Cadre de Référence de la Sécurité des Systèmes d Information

Transcription

1 Cadre de Référence de la Sécurité des Systèmes d Information POLITIQUE DE CERTIFICATION AC EXTERNES AUTHENTIFICATION SERVEUR Date : 12 décembre 2011 Version : 1.1 État du document : Validé Reproduction interdite sans accord préalable de Pôle Emploi

2 Identification du document Référence PC AC Externe- Production Authentification_Serveur_ V1.0.doc Titre du document Politique de Certification AC EXTERNES AUTHENTIFICATION SERVEUR Version État du document Auteurs 1.0 Validé Filière Sécurité des SI Mises à jour Version Date Nature de la modification /12/2011 Mise à jour des URL Relectures et validations Version Relu par Direction Date Statut PC AC Externes-Production Authentification_Serveur_V1.1.doc 2/48

3 SOMMAIRE SOMMAIRE INTRODUCTION PRÉSENTATION GÉNÉRALE IDENTIFICATION DU DOCUMENT ENTITÉS INTERVENANT DANS LA PKI USAGE DES CERTIFICATS GESTION DE LA PC DÉFINITIONS ET ACRONYMES RESPONSABILITES CONCERNANT LA MISE À DISPOSITION DES INFORMATIONS DEVANT ETRE PUBLIEES ENTITÉS CHARGÉES DE LA MISE À DISPOSITION DES INFORMATIONS INFORMATIONS PUBLIÉES DÉLAIS ET FRÉQUENCES DE PUBLICATION CONTRÔLE D'ACCÈS AUX INFORMATIONS PUBLIÉES IDENTIFICATION ET AUTHENTIFICATION NOMMAGE VALIDATION INITIALE DE L'IDENTITÉ IDENTIFICATION ET VALIDATION D'UNE DEMANDE DE RENOUVELLEMENT DES CLÉS IDENTIFICATION ET VALIDATION D UNE DEMANDE DE RÉVOCATION EXIGENCES OPERATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS DEMANDE DE CERTIFICAT TRAITEMENT D'UNE DEMANDE DE CERTIFICAT DÉLIVRANCE DU CERTIFICAT ACCEPTATION DU CERTIFICAT USAGES DE LA BI-CLÉ ET DU CERTIFICAT RENOUVELLEMENT D'UN CERTIFICAT DÉLIVRANCE D'UN NOUVEAU CERTIFICAT SUITE À CHANGEMENT DE LA BI-CLÉ MODIFICATION DU CERTIFICAT RÉVOCATION ET SUSPENSION DES CERTIFICATS FONCTION D'INFORMATION SUR L'ÉTAT DES CERTIFICATS FIN DE LA RELATION ENTRE LE RESPONSABLE DE CERTIFICAT APPLICATION ET L'AC SÉQUESTRE DE CLÉ ET RECOUVREMENT MESURES DE SECURITE NON TECHNIQUES MESURES DE SÉCURITÉ PHYSIQUE MESURES DE SÉCURITÉ PROCÉDURALES PC AC Externes-Production Authentification_Serveur_V1.1.doc 3/48

4 5.3 MESURES DE SÉCURITÉ VIS-À-VIS DU PERSONNEL PROCÉDURES DE CONSTITUTION DES DONNÉES D'AUDIT ARCHIVAGE DES DONNÉES CHANGEMENT DE CLÉ D'AC REPRISE SUITE À COMPROMISSION ET SINISTRE FIN DE VIE DE LA PKI MESURES DE SECURITE TECHNIQUES GÉNÉRATION ET INSTALLATION DE BI CLÉS MESURES DE SÉCURITÉ POUR LA PROTECTION DES CLÉS PRIVÉES ET POUR LES MODULES CRYPTOGRAPHIQUES AUTRES ASPECTS DE LA GESTION DES BI-CLÉS DONNÉES D ACTIVATION MESURES DE SÉCURITÉ DES SYSTÈMES INFORMATIQUES MESURES DE SÉCURITÉ DES SYSTÈMES DURANT LEUR CYCLE DE VIE MESURES DE SÉCURITÉ RÉSEAU HORODATAGE / SYSTÈME DE DATATION PROFILS DES CERTIFICATS, OCSP ET DES LCR PROFIL DES CERTIFICATS PROFIL DES LCR PROFIL OCSP AUDIT DE CONFORMITE ET AUTRES EVALUATIONS FRÉQUENCES ET / OU CIRCONSTANCES DES ÉVALUATIONS IDENTITÉS / QUALIFICATIONS DES ÉVALUATEURS RELATIONS ENTRE ÉVALUATEURS ET ENTITÉS ÉVALUÉES SUJETS COUVERTS PAR LES ÉVALUATIONS ACTIONS PRISES SUITE AUX CONCLUSIONS DES ÉVALUATIONS COMMUNICATION DES RÉSULTATS AUTRES PROBLEMATIQUES METIERS ET LEGALES TARIFS RESPONSABILITÉ FINANCIÈRE CONFIDENTIALITÉ DES DONNÉES PROFESSIONNELLES PROTECTION DES DONNÉES PERSONNELLES DROITS SUR LA PROPRIÉTÉ INTELLECTUELLE ET INDUSTRIELLE INTERPRÉTATIONS CONTRACTUELLES ET GARANTIES LIMITE DE GARANTIE LIMITE DE RESPONSABILITÉ INDEMNITÉS DURÉE ET FIN ANTICIPÉE DE VALIDITÉ DE LA PC NOTIFICATIONS INDIVIDUELLES ET COMMUNICATIONS ENTRE LES PARTICIPANTS PC AC Externes-Production Authentification_Serveur_V1.1.doc 4/48

5 9.12 AMENDEMENTS À LA PC DISPOSITIONS CONCERNANT LA RÉSOLUTION DE CONFLITS JURIDICTIONS COMPÉTENTES CONFORMITÉ AUX LÉGISLATIONS ET RÉGLEMENTATIONS DISPOSITIONS DIVERSES AUTRES DISPOSITIONS PC AC Externes-Production Authentification_Serveur_V1.1.doc 5/48

6 1 INTRODUCTION Le présent document constitue la Politique de Certification de l Autorité de Certification de Production des partenaires de Pôle Emploi pour le gabarit «Authentification serveur». L autorité de Certification de Production des partenaires sera désignée dans la suite du document par «l Autorité de Certification» (AC) et se nomme : AC Pole Emploi Externes La structure du présent document est celle retenue par la «PC Type» Authentification du RGS et conformément à la norme RFC Présentation générale Une Politique de Certification (PC) est composée d un ensemble de règles décrivant les conditions de recevabilité d un certificat pour des applications ayant des besoins de sécurité communs. La PC est définie indépendamment des modalités de mise en œuvre de la PKI à laquelle elle s applique. Elle décrit les exigences auxquelles la PKI doit se conformer pour l enregistrement et la validation des demandes de certificats, et pour la gestion du cycle de vie des certificats. Les procédures de certification sont détaillées dans un document appelé Déclaration des Pratiques de Certification (DPC), distinct de la PC, qui décrit comment ces exigences sont atteintes en pratique. Cette PC est donc associée à la DPC de l Autorité de Certification AC Pole Emploi Externes pour le gabarit «Authentification serveur». Contrairement à la PC, la consultation de la DPC n a pas vocation à être publique et doit faire l objet d une autorisation préalable. La gestion du cycle de vie des certificats couvre toutes les opérations relatives au cycle de vie d un certificat, depuis son émission jusqu à la fin de vie de ce certificat. Le but de la présente PC est de fournir aux porteurs de certificats, auditeurs, maîtres d œuvre etc. les informations relatives aux garanties offertes par les certificats, ainsi que les règles d utilisation de ces certificats. PC AC Externes-Production Authentification_Serveur_V1.1.doc 6/48

7 La figure ci-dessous représente le périmètre d application de la PC : Cette PC est conforme au document Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 3674) de l Internet Engineering Task Force (IETF). 1.2 Identification du document La présente PC est dénommée «Politique de Certification - AC Pole Emploi Externes - Authentification serveur» en version 1. L OID de la présente PC en version 1 est : La Politique de certification est régulièrement mise à jour selon les dispositions prévues à la section 9.12 du présent document. Chaque nouvelle version sera numérotée et datée. 1.3 Entités intervenant dans la PKI Autorité de Certification L Autorité de Certification est l autorité à laquelle les Porteurs et les Utilisateurs de certificat font confiance pour émettre et gérer des certificats et des Listes de Certificats Révoqués (LCR). Elle a en charge l'application de la présente Politique de Certification et est identifiée comme telle, en tant qu'émetteur (champ "issuer" du certificat) dans les certificats des Porteurs. L Autorité de Certification est représentée physiquement par le Responsable de l Autorité de Certification. PC AC Externes-Production Authentification_Serveur_V1.1.doc 7/48

8 L Autorité de Certification assure les fonctions suivantes : Gestion de l ensemble de l Infrastructure de Gestion de Clés qu elle a mise en place. Mise en application de la présente PC. Désignation des Administrateurs, Opérateurs, Responsables d enregistrement. Gestion des certificats. Création et publication des LCR. Publication des données de la PKI (chaîne de certification, PC, formulaires de demande ). Journalisation et archivage des évènements et des informations relatives au fonctionnement de l infrastructure. L Autorité de Certification assure ces fonctions directement ou en les sous-traitant, tout ou partie. Dans tous les cas, l Autorité de Certification en garde la responsabilité. Ces opérations sont exécutées par des personnels connaissant et respectant les règles, principes et procédures énoncés dans la Politique de Certification ainsi que dans la Déclaration des Pratiques de Certification Autorité d Enregistrement L Autorité d Enregistrement a pour rôle de vérifier l identité du Correspondant Partenaire demandeur de certificat ainsi que les informations apportées par ce dernier dans le formulaire de demande (ex : complétude de la demande, identité du Responsable d Exploitation Partenaire ). Cette fonction est assurée par un Responsable d AE, rôle porté par le promoteur de l application Pôle emploi. Le promoteur d application s appuie sur les équipes techniques internes de Pôle emploi pour : La vérification de la conformité du fichier de demande de certificat au formulaire et aux exigences de la Politique de Certification La génération du certificat à partir de l Autorité de Certification. Dans le cas d un renouvellement ou d une révocation de certificat, le promoteur de l application Pôle emploi peut se faire assister ou déléguer son rôle à une autre entité de Pôle emploi, qui disposerait d une relation de proximité avec les Partenaires. Toute personne amenée à assumer le rôle d AE est choisie en fonction de sa disponibilité et de sa proximité avec les Correspondants Partenaires. Le formulaire de nomination d AE doit préciser ses engagements à l égard de l AC, et notamment : Qu il doit effectuer correctement et de façon indépendante les contrôles d identité des Correspondants Partenaires, Qu il doit effectuer correctement et de façon indépendante la vérification des informations fournies par les Correspondants Partenaires dans toute demande de certificat, Qu il doit respecter les parties de la PC et de la DPC qui lui incombent. L entité d appartenance de l AE doit signaler à l AC immédiatement, et si possible préalablement, le départ de la personne ou le changement de ses fonctions et, éventuellement, lui désigner un successeur Correspondant Partenaire Le Correspondant Partenaire est le représentant métier de l entité partenaire d appartenance des serveurs ou applications qui doivent accéder aux applications Pôle emploi dans le cadre de leur PC AC Externes-Production Authentification_Serveur_V1.1.doc 8/48

