Conditions générales d utilisation du service FranceConnect par les fournisseurs de services

Documents pareils
27 mars Sécurité ECNi. Présentation de la démarche sécurité

Organisation de la Cyberse curite. E ric Jaeger, ANSSI/SDE/CFSSI Journe e SPECIF-Campus du 7 novembre 2014, CNAM, Paris

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

L Agence nationale de la sécurité des systèmes d information

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Référentiel Général de Sécurité

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Sécurité des systèmes informatiques Introduction

L analyse de risques avec MEHARI

Gestion du risque numérique

Note technique. Recommandations relatives à l administration sécurisée des systèmes d information

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Prestations d audit et de conseil 2015

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

Guide Pratique Règles pour les dispositifs connectés d un Système d Information de Santé

INSTRUCTION INTERMINISTÉRIELLE

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

Projet Sécurité des SI

Politique de sécurité de l information

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

dans un contexte d infogérance J-François MAHE Gie GIPS

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

PASSI Un label d exigence et de confiance?

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Panorama général des normes et outils d audit. François VERGEZ AFAI

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

Note technique. Recommandations de sécurité relatives aux ordiphones

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

CHARTE WIFI ET INTERNET

AUDIT CONSEIL CERT FORMATION

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

Indicateur et tableau de bord

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES

7 avril 2009 Le chiffrement des équipements nomades : les clefs du succès

Fiche de poste. Ingénieur systèmes Microsoft. Auteur : Pascal GUY Paris, le 16 mai 2011

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

A propos de la sécurité des environnements virtuels

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Les principes de la sécurité

Gestion des Incidents SSI

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Sécurité des Systèmes d Information

CAHIER DES CLAUSES TECHNIQUES

CHARTE INFORMATIQUE LGL

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

Systèmes et réseaux d information et de communication

Bonnes pratiques en SSI. Présentation OzSSI - CDG 54 1

La sécurité applicative

INDICATIONS DE CORRECTION

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

politique de la France en matière de cybersécurité

Stratégie nationale en matière de cyber sécurité

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

L hygiène informatique en entreprise Quelques recommandations simples

Créer un tableau de bord SSI

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Contrat d'hébergement application ERP/CRM - Dolihosting

SOMMAIRE Thématique : Sécurité des systèmes d'information

Guide pratique spécifique pour la mise en place d un accès Wifi

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

GUIDE PRATIQUE. Sécurité des Données à Caractère Personnel

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Table des matières GUIDE D HYGIÈNE INFORMATIQUE

CERT! OSIRIS! Présentation du CERT OSIRIS!! Guilhem Borghesi, Magali Daujat, Marc Herrmann!

Rapport de certification

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Division Espace et Programmes Interarméeses. État tat-major des armées

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

PLATE- FORME MUTUALISEE DE SERVICES DIFFERENCIES POUR USAGES D ETABLISSEMENTS D ENSEIGNEMENT SUPERIEUR ET DE RECHERCHE ET APPLICATIONS METIER

Note technique. Recommandations de sécurité relatives aux mots de passe

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Protocoles cryptographiques

Recommandations sur le Cloud computing

Montrer que la gestion des risques en sécurité de l information est liée au métier

Défense et sécurité des systèmes d information Stratégie de la France

Transcription:

Direction interministérielle du numérique et des systèmes d information et de communication Conditions générales d utilisation du service FranceConnect par les fournisseurs de services 9 Avril 2016

Table des matières 1. Objet de la présente annexe... 3 2. Engagements du fournisseur de services... 4 2.1. Exigences de sécurité relatives au protocole OpenID Connect... 4 2.2. Veille et sensibilisation... 4 2.3. Recommandations globales quant à l implémentation sécurisée des services numériques... 5 3. Engagements de franceconnect... 6 3.1. Conformité réglementaire... 6 3.2. Mesures de sécurité... 6 3.3. Gestion des incidents... 6 4. Glossaire... 7 5. Liste des annexes... 8 PM/SGMAP/DINSIC 2 / 9 Mars 2016

1. OBJET DE LA PRESENTE ANNEXE La présente annexe a pour objet de décrire les exigences et recommandations de sécurité relatives aux échanges entre FranceConnect et les fournisseurs de services, tous deux désignés comme les Parties dans la suite du document. Elle rappelle en outre les engagements attendus en matière de protection des données à caractère personnel, de confidentialité et de respect du Référentiel Général de Sécurité (RGS). Elle s inscrit en complément des conditions générales d utilisation du service FranceConnect et ne saurait être prise isolément. PM/SGMAP/DINSIC 3 / 9 Mars 2016

