CONSEIL SUPERIEUR DU NOTARIAT AUTORITE DE CERTIFICATION NOTAIRES POLITIQUE DE CERTIFICATION POUR CERTIFICATS DE CLASSES 0 ET 3 VERSION : 1.

Documents pareils
Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

Autorité de Certification OTU

DATE D'APPLICATION Octobre 2008

28/06/2013, : MPKIG034,

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

POLITIQUE DE CERTIFICATION AC RACINE JUSTICE

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

Politique de Certification - AC SG TS 2 ETOILES Signature

POLITIQUE DE CERTIFICATION. Autorité de certification «CERTEUROPE ADVANCED CA V3»

Politique de Certification de l'ac "ALMERYS SIGNATURE AND AUTHENTICATION CA NC" Référentiel : Sous-Référentiel : Référence : Statut :

LEGALBOX SA. - Politique de Certification -

CONTRAT D ABONNEMENT AU SERVICE DE SIGNATURE ÉLECTRONIQUE CERTIMETIERSARTISANAT CONDITIONS PARTICULIÈRES (Version 3.1)

Cadre de Référence de la Sécurité des Systèmes d Information

POLITIQUE DE CERTIFICATION DE L'AC KEYNECTIS SSL RGS * (authentification serveur) Date : 12/08/2011

Politique de Certification

POLITIQUE DE CERTIFICATION DE L AC : Crédit Agricole Cards and Payments

POLITIQUE DE CERTIFICATION DE L AC : Crédit Agricole Cards and Payments

Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1

CERTEUROPE ADVANCED V4 Politique de Certification V1.0 Diffusion publique

Autorité de Certification OTU

(VERSION 2.9 POUR AVIS)

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Certificats Numériques Personnels RGS et/ou ETSI

Certificats OpenTrust SSL RGS et ETSI

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

MANUEL D UTILISATION DE LA SALLE DES MARCHES APPEL D OFFRES OUVERT ACCES ENTREPRISES. Version 8.2

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Définition d une ICP et de ses acteurs

V 8.2. Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com.

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Autorité de Certification SG TS 2 ETOILES

CONDITIONS GENERALES VENTE

Architectures PKI. Sébastien VARRETTE

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Gestion des Clés Publiques (PKI)

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

Contrat d Utilisateurs de la carte REAL et des Certificats

LE CHAMP D APPLICATION

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Politique de Certication. Certigna ID PRIS Pro

LES PROCEDURES DE LA POLITIQUE D ARCHIVAGE

Fourniture et livraison de kits de prélèvement sanguin et de fiches en liasses autocopiantes COMMUN AUX DEUX LOTS

SGS ICS - CONDITIONS GÉNÉRALES POUR LES SERVICES DE CERTIFICATION

Politique de certification et procédures de l autorité de certification CNRS

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Cahier des Clauses Techniques Particulières

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

MEMENTO Version

Public Key Infrastructure (PKI)

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

CONVENTION INDIVIDUELLE D HABILITATION. «Expert en automobile indépendant» (convention complète)

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Citizen CA Énoncé des pratiques de Certification

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Signature électronique. Romain Kolb 31/10/2008

Déclaration des Pratiques de Certification Isabel

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» CONVENTION DE PRESTATIONS

CHARTE DU CORRESPONDANT MODELE TYPE

CHARTE D UTILISATION DE GÉOANJOU : PLATEFORME MUTUALISEE POUR LE PARTAGE

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Du 03 au 07 Février 2014 Tunis (Tunisie)

CONDITIONS GENERALES DES BOITES POSTALES 1. DEFINITIONS

Règlement de la Consultation

CONTRAT DE MAINTENANCE INTERcom

Conditions d'utilisation de la plateforme Défi papiers

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

CONDITIONS GENERALES DE VENTE PRODUITS & SERVICES SPGO HIGH TEC

La sécurité des Réseaux Partie 7 PKI

Stage d application à l INSA de Rouen. Découvrir la PKI.

Conditions générales d intervention du CSTB pour la délivrance des certificats de marquage CE

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

LABÉO Manche dont l adresse est sis avenue de Paris CS SAINT-LO Cedex. Ci-après dénommé «LABÉO Manche» D une part

Activité : Élaboration, mise en forme et renseignement de documents

ACCORD DE SOUS-LICENCE ET DE CERTIFICATION

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES

POLITIQUE DE CERTIFICATION OPENTