Certification électronique et E-Services 24 Avril 2011 C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y
E-Gouvernement E-Business L avènement des NTIC favorise la dématérialisation des transactions Les NTIC permettent d envisager la dématérialisation de nombreuses transactions sous réserve qu elles puissent se faire dans un cadre garantissant la confiance numérique B2C B2B Commerce en ligne Banque en ligne E-Procurement Contractualisation en ligne Il s agit donc de pouvoir garantir les 4 piliers de la confiance numérique : Confiance numérique G2B Paiement des impôts / taxes en ligne Création d entreprise en ligne G2C E-santé (dossier médical ) E-ID 2
L ICP (Infrastructure à Clés Publiques) ou PKI (Public Key Infrastructure) est la seule technologie à couvrir l ensemble des pré requis à la confiance numérique Mots de passe Tokens Systèmes biométriques Cryptographie symétrique Cryptographie asymétrique ICP ou PKI Authentification simple Authentification forte (2 facteurs) Confidentialité Intégrité Nonrépudiation 3
La mise en place d une solution de certification électronique suppose la définition d une architecture fonctionnelle La PKI offre généralement 6 fonctionnalités majeures réparties entre 2 à 5 acteurs, selon le modèle d implémentation retenu par le pays concerné Enregistrem ent Certification Génération de clés Recouvrem ent des clés Enregistrement du nom et des informations de l utilisateur Validation des informations en accord avec les pratiques de certification Délivrance d un certificat après validation des informations d enregistrement Génération de la paire de clés du propriétaire Archivage de manière sécurisée des clés, et récupération en cas de perte APC (Autorité de Politique de Certification) Définit la politique de certification Délivre les agréments RAC (Autorité de Certification Racine) Plus haut niveau de certification dans le cas de plusieurs AC AC (Autorité de Certification) Signe & délivre les certificats Veille à appliquer la politique de certification Mise à jour des clés Remplacement d une clé après expiration ou compromission AE (Autorité d Enregistrement) Collecte, vérifie et transmet les justificatifs fournis par l utilisateur Révocation Ajout d une entrée dans le LCR (Liste des Certificats Révoqués), consultable par des tiers. Ex: cas d un employé qui quitte une entreprise OC (Opérateur de Certification) Délivre les certificats Gère leur cycle de vie 4
Le contexte national conditionne le modèle d implémentation de l initiative de PKI au niveau d un pays Cadre réglementaire APC RAC AC AE OC E-Transaction Act Loi sur les e- Transactions Secteur public : NCDC Secteur privé : les OC M. Intérieur: citoyens M. Commerce: entreprises M. TIC: administrations Entreprises: secteur privé E-Signature Act E-Government Act Ministère de l Administration Publique et de la sécurité Secteur public GCMA* Secteur privé Loi sur le commerce et les échanges électroniques FSCEs (Fournisseurs de Services de Certification Electronique *Government Certification Management Authority 5
Le Maroc a défini un modèle adapté à son contexte local, et s est doté des moyens juridiques pour l encadrer Les transactions en ligne émergent au Maroc 1 362 017 abonnés à internet selon le baromètre 2010 de l ANRT +100 000 transactions e-commerce en 2009 pour un volume de 107 millions de MAD Un programme ambitieux de dématérialisation des services publics (création d entreprise, demande d état civil, dématérialisation de la commande publique ) La banque en ligne commence à être proposée (Société Générale, AttijariWafaBank, Banque Populaire ) Le Maroc conçoit de fait un modèle pragmatique et adapté au contexte Cadre réglementaire APC RAC AC AE OC Loi 53-05 Décret n 2-08-518 Prestataire de Service de Certification Electronique L ANRT s engage dans une phase d implémentation du modèle 6
ILLUSTRATION Processus d accréditation en Corée Démarche Critères d évaluation Candidat Demande d agrément Délivrance d agrément MOPAS Réception du dossier Revue du dossier Évaluation du dossier Évaluation & décision Rapport d évaluation Délégation d évaluation Capacité financière Capital > 8 M $ Moyens humains Nb de ressources dédiées aux opérations de l entité accréditée > 12 personnes Infrastructures & équipements Enregistrement d usager, gestion des clés & certificats, infrastructures d hébergement de la plateforme PKI Conformité à la politique de certification KISA Évaluation du dossier 7