9 métier (ex : Plateforme Site Emploi). Ce correspondant est en relation directe avec le promoteur de l application Pôle emploi. Il est en charge de vérifier la complétude de la demande de certificat, de procéder à la vérification des justificatifs, et de signer le formulaire de demande de certificat. Il transmet une version scannée et signée du formulaire ainsi que le fichier de demande de certificat (CSR) au promoteur d application Responsable d Exploitation Partenaire Tout certificat «Partenaire» demandé et émis dans le cadre des échanges sécurisés avec Pôle emploi, est sous la responsabilité du Responsable d Exploitation en charge du serveur ou de l application s interfaçant avec l application Pôle emploi. Le Responsable d Exploitation est chargé de vérifier que toutes les mesures permettant de garantir la sécurité du certificat sont mises en œuvre. En particulier : Il veille à ce que la diffusion de la partie secrète du certificat (sa clé privée) soit la plus restreinte possible. Il vérifie que le certificat est bien utilisé dans le cadre prévu, qu il n est pas copié et qu il n est pas utilisé par plusieurs applications en parallèle. Le Responsable d Exploitation est également chargé, pour chaque demande de certificat, de compléter le formulaire de demande de certificat et de le remettre au Correspondant Partenaire, accompagné du fichier de demande de certificat Utilisateurs de certificats Dans le cadre de cette PC, un utilisateur de certificats peut-être une application informatique ou un équipement réseau sous la responsabilité d une personne physique (Responsable d Exploitation Partenaire) qui utilise un certificat et un dispositif de vérification d authentification afin de valider l identité de l application Autres participants 1.4 Usage des certificats Domaines d'utilisation applicables Bi-clés et certificats des Applications Les certificats objets de la présente Politique de Certification sont utilisés à des fins d authentification des serveurs ou applications informatiques mais également pour l établissement d une clé de session avec les utilisateurs de certificats. Une clé de session permet le chiffrement des données entre deux parties Bi-clés et certificat d AC et de composantes Domaines d'utilisation interdits Les restrictions d'utilisation des bi-clés et des certificats sont définies au chapitre 4.5 ci-dessous, en fonction du niveau de sécurité. Pôle Emploi décline toute responsabilité dans l usage fait d un certificat dans le cadre d un domaine non mentionnée dans le paragraphe précédent. 1.5 Gestion de la PC Cette PC sera revue périodiquement par Pôle Emploi, notamment pour : PC AC Externes-Production Authentification_Serveur_V1.1.doc 9/48

10 Assurer sa conformité aux normes de sécurité qui référencent les profils de certificats. Mettre à jour la liste des applications concernées par la PC. S adapter aux évolutions technologiques. La périodicité maximale de révision de cette PC est de trois ans. Le tableau ci-dessous indique les différentes versions de cette PC et les principales modifications de ce document par rapport à la version antérieure : Version Date Principales modifications /09/2011 Version première de la Politique de Certification /12/2011 Mise à jour des URL Tableau 1 : Suivi des versions de la Politique de Certification Entité gérant la PC Pôle Emploi est responsable de l élaboration, du suivi et de la modification de la présente PC. A cette fin Pôle Emploi a mis en œuvre une organisation placée sous la responsabilité du RSSI de Pôle Emploi en fonction Point de contact Le Responsable Sécurité des Systèmes d Information (RSSI) de Pôle Emploi est le seul contact habilité vis-à-vis des organisations intérieures ou extérieures à Pôle Emploi. Pôle Emploi À l attention du Responsable Sécurité des Systèmes d Information (RSSI) Terra Nova 1 70 rue de Lagny Montreuil Entité déterminant la conformité d'une DPC avec cette PC La conformité de la Déclaration des Pratiques de Certification à la Politique de Certification est validée par le Comité de Pilotage Sécurité des SI, sous la responsabilité du Responsable Sécurité des Systèmes d Information de Pôle Emploi, sur la base des résultats des contrôles réalisés Procédures d approbation de la conformité de la DPC La conformité de la DPC avec la PC est validée par le Comité de Pilotage Sécurité des SI sur la base du résultat de l audit mené par l entité identifiée en Définitions et acronymes Définitions PC AC Externes-Production Authentification_Serveur_V1.1.doc 10/48

11 Application utilisatrice : service applicatif utilisant les certificats émis par l Autorité de Certification pour des besoins d'authentification, de chiffrement ou de signature du porteur du certificat. Autorité Administrative (AA) : L expression «autorité administrative» employée dans le document doit être comprise dans le sens de l ordonnance [ORD ] c'est-à-dire «les administrations de l État, les collectivités territoriales, les établissements publics à caractère administratif, les organismes gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code rural ou mentionnés aux articles L et L du code du travail et les autres organismes chargés de la gestion d un service public administratif». Autorité de Certification (AC) : désigne à la fois l autorité fonctionnelle responsable du respect des exigences de sécurité et de l application de sa PC, et le service technique utilisé pour la création des certificats et des LCR. Autorité de Certification Racine : une autorité de certification racine (AC Racine) est l autorité responsable de la gestion des certificats électroniques délivrés par la PKI Pôle Emploi tout au long de leur cycle de vie, vis-à-vis des porteurs et des utilisateurs de ces certificats. L AC Racine émet et révoque les certificats des Autorités de Certification (dites AC filles) qu elle fédère sous la forme d une hiérarchie dont elle constitue le sommet (ou la racine, si l on modélise cette hiérarchie sous la forme d un arbre dont les feuilles sont les certificats des utilisateurs finaux). Elle signe elle-même (autosigne) les certificats de ses propres bi-clés de signature. Elle porte la responsabilité de l application de la PC des AA qui l ont mandatée, et des AC Racines qui lui délivrent des certificats dès lors qu elle les utilise. Autorité d Enregistrement : désigne à la fois l entité chargée de la validation des identités des porteurs et du traitement des demandes (enregistrement, retrait, renouvellement, révocation), et le service technique utilisé pour la gestion du cycle de vie des certificats. Autorité d Horodatage : autorité responsable de la gestion de l environnement d horodatage et de la production des jetons d horodatage sur les données qui lui sont présentées afin d attester de l existence de ces données à la date de la marque de temps. Autorité de Recouvrement : autorité qui a pour rôle de séquestrer et de recouvrer les clés des Porteurs de certificat. Bi-clés : une bi-clé est un couple composé d une clé privée (devant être conservée secrète) et d une clé publique, nécessaire à la mise en œuvre d une prestation de cryptographie basée sur des algorithmes asymétriques. Dans le cas des certificats émis par l Autorité de Certification des Internes, les bi-clés assurent les fonctions suivantes : Authentification : bi-clés mono-usage destinés à de l authentification simple. Ils sont stockés sur support logiciel. Authentification forte : bi-clés mono-usage destinées à de l authentification forte. Ils sont stockés sur support matériel. Chiffrement de données : bi-clés mono-usage de chiffrement de données. Ils sont stockés sur support logiciel. Signature électronique : bi-clés mono-usage de signature électronique. Ils sont stockés sur support logiciel. Cérémonie des clés (ou Key Ceremony) : opération pendant laquelle se font la création et l activation des bi-clés des composantes de la PKI, en présence de témoins et éventuellement d un huissier. Certificat : fichier électronique attestant qu une clé publique appartient à l entité qu il identifie (personne physique ou morale ou entité matérielle). Il est délivré par une autorité de confiance : PC AC Externes-Production Authentification_Serveur_V1.1.doc 11/48

12 l Autorité de Certification. En signant le certificat elle valide le lien entre l entité et la bi-clé. Le certificat est valide pendant une durée donnée précisée dans celui-ci. Chaîne de confiance (chaîne de certification) : ensemble ordonné de certificats nécessaires pour valider la filiation d un certificat Porteur. Dans le cas d un certificat «Agent», la chaîne de confiance comprend le certificat de l AC racine «ACR Pole Emploi» et celui de l AC fille «AC Pole Emploi». Common Name (CN) : champ du profil d un certificat contenant une information identifiant le porteur. Compromission : une clé privée est dite compromise, lorsqu elle est connue par d autres personnes que celles habilitées à la mettre en œuvre. Conditions Générales d Utilisation (CGU) : document destiné aux utilisateurs internes de la PKI reformulant de façon simplifiée les politiques et pratiques de certification de celle-ci. Ce document ne remplace pas la Politique de Certification mais permet aux utilisateurs de prendre connaissance et de s engager à respecter les exigences relatives à l utilisation de leurs certificats. Création (d un certificat) : action réalisée au niveau du service de certification technique qui consiste à signer l ensemble des champs contenus dans un certificat. Déclaration des Pratiques de Certification : énoncé des procédures et pratiques appliquées par l AC pour émettre et gérer des certificats. Distinguished Name (DN) : nom distinctif X.500 du Porteur pour lequel le certificat est émis. Données d activation : données privées associées à un Porteur permettant de mettre en œuvre sa clé privée. Émission (d un certificat) : un certificat est émis (ou délivré) lorsqu il a été généré et remis au Porteur. Enregistrement : opération qui consiste pour une Autorité d Enregistrement ou un Mandataire de Certification à constituer le dossier de demande de certificat d un futur Porteur, conformément à sa Politique de Certification. Infrastructure de Gestion de Clés (IGC) : cf. Public Key Infrastructure (PKI) Journaux d exploitation ou d événements : journaux collectant toutes les traces d exécution des traitements, transactions et programmes produites par un système d information (appelés aussi «logs»). Liste de Certificats Révoqués (LCR) : liste des numéros de série des certificats de Porteurs ayant fait l objet d une révocation. Liste d Autorités Révoquées (LAR) : liste des numéros de série des certificats d AC ayant fait l objet d une révocation. Module cryptographique : dispositif matériel, de type HSM ou autre, permettant de protéger les éléments secrets tels que les clés privées ou les données d activation, et de procéder à des calculs cryptographiques mettant en œuvre ces éléments. Object Identifier (OID) : identificateur alphanumérique unique enregistré conformément à la norme d enregistrement ISO pour désigner un objet ou une classe d objets spécifiques. PC AC Externes-Production Authentification_Serveur_V1.1.doc 12/48

