authentification d une demande de révocation est la même quel que soit le mode de révocation. Le responsable de l affaire envoie une demande à l ACE par mail. L ACE téléphone ensuite au responsable de l affaire afin d authentifier la demande Authentification d'une demande de révocation d un certificat hors administrateur renault.net S il n est pas lui-même à l origine de la demande de révocation, l administrateur renault.net authentifie la demande en mode face à face avec son émetteur (abonné ou responsable d affaire). L administrateur renault.net émet ensuite la demande de révocation du certificat de l abonné. 4 BESOINS OPERATIONNELS 4.1 Demande de certificat Renault Sub DCS Origine de la demande Toutes les affaires Renault (concessions Renault ou succursales Renault) souscrivent par défaut au service de certification Renault Sub DCS. Les demandes de certificats Renault Sub DCS pour les abonnés proviennent : Pour les administrateur renault.net : du responsable de l affaire Renault Pour les abonnés (hors administrateurs renault.net) : des administrateurs renault.net Informations à fournir Les informations à fournir sont : le nom de l abonné, le prénom de l abonné, l identifiant Renault de la concession ou succursale l identifiant Renault (IPN) de l abonné s il est attribué Archivage des dossiers Les demandes de certificat sont archivées dans les logs du serveur de certificat. Durant la période d'archivage, les logs sont consultables sur demande justifiée par les autorités habilitées ou par l'abonné Opérations à effectuer L ACE s'engage à effectuer les vérifications suivantes :

20 établir l'identité du responsable de l affaire; s'assurer que le responsable de l affaire a pris connaissance des modalités applicables pour l'utilisation du certificat. L'entité responsable de l'aed (responsable de l affaire Renault) s'engage à effectuer les vérifications suivantes : établir l'identité des administrateurs renault.net; s'assurer que le futur administrateur renault.net a pris connaissance des modalités applicables pour l'utilisation du certificat. L' administrateur renault.net de l affaire s'engage à effectuer les vérifications suivantes : vérifier l'identité des abonnés (identification visuelle); s'assurer que le futur abonné a pris connaissance des modalités applicables pour l'utilisation du certificat. 4.2 Emission et distribution d'un certificat Renault Sub DCS Certificat administrateur renault.net Le responsable de l affaire envoie par mail une demande de certificat pour les administrateurs renault.net de son affaire. Le mail contient pour chaque administrateur renault.net les informations suivantes : le nom, l identifiant Renault de la concession ou succursale l identifiant Renault (IPN) de l administrateur renault.net, s il est attribué. L ACE (service DTSI-EOL-DCF) vérifie les coordonnées du responsable de l affaire dans le référentiel réseau (administré par la DRF, Direction du Réseau France de Renault), et entre en contact téléphonique avec le responsable de l affaire. L ACE effectue une demande de génération du certificat, retire le certificat, et l envoie par mail au responsable de l affaire. L ACE téléphone ensuite au responsable d affaire pour lui communiquer les données d activation du certificat. Seul le support logiciel est disponible pour les certificats Certificat abonné (hors administrateur renault.net) Sur demande de l abonné et du responsable de l affaire, l administrateur renault.net effectue la demande de génération du certificat, puis télécharge le certificat à partir du site renault.net de Renault, et fournit en mode face à face le certificat à l abonné. L abonné importe alors son certificat dans son Navigateur via son Navigateur. Seul le support logiciel est disponible pour les certificats. 4.3 Acceptation d'un certificat Renault Sub DCS Lors de la remise par téléphone des données d activation d un certificat d administrateur renault.net, l ACE assiste l abonné dans la mise en place de son certificat, et lui demande de tester le bon fonctionnement du certificat (accès à la page d accueil du DCS renault.net). Dans le cas d un certificat d abonné hors administrateur renault.net, l administrateur assiste l abonné dans la mise en place du certificat, et teste avec lui le bon fonctionnement du certificat. Si le certificat fonctionne correctement, l abonné accepte le certificat. En outre, l'acceptation d'un certificat vaut acceptation de la PC Renault Sub DCS.

21 4.4 Suspension et révocation de certificat Renault Sub DCS Un certificat Renault Sub DCS est dans l'un des quatre états suivants : valide, expiré, révoqué ou «pas encore valide» (renouvellement anticipé). L'Autorité de Certification "Renault Sub DCS" ne permet pas la suspension des certificats Renault Sub DCS Causes possibles de révocation Lorsque l'une des circonstances ci-dessous se réalise, le certificat concerné doit être révoqué, et le numéro de série est alors placé dans la liste de certificats révoqués (LCR) Révocation d'un certificat d'ac Les circonstances suivantes peuvent être à l'origine de la révocation d'un tel certificat : compromission possible, probable ou certaine de la clé privée de l'ac ; non-conformité de la DPC par rapport à la PC ; cessation d'activité de l'ac Révocation d'un certificat d'abonné Les circonstances suivantes peuvent être à l'origine de la révocation d'un certificat d'abonné : les informations de l'abonné figurant dans son certificat ne sont pas ou plus exactes, ceci avant l'expiration normale du certificat ; non respect des règles d'utilisation du certificat ; la clé privée de l'abonné est suspectée de compromission, est compromise, est perdue ou est volée ; résiliation du Contrat commercial de la concession ; l'abonné ou l administrateur renault.net en fait la demande ; le certificat de l'ac est révoqué (ce qui entraîne la révocation de tous les certificats signés par la clé privée correspondante) ; la départ, la mutation à un autre poste ou le décès de l'abonné. Lorsqu'une des circonstances ci-dessus se réalise et que l'ac en a eu connaissance, le certificat concerné doit être révoqué et le numéro de série placé dans la Liste de Certificats Révoqués (LCR) Origine d'une demande de révocation d'un certificat d'abonné La révocation d'un certificat d'abonné peut émaner de : l'abonné au nom duquel le certificat a été émis ; l'un des administrateurs renault.net (AED) ; l'ac émettrice du certificat ; l'ace ayant autorisé l'émission du certificat Procédure de demande de révocation d'un certificat d'abonné La procédure diffère suivant que la demande concerne un administrateur renault.net ou non. Pour un administrateur renault.net, la demande est envoyée par mail à l ACE. Elle doit contenir les informations suivantes : le nom de l administrateur renault.net, l identifiant Renault de la concession ou succursale l identifiant Renault (IPN) de l administrateur renault.net, le nom de son remplaçant, l identifiant Renault (IPN) de son remplaçant, s il est attribué.

22 L ACE (service DTSI-EOL-DCF) vérifie les coordonnées du responsable de l affaire dans le référentiel réseau (administré par la DRF, Direction du Réseau France de Renault), et entre en contact téléphonique avec le responsable de l affaire. L ACE effectue ensuite en ligne la demande de révocation du certificat. Pour un abonné hors administrateur renault.net, l administrateur renault.net effectue en ligne la demande de révocation du certificat, après identification visuelle du demandeur (abonné ou responsable de l affaire). Les procédures de révocation sont détaillées dans la DPC Traitement d'une demande de révocation d'un certificat d'abonné La demande de révocation en ligne (effectuée soit par l ACE soit par l AED) génère un mail. Ce mail est envoyé vers la cellule de sécurité centrale de Renault, qui révoque le certificat dans le jour ouvré suivant. Une procédure automatique de révocation immédiate est en cours de réalisation Procédure du traitement de la révocation de l AC Lorsque la décision de révocation de l'ac est prise, tous les certificats d Abonnés en cours de validité délivrés par cette AC sont révoqués et inclus dans la LCR, et une demande de révocation pour le certificat de l AC est transmise à l'ac racine à laquelle l'ac "Renault Sub DCS" est subordonnée Délai de traitement d une révocation Certificat d une des composantes de l AC En cas de compromission du certificat d une des composantes de l AC "Renault Sub DCS" (comme décrit au ), l ensemble des certificats signés par la clé privée correspondante est révoqué. Les abonnés, le MINEFI et les gestionnaires des applications ayant signé un accord avec l'ac "Renault Sub DCS" sont prévenus de cette compromission au plus tard dans les cinq jours ouvrés Certificat d'abonné La révocation intervient au maximum dans les 2 jours ouvrés suivant la demande de révocation (1 jour ouvré dans le cas d une demande en ligne, 2 jours ouvrés dans le cas d une demande par mail). La LCR en ligne est alimentée et rafraîchie toutes les 24 heures. Le délai de publication de la révocation d un certificat n excède donc jamais 48 heures ouvrées Publication des causes de révocation d'un certificat d'abonné. Les causes de révocation d un certificat d'abonné ne sont pas demandées, et ne sont pas publiées par l AC Intégrité de la LCR L AC signe la LCR disponible, pour garantir son intégrité et maintenir la chaîne de confiance Contrôle en ligne du statut de révocation de certificat Il n est pas possible de vérifier en ligne si un certificat Renault Sub DCS est révoqué. Il est de la responsabilité de l'utilisateur de certificat de contrôler la validité d'un certificat avant toute utilisation (via la LCR).

23 Formes de publication des LCR Les LCR sont consultables aux adresses indiquées dans le paragraphe Les LCR sont au format dénommé "LCR V1" défini par la norme X509V Besoins spécifiques en cas de révocation pour compromission de clé Aucune procédure particulière n est mise en place si la cause de révocation est la compromission de la clé privée de l'abonné. La demande de révocation suit le processus défini au Suspension de certificats Le service de suspension n'est pas proposé dans le cadre de l'ac "Renault Sub DCS". 4.5 Re-génération de certificats Renault Sub DCS La re-génération d un certificat correspond à la génération d un nouveau certificat en utilisant la même procédure que pour la première génération. 4.6 Journalisation des événements La journalisation des événements concerne tous les événements ayant trait à la sécurité des systèmes informatiques utilisés. La journalisation des événements est protégée, sauvegardée, intègre et fait l'objet de règles strictes d'exploitation. Les actions de journalisation sont décrites précisément dans les manuels internes de l AC et abordent notamment les thèmes suivants : événements enregistrés par l'ac ; processus de journalisation des événements ; conservation des journaux d'événements ; protection des journaux d'événements ; duplication des sauvegardes des journaux d'événements ; collecte des journaux d'événements (interne ou externe ) ; imputabilité ; anomalies et audit. 4.7 Archives L'archivage est réalisé par l AC dans le but d'assurer la continuité de service, l'auditabilité et la non-répudiation des opérations.

24 4.8 Renouvellement de clé d'une composante de l'icp La période de validité de la clé de l AC racine est de 15 ans. La période de validité de la clé de l'ac "Renault Sub DCS" est de 15 ans. L'AC ne peut pas émettre de certificat dont la date de fin de validité serait postérieure à la date d expiration du bi-clé de l'ac. Par conséquent, la période de validité de la clé de l'ac doit être supérieure à celle des certificats des abonnées. L AC doit donc disposer d'un nouveau bi-clé deux ans avant l'expiration de son certificat. L AC se réserve la possibilité de la renouveler avant sa limite de validité. La décision de son renouvellement pourra être prise plus tôt en fonction de divers critères (évolution de la technique cryptographique, allongement de la longueur, ). Pendant cette période de deux ans, l'ac disposera alors de deux certificats correspondant à deux bi-clés. Les certificats d Abonné émis au cours de cette période seront signés par la clé privée du nouveau bi-clé de l'ac. Le précédent bi-clé n est alors plus utilisé que pour signer les Listes de Certificats Révoqués concernant les certificats signés par celui-ci et ce jusqu à la fin de validité du certificat de l AC correspondant à ce bi-clé. Ainsi deux Listes de Certificats Révoqués seront maintenues conjointement pendant ces deux années. 4.9 Récupération en cas de sinistre ou de compromission L ensemble des procédures de récupération des composantes de l'icp en cas de désastre est décrit dans la DPC relative à cette PC Cessation d'activité d'une composante de l'icp En cas de cessation ou de transfert d'activité, Renault prévient les entités suivantes : affaires Renault (concessions / succursales) détenant un certificat Renault Sub DCS, le MINEFI et les gestionnaires des applications ayant signé un accord avec l'ac "Renault Sub DCS", par lettre recommandée avec Accusé de Réception et un préavis de trois mois. Au terme des trois mois de préavis, l'ac "Renault Sub DCS" révoquera le certificat de l AC et tous les certificats émis. Les archives liées à la fonction d'enregistrement sont prises en charge par la société reprenant l'activité dans le cas d'un transfert d'activité, ou, dans le cas de la cessation d'activité, reprise par une société d'archivage spécialisée. Les entités pré-citées sont avisées des coordonnées de ces sociétés. Si les fonctions de fourniture de certificats pour l'ac sont transférées à une autre entité, l'ac préviendra les responsables des applications autorisées (cf. 8.2) qui vérifieront si cette entité a le même niveau d'assurance vis à vis de la PC. En fin de vie, la composante de l'ac qui émet les certificats détruit la clé privée qui lui a servi à signer les certificats précédemment émis, et l AC prend le relais pour les obligations d archivage définies au 4.7. En conséquence, cette composante de l'ac s'engage en fin de vie à : communiquer avec un préavis de trois mois son intention de cesser son activité ; mettre en oeuvre tous les moyens dont elle dispose pour informer ses partenaires de ses intentions ; révoquer son certificat ; révoquer tous les certificats valides qu'elle a signée ; mettre à jour la LCR ; remettre ses archives ainsi que l'ensemble des données dont elle dispose à une entité

25 fiable reconnue par les responsables des applications autorisées Fin d'abonnement Une demande de fin d'abonnement consiste à demander une résiliation du contrat établi entre Renault et le concessionnaire (perte du statut de distributeur Renault) ou entre Renault et sa succursale (perte du statut de succursale Renault). Cette résiliation entraîne la révocation de tous les certificats d'abonnés en cours et suit les mêmes procédures (cf. 4.4). 5 CONTROLE DE SECURITE PHYSIQUE, CONTROLE DES PROCEDURES, CONTROLE DU PERSONNEL Les différents contrôles décrits ici visent, par une gestion des risques adéquate, à assurer un niveau de confiance fort dans le fonctionnement de l'ace et de l AC. 5.1 Contrôles de sécurité physique Des contrôles de sécurité physique sont mis en place par l'ace et l AC et sont détaillés dans la DPC correspondant à cette PC, autour des thèmes suivants : situation géographique ; contrôle d'accès physique ; énergie et air conditionné ; exposition aux liquides ; sécurité incendie ; conservation des médias ; destruction des supports ; sauvegarde hors site. 5.2 Contrôles des procédures Des contrôles des procédures sont mis en place par l'ace et l AC et sont détaillés dans la DPC correspondant à cette PC, autour des thèmes suivants : rôles de confiance ; nombre de personnes nécessaires à l'exécution de tâches sensibles ; identification et authentification des rôles. 5.3 Contrôle du personnel Des contrôles effectués sur le personnel sont mis en place par l'ace et l AC et sont détaillés dans la DPC correspondant à cette PC, autour des thèmes suivants : passé professionnel, qualifications, expérience, et exigences d'habilitations ; procédures de contrôle du passé professionnel ; exigences de formation ; fréquence des formations ; gestion des métiers ; sanctions pour des actions non-autorisées ; contrôle des personnels contractants ; documentation fournie au personnel.

26 6 REGLES TECHNIQUES DE SECURITE 6.1 Génération et installation de bi-clés Génération d'un bi-clé d'abonné Dans la procédure de génération de clés pour les certificats Renault Sub DCS, l ACE ou l administrateur renault.net génère le bi-clé. Techniquement, ce bi-clé peut servir indifféremment à la signature, au chiffrement ou à l échange de clés Transmission de la clé publique (de l'abonné) à l'émetteur de certificat La clé publique est transmise en PKCS#10 au travers d'une session SSL permettant d'authentifier l ACE ou l administrateur renault.net Tailles des clés des abonnés Les clés utilisées sont des clés RSA 512 bits et seront mises à niveau au fur et à mesure de l évolution de la technique et/ou de la législation Contrôle de qualité des paramètres des clés de l'ac La qualité des paramètres des clés doit être effectuée dans le respect des normes internationales Mode de génération de clé de l'icp L Opérateur de Certification génère un bi-clé de certification pour l Autorité de Certification "Renault Sub DCS" selon des procédures détaillées dans la DPC correspondante à la présente PC. La taille de la clé de l'ac "Renault Sub DCS" est de 2048 bits. L'AC racine dispose d'une clé RSA de 2048 bits Usage de la clé publique des abonnés Les usages de la clé publique des abonnés sont liés aux modalités d utilisation des certificats admis par l AC "Renault Sub DCS" au de cette PC. 6.2 Protection de la clé privée Dispositifs de gestion des éléments secrets de l'abonné L'abonné stocke son bi-clé dans son navigateur. Un mot de passe doit protéger l accès à la clé privée. Ce mot de passe est défini au moment de l import des clés. L'abonné est responsable de l'intégrité et de la confidentialité des données d'activation liées à sa clé privée Contrôle de la clé privée de signature de l'ac Seules les personnes dûment habilitées au sein de Renault ont accès aux clés privées de signature de l AC Récupération de clé privée de confidentialité de l abonné. L AC "Renault Sub DCS" n offre pas de service de recouvrement de clé.