Notre expérience multiple sur la mise en place de PKI national nous a permis d en cerner les facteurs clés de succès L engagement national Le modèle d affaire Le développement de l usage 8
Tout d abord, l engagement de l Etat permet de stimuler le marché Description Illustrations 1 En régulant & structurant le marché 2 En rassurant l usager Définition du modèle & de la politique de certification nationale Mise en place du cadre juridique Mise en place de règles & mécanismes d accréditation Audits réguliers des Opérateurs Par les actions de régulation Par les actions de promotion & de sensibilisation vis-à-vis des usagers En Tunisie, l ANCE organise des séminaires de promotion et de sensibilisation à la certification électronique DanID conçoit des Videos de promotions à destination des usagers danois 3 En participant à l équation économique En imaginant des mécanismes de partage des coûts En proposant un mécanisme d incitation financière Subvention des PSCEs (Corée pour les 1ères années) 9
Ensuite, une approche centrée sur l usager permet de développer l usage L usager doit être placé au centre des préoccupations marketing Produit Prix Promotion Placement Une offre de service riche Services publiques E-banking E-paiement Favoriser les produits à usage récurrent Authentification e- banking Trouver le bon compromis entre sécurité et simplicité du parcours client Logiciel (Danemark) Smart Card (Arabie Saoudite) Smart Card + USB Token (Belgique, Tunisie) Préférer une approche où le citoyen ne paye pas En Arabie Saoudite et au Danemark, les entreprises et administrations payent les certificats, mais pas les citoyens La Corée est en train de réfléchir à rendre gratuits les certificats pour les citoyens En Corée, de nombreux séminaires de promotion, sensibilisation des stickers, ou affiches pédagogique pour éduquer l usager Inclusion des certificats racines dans les browsers web (IE, Firefox, Opera ) En Tunisie, un réseau de distribution public est en place Au Danemark, distribution en s appuyant sur le réseau d agences bancaires Ces bonnes pratiques contribuent à l adoption de l usager 10
Enfin, la convergence vers un modèle d affaire équitable favorise la pérennité du marché Conception Production Distribution Cadre réglementaire Définition de la politique PKI Accréditation Audits Infrastructures PKI (plateformes, supports ) Génération des certificats Gestion du cycle de vie des certificats Archivage & horodatage Réseau de distribution (B2B & B2C) Promotion Quel acteur pour quelles responsabilités? Et quels investissements? Quels revenus? Par quelles sources (entreprises, citoyens )? Quel partage de revenus sur l ensemble des acteurs de la chaîne de la valeur? 11
Références Devoteam 12
Devoteam Consulting a une expérience éprouvée dans le domaine des PKI, couplée à une réelle connaissance du secteur TIC au Maroc Une expérience éprouvée dans le domaine des PKI nationales couplée à une réelle connaissance du contexte du secteur TIC marocain Tant pour des pays leaders sur les classements e-readiness Tant pour le secteur public Accompagnement programme e-gouvernement Plans de continuité informatique du Ministère de l économie et des finances que pour des pays émergeants que pour le secteur privé Marketing stratégique pour des opérateurs télécom Plans de continuité d activité et schémas directeurs télécom pour des banques / assurances ainsi qu une expérience réelle dans le domaine des études générales Analyses et plans stratégiques dans le domaine des TIC (innovation, télécom ) 13
Au Danemark, Devoteam est un acteur de référence sur le conseil en PKI Ministère des Sciences, Technologies et Développement DanID (initiative d un groupement bancaire danois) Contact client : Head of Centre for digital signature, Palle H Sørensen, phs@itst.dk, + 45 3545 0255 Missions: 2000: Conception d une alternative à la solution existante de certification électronique pour l e- Gouvernement 2000: Proof of concept de certificats basés sur un logiciel 2001: Design des Autorités de Certification, Autorités d Enregistrement et modèle de distribution, ainsi que la politique de certification Contact client : CEO, Johnny Bennedsen, DanID jsb@pbs.dk, +45 2948 2408 Missions: 2007: conseil stratégique pour DanID 2007-2009: conseil en sécurité et PKI 2008: étude de faisabilité pour un terminal OTP (2 facteurs) 2009: étude de marché sur la 2ème génération de supports OTP 2009: Développement de l awareness (promotion) sur la 2ème génération des PKI au Danemark 14