13 Politique de Certification (PC) : ensemble de règles définissant les exigences auxquelles chacun des acteurs impliqués se conforme et qui indiquent le niveau de sécurité commun accordé aux certificats. Porteur (de certificat) : personne physique identifiée de façon unique dans le certificat, détentrice de la clé privée associée au certificat. Publication (d une LCR) : opération consistant à mettre à disposition des porteurs et des applications utilisatrices une LCR, afin de leur permettre de vérifier le statut d un certificat. Public Key infrastructure (PKI) : ensemble de composantes, fonctions et procédures dédiées à la gestion des clés et des certificats utilisés par des services de sécurité basés sur la cryptographie asymétrique. Re-génération d un certificat : demande de certificats faisant suite à la révocation d un certificat porteur, qui donne lieu à l émission de nouveaux certificats. De plus, tous les motifs de révocation ne permettent pas la re-génération : une nouvelle demande faisant suite à une révocation pour des motifs de non-respect des conditions d utilisation ou de départ de l utilisateur est traitée comme une demande initiale. Renouvellement (d un certificat) : opération effectuée en fin de période de validité d un certificat et qui consiste à générer un nouveau certificat pour un Porteur. L'émission d'un nouveau certificat après révocation n est pas un renouvellement. Révocation (d un certificat) : opération de mise en opposition par le Porteur, le Mandataire de Certification ou un responsable de l entreprise mandaté à cet effet, une Autorité de Certification ou une Autorité d Enregistrement, dont le résultat est la suppression de la garantie d engagement de l AC sur un certificat donné, avant la fin de sa période de validité. Par exemple, la compromission d une clé doit conduire à la révocation du certificat. L opération de révocation est considérée comme terminée lorsque le numéro de série du certificat à révoquer et la date de révocation sont publiés dans la Liste de Certificats Révoqués (LCR). Signature électronique : une donnée qui résulte de l usage d un procédé répondant aux conditions définies dans le second alinéa de l article du Code Civil. Cryptogramme issu du chiffrement d un condensat de fichier à l aide d une clé privée (le condensat étant obtenu par application d une fonction de codage irréversible sur ledit fichier). Une signature accompagne généralement le fichier qui a été signé et en garantit l intégrité et la non-répudiation par l émetteur. Service de publication : composante de l Infrastructure de gestion de clés chargée de mettre les certificats émis à disposition d'une application utilisatrice pour lui permettre de vérifier une signature ou de chiffrer des informations (ex : annuaire LDAP). Support matériel : support cryptographique matériel de stockage des bi-clés et des certificats des Porteurs. Utilisateur de certificat : un utilisateur de certificats peut-être une application informatique ou un équipement réseau sous la responsabilité d une personne physique (Responsable d Exploitation Partenaire) qui utilise un certificat et un dispositif de vérification d authentification afin de valider l identité de l application. PC AC Externes-Production Authentification_Serveur_V1.1.doc 13/48

14 1.6.2 Acronymes acronyme AC AE ANSSI CN CEN CISSI DN DPC EAL ETSI FIPS HSM IETF IGC ISO LAR LCR OID PC PKCS PIN PKI PRIS PSSI RFC RGS RSA SSL SSI TLS URL Signification Autorité de Certification Autorité d Enregistrement Agence Nationale pour la Sécurité des Systèmes d Information Common Name Comité Européen de Normalisation Commission Interministérielle pour la SSI Distinguished Name Déclaration des Pratiques de Certification Evaluation Assurance Level European Telecommunications Standards Institute Federal Information Processing Standards Hardware Security Module Internet Engineering Task Force Infrastructure à Gestion de Clés International Organization of Standardisation Liste des Autorités Révoqués Liste de Certificats Révoqués Object Identifier Politique de Certification Public Key Cryptography Standards Personal Identification Number Public Key Infrastructure Politique de Référencement Intersectorielle de Sécurité Politique de Sécurité du Système d Information Request For Comment Référentiel Général de Sécurité Rivest Shamir Adelman Secure Sockets Layers Sécurité des Systèmes d Information Transport Layer Security Universal Resource Locator Tableau 2 : Liste des acronymes utilisés. PC AC Externes-Production Authentification_Serveur_V1.1.doc 14/48

15 2 RESPONSABILITES CONCERNANT LA MISE À DISPOSITION DES INFORMATIONS DEVANT ETRE PUBLIEES 2.1 Entités chargées de la mise à disposition des informations L Autorité de Certification s engage à diffuser publiquement à l ensemble des Partenaires les chaînes de certification et les LCR, ainsi que l ensemble des informations relatives à son fonctionnement. L'Autorité de Certification s engage à publier la présente Politique de Certification. 2.2 Informations publiées L AC met à disposition les informations suivantes : La présente Politique de Certification (PC). Les certificats en cours de validité de l AC fille et de l AC Racine (le tout constituant la chaîne de confiance). Les Listes de Certificats Révoqués (LCR ou CRL). Les informations permettant aux utilisateurs de certificats de s assurer de l origine et de l authenticité des certificats de l AC racine (cf. chapitre 6.1.4). Les conditions générales d'utilisation de la PKI (ou procédures de gestion des certificats Partenaires). Les formulaires de demande et de révocation. La PC est publiée sous format électronique et disponible à l adresse suivante : La PC est disponible sous forme imprimée sur simple demande auprès de : Pôle Emploi A l attention du Responsable Sécurité des Systèmes d Information (RSSI) Terra Nova 1 70 rue de Lagny Montreuil Remarque : l OID de la Politique de Certification applicable est indiqué dans les certificats émis. Le certificat en cours de validité de l AC Racine est publié au format électronique à l adresse suivante : Le certificat en cours de validité de l AC Externes est publié au format électronique à l adresse suivante : La Liste des Autorités Révoqués est publiée au format électronique à l adresse suivante : La CRL de l AC Pôle Emploi Externes est publiée à l adresse suivante : Remarque : cette adresse est incluse dans les certificats émis. PC AC Externes-Production Authentification_Serveur_V1.1.doc 15/48

16 2.3 Délais et fréquences de publication Les délais et les fréquences de publication dépendent des informations concernées : Les informations liées à l IGC (nouvelle version de la PC, formulaires, etc.) doivent être publiées dès que nécessaire afin d assurer à tout moment la cohérence entre les informations publiées et les engagements de l AC, sous un délai maximum de 24 heures ouvrées. Les certificats d AC doivent être publiés préalablement à toute diffusion de certificats d application et de LCR correspondantes sous un délai maximum de 24 heures ouvrées. Les informations d état des certificats sont soumises aux exigences du chapitre Les systèmes publiant les informations, hors informations d état des certificats, doivent avoir une disponibilité de 24h/24 7j/7 avec une durée maximale d indisponibilité par panne de 1h et une durée totale maximale d indisponibilité par semaine de 4h. Les systèmes publiant les informations d état des certificats doivent répondre aux exigences du chapitre Contrôle d'accès aux informations publiées L ensemble des informations publiées est en accès libre en lecture. Les opérations d ajout, suppression, ou modification des informations publiées bénéficient de la mise en place d un contrôle d accès fort (authentification et habilitation). Des habilitations spécifiques sont mises en place afin de n'autoriser l'accès en modification à la PC qu'au personnel autorisé. PC AC Externes-Production Authentification_Serveur_V1.1.doc 16/48

17 3 IDENTIFICATION ET AUTHENTIFICATION 3.1 Nommage Types de noms Conformément à la RFC 5280 de l IETF, le champ «Objet» («Subject» en anglais) du certificat constitue le DN («Distinguished Name») de l application au format X.500. Tous les champs du DN détaillés ci-dessous sont au format utf8string La composition du DN est si possible la suivante : CommonName comprenant l adresse IP ou FQDN de l application, OrganizationUnitName avec pour valeur un nom spécifique de l application comme défini cidessous : o o soit un nombre incrémental optionnel, utilisé dans le cas où plusieurs services de même type tournent sur le même serveur ou dans le cas des clusters de serveurs, soit une valeur différenciatrice, indiquant s il s agit d un serveur de test, d homologation ou de production, o Exemple : LDAP-Client-xx LDAP-Serveur-xx Web-Server-xx VPN-Gateway-xx MQSeries-Queue Manager-xx La liste des valeurs du champ OU sera établie par Pôle emploi en fonction de l application. OrganizationUnitName avec pour valeur le numéro SIRET ou SIREN de l entreprise d appartenance de l application précédée de 0002 (par exemple pour Pôle emploi) « », OrganizationName avec pour valeur le nom de l organisme d appartenance du serveur, countryname avec pour valeur le code du pays dans lequel l application est hébergé. Dans certaines circonstances, les deux premières informations peuvent ne pas être disponibles ou être inadaptées. C est notamment le cas lorsque le certificat est destiné à être installé sur une machine dont l adresse IP ou le nom peut varier (cas d une machine cliente mobile). Dans ce cas, elles sont remplacées par les informations suivantes : CommonName comprenant un nom formé de la façon suivante : PARTENAIRE - Utilisation du certificat - Nom de la société (exemple : PARTENAIRE-PSE-POLEEMPLOI), OrganizationUnitName avec un code formé de la façon suivante : Utilisation du certificat environnement d utilisation. (exemple : PSE-PRODUCTION, PSE-RECETTE). Dans tous les cas, la combinaison de ces deux informations doit permettre d identifier le certificat de façon unique Nécessité d utilisation de noms explicites Le champ CN du DN désigne le serveur de manière explicite avec le FQDN contenant le nom du domaine de l application tel qu il figure dans le formulaire de demande Anonymisation ou pseudonymisation des porteurs L anonymisation et la pseudonymisation ne sont pas mises en œuvre. PC AC Externes-Production Authentification_Serveur_V1.1.doc 17/48

18 3.1.4 Règles d interprétation des différentes formes de nom Aucune interprétation particulière n'est à faire des informations portées dans le champ «Objet» des certificats émis. Ces informations sont établies par l Autorité de Certification et reposent essentiellement sur la règle suivante : Les valeurs contenues dans le champ «Subject» sont au format utf8string, i.e. qu ils peuvent contenir tous les caractères supportés par ce format Unicité des noms L unicité d un certificat est établie au sein de l IGC par l unicité de son numéro de série. L unicité de l application est assurée par le champ «Subject» du certificat. Durant toute la vie de l AC, un DN attribué à une application ne peut être utilisé pour l identification d une autre application Identification, authentification et rôle des marques déposées Les noms de marque ne sont pas utilisés. 3.2 Validation initiale de l'identité Méthode pour prouver la possession de la clé privée La clé privée est générée par le Partenaire. Il est de la responsabilité du Correspondant Partenaire (via éventuellement le Responsable Exploitation Partenaire) de conserver la clé privée associée au certificat et la garder en sa possession. La preuve de possession est fournie techniquement par la transmission à l AC d une requête de certificat, ou CSR (Certificate Signing Request), au format PKCS# Validation de l identité d un organisme Un accord doit être signé au préalable entre les 2 parties (Partenaire et Pôle emploi) avant d initier toute demande de certificat Validation de l identité d un individu Enregistrement d un Responsable d AE Le promoteur d application, personne physique et agent de Pôle emploi, est désigné Responsable d AE par un représentant de l AC. Un Responsable d AE suppléant doit être désigné par l AC pour réaliser les tâches du Responsable d AE en son absence Enregistrement d un Correspondant Partenaire La demande initiale de certificat se fait à l initiative du Correspondant Partenaire, qui sollicite le promoteur de l application Pôle emploi pour connaître la procédure de demande de certificat. Le Responsable d AE doit vérifier l identité du Correspondant Partenaire, à l aide des informations renseignées dans le formulaire de demande de certificat (a minima : nom, prénom, courriel, téléphone, entité / société, adresse) et sur la base de l accord qui lie le Partenaire à Pôle emploi Informations non vérifiées du porteur PC AC Externes-Production Authentification_Serveur_V1.1.doc 18/48

19 3.2.5 Validation de l'autorité du demandeur La validation de l autorité du demandeur de certificat à demander un certificat est effectuée en même temps que la validation de l identité de l individu par le Responsable d AE Critères d'interopérabilité 3.3 Identification et validation d'une demande de renouvellement des clés Le renouvellement d un bi-clé d une application entraîne automatiquement la génération et la fourniture d un nouveau certificat. Pour cette raison, la procédure de renouvellement est identique au processus initial. Deux mois avant l expiration du certificat, l entité FSA assiste le Responsable d AE dans cette démarche et contacte le Correspondant Partenaire ou directement le Responsable d Exploitation partenaire pour indiquer que le certificat arrive à expiration. Il vérifie que l accord entre le Partenaire et Pôle emploi est toujours valable, puis envoie un nouveau formulaire (version électronique) à compléter à l instar de la procédure initiale d obtention du certificat Identification et validation pour un renouvellement courant La demande de renouvellement s effectue selon la même procédure que pour la demande initiale Identification et validation pour un renouvellement après révocation Suite à la révocation définitive d un certificat, quelle qu en soit la cause, la demande de renouvellement s effectue selon la même procédure que pour la demande initiale. 3.4 Identification et validation d une demande de révocation La demande de révocation du certificat est à l initiative du Correspondant Partenaire ou du promoteur d application Pôle emploi. Une demande de révocation doit être formulée par l envoi d un courrier électronique à un Responsable d AE. Le Correspondant Partenaire ainsi que le promoteur d application Pôle emploi doivent donner leur accord écrit pour la révocation du certificat. PC AC Externes-Production Authentification_Serveur_V1.1.doc 19/48

20 4 EXIGENCES OPERATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS 4.1 Demande de certificat Origine d'une demande de certificat Une demande de certificat ne peut être transmise au Responsable d AE que par un Correspondant Partenaire, pour lequel il existe un accord signé entre le Partenaire et Pôle emploi. Seuls les Responsables d AE sont par la suite habilités à transmettre les demandes auprès des services techniques de génération de certificats Processus et responsabilités pour l'établissement d'une demande de certificat En plus des informations d identification mentionnées au paragraphe 3.2, le dossier de demande de certificat doit au minimum comprendre : Les informations relatives à l identification de l application interconnectée avec l application Pôle emploi (nom de l application, la description et la valeur des champs qui résident dans le fichier de demande de certificat). L identification du Responsable d Exploitation partenaire (a minima : nom, prénom, courriel, téléphone, entité / société). Le fichier de CSR. Il est recommandé que le courriel du Responsable d Exploitation ne soit pas nominatif mais une adresse pérenne de courrier électronique (BAL commune). Cette adresse sera utilisée au bout de 3 ans par Pôle emploi pour contacter le Responsable d Exploitation et éventuellement réaliser le renouvellement du certificat. Le dossier de demande est établi par le Correspondant Partenaire, à l aide du Responsable d Exploitation partenaire. Il est ensuite remis en version électronique (signé et scanné) au promoteur d application Pôle emploi (Responsable d AE) pour validation de la demande. 4.2 Traitement d'une demande de certificat Exécution des processus d'identification et de validation de la demande À la réception du dossier de demande, le Responsable d AE doit effectuer les opérations suivantes : Valider l identité du demandeur, Vérifier la complétude du dossier (formulaire et fichier CSR), S assurer que les informations renseignées par le Correspondant Partenaire dans le formulaire sont cohérentes, légitimes et valides. Il archive le formulaire. Puis, il transmet le dossier (formulaire et fichier CSR) au Service Technique pour traitement de la demande. Le Service Technique sollicite un Opérateur de l IGC Pôle emploi pour réaliser les opérations. Celui-ci vérifie la conformité du fichier de demande de certificat au formulaire et aux exigences de la Politique de Certification. Si toutes les conditions sont remplies, il effectue les gestes techniques liés à la génération du certificat Acceptation ou rejet de la demande En cas de rejet de la demande de la part du Responsable d AE, celui-ci en informe le Correspondant Partenaire, en justifiant le rejet. PC AC Externes-Production Authentification_Serveur_V1.1.doc 20/48

21 4.2.3 Durée d'établissement du certificat L Autorité de Certification s engage à établir un certificat dans un délai de 5 jours ouvrés à compter de la transmission du dossier de demande par le Responsable d AE. 4.3 Délivrance du certificat Actions de l'ac concernant la délivrance du certificat L Opérateur de l IGC vérifie que les informations contenues dans la CSR sont conformes au formulaire et à la présente PC en matière de longueur des clés cryptographiques et de gabarits de certificats, puis envoie les informations de la CSR à l Autorité de Certification Externes pour signature. Si les données ne sont pas valides, l opérateur en informe le Responsable d AE Notification par l'ac de la délivrance du certificat au porteur Le certificat électronique généré par l Opérateur de l IGC Pôle emploi est envoyé au Responsable d AE, qui le transmet au Responsable d Exploitation partenaire. 4.4 Acceptation du certificat Démarche d'acceptation du certificat Le Responsable d Exploitation partenaire veille à la bonne installation du certificat sur l application cible. Il s assure que le couple (clé privée certificat) est utilisé à bon escient et n est pas copié. Le Correspondant Partenaire est tenu d avertir le Responsable d AE (promoteur d application Pôle emploi ou autre entité qui l assiste dûment identifiée) de tout dysfonctionnement dans les 5 jours ouvrés consécutifs à la réception du certificat, afin qu il soit révoqué et qu un autre puisse lui être fourni. Le Correspondant Partenaire est réputé avoir accepté son certificat lorsque ce délai est dépassé, ou lorsqu il a utilisé son certificat dans le cadre d une application décrite en annexe de cette PC Publication du certificat Notification par l'ac aux autres entités de la délivrance du certificat Le Responsable d AE est informé de la délivrance du certificat. 4.5 Usages de la bi-clé et du certificat Utilisation de la clé privée et du certificat par le porteur L usage autorisé du bi-clés et du certificat associé est précisé dans le certificat lui-même, via les extensions concernant les usages des clés (cf. 7.1). Les certificats numériques de la gamme «Authentification serveur» peuvent être utilisés par des serveurs ou applications appartenant à des partenaires de Pôle emploi dans le cadre : de l authentification des applications échangeant des données par l intermédiaire de Web Services et du chiffrement éventuel des données ainsi échangées, de l authentification des applications au moment de l établissement d une connexion SSL, de l authentification des applications au moment de l établissement d une connexion IPSec. Les Correspondants Partenaires et Responsable d Exploitation partenaire doivent respecter strictement les usages autorisés des bi-clés et des certificats. PC AC Externes-Production Authentification_Serveur_V1.1.doc 21/48

22 4.5.2 Utilisation de la clé publique et du certificat par l'utilisateur du certificat Les utilisateurs de certificats doivent respecter strictement les usages autorisés des bi-clés et des certificats. Dans le cas contraire, la responsabilité de la personne physique responsable peut être engagée. 4.6 Renouvellement d'un certificat Le renouvellement d un certificat correspond à la délivrance d un nouveau certificat. L AC Pôle Emploi exige qu un certificat et son bi-clé ait la même durée de vie ; le renouvellement simple d un certificat (sans renouvellement du bi-clé) est donc interdit Causes possibles de renouvellement d'un certificat Origine d une demande de renouvellement Procédure de traitement d'une demande de renouvellement Notification au porteur de l'établissement du nouveau certificat Démarche d'acceptation du nouveau certificat Publication du nouveau certificat Notification par l'ac aux autres entités de la délivrance du nouveau certificat 4.7 Délivrance d'un nouveau certificat suite à changement de la bi-clé Causes possibles de changement d'une bi-clé La durée de vie d un bi-clé (et par corolaire du certificat) est de trois ans. Au bout de cette période, le bi-clé et le certificat doivent être à nouveau générés. Un bi-clé et son certificat peuvent être aussi renouvelés suite à une révocation (cf. paragraphe 4.9) Origine d une demande d'un nouveau certificat La procédure de renouvellement est identique au processus initial d obtention du certificat. Deux mois avant l expiration du certificat, le Responsable d AE (ou autre entité qui l assiste dûment identifiée) contacte le Correspondant Partenaire ou directement le Responsable d Exploitation partenaire pour indiquer que le certificat arrive à expiration. Il vérifie que l accord entre le Partenaire et Pôle emploi est toujours valable, puis envoie un nouveau formulaire (version électronique) à compléter à l instar de la procédure initiale d obtention du certificat. PC AC Externes-Production Authentification_Serveur_V1.1.doc 22/48

23 4.7.3 Procédure de traitement d'une demande d'un nouveau certificat La procédure de traitement d une demande de renouvellement est identique à celle de demande initiale (paragraphe 4.1.2) Notification au porteur de l'établissement du nouveau certificat Démarche d'acceptation du nouveau certificat La démarche d acceptation du nouveau certificat est identique à celle de la demande initiale (paragraphe 4.4.1) Publication du nouveau certificat Cf. paragraphe Notification par l'ac aux autres entités de la délivrance du nouveau certificat Cf. paragraphe Modification du certificat Causes possibles de modification d'un certificat Tout changement des informations contenues dans un certificat nécessite sa révocation et la génération d un nouveau certificat Origine d une demande de modification d'un certificat Procédure de traitement d'une demande de modification d'un certificat Notification au porteur de l'établissement du certificat modifié Démarche d'acceptation du certificat modifié Publication du certificat modifié Notification par l'ac aux autres entités de la délivrance du certificat modifié 4.9 Révocation et suspension des certificats La Liste d Autorités Révoquées (LAR) est la LCR émise par l AC Racine, comportant la liste des certificats d AC révoqués. PC AC Externes-Production Authentification_Serveur_V1.1.doc 23/48

24 4.9.1 Causes possibles d une révocation Lorsque l'une des circonstances ci-dessous se réalise, le certificat concerné est révoqué, et le numéro de série est alors placé dans la Liste de Certificats Révoqués (CRL). Les circonstances suivantes peuvent être à l origine de la révocation d un certificat de la gamme «Authentification serveur» : Les informations de l application figurant dans son certificat ne sont plus en conformité avec l'identité de l application ou l utilisation prévue dans le certificat (par exemple modification du FQDN de l application), ceci avant l expiration normale du certificat ; La clé privée de l application est suspectée de compromission, est compromise, est perdue ou est volée ; Il a été démontré que le Correspondant Partenaire n a pas respecté les modalités applicables d utilisation du certificat ; Une erreur (intentionnelle ou non) a été détectée dans le dossier d'enregistrement ; Le Correspondant Partenaire demande la révocation du certificat (notamment dans le cas d'une destruction ou altération de la clé privée du serveur et/ou de son support) ; L'arrêt définitif de l application ou la cessation d activité du partenaire, entité de rattachement de l application ; Le certificat de signature de l'autorité de Certification est révoqué (ce qui entraîne la révocation des certificats signés par la clé privée correspondante) Origine d une demande de révocation La révocation d un certificat peut émaner de : Le Correspondant Partenaire à l origine de la demande de certificat. Le Responsable d AE. L AC émettrice du certificat ou l une de ses composantes. La révocation d un certificat d AC ne peut être décidée que par la «Mission Sécurité» de la DSI Procédure de traitement d'une demande de révocation Les exigences d'identification et de validation d'une demande de révocation sont décrites au chapitre 3.4. Les informations suivantes doivent au moins figurer dans la demande de révocation de certificat : La valeur du champ CN (souvent le nom de la machine hébergeant l application) et la valeur du champ OrganizationUnitName utilisés dans le certificat, Les nom et qualité du demandeur de la révocation, La cause de la révocation (optionnellement). Le Responsable d AE transmet la demande de révocation à un Opérateur de l IGC, via les équipes techniques, après l avoir authentifiée, contrôlée et enregistrée. Le certificat est alors révoqué (changement de son statut) et l information est publiée (utilisation de LCR). Le Responsable d AE et le Correspondant Partenaire doivent être informés du bon déroulement de l opération et de la révocation effective du certificat. L opération est enregistrée dans les journaux d événements avec la cause de la révocation si elle a été renseignée Délai accordé au porteur pour formuler la demande de révocation Dès que le Correspondant Partenaire (ou le Responsable d AE) a connaissance qu une des causes possibles de révocation est effective, il doit formuler sa demande de révocation sans délai. PC AC Externes-Production Authentification_Serveur_V1.1.doc 24/48