2. ENGAGEMENTS DU FOURNISSEUR DE SERVICES Les obligations en matière de sécurité et de confidentialité des données à caractère personnel le cas échéant devront être répercutées aux éventuels prestataires ou sous-traitants des Parties ayant accès à ces données dans le cadre de l administration, la maintenance et l exploitation de FranceConnect Particulier Sphère Publique. Il appartient au Fournisseur de services de mettre en œuvre les mesures techniques et d organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment dans le cadre de la transmission de ces données au travers d un réseau non sécurisé, ainsi que contre toute autre forme de traitement illicite 2.1. Exigences de sécurité relatives au protocole OpenID Connect Le Fournisseur de services met en œuvre les mesures de sécurité techniques et organisationnelles nécessaires afin d assurer, sur son périmètre : La non divulgation des données fonctionnelles et techniques échangées dans le cadre du protocole à un tiers non autorisé, la mise en place de mesures prévenir leur fuite en cas d intrusion, la confidentialité et l intégrité des secrets échangés (mots de passe, clés cryptographiques). Le Fournisseur de services répond par ailleurs aux exigences suivantes : Mettre en œuvre les mesures de sécurité nécessaires afin d assurer le stockage sécurisé du client secret et du client Open Id Connect, valider systématiquement toutes les données en entrée, si possible par l utilisation de listes blanches, pour empêcher par exemple leur manipulation en insérant des caractères spécifiques. En particulier : vérifier le format des jetons d autorisation et d accès (token_id), vérifier le paramètre nonce du jeton d accès. Ce dernier est rendu obligatoire lors de l appel à FranceConnect afin d éviter le rejeu des requêtes, vérifier la date d expiration du jeton d accès, vérifier le nom de domaine du serveur retourné avec celui utilisé pour l appel serveur à serveur (appel FS <->FD). 2.2. Veille et sensibilisation Le Fournisseur de services met en œuvre sur son périmètre une veille avancée afin de détecter les velléités d attaque cyber criminelles sur les services en lien avec FranceConnect. En cas d attaque, il s engage à alerter FranceConnect et l ensemble des partenaires de la chaîne de sécurité. Le Fournisseur de services forme et sensibilise les acteurs sous son autorité à la sécurité et aux enjeux de FranceConnect (notamment développeurs et à la cible agents utilisant FC). PM/SGMAP/DINSIC 4 / 9 Mars 2016

2.3. Recommandations globales quant à l implémentation sécurisée des services numériques Il est recommandé au Fournisseur de services de s appuyer sur les recommandations ANSSI pour la sécurisation des applications web (Note technique No DAT-NT-009/ANSSI/SDE/NP), en particulier : Appliquer les principes de défense en profondeur aux architectures logicielles et matérielles des applications. La mise en œuvre de ses principes par des mesures adéquates est à étudier dès l étape de conception, au vu des risques et menaces auxquels sera exposée l application, sécuriser le processus d administration via des protocoles sécurisés et restreindre les tâches d administration aux seuls postes d administration dûment authentifiés et habilités, appliquer le principe du moindre privilège à l ensemble des éléments du système («tout ce qui n est pas autorisé explicitement est par défaut interdit»), contrôler systématiquement les données en entrée des requêtes, qu elles soient fonctionnelles ou techniques et quel que soit leur provenance. PM/SGMAP/DINSIC 5 / 9 Mars 2016

3. ENGAGEMENTS DE FRANCECONNECT 3.1. Conformité réglementaire Le service FranceConnect a fait l objet d une déclaration auprès de la CNIL (Délibération 2015-254 du 16 juillet 2015). Parallèlement, une démarche d homologation de sécurité a été engagée par la DINSIC. 3.2. Mesures de sécurité FranceConnect met en œuvre les mesures de sécurité techniques et organisationnelles appropriées afin de protéger les données traitées et stockées dans le cadre du service, et ce au regard des objectifs de sécurité identifiés suite à l analyse des risques de sécurité. Ces mesures concernent en particulier : Le contrôle systématique de tous les paramètres en entrée des requêtes afin de réduire le risque d injection. FranceConnect met en œuvre des mécanismes de blocage des clients en cas d échecs répétés afin d éviter les attaques par force brute. Cette mesure peut aller jusqu à la déconnexion d un fournisseur en cas de menace critique, la robustesse des secrets, leur stockage et leur transmission sécurisés ainsi que leur renouvellement régulier de manière générale : l application des principes de défense en profondeur, notamment en matière de gestion des droits d accès aux différents composants du système (reverse proxies, serveurs d application et de données etc.). 3.3. Gestion des incidents FranceConnect offre aux fournisseurs de service un support en cas d incident, qui s appuie sur un processus décrit dans l annexe iv - qualité de service et chaîne de support. * * * PM/SGMAP/DINSIC 6 / 9 Mars 2016

4. GLOSSAIRE ANSSI CNIL DINSIC FC FI FS PSSI RGS SSI Agence Nationale de la Sécurité des Systèmes d Information Commission Nationale de l Informatique et des Libertés Direction Interministérielle du Numérique et des Systèmes d Information et de Communication FranceConnect Fournisseur d Identité Fournisseur de services Politique de Sécurité des Systèmes d Information Référentiel Général de Sécurité Sécurité des Systèmes d Information PM/SGMAP/DINSIC 7 / 9 Mars 2016

5. LISTE DES ANNEXES Annexe i - Annexe technique - Raccordement / Processus d implémentation de FranceConnect par le fournisseur de services Annexe ii - Annexe technique - Échange de données entre le fournisseur de services et FranceConnect Annexe iii - Annexe sécurité (le présent document) Annexe iv - Annexe qualité de service et chaîne de support PM/SGMAP/DINSIC 8 / 9 Mars 2016

Direction interministérielle du numérique et des systèmes d information et de communication Tour Mirabeau 39-43 quai André Citroën - 75015 Paris www.franceconnect.gouv.fr PM/SGMAP/DINSIC 9 / 9 Mars 2016

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back