27 6.3 Autres aspects de la gestion des bi-clés Archivage des clés publiques des abonnés Les certificats des abonnés, contenant la clé publique, sont conservés dans l annuaire LDAP du projet renault.net Durée de vie des certificats La durée de vie des certificats Renault Sub DCS fournis par l'ac "Renault Sub DCS" est de deux ans. 6.4 Données d'activation des clés privées des abonnés Génération et utilisation des données d'activation Les abonnés gèrent eux- mêmes la protection de leur clé privée et, à ce titre, génèrent de manière autonome et sous leur seule responsabilité les données d activation de leurs bi-clés Protection des données d'activation Il est de la responsabilité de l'utilisateur de protéger par mot de passe («Données d activation») les clés privées de ses bi-clés. Ces données d'activation doivent être considérées par l'abonné comme confidentielles. 6.5 Contrôles techniques du système durant son cycle de vie Contrôles des développements des systèmes L'entité responsable de l'ac s'engage à ce que les applications de l'ac aient été développées et implémentées dans le strict respect de l'analyse de risque préalable et de la politique de sécurité qui en découle Contrôles de la gestion de la sécurité. L'entité responsable de l'ac s'engage à ce que toute évolution des systèmes soit enregistrée sur le livre d activité du projet renault.net. 6.6 Contrôles de la sécurité réseau L'entité responsable de l'ac s'engage à ce que les réseaux utilisés dans le cadre du service de certification fassent l'objet de règles de sécurité informatique correspondant à l'état de l'art en la matière qui sont définies par l'ac dans la DPC. 7 PROFILS DE CERTIFICATS ET DE LCR 7.1 Profil des certificats Champ Version Serial Number Valeur V3 numéro de série unique du certificat attribué par le module cryptographique

28 RSA (512 Bits) BF 7ACD 78BA D8B9 F487 4CCA 213C CE3A CC8D 30C4 209C B396 EFC6 27FC 2DAF 9BC6 AC2E 2F45 65F8 A788 4F89 3AFF 6EC2 BE40 0F40 0D3D D30D E5EF D B 2F9C F subjectpublickey 127B 4288 A390 C1F1 D8D4 9BCE F34 1D07 BA Extensions des certificats Champ Valeur AuthorityKeyIdentifier KeyUsage keyid = C96F 8CF7 3B4B 4F4E C1B6 965A 7B4A 8172 B190 C88C Signature numérique, Non-répudiation, Cryptage de la clé, Chiffrement des données, Accords de la clé, Signature du certificat, Signature de la liste de révocation de certificats hors connexion, Signature de la liste de révocation de certificats, Crypter seulement, Décrypter seulement(ff80) CertificatePolicies [1]Stratégie du certificat : Identificateur de stratégie= [1,1]Informations sur le qualificatif de stratégie : ID du qualificatif de stratégie= Qualificatif=3081 8F30 0E E C A 7D F C69 6D F C F6E E F6E E61 756C F D E6F 206C C F E F A E [1,2]Informations sur le qualificatif de stratégie : ID du qualificatif de stratégie= Qualificatif= A2F 2F E72 656E C74 2E66 722F Profil de LCR Les LCR de l'ac "Renault Sub DCS" contiennent les champs suivants : Version : la version de la LCR. Dans le cadre de la présente AC, il s agit de la version 1 ; Signature Algorithm : l'identifiant de l'algorithme de signature de l'ac soit SHA1-RSA ; Issuer : le nom de l'ac émettrice qui signe les certificats soit l'ac "Sub DCS CA Renault" (CN=Sub DCS CA Renault,O=renault) ThisUpdate : date de génération de la LCR ; NextUpdate : prochaine date à laquelle cette LCR sera mise à jour ; RevokedCertificates : liste des numéros de série des certificats révoqués ; o SerialNumber : numéro de série de certificat révoqué ; o RevocationDate : date à laquelle un certificat donné a été révoqué. 8 ADMINISTRATION DES SPECIFICATIONS REFERENTES A L'AC 8.1 Modification des spécifications L AC "Renault Sub DCS" s engage à prévenir le MINEFI de tout projet de modification des PC concernant les certificats référencés. 8.2 Changements de composantes de l'ac ou de l'ae En cas de changement intervenant dans la composition de l'ae (ACE et AED) ou de l AC, RENAULT prévient le MINEFI : Au plus tard un mois avant le début de l'opération si elle a un impact sur le niveau de qualité et de sécurité des fonctions de l'ae (ACE et AED) et de l'ac vis- à- vis des certificats référencés ;

29 Au plus tard un mois après la fin de l'opération s'il n'y a pas d'impact.