25 4.9.5 Délai de traitement par l'ac d une demande de révocation La fonction de gestion des révocations est disponible aux heures ouvrées. Cette fonction a une durée maximale d'indisponibilité par interruption de service (panne ou maintenance) de 2 heures pour une indisponibilité mensuelle totale de 16 heures. Toute demande de révocation d'un certificat serveur est traitée dans un délai inférieur à 72 heures, ce délai s'entend entre la réception de la demande de révocation authentifiée et la mise à disposition de l'information de révocation auprès des utilisateurs Exigences de vérification de la révocation par les utilisateurs de certificats Les utilisateurs de certificats sont tenus de vérifier l état d un certificat avant son utilisation Fréquence d'établissement des LCR Les CRL sont générées au maximum toutes les 72 heures. La durée de validité des CRL est de 7 jours Délai maximum de publication d'une LCR Une LCR est publiée dans un délai maximum de 30 minutes suivant sa génération Disponibilité d'un système de vérification en ligne de la révocation et de l'état des certificats Il n y a pas de service OCSP (vérification en ligne de l état de révocation d un certificat) mis en œuvre Exigences de vérification en ligne de la révocation des certificats par les utilisateurs de certificats Autres moyens disponibles d'information sur les révocations Exigences spécifiques en cas de compromission de la clé privée En cas de compromission de la clé privée d une AC, le certificat associé est révoqué immédiatement. L Autorité de Certification notifie les utilisateurs de certificats de la perte de confiance de l Autorité de Certification. En outre, cette information sera éventuellement relayée (en liaison avec Pôle Emploi) par d autres moyens, par exemple, communiqué de presse, publication sur le site institutionnel ainsi que le site réservé aux partenaires Causes possibles d une suspension Aucun mécanisme de suspension n est mis en œuvre Origine d une demande de suspension Procédure de traitement d'une demande de suspension PC AC Externes-Production Authentification_Serveur_V1.1.doc 25/48

26 Limites de la période de suspension d'un certificat 4.10 Fonction d'information sur l'état des certificats Caractéristiques opérationnelles L état des certificats est indiqué dans les LCR dont le profil est défini dans le paragraphe 7.2. Les CRL sont publiées sur un portail web de Pôle emploi réservé aux partenaires : Disponibilité de la fonction Les LCR sont consultables 24h/24 et 7j/7. La durée maximale d indisponibilité à la suite d une panne ou de maintenance est de 4h (heures ouvrées) pour une durée totale maximale par mois de 32h (heures ouvrées) Dispositifs optionnels 4.11 Fin de la relation entre le Responsable de Certificat Application et l'ac En cas de fin de relation contractuelle, hiérarchique ou réglementaire entre l AC et l entité de rattachement de l application, avant la fin de validité du certificat, pour une raison ou pour une autre, ce dernier est révoqué Séquestre de clé et recouvrement Les clés privées des applications ne sont pas séquestrées. Les clés privées de l AC ne sont pas séquestrées Politique et pratiques de recouvrement par séquestre des clés Politique et pratiques de recouvrement par encapsulation des clés de session PC AC Externes-Production Authentification_Serveur_V1.1.doc 26/48

27 5 MESURES DE SECURITE NON TECHNIQUES Les différents contrôles décrits ici visent, par une gestion des risques adéquate, à assurer un niveau de confiance fort dans le fonctionnement de la PKI de Pôle Emploi. 5.1 Mesures de sécurité physique Des contrôles de sécurité physique sont mis en place par l Autorité de Certification et sont détaillés dans la DPC correspondant à cette PC, autour des thèmes suivants : Situation géographique et construction des sites. Contrôles d accès physique. Alimentation électrique et climatisation. Vulnérabilités aux dégâts des eaux. Prévention et protection incendie. Conservation des supports. Mise hors service des supports. Sauvegardes hors site Situation géographique et construction des sites La construction des sites hébergeant les composantes techniques de l Autorité de Certification respecte les règlements et normes en vigueur Accès physique Afin d'éviter toutes pertes, tous dommages et compromissions des ressources de l'autorité de Certification et l'interruption des services, les accès aux locaux des différentes composantes de l'autorité de Certification sont contrôlés. L'accès est strictement limité aux seules personnes autorisées à pénétrer dans les locaux et la traçabilité des accès est assurée. En dehors des heures ouvrables, la sécurité est renforcée par la mise en œuvre de moyens de détection d intrusion physique et logique. Afin d'assurer la disponibilité des systèmes, l'accès aux machines est limité aux seules personnes autorisées à effectuer des opérations nécessitant l'accès physique aux machines Alimentation électrique et climatisation Les caractéristiques des équipements d'alimentation électrique et de climatisation permettent de respecter les conditions d'usage des équipements de l'autorité de Certification telles que fixées par leurs fournisseurs. Elles permettent également de respecter les engagements pris par l'autorité de Certification dans la présente PC, en matière de disponibilité de ses fonctions, notamment les fonctions de gestion des révocations et d'information sur l'état des certificats Vulnérabilité aux dégâts des eaux Les moyens de protection contre les dégâts des eaux permettent à l Autorité de Certification de respecter les engagements qu elle prend dans la présente PC, en matière de disponibilité de leurs fonctions, notamment les fonctions de gestion des révocations et d'information sur l'état des certificats. PC AC Externes-Production Authentification_Serveur_V1.1.doc 27/48

28 5.1.5 Prévention et protection incendie Les moyens de prévention et de lutte contre les incendies permettent à l Autorité de Certification de respecter les engagements qu elle prend dans la présente PC, en matière de disponibilité de ses fonctions, notamment les fonctions de gestion des révocations et d'information sur l'état des certificats Conservation des supports Les supports (papier, disque dur, disquette, CD, etc.) correspondant aux informations intervenant dans les activités de l Autorité de Certification sont traités et conservés conformément aux besoins de sécurité qui leur sont associés Mise hors service des supports En fin de vie, les supports de l Autorité de Certification sont, soit détruits, soit réinitialisés en vue d'une réutilisation, en fonction du niveau de confidentialité des informations correspondantes. Les procédures et moyens de destruction et de réinitialisation sont adaptés à ce niveau de confidentialité Sauvegardes hors site En complément de sauvegardes sur sites, des sauvegardes des applications et des informations liées aux fonctions de gestion des révocations et d information sur l état des certificats sont réalisées hors site. Ces sauvegardes sont organisées de façon à assurer une reprise rapide des fonctions de gestion des révocations et d'information sur l'état des certificats suite à la survenance d'un sinistre ou d un événement affectant gravement et de manière durable la réalisation de ces prestations (destruction du site, etc.). Les sauvegardes et restaurations sont effectuées par des rôles de confiance conformément aux besoins de sécurité qui leur sont associés. 5.2 Mesures de sécurité procédurales Des contrôles des procédures sont mis en place par l Autorité de Certification et sont détaillés dans la DPC correspondant à cette PC, autour des thèmes suivants : Rôles de confiance. Nombre de personnes nécessaires à l exécution des tâches. Identification et authentification des rôles. Rôles nécessitant une séparation des fonctions. 5.3 Mesures de sécurité vis-à-vis du personnel Des contrôles effectués sur le personnel sont mis en place par l Autorité de Certification et sont détaillés dans la DPC correspondant à cette PC, autour des thèmes suivants : Exigences relatives aux qualifications, à l expérience et aux exigences d habilitation. Procédures de vérification des antécédents. Exigences de formation. Fréquence des formations et exigences relatives aux formations. Fréquence et séquence des rotations des fonctions. Sanctions pour les actions non autorisées. Exigences relatives aux prestataires. Documentation fournie au personnel. PC AC Externes-Production Authentification_Serveur_V1.1.doc 28/48

29 5.4 Procédures de constitution des données d'audit L audit ou la journalisation des événements concerne tous les événements ayant trait à la sécurité des systèmes informatiques utilisés. Elle permet de garantir l auditabilité, la traçabilité, l imputabilité ainsi que de s assurer que la séparation des fonctions est effective. Ce système permet également de collecter des preuves et de détecter des anomalies. La journalisation des événements est protégée, sauvegardée, intègre et fait l objet de règles strictes d exploitation. Les actions de journalisation sont détaillées dans la DPC correspondant à cette PC, autour des thèmes suivants : Types d événements journalisés. Fréquence de traitement des journaux. Période de conservation des journaux. Protection des journaux. Procédures de sauvegarde des journaux. Système de collecte des journaux. Notification aux entités à l origine des événements. Évaluation des vulnérabilités. 5.5 Archivage des données L'archivage est réalisé par l'autorité d Enregistrement et l Autorité de Certification dans le but d'assurer la continuité de service, l'auditabilité et la non-répudiation des opérations. Les mesures nécessaires sont mises en place par l'autorité d Enregistrement et l Autorité de Certification afin que ces archives soient disponibles, ré-exploitables, protégées en intégrité et qu'elles fassent l'objet de règles strictes d'exploitation et de protection contre la destruction. L'Autorité de Certification décrit précisément dans ses procédures internes, et notamment la DPC, les points suivants : Types de données à archiver. Période de conservation des archives, dont notamment : o Les PC et DPC successives sont conservées pendant toute la durée du service de l'autorité de Certification. o Les LCR et LAR sont conservées pendant toute la durée du service de l'autorité de Certification. Protection des archives. Procédure de sauvegarde des archives. Exigences d horodatage des données. Système de collecte des archives. Procédures de récupération et de vérification des archives. 5.6 Changement de clé d'ac La période de validité du bi-clé de l AC Racine est de 20 ans. La période de validité du bi-clé des AC filles est de 10 ans. L Autorité de Certification AC Externes ne peut pas générer de certificat dont la date de fin serait postérieure à la date d expiration de son certificat. Pour cette raison, la période de validité du certificat de l Autorité de Certification est supérieure à celle des certificats qu'elle signe (3 ans pour les certificats Porteur). PC AC Externes-Production Authentification_Serveur_V1.1.doc 29/48

30 Fin de validité des certificats de l'ac et du porteur Instant d'émission maximum du certificat du porteur Durée de validité du certificat du porteur Durée de validité du certificat de signature de l'ac Temps Au regard de la date de fin de validité des certificats d Autorité de Certification, leur renouvellement est effectué dans un délai au moins égal à la durée de vie des certificats émis. Dès que la nouvelle bi-clé d une Autorité de Certification est générée, seule la nouvelle clé privée est utilisée pour signer des certificats. Le certificat précédent reste utilisable pour valider les certificats émis sous cette clé et ce jusqu à ce que tous les certificats signés avec la clé privée correspondante aient expiré. 5.7 Reprise suite à compromission et sinistre En cas de compromission ou de sinistre, l ensemble des procédures de reprise et de secours est décrit dans la DPC relative à cette PC, et notamment : Les procédures de remontée et de traitement des incidents et des compromissions. Les procédures de reprise en cas de corruption des ressources informatiques (matériels, logiciels et/ou données). Les procédures de reprise en cas de compromission de la clé privée d'une composante. Les capacités de continuité d'activité suite à un sinistre Procédures de remontée et de traitement des incidents et des compromissions L Autorité de Certification met en œuvre des procédures et des moyens de remontée et de traitement des incidents, notamment au travers de la sensibilisation et de la formation de ses personnels et au travers de l'analyse des différents journaux d'événements. Dans le cas d un incident majeur, tel que la perte, la suspicion de compromission, la compromission, le vol de la clé privée d une AC, l événement déclencheur est la constatation de cet incident au niveau de l Autorité de Certification. Le cas de l incident majeur est impérativement traité dès détection et la publication de l information de révocation du certificat, s il y a lieu, est faite dans la plus grande urgence. Si l'un des algorithmes, ou des paramètres associés, utilisés par l'ac ou ses porteurs devient insuffisant pour son utilisation prévue restante, alors l'ac : Informe tous les porteurs et les tiers utilisateurs de certificats avec lesquels l'ac a passé des accords ou a d'autres formes de relations établies. En complément, cette information est mise à disposition des autres utilisateurs de certificats. Révoque tout certificat concerné Procédures de reprise en cas de corruption des ressources informatiques (matériels, logiciels et / ou données) L Autorité de Certification dispose d'un plan de continuité d'activité permettant de répondre aux exigences de disponibilité des différentes fonctions de la PKI, et des engagements qu elle prend dans la présente PC. Ce plan est testé au minimum une fois tous les trois ans. PC AC Externes-Production Authentification_Serveur_V1.1.doc 30/48

31 5.7.3 Procédures de reprise en cas de compromission de la clé privée d'une composante Le cas de compromission d'une clé d'infrastructure ou de contrôle d'une composante est traité dans le plan de continuité de la composante (cf. paragraphe 5.7.2). Dans le cas de compromission de la clé d une des AC de la PKI, le certificat correspondant est immédiatement révoqué. L AC informera de la compromission les porteurs et toutes les entités avec lesquelles elle a des relations (notamment tiers utilisateurs et autres AC). L AC indiquera que les certificats et les informations de statut de révocation délivrés en utilisant cette clé d AC peuvent ne plus être valables Capacités de continuité d'activité suite à un sinistre L Autorité de Certification dispose des moyens nécessaires permettant d'assurer la continuité de ses activités en conformité avec les exigences de la présente PC (cf. paragraphe 5.7.2). 5.8 Fin de vie de la PKI L Autorité de Certification peut être amenée à cesser son activité ou à la transférer à une autre entité. L AC s engage à couvrir les coûts nécessaires permettant de respecter ces exigences minimales dans le cas où l'ac serait en faillite ou pour d autres raisons serait incapable de couvrir ces coûts par ellemême, ceci, autant que possible, en fonction des contraintes de la législation applicable en matière de faillite. Le transfert d activité est défini comme la fin d activité de l AC et ne comporte pas d incidence sur la validité des certificats émis antérieurement au transfert considéré (AE notamment) et la reprise de cette activité organisée par l AC en collaboration avec la nouvelle entité. La cessation d activité est définie comme la fin d activité d une composante de la PKI et comporte une incidence sur la validité des certificats émis antérieurement à la cessation concernée Transfert d activité ou cessation d activité affectant une composante de la PKI autre que l AC Afin d'assurer un niveau de confiance constant pendant et après de tels événements, l AC : Met en place des procédures dont l'objectif est d'assurer un service constant en particulier en matière d'archivage (notamment, archivage des certificats des Porteurs et des informations relatives aux certificats). Assure la continuité de la révocation (prise en compte d'une demande de révocation et publication des LCR, LAR), conformément aux exigences de disponibilité pour ses fonctions définies dans la présente PC. Dans la mesure où les changements envisagés peuvent avoir des répercussions sur les engagements vis-à-vis des utilisateurs de certificats, l Autorité de Certification les en avise aussitôt que nécessaire et, au plus tard, sous 9 mois. Cette communication traitera les points suivants : Présentation des dispositifs d archivage visant à assurer la continuité de l archivage pendant toute la durée prévue initialement dans la PC. Descriptions et modalités des changements survenus. Estimation de l impact et des conséquences de la cessation ou du transfert d activité. Plan d action visant à supprimer ou réduire le risque pour les applications et la gêne pour les Porteurs et les Utilisateurs. PC AC Externes-Production Authentification_Serveur_V1.1.doc 31/48

32 5.8.2 Cessation d activité affectant l'ac La cessation d activité peut être totale ou partielle (par exemple : cessation d activité pour une famille de certificats donnée seulement). Dans l'hypothèse d'une cessation d'activité totale, l AC ou, en cas d impossibilité, toute entité qui lui serait substituée de par l effet d une loi, d un règlement, d'une décision de justice ou bien d une convention antérieurement conclue avec cette entité, s assure de la révocation des certificats et la publication des LCR conformément aux engagements pris dans sa PC. Lors de la cessation de l activité, l AC : Notifiera les entités affectées. Transfèrera ses obligations à d autres parties. Gèrera le statut de révocation pour les certificats non-expirés qui ont été délivrés. Lors de l arrêt du service, l Autorité de Certification : S interdit de transmettre la clé privée lui ayant permis d émettre des certificats. Prend toutes les mesures nécessaires pour la détruire ou la rendre inopérante. Révoque son certificat. Révoque tous les certificats qu elle a signés et qui seraient encore en cours de validité. Informe tous les Mandataires de Certification et/ou Porteurs des certificats révoqués ou à révoquer, ainsi que leur entité de rattachement le cas échéant. PC AC Externes-Production Authentification_Serveur_V1.1.doc 32/48

33 6 MESURES DE SECURITE TECHNIQUES 6.1 Génération et installation de bi clés Génération des bi-clés Clés d AC La génération des bi-clés des Autorités de Certification techniques (AC racine, AC Internes, AC Externes, AC Applications) se déroule au cours d une cérémonie des clés. Ces bi-clés sont générés directement sur un module cryptographique de type HSM. Les clés privées sont protégées par un système de partage de secrets SHAMIR en «3 parmi 5». Les parts de secrets sont générées lors de la cérémonie des clés. Suite à leur génération, les parts de secret sont remises sur support matériel de type carte à puce aux 5 Porteurs de secret désignés au préalable et habilités à ce rôle de confiance par l'ac. Les cartes à puce auront été préalablement personnalisées pour chacun des porteurs de secret. La cérémonie des clés se déroule en présence de deux personnes ayant un rôle de confiance et en présence de 2 témoins dont l un est extérieur à l AC et impartial. Les témoins attestent, de façon objective et factuelle, du déroulement de la cérémonie par rapport au script préalablement défini Clés porteurs générées par l AC Clés d application générées par le Correspondant Partenaire La génération du bi-clé de l application doit être réalisée sous la responsabilité du Correspondant Partenaire demandeur du certificat. Ainsi, il est de son droit de déléguer l exécution des gestes techniques à la personne de son choix (ex : Responsable d Exploitation partenaire). Après génération, la clé privée de l application doit être protégée en confidentialité Transmission de la clé privée à son propriétaire Cf. chapitre pour les clés privées d AC. Pour les certificats d application, lorsque la clé privée est générée en dehors de l application cible, il est du devoir du Correspondant Partenaire ou du Responsable d Exploitation partenaire de la protéger jusqu à son installation finale. Il doit en particulier veiller à protéger l accès à la clé privée pour éviter toute copie ou utilisation illicite Transmission de la clé publique à l AC La clé publique, générée sur le serveur, est transmise à l AC par l intermédiaire d une CSR. Elle est ainsi protégée en intégrité et contient la preuve de la possession de la clé privée associée Transmission de la clé publique de l AC aux utilisateurs de certificats La clé publique de vérification de signature des AC Pole Emploi Externes est diffusée auprès des utilisateurs par un moyen qui en assure l intégrité de bout en bout, celle-ci étant validée via la signature du certificat par l AC Racine. Le certificat de l AC Racine est fourni aux responsables de chaque AC, qui ont la responsabilité de le diffuser aux responsables d applications utilisatrices par un moyen qui en authentifie l origine. L empreinte du certificat de l AC Racine permet d en établir l authenticité. Les clés publiques de vérification de signature des AC racine et des AC filles ainsi que les informations correspondantes (certificat, empreintes numériques ) peuvent être récupérées en ligne via le portail pole-emploi réservé aux partenaires. PC AC Externes-Production Authentification_Serveur_V1.1.doc 33/48

34 6.1.5 Tailles des clés Les clés des AC sont des clés RSA 2048 bits. Les clés des porteurs sont des clés de 2048 bits. La taille de ces clés sera mise à niveau au fur et à mesure de l évolution de la technique et/ou de la législation. Il est accepté dans certains cas particuliers que la taille de clés, générés dans l environnement du Partenaire, soit de 1024 bits Vérification de la génération des paramètres des bi-clés et de leur qualité L équipement de génération des bi-clés utilise des paramètres respectant les normes de sécurité propres à l algorithme RSA. Le détail est fourni dans la DPC Objectifs d'usage de la clé L utilisation de la clé privée de l AC et du certificat associé est strictement limitée à : La signature de certificats d entités finales ; La signature de listes de certificats révoqués (LCR) ; La signature de certificats des administrateurs de l AC. Les bi-clés des applications doivent être utilisées uniquement dans le cadre des applications autorisées (cf ). 6.2 Mesures de sécurité pour la protection des clés privées et pour les modules cryptographiques Standards et mesures de sécurité pour les modules cryptographiques Module cryptographique de l AC Les modules cryptographiques HSM, utilisés par chaque AC, pour la génération et la mise en œuvre de ses clés de signature, ainsi que pour la génération des clés des AC, sont des modules cryptographiques disposant de cartes PCI qualifiées au minimum au niveau standard et conforme aux exigences du RGS. Ces modules cryptographiques sont certifiés Critères Communs EAL Dispositifs d authentification et de signature des applications Les clés privées, une fois installées sur les serveurs, doivent être protégées par des mécanismes (notamment de contrôle d accès), permettant de : Garantir que la génération du bi-clé de l application est réalisée exclusivement par des utilisateurs autorisés et garantir la robustesse cryptographique des bi-clés générés. Assurer la confidentialité des clés privées des applications lorsqu elles sont sous la responsabilité de l AC et pendant leur transfert Contrôle de la clé privée par plusieurs personnes Le contrôle des clés privées de signature de l AC stockées dans des modules cryptographiques HSM est assuré par un dispositif mettant en œuvre le partage de secrets entre différents conservateurs de secrets. Ces conservateurs de secret sont responsables des secrets qui leur sont remis. Ils en assurent la conservation afin de garantir leur confidentialité, disponibilité, intégrité et traçabilité. Des précisions sont apportées dans la DPC Séquestre de la clé privée Les clés privées des AC racine et de ses AC filles ne sont pas séquestrées. PC AC Externes-Production Authentification_Serveur_V1.1.doc 34/48