Centre National de certification électronique Arabie Saoudite Audit du projet de mise en place d une Autorité de Certification Racine LOGO Contexte Le Ministère de la Communication et des Technologies de l Information saoudien a lancé une initiative de mise en place d une agence en charge de réguler le marché de la certification électronique (NCDC) Le NCDC héberge, gère et opère l autorité de certification racine du royaume, et hébergera aussi un centre de services partagés pour les autorités de certification des opérateurs de certification publics (Ministère de l intérieur, Ministère du commerce, Ministère des Technologies de l information Objectifs Approche Devoteam Revue de l ensemble des livrables de conception et d implémentation du projet Assurance qualité tout le long du projet Audit du projet de mise en place de l autorité de certification racine Organisation du projet Résultats Contact client : Fahad A. AlHoymany NCDC Director/ MCIT Livrables d audit. 15
Ministère de l intérieur République Tchèque Benchmark international pour l évaluation de projets e- Gouvernement Objectifs Approche Devoteam Constituer une documentation permettant l évaluation de projets e- Gouvernement sur la base d expériences internationales sur le périmètre suivant : Carte d identité électronique et autres moyens d identification électronique, PKI nationales Infrastructures de Communication Inter Administrations Publiques Registres centraux et interopérabilité Data mailboxes Solutions d archivage électronique Benchmark international Réalisation d un cadre méthodologique d évaluation Résultats Cadre méthodologique d évaluation. 16
Centre National de certification électronique Arabie Saoudite Audit du processus de Génération de Clés LOGO Contexte Le Ministère de la Communication et des Technologies de l Information saoudien a lancé une initiative de mise en place d une agence en charge de réguler le marché de la certification électronique (NCDC) Le NCDC héberge, gère et opère l autorité de certification racine du royaume, et hébergera aussi un centre de services partagés pour les autorités de certification des opérateurs de certification publics (Ministère de l intérieur, Ministère du commerce, Ministère des Technologies de l information Objectifs Approche Devoteam Revue de l ensemble des livrables du processus pour les différents acteurs à auditer (ACR, AC, AE ) Audit du processus de génération de clés pour: L autorité de certification racine Les autorités de certification du gouvernement Les autorités d enregistrement Organisation du projet Résultats Contact client : Fahad A. AlHoymany NCDC Director/ MCIT Livrables d audit. 17
Ministère des Technologies de la Communication Tunisie Elaboration de la stratégie nationale TIC Contexte Approche Devoteam Intervention dans le cadre d une mise à jour de la stratégie E- Gouvernement et du développement de standards et de spécifications pour plusieurs niveaux technologiques liés à l environnement E-Gouvernement en général Objectifs Analyse de l existant TIC tunisien (y compris sur les aspects de certification électronique) Analyse du marché TIC mondial Analyse des besoins TIC Elaboration d un benchmark sur les bonnes pratiques en termes d initiatives et de mesures pour développer le secteur TIC (8 pays) Détermination de la vision et des objectifs TIC de la Tunisie Elaboration de la stratégie nationale TIC Organisation du projet Résultats Elaboration de la stratégie et du plan d actions 2010-2016 Contact client : Raouf Chekir (raouf.chekir@email.ati.tn) 18
Ministère de l industrie, du commerce et des nouvelles technologies Maroc Définition et mise en œuvre du programme E-Gouvernement Contexte Approche Devoteam Intervention dans le cadre programme E-Gouvernement du plan Maroc Numeric Portefeuille de 89 projets répartis sur 23 ministères & établissements publics Objectifs Conception et mise en place d un PMO Assistance à l élaboration de la feuille de route des projets phares du programme Différentes assistances, notamment à l ANRT dans le cadre de la relecture du CPS concernant la subvention d un PSCE envisagée par le CGSUT Conception et mise en œuvre d un plan de communication pour le programme Structurer le programme ainsi que son organisation Mettre en œuvre la gouvernance du programme Assister les différents porteurs de projets Résultats Feuilles de routes Plan de vol pour le programme Plan de communication Assistances 19