PLATEFORME MUTUALISÉE DE SIGNATURE ÉLECTRONIQUE

Documents pareils
Plateforme mutualisée de signature électronique

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

Signature électronique 3.0 Le futur est déjà présent Petit-déjeuner débat du 29 janvier 2014

28/06/2013, : MPKIG034,

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Autorité de Certification OTU

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Outiller le Brevet informatique et internet. SERIA Rennes - projets nationaux Octobre 2011

Du 03 au 07 Février 2014 Tunis (Tunisie)

DATE D'APPLICATION Octobre 2008

GEFI Notice utilisateurs Modules : WEBCOR et WEBDOC

Cadre de Référence de la Sécurité des Systèmes d Information

POLITIQUE DE CERTIFICATION. Autorité de certification «CERTEUROPE ADVANCED CA V3»

Politique de Certification - AC SG TS 2 ETOILES Signature

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

SOMMAIRE. Page 2 sur 8

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

LA DEMATERIALISATION DES FACTURES : LA NOUVELLE EQUATION FE = EDI + (I+P)2

Tout savoir sur : La dématérialisation de documents à valeur légale

SIECLE. Comptes Parents

GESTION ÉLECTRONIQUE des FORMALITÉS INTERNATIONALES

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

TRANSPORT ET LOGISTIQUE :

POLITIQUE DE CERTIFICATION AC RACINE JUSTICE

DOSSIER DE PRESENTATION

Un nouvel État territorial

Autorité de Certification OTU

Améliorer l efficacité de votre fonction RH

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

«Echanges et apport d expertise autour du Projet GALENA» Mardi 26 mai à 9h00

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

AVIS D APPEL PUBLIC A LA CONCURRENCE VILLE DE FAGNIERES

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

RECTORATC / AC

ossier rchitecture echnique

Politique de Certification de l'ac "ALMERYS SIGNATURE AND AUTHENTICATION CA NC" Référentiel : Sous-Référentiel : Référence : Statut :

MEMENTO Version

Comment formaliser une offre Cloud Computing vendable?

FORMATIONS De ploiement des PKI dans les entreprises Technologie VPN IPSEC Se curiser un syste me Unix ou Linux

Charte de fonctionnement du portail Géocharente

Connaître les Menaces d Insécurité du Système d Information

ACHAT ET LIVRAISON DE FOURNITURES DE BUREAU ET CONSOMMABLES INFORMATIQUES

Yourcegid Fiscalité On Demand

Manuel d utilisation du logiciel Signexpert Paraph

Vers l excellence dans les services publics wallons

Rapport technique n 8 :

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

GUIDE OEA. Guide OEA. opérateur

CONTRAT D ABONNEMENT AU SERVICE DE SIGNATURE ÉLECTRONIQUE CERTIMETIERSARTISANAT CONDITIONS PARTICULIÈRES (Version 3.1)

RÉGIME DE PRÉVOYANCE OBLIGATOIRE

VILLE DE MIOS Service Commande publique Place du XI Novembre MIOS

Ministère de l intérieur

LE référentiel des métiers

PERFECTIONNEMENT ENTRETIEN COMMERCIAL : INTEGRER LA PRESTATION SERVICES RH A SON ARGUMENTAIRE

Dématérialisation des factures du Secteur Public. la solution mutualisée CPP2017

Politique de Référencement Intersectorielle de Sécurité (PRIS)

CHARTE D UTILISATION DE GÉOANJOU : PLATEFORME MUTUALISEE POUR LE PARTAGE

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

MARCHE PUBLIC DE PRESTATIONS INTELLECTUELLES

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

CONVENTION DE PRESTATIONS INTEGREES POUR L UTILISATION DES OUTILS DE DEMATERIALISATION

Des systèmes d information partagés pour des parcours de santé performants en Ile-de-France.

Certification électronique et E-Services. 24 Avril 2011

Au Bureau d'assistance judiciaire de la Cour de cassation, en application des articles 644 et suivants du Code judiciaire,

POLITIQUE DE CERTIFICATION DE L'AC KEYNECTIS SSL RGS * (authentification serveur) Date : 12/08/2011

AGEFOS PME Nord Picardie Appel à propositions MutEco Numérique Picardie

LE CHAMP D APPLICATION

IT au service de l entreprenariat: la croissance par l innovation

CONDITIONS PARTICULIERES SITE BUILDER

Optimiser votre relation client via la souscription 100% numérique

CRI-IUT 2004 Le Creusot. Introduction aux Espaces Numériques de Travail d après Alain Mayeur JRES 2003 de Lille

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

Copyright Agirc-Arrco Mars QUESTIONS pour comprendre le Système d Information Retraite Complémentaire (SI-RC)

Yourcegid Consolidation On Demand

ASSURANCE MALADIE OBLIGATOIRE DE BASE

DSI Le pragmatisme ne tue pas l Architecture Claire Mayaux Pascal Pozzobon 23 septembre 2010

Dans un contexte économique difficile, comment exploiter tout le potentiel d'un assistant virtuel en ligne? Odile BEURIER & Frédéric DURKA

MARCHÉ PRESTATIONS N P

Services de Confiance numérique en Entreprise Conférence EPITA 27 octobre 2008

Commune de QUINT FONSEGRIVES 31130

CONVENTION BGFIONLINE Conditions Générales

RECHERCHER ACCÉDER PROTÉGER. Solutions professionnelles pour la protection et l exploitation sécurisée des données informatiques

Règlement de la Consultation

PKI PKI IGC IGC. Sécurité des RO. Partie 4. Certificats : pourquoi?

LISTE DES PRESTATAIRES DE CERTIFICATION ÉLECTRONIQUE QUALIFIÉS ET DES OID DES PC AUDITÉES

Règlement : Compétition du Film d Entreprise du Festival des Étoiles & des Ailes.

ENVOLE 1.5. Calendrier Envole

1 Questions générales PDF et PAdES Archivage Visualisation Signature DSS en tant que service...

Cahier des charges. Achat de bornes interactives pour la Maison de l Environnement de Nice

AVIS DE VACANCE DE POSTE DE SAPEURS-POMPIERS VOLONTAIRES SAISONNIERS AU CORPS DEPARTEMENTAL DU GARD

Les dates des épreuves orales sont laissées à l appréciation de mesdames et messieurs les Recteurs

INNOVATION & SUPPLY CHAIN Quelques problématiques sur lesquelles la supply chain peut et doit innover et être créatrice de valeur

La gestion électronique de l information et des documents entreprise. Présentation

Déploiement national de la carte d achat au CNRS

Transcription:

PLATEFORME MUTUALISÉE DE SIGNATURE ÉLECTRONIQUE Conclusion d une étude juridico-technique 11 décembre 2013 emmanuelle.prevost@recherche.gouv.fr

Problématique / Contexte? Pourquoi vouloir faire des signatures électroniques au ministère? Qu est-ce que la signature? => Valeur juridique => Fiabilité Par quel moyen technique peut-on signer simplement? => peu coûteux, => facile à déployer, => pour tous les groupes d usagers Comment doter les applications du SI de fonction de signature? Comment choisir le bon niveau de signature, adapté pour chaque usage et chaque usager de la signature (l exemple Dem Act)?

Origine du besoin Rationaliser => Simplification (processus, procédures) => Optimisation (échanges, flux, suppression de «bruits») => Alignement stratégique et organisationnel Moderniser => Augmenter la qualité des services rendus => Enrichir la diversité des services offerts aux usagers Dématérialisation entamée il y a 15 ans Sécuriser et offrir des garanties dans les échanges devenus électroniques => Authentification => traçabilité => authenticité et valeur juridique Économie d échelle => gain de productivité et enrichissement à coûts constants

Enjeu de la signature électronique Moins onéreux en terme de consommation papier Plus accessible et susciter de l adhésion des différentes parties prenantes => même niveau de service pour tous => gare à la fracture numérique Confiance? => transparence et sécurisation, => valeur juridique identique entre document numérique et document papier comment transformer la signature d un document papier? => offrir des garanties contre : falsification, détournement Modifier les textes légaux (réglementaires, etc.) de manière à maintenir la réponse au besoin de signature lors du passage au tout numérique?