35 6.2.4 Copie de secours de la clé privée L AC a l interdiction de réaliser des copies de secours des clés privées des serveurs. Les clés privées des AC racine et de ses AC filles sont dupliquées dans un matériel cryptographique clone de l appareil original. Une sauvegarde chiffrée de ces clés est stockée dans un coffre sécurisé. Cette sauvegarde chiffrées et contrôlées par le système de secrets partagés. Des précisions sont apportées dans la DPC Archivage de la clé privée Les clés privées des AC et des serveurs ne sont pas archivées Transfert de la clé privée vers / depuis le module cryptographique Les clés privées des AC Racine et des AC filles pourront être transférées dans les cas suivants : Test de plan de secours ; Changement de module cryptographique ; Changement de solution logicielle de l AC. Lors du transfert, les clés privées des AC Racine et des AC filles doivent être chiffrées et contrôlées par le système de secrets partagés. Seuls les détenteurs des secrets sont habilités à effectuer ces opérations. Des conditions de sécurité équivalentes à celles mises en place pour la cérémonie des clés initiale devront être mises en œuvre. Il n y a pas d autre type de transfert de clé privée vers / depuis le module cryptographique Stockage de la clé privée dans un module cryptographique La clé privée de l AC est stockée dans un module cryptographique HSM répondant aux exigences du chapitre ci-dessus. L AC garantit que ses clés privées ne sont pas compromises pendant leur stockage ou leur transport Méthode d'activation de la clé privée Clés privées d AC L activation des clés privées des Autorités de Certification est protégée par un système de cartes à microprocesseur. Dans les conditions normales d opérations, seuls les opérateurs ayant un rôle de confiance habilités par l entité responsable de l AC sont autorisés à activer les clés privées grâce au système de cartes à microprocesseur. Ces opérateurs sont au nombre de deux. L activation des clés privées est nécessaire à chaque redémarrage de l AC Clés privées des Applications La clé privée d une application est générée directement sur le serveur et est par la suite protégée par ses mécanismes internes Méthode de désactivation de la clé privée Clés privées d AC La désactivation des clés privées des AC racine et filles est automatique en cas de coupure de l alimentation électrique du module cryptographique HSM hébergeant la clé. PC AC Externes-Production Authentification_Serveur_V1.1.doc 35/48

36 Clés privées des Applications Méthode de destruction des clés privées Clés privées d AC La clé privée d'ac arrivée en fin de vie est systématiquement détruite, ainsi que toute copie et tout élément permettant de la reconstituer Clés privées des Applications En fin de vie de la clé privée d'une application, la clé privée est détruite Niveau d'évaluation sécurité du module cryptographique Se reporter au paragraphe Autres aspects de la gestion des bi-clés Archivage des clés publiques Les clés publiques de l AC sont archivées dans le cadre de l archivage des certificats correspondants (voir paragraphe et 5.5.2) Durées de vie des bi-clés et des certificats Les bi-clés et les certificats des serveurs couverts par la présente PC ont la même durée de vie : 3 ans. La clé de signature et le certificat de l AC Pôle Emploi Externes ont une durée de vie de 10 ans. Le certificat d AC est renouvelé trois ans avant sa fin de validité, afin d avoir une date de fin de validité toujours postérieure à la fin de vie des certificats serveur qu'elle émet. 6.4 Données d activation Génération et installation des données d activation Génération et installation des données d activation correspondant à la clé privée de l AC La génération et l'installation des données d'activation des HSM de la PKI s effectuent lors de la phase d'initialisation et de personnalisation de ce module pendant la cérémonie des clés. Les données d'activation sont transmises de manière à garantir la confidentialité et l'intégrité aux responsables de ces données identifiées et jouant un rôle de confiance Génération et installation des données d activation correspondant à la clé privée de l application Protection des données d activation Protection des données d activation correspondant à la clé privée de l AC Les données d activation générées par l AC pour les modules cryptographiques de la PKI sont protégées en intégrité et en confidentialité jusqu à la remise à leur destinataire. Ce destinataire est responsable de la confidentialité, de l intégrité et de la disponibilité de ces données d activation. PC AC Externes-Production Authentification_Serveur_V1.1.doc 36/48

37 Protection des données d activation correspondant à la clé privée des applications Autres aspects liés aux données d'activation 6.5 Mesures de sécurité des systèmes informatiques Exigences de sécurité technique spécifiques aux systèmes informatiques Les exigences techniques relatives à la sécurité informatique sont détaillées dans la DPC correspondant à cette PC. Le niveau d assurance de la sécurité défini pour les systèmes informatiques de la PKI répond aux objectifs de sécurité suivants : Identification et authentification forte des administrateurs pour l'accès au système (authentification à deux facteurs, de nature physique et/ou logique) ; Gestion des droits des utilisateurs (permettant de mettre en œuvre la politique de contrôle d accès définie par l AC, notamment pour implémenter les principes de moindres privilèges, de contrôles multiples et de séparation des rôles) ; Gestion de sessions d utilisation (déconnexion après un temps d inactivité, accès aux fichiers contrôlé par rôle et nom d utilisateur) ; Protection contre les virus informatiques et toutes formes de logiciels compromettants ou nonautorisés et mises à jour des logiciels ; Gestion des comptes des utilisateurs, notamment la modification et la suppression rapide des droits d'accès ; Protection du réseau contre toute intrusion d'une personne non autorisée ; Protection du réseau afin d'assurer la confidentialité et l'intégrité des données qui y transitent ; Fonctions d audits (non-répudiation et nature des actions effectuées) ; Éventuellement, gestion des reprises sur erreur Niveau de qualification des systèmes informatiques Les modules cryptographiques HSM sont conformes Critères Communs et certifiés EAL4+. Les autres systèmes informatiques respectent la Politique de Sécurité des SI (PSSI) de Pôle Emploi. 6.6 Mesures de sécurité des systèmes durant leur cycle de vie Mesures de sécurité liées au développement des systèmes L implémentation des systèmes permettant de mettre en œuvre les composantes de la PKI est documentée. La configuration de ces systèmes, ainsi que toutes modification et mise à niveau, sont documentées et contrôlées. L AC garantit que les objectifs de sécurité sont définis lors des phases de spécification et de conception. L AC utilise des systèmes et des produits fiables qui sont protégés contre toute modification Mesures liées à la gestion de la sécurité Toute évolution significative d'un système d'une composante de la PKI est signalée à l'ac pour validation. Elle est documentée et apparait dans les procédures de fonctionnement interne de la composante concernée Niveau d'évaluation sécurité du cycle de vie des systèmes PC AC Externes-Production Authentification_Serveur_V1.1.doc 37/48

38 6.7 Mesures de sécurité réseau Les contrôles de sécurité réseau sont détaillés dans la DPC correspondant à cette PC. L interconnexion des composantes de la PKI vers des réseaux externes au réseau local est protégée par des passerelles de sécurité configurées pour n accepter que les protocoles nécessaires au fonctionnement des composantes. Les configurations réseau sont auditées de manière périodique. L Autorité de Certification s'engage à ce que les réseaux utilisés dans le cadre de la PKI fassent l'objet de règles de sécurité informatique correspondant à l'état de l'art en la matière. 6.8 Horodatage / Système de datation Tous les systèmes de Pôle Emploi sont synchronisés entre eux par le protocole NTP (Network Time Protocol) dont la source de référence est l horloge atomique. Cela permet une synchronisation des horloges des composantes de la PKI à la seconde par rapport à une source fiable de temps UTC. PC AC Externes-Production Authentification_Serveur_V1.1.doc 38/48

39 7 PROFILS DES CERTIFICATS, OCSP ET DES LCR 7.1 Profil des certificats Numéro de version Les certificats émis par l AC sont des certificats X.509v3 répondant au [RFC5280]. Attributs de base Les certificats des porteurs respectent le format de base des certificats définis dans la recommandation X.509v3 et incluent au minimum les attributs suivants : Champ Version Valeur La valeur de ce champ doit être «2», indiquant qu il s agit d un certificat version 3. Serial number Numéro de série du certificat. Issuer Validity Subject Ce champ contient le nom de l AC Racine qui a signé et émis le certificat (DN). Le DN se compose de : C = FR O = Pole Emploi OU = CN = AC Pole Emploi Externes NotBefore date de création NotAfter date de création + 3 ans Ce champ contient l identité de l application (DN). Exemple : CN = PARTENAIRE-PSE-POLEEMPLOI OU = PSE-PRODUCTION OU = O = POLE-EMPLOI C = FR Public Key Algorithm rsaencryption subjectpublickey clé publique de 2048 bits (éventuellement 1024 bits dans certains cas) SignatureAlgorithmId Sha1WithRSAEncryption SignatureValue Signature du certificat Extensions du certificat Le tableau ci-dessous présente les extensions qui apparaissent dans les certificats, en précisant le caractère obligatoire de chaque extension (colonne «O» O(ui)N(on)) et sa criticité (colonne «C», O(ui)Non) : PC AC Externes-Production Authentification_Serveur_V1.1.doc 39/48

40 Champ O C Valeur Authority Key Identifier O N Identifiant de la clé publique de l'ac Externes (même valeur que le champ "Subject Key Identifier" du certificat de l AC Externes) 84 c2 aa 21 7c 4f 5f 39 d5 91 9e dd 6d 26 c f 73 eb Subject Key Identifier N N Identifiant de la clé publique de l application (valeur hexadécimale calculée automatiquement) Key usage O O digitalsignature Extended Key usage O N Authentification du serveur OID : certpolicyid : Certificate Policies O N certpolicyqual : URI= CRL Distribution Points O N URI= SubjectAltName N N UniformResourceIdentifier BasicConstraints N N ca : False (valeur par défaut) pathlenconstraint : Aucun (e) 7.2 Profil des LCR Numéro de version Les LCR émises par l AC sont au format X.509v2 répondant au [RFC5280]. Attributs de base Les LCR émises par l AC Pole Emploi Externes contiendront notamment les champs contenus dans le tableau ci-dessous : Champ Version Signature Issuer Valeur V2 Utilisation de l algorithme RSA avec la fonction de hachage SHA-1 (Sha1WithRSAEncryption). Ce champ est identique au champ «Subject» du certificat d AC dont la clé privée est utilisée pour signer la LCR. Le DN se compose de : C = FR PC AC Externes-Production Authentification_Serveur_V1.1.doc 40/48

41 O = Pole Emploi OU = CN = AC Pole Emploi Externes This Update Date d émission de la LCR Next Update revokedcertificates Date d émission de la LCR + 7 jours Pour chaque certificat révoqué : usercertificate : numéro de série du certificat révoqué. revocationdate : date de révocation du certificat. crlentryextensions Extensions de LCR et d entrées de LCR Le tableau ci-dessous présente les extensions qui apparaissent dans les LCR, en précisant le caractère obligatoire de chaque extension (colonne «O» O(ui)N(on) et sa criticité (colonne «C», O(ui)Non)) : Champ O C Valeur Authority Key Identifier O N Identifiant de clé de la clé publique de l AC Pole Emploi Externes (même valeur que le champ «Subject Key Identifier» du certificat de l AC Pole Emploi Externes). CRL Number O N Identifiant de la LCR parmi les LCR émises par l AC. Reason Code N N Indique le motif de la révocation. Ce champ est optionnel. 7.3 Profil OCSP L AC ne fournit pas de service OCSP Numéro de version Extensions OCSP PC AC Externes-Production Authentification_Serveur_V1.1.doc 41/48

