Sécurité informatique et sécurité juridique Intervenants: Arnaud Belleil FNTC & Directeur Associe de Cecurity.com Hervé Schauer FNTC & Président HSC 3 juillet 2007
Une organisation professionnelle 2 La F.N.T.C. = fédération professionnelle Créée sous l égide du CSOEC, du CNG, de la CNH et d un groupe formé des principales sociétés offrant des prestations de services dans le domaine des documents dématérialisés auxquels se sont joints des experts et des associations reconnus dans le domaine des échanges et de la sécurisation des documents électroniques. Parmi les objectifs de la F.N.T.C. : la représentation de la profession des Tiers de Confiance; l animation d une réflexion permanente permettant de proposer et promouvoir des normes et standards pour améliorer l efficacité et la sécurité des services ; la promotion de l éthique professionnelle ainsi que de la qualité et la pérennité des services rendus ; la définition d un référentiel de qualité de service permettant de décerner un label aux membres de la Fédération répondant aux conditions d attribution;
Sécurité informatique et sécurité juridique 3 Un texte fondateur : Loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique Sous certaines conditions, le document nativement électronique à la même valeur juridique que le document papier La preuve : le domaine de la sécurité juridique Contentieux Contrôles De la sécurité juridique Tous droits à la réservés sécurité 2007 FNTC économique
Le document numérique comme preuve 4 Qui? Identification/authentification : certificat & signature électronique Quand? Horodatage Quoi? Intégrité : calcul d empreintes Pour qui? Confidentialité : chiffrement
Le document numérique comme preuve 5 Qui? Identification/authentification : certificat & signature électronique Quand? Horodatage Quoi? Intégrité : calcul d empreintes Pour qui? Confidentialité : chiffrement
Horodatage : introduction 6 Le groupe de travail flux de la FNTC a réalisé un guide de recommendations sur l'horodatage Principes, exigences juridiques et techniques Horodatage est aussi appellé contremarque de temps Lors de la signature d'un document, il faut compléter cette signature de la date de signature Il faut aussi pour celà un format de document de confiance : XML N'utilisez pas de formats donc le contenu est dynamique donc avec une apparence modifiable dans le temps : Word, PDF Horodatage est une signature électronique de la date Prolonge la durée de vie d'une preuve au-delà de la durée de vie du certificat
Horodatage : applications 7 Preuve de date Photo d'un radar Archivage électronique Savoir si une signature était valide à une date du passé Conservation de la liste de certificats révoqués à une date du passé Absence de preuve de date peut provoquer des conflits
Cycle de vie d'une preuve 8 Déposant / Requérant Entité(s) de traitement Autorité de Gestion des Preuves Vérificateur Besoin de preuve Formalisation Données techniques Génération de la preuve Preuve Conservation Maintien Demande de vérification Réponse Oui / Non / Incomplet
Autorité de Gestion de Preuves 9 Vérificateur Autorité de Gestion des Preuves Service d'enregistrement des déposants Service de Vérification de preuve Service de Génération de la preuve Service de fourniture de la preuve aux requérants Politique de Gestion des Preuves Service de conservation, de maintien et de restitution des éléments de preuve Opérateur d archivage Opérateur de Service D horodatage
Processus d'horodatage 10 Utilisateur A Ce message peut avoir été signé selon la nature de la procédure d émission Prestataire de service Message de A de confiance vers B 12 Autorité d Horodatage Condensat signé et horodaté Utilisateur B P roduit un condensat et le signe Archivage des condensats Condensat signé horodaté Condensat signé et horodaté Mécanisme d horodatage simple Capsule d horodatage du condensat Condensat du message A
Service de preuve de date 11 Un horodatage est parfois complexe à conserver dans le temps Il demande une regénération régulière pour rester vérifiable dans le temps La preuve peut être établie par une convention entre les parties La preuve peut être établie par un tiers spécialisé dans ce service Lors de la signature du document, le service ajoute une contremarque de temps Il est généralement plus facile de faire appel à un tiers spécialisé
Sécurité des document et sécurité de l organisme producteur 12 Préservation de l indépendance vis-à-vis des technologies L interopérabilité La réversibilité La gestion des migrations Migrations de supports et migrations de formats pour l archivage électronique
Mise en conformité réglementaire 13 Univers technique de la sécurité informatique et univers réglementaire de la sécurité juridique Des cultures à interconnecter Ex : sauvegarde, stockage et archivage Des convergences à travailler Un mariage de raison inéluctable
Conformité ou compliance? 14 Les DSI doivent avoir conscience qu il n y a pas d un côté des lois américaines qui seraient impératives en France et de l autre des loi françaises/européennes qui seraient décoratives La conformité, ce n est pas tout garder, tout tracer ; c est aussi détruire Loi Informatique et Libertés, durée de conservation des données à caractère personnel et droit à l oubli
Merci de votre attention 15 www.fntc.org FNTC Fédération Nationale des Tiers de Confiance 153 rue de Courcelles 75017 Paris France