Qu est ce qu un Acte, et qu est ce qui garanti sa valeur? Un acte modifie ou affecte la situation des ses destinataires, ou l ordre juridique Un acte est exécutoire, décisoire ou faisant grief Ne sont pas considérés comme acte - documents relevants de mesures d ordre intérieur - motion ne donnant pas lieu à délibération - rapport - note de service Est considéré comme acte les délibérations d un CA formalisées Conditions de forme et de fond : Mentions : - Signature de l auteur de l acte - son nom, son prénom - sa qualité Transmission et publication Doit être publié ou notifié pour être exécutoire : - Acte «non transmissible» : immédiat - Acte «transmissible» : après transmission à l AC Qu implique la dématérialisation des actes?

Plate-forme mutualisée de signature électronique : Services offerts (non exhaustifs) Signature de documents soumis => à la demande de façon récurrente => à la demande de façon ponctuelle => via une application cliente Selon le besoin de synchronisation et/ou le besoin maîtrise du flux => via un parapheur => via un web service Selon le besoin du niveau d homologation et au regard du risque de contentieux => authentification forte, exemple carte à puce physique ou clef cryptographique, => authentification renforcée, exemple clef OTP => autre : QR code Selon la nature des documents soumis et au regard du risque de contentieux => Signature à la volée / génération de certificat éphémère => Carte à puce virtuelle

Quelle signature à mettre en œuvre sur la plateforme? Scannée, Digitale, Numérique = NON => Pas de lien avec le document signé => Pas de prestataire de confiance Cachet électronique = OUI => Dérivé de la signature électronique => Identité Machine/Institution => Pas d existence juridique, pas de jurisprudence, mais existence RGS => Utilisation? -> Accusés de réception Électronique simple et électronique sécurisée = OUI => Fonction cryptographique => Scelle l acte et l identité du signataire => Signature électronique simple pour une homologation de niveau RGS une * => Signature électronique sécurisée pour bénéficier de la présomption de fiabilité du procédé de signature

Nécessité de la fiabilité de la signature électronique La signature électronique «présumée fiable» protège les acteurs => La fiabilité de ce procédé est présumée, jusqu à preuve du contraire Article 4 de la loi 2000-230 du 13 mars 2000 La preuve de la non-fiabilité du procédé de signature est à la charge du contestataire Présomption de fiabilité => Signature électronique sécurisée utilisant : => Dispositif sécurisé de création de signature (procédé de génération du bi clé de signature et sa mise en œuvre pour signer un condensat de document) => Certificat qualifié => Utilisation de systèmes et de produits garantissant la sécurité technique et cryptographique des fonctions assurées. CONCLUSION : Rendue possible par les textes de lois depuis mars 2000, la signature électronique est devenue aujourd hui une nécessité

Exemple : Application cliente de gestion électronique de processus et dématérialisation des Actes en EPLE : Dem Act Différents types d accès : => via le réseau Agriates / Racine pour les personnels de l éducation nationale (instruction, pas fonctions sensibles) => via une authentification renforcée pour les signataires, en plus du réseau privé (accès aux fonctions sensibles) => via une clef OTP pour tout extérieur (Collectivité Locale, Préfecture ) Exigences fonctionnelles : => Documents générés au format PDF => Signature : incorporée au document, signalé par un visuel imprimable et interactif (montrant l identité et qualités du signataire, et donnant accès au code) => Vérification de signature : au sein et hors application => Apposition de signature : déclenchée au sein du processus électronique, à distance Exigences de sécurité : => RIEN sur poste client (parc non maitrisé) : ni client lourd/clef crypto., ni magasin de certificat => TOUT se passe de serveur à serveur (au sein de flux et parc maitrisé) => PAS DE SORTIE du document soumis à signature tant que le processus n est pas terminé éviter interception et modification entre déclenchement et apposition - ni via le poste client (application de signature / certificat de personne par un procédé local (clef crypto., magasin ) - ni via un système de traitement différé sur la plateforme (par de dépôt dans un parapheur ) => Homologation RGS souhaitée = une étoile ou analogue, avec certificat de personne préalablement enregistrée. CONCLUSION : BESOIN DU SERVICE «carte à puce virtuelle»

Proposition de mise en œuvre organisationnelle et technique de la carte à puce virtuelle en vue d une conformité RGS * HSM émission de certificats 3c IGC Autorité d'enregistrement Unité rattachement de l'acteur Autorité X, ("Plateforme mutualisée de (ex Académie X, Ministère...) signature électronique") 2b CSR générée dans le HSM de X Stockage/séquestre pour preuves sans connexion avec l'extérieure 3b Confirmation de disponibilité d un certificat de signature pour le porteur Confirmation de disponibilité de la fonction de signature pour le porteur Demande de génération de bi-clef avec dossier Dossier : Identité + Authentification (OTP,SMS,PWD ) + Rôle, périmètre d'usage + Duree de vie... 1b 3b 4a 4a 3a 2b 2a cérémonie Mise a disposition Demande de certificat de signature 3a 5a prépration carte à puce virtuelle Certificat généré dans le HSM de l IGC 1a 4b HSM autorité X Carte à puces virtuelles 6a Modalités usage de la carte à puce virtuelle Déclencehe ments de signature 6a Demande carte à puce virtuelle 1a 5a Acteur

Premiers services offerts sur la plateforme et avenir de la plateforme Carte à puce virtuelle, une solution d avenir (besoin de création d une autorité X) => Analysée en profondeur pour offrir une réponse aux besoins de Dem Act en 2014 => A privilégier pour : - applications de dématérialisation des circuits / chaînes de validations impliquant la création d actes - nécessitant un besoin de sécurité équivalent au RGS une étoile, et - nécessitant une logistique modérée et maitrisée en dépit des diversités de populations et parcs - demandes récurrentes Signature à la volée / génération de certificat éphémère (besoin de création d une autorité X) => Analyse complémentaire sur les contraintes et la portée juridique à prévoir => A privilégier pour : - applications visant des documents non considérés comme des actes - demandes ponctuelles et/ ou demandes hors application «Carte à puce virtuelle» et «Signature à la volée / génération de certificat éphémère» = Complémentaires Compléments d analyse (organisationnel / impact et portée juridique) nécessaires pour : => Signature à la volée (conflit de notions : «à la volée» et «enregistrement préalable») => Les autres services

Les moyens de mise en œuvre Applications métiers Applications financières Applications RH Garantie d intégrité et d origine d un document transmis à un tiers Signature exigée par un cadre légal ou réglementaire Signature «d usage» Conservation d originaux signés électronique Protection de données sensibles,,, Socle de confiance mutualisé Mise en place d un socle technique mutualisé proposant des services aux applications Cadre d accompagnement des équipes métiers et MOA Adaptation des articulations IGC / autorité X (nouvelle autorité administrative) sans lien direct : => pour la mise en place de carte à puce virtuelle, alternative du support physique pour les actes à fort risque de contentieux, => en réponse aux contraintes RGS, => avec nécessité d arbitrage par le SG, et saisie de l ANSI.

Plateforme mutualisée de signature éléctronique => plateforme mutualisée de confiance Utilisateurs MEN-MESR Autorités locales d enregistrement MEN-MESR IGC Applications métier Dem Act, LSNL,.. Fonctions de Confiance AE AC HSM

A retenir : mise en œuvre de la carte à puce virtuelle PLATEFORME MUTUALISÉE DE SIGNATURE ÉLECTRONIQUE Travaux réalisés sur la base d une étude menée avec le concours du cabinet ALAIN BENSOUSSAN AVOCATS et de la société Demaeter Merci Piste pour respecter l annexe A8 VI 1.2 du RGS : Carte à puce virtuelle = => stockée dans un HSM dédié à son utilisation, hébergé à distance, au sein d'une autorité administrative X, différente de l IGC. => placée sous le contrôle exclusif de l'utilisateur, par opération de déclenchement à distance Remise des modalités d'accès et d'utilisation = même circuit que celui actuellement en vigueur pour les cartes à puce physiques. Aucun lien direct entre IGC (émission/création) et l autorité administrative X qu est la plateforme (contrôle d accès et utilisation) Dispositif transitoire à étudier... Du point de vue de la sécurité, la signature électronique par carte à puce virtuelle est un excellent compromis approprié à l'application Dem'Act. Du point de vue de la conformité au RGS, cela nécessite une dérogation devant être validée par la commission d'homologation RGS, et auprès de l ANSI.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back