42 8 AUDIT DE CONFORMITE ET AUTRES EVALUATIONS Le Comité de Pilotage Sécurité des SI a la responsabilité du bon fonctionnement des composantes de la PKI, conformément aux dispositions énoncées dans le présent document. La PKI se soumet à une vérification de la conformité (audit) qui permet de déterminer si les pratiques réelles de la PKI répondent aux descriptions établies dans la DPC et satisfont aux exigences émises dans la PC. 8.1 Fréquences et / ou circonstances des évaluations L'AC procède à un contrôle de conformité de la PKI suite à toute modification significative. L'AC procède à un contrôle de conformité de l'ensemble de la PKI une fois tous les trois ans. 8.2 Identités / qualifications des évaluateurs Le contrôleur est désigné par le Comité de Pilotage Sécurité des SI selon des critères d expertise dans le domaine de la sécurité informatique et en particulier des IGC. Le contrôleur désigné pourra être une entité d audit externe ou interne à Pôle emploi experte dans le domaine de la sécurité informatique. 8.3 Relations entre évaluateurs et entités évaluées L'équipe d'audit ne doit pas appartenir à l'entité opérant la composante de la PKI contrôlée, quelle que soit cette composante, et être dûment autorisée à pratiquer les contrôles visés. 8.4 Sujets couverts par les évaluations Les contrôles de conformité portent sur une composante de la PKI (contrôles ponctuels) ou sur l ensemble de l architecture de la PKI (contrôles périodiques) et visent à vérifier le respect des engagements et pratiques définies dans la PC de l'ac et dans la DPC qui y répond ainsi que des éléments qui en découlent (procédures opérationnelles, ressources mises en œuvre, etc.). 8.5 Actions prises suite aux conclusions des évaluations Les résultats des audits menés contiennent un avis parmi les suivants : "réussite", "échec", "à confirmer". Selon l avis rendu, les conséquences du contrôle sont les suivantes : En cas d échec, et selon l importance des non-conformités, l'équipe d'audit émet des recommandations à l'ac qui peuvent être la cessation (temporaire ou définitive) d'activité, la révocation du certificat de la composante, la révocation de l ensemble des certificats émis depuis le dernier contrôle positif, etc. Le choix de la mesure à appliquer est effectué par l'ac et doit respecter ses politiques de sécurité internes. En cas de résultat "A confirmer", l'ac remet à la composante un avis précisant sous quel délai les non-conformités doivent être réparées. Puis, un contrôle de «confirmation» permettra de vérifier que tous les points critiques ont bien été résolus. En cas de réussite, l AC confirme à la composante contrôlée la conformité aux exigences de la PC et la DPC. 8.6 Communication des résultats Les résultats sont communiqués au Comité de Pilotage Sécurité des SI qui se charge par la suite de les diffuser aux entités auditées. Étant donné leur niveau de confidentialité, leur publication est limitée et strictement contrôlée. PC AC Externes-Production Authentification_Serveur_V1.1.doc 42/48

43 9 AUTRES PROBLEMATIQUES METIERS ET LEGALES 9.1 Tarifs Tarifs pour la fourniture ou le renouvellement de certificats Tarifs pour accéder aux certificats Tarifs pour accéder aux informations d'état et de révocation des certificats Tarifs pour d'autres services Politique de remboursement 9.2 Responsabilité financière Sans objet a priori Couverture par les assurances Autres ressources Couverture et garantie concernant les entités utilisatrices 9.3 Confidentialité des données professionnelles Périmètre des informations confidentielles Les informations considérées comme confidentielles sont les suivantes : La DPC de l'autorité de Certification. Les clés privées des différentes AC et des applications. Les données d activation associées aux clés privées d'ac et des applications. Tous les secrets de la PKI. Les journaux d événements des composantes de la PKI. Le dossier d enregistrement du Correspondant Partenaire, et notamment les données personnelles. Le dossier d enregistrement du Responsable d AE. Les rapports détaillés des audits de conformité. Les causes de révocations, sauf accord explicite de publication. PC AC Externes-Production Authentification_Serveur_V1.1.doc 43/48

44 9.3.2 Informations hors du périmètre des informations confidentielles Sauf mention explicite, les informations non identifiées au paragraphe ne sont pas considérées comme confidentielles Responsabilités en terme de protection des informations confidentielles L Autorité de Certification respecte la législation et la réglementation en vigueur sur le territoire français. L AC applique des procédures de sécurité pour garantir la confidentialité des informations caractérisées comme telles au 9.3.1, en particulier en ce qui concerne l effacement définitif ou la destruction des supports ayant servi à leur stockage. De plus, lorsque ces données sont échangées, l AC en garantit l intégrité. 9.4 Protection des données personnelles Politique de protection des données personnelles Toute collecte et tout usage de données à caractère personnel par la PKI sont réalisés dans le strict respect de la législation et de la réglementation en vigueur sur le territoire français, en particulier de la Loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés, modifiée par la loi n du 6 août Informations à caractère personnel Les informations considérées comme personnelles sont au moins les suivantes : Le dossier d'enregistrement du Correspondant Partenaire. Le dossier d enregistrement du Responsable d AE Informations à caractère non personnel Sauf mention explicite, les informations non identifiées au paragraphe ne sont pas considérées comme personnelles Responsabilité en termes de protection des données personnelles L Autorité de Certification applique la législation et la réglementation en vigueur sur le territoire français Notification et consentement d'utilisation des données personnelles L Autorité de Certification applique la législation et la réglementation en vigueur sur le territoire français Conditions de divulgation d'informations personnelles aux autorités judiciaires ou administratives L Autorité de Certification applique la législation et la réglementation en vigueur sur le territoire français Autres circonstances de divulgation d'informations personnelles PC AC Externes-Production Authentification_Serveur_V1.1.doc 44/48

45 9.5 Droits sur la propriété intellectuelle et industrielle L Autorité de Certification applique la législation et la réglementation en vigueur sur le territoire français. 9.6 Interprétations contractuelles et garanties Les obligations communes aux composantes de la PKI sont les suivantes : Protéger et garantir l intégrité et la confidentialité des clés privées. N utiliser les clés cryptographiques (publiques, privées et/ou secrètes) qu'aux fins prévues lors de leur émission et avec les outils spécifiés dans les conditions fixées par la présente PC et les documents qui en découlent. Respecter et appliquer la DPC. Se soumettre aux contrôles de conformité effectués par l équipe d'audit mandatée par l'ac (cf. chapitre 8) et l'organisme de qualification. Respecter les accords ou contrats qui la lient aux Correspondants Partenaires. Documenter ses procédures internes de fonctionnement. Mettre en œuvre les moyens (techniques et humains) nécessaires à la réalisation des prestations auxquelles elle s engage dans des conditions garantissant qualité et sécurité Autorités de Certification L'AC a pour obligation de : Pouvoir démontrer aux utilisateurs de ses certificats qu elle a émis un certificat pour une application donnée et que ce certificat a été accepté par le Correspondant Partenaire chargé de son installation, conformément aux exigences du chapitre 4.4 ci-dessus. Tenir à disposition des applications utilisatrices la notification de révocation du certificat d une composante de l Infrastructure de Gestion de Clés ou d une application. Garantir et maintenir la cohérence de la DPC avec sa PC Service d'enregistrement Cf. chapitre Correspondant Partenaire demandeurs de certificats Le Correspondant Partenaire a le devoir de : Communiquer des informations exactes et à jour lors de la demande ou de renouvellement d un certificat. Protéger la clé privée de l application par des moyens appropriés à son environnement. Respecter les conditions d utilisation de sa clé privée et du certificat correspondant. Informer l AC de toute modification concernant les informations contenues dans son certificat. Faire, sans délai, une demande de révocation de son certificat auprès du promoteur de l application Pôle emploi en cas de compromission ou de suspicion de compromission de sa clé privée (ou de ses données d activation) Utilisateurs de certificats Les utilisateurs utilisant les certificats doivent : Vérifier et respecter l usage pour lequel un certificat a été émis. Contrôler que le certificat émis par l AC est référencé pour le service de confiance requis par l application. PC AC Externes-Production Authentification_Serveur_V1.1.doc 45/48

46 Vérifier la signature numérique de l AC émettrice du certificat en parcourant la chaîne de certification jusqu'à l AC racine de celle-ci et contrôler la validité de ce certificat (date de validité, état de révocation). Vérifier et respecter les obligations des utilisateurs de certificats exprimées dans la présente PC. Contrôler la validité des certificats (dates de validité, statut de révocation) Autres participants 9.7 Limite de garantie 9.8 Limite de responsabilité Il est expressément entendu que Pôle Emploi ne saurait être tenue pour responsable ni d un dommage résultant d une faute ou négligence d un Utilisateur de certificat et/ou d un Correspondant Partenaire ni d un dommage causé par un fait extérieur ou un cas de force majeur, notamment en cas de : Utilisation d un certificat pour une autre application que les applications définies dans cette Politique de Certification ; Utilisation d un certificat pour garantir un autre objet que l identité de l application ; Utilisation d un certificat révoqué ; Mauvais modes de conservation de la clé privée du certificat de l application; Utilisation d un certificat au-delà de sa limite de validité ; Non respect des obligations des Correspondants Partenaires définies dans cette PC ; Faits extérieurs à l émission du certificat tel qu une défaillance de l application pour laquelle il peut être utilisé ; Cas de force majeur tels que définis par les tribunaux français. 9.9 Indemnités 9.10 Durée et fin anticipée de validité de la PC Durée de validité Cette PC reste en application au moins jusqu'à la fin de vie du dernier certificat émis au titre de cette PC Fin anticipée de validité En fonction de la nature et de l'importance des évolutions apportées à la PC, le délai de mise en conformité sera arrêté conformément aux modalités prévues par la réglementation en vigueur. De plus, la mise en conformité n'impose pas le renouvellement anticipé des certificats déjà émis, sauf cas exceptionnel lié à la sécurité Effets de la fin de validité et clauses restant applicables PC AC Externes-Production Authentification_Serveur_V1.1.doc 46/48

47 9.11 Notifications individuelles et communications entre les participants En cas de changement de toute nature intervenant dans la composition de la PKI, l AC s engage : Au plus tard un mois avant le début de l opération, à faire valider ce changement au travers d'une expertise technique, afin d'évaluer les impacts sur le niveau de qualité et de sécurité des fonctions de l AC et de ses différentes composantes. Au plus tard un mois après la fin de l opération, à en informer l'organisme de qualification Amendements à la PC Procédures d'amendements L AC contrôle que tout projet de modification de sa PC reste conforme aux exigences de la présente PC et du RGS (anciennement de la PRIS). Si besoin en cas de changement important, l AC se réserve le droit de faire appel à une expertise technique pour en contrôler l impact Mécanisme et période d'information sur les amendements Circonstances selon lesquelles l'oid doit être changé Toute évolution de la PC ayant un impact majeur sur les certificats déjà émis (par exemple, augmentation des exigences de sécurité, qui ne peuvent plus s'appliquer aux certificats déjà émis) se traduit par une évolution de l'oid Dispositions concernant la résolution de conflits 9.14 Juridictions compétentes L Autorité de Certification applique la législation et la réglementation en vigueur sur le territoire français. Les textes applicables sont entre autres : Loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés (Art. L à L du Code Pénal). Loi n du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique. Décret du 30 mars 2001, pris pour application de l article du code civil et relatif à la signature électronique. Décret n du 18 avril 2002 relatif à l évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l information. Arrêté du 28 février 2003 portant nomination au Comité Directeur de la certification en sécurité des technologies de l information. Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de service de qualification électronique et à l accréditation des organismes qui procèdent à leur évaluation Conformité aux législations et réglementations Se reporter au paragraphe PC AC Externes-Production Authentification_Serveur_V1.1.doc 47/48

48 9.16 Dispositions diverses Accord global Transfert d activités Cf. chapitre Conséquences d une clause non valide Sans objet Application et renonciation Force majeure Sont considérés comme cas de force majeure tous ceux habituellement retenus par les tribunaux français, notamment le cas d'un évènement irrésistible, insurmontable et imprévisible Autres dispositions PC AC Externes-Production Authentification_Serveur_V1.1.doc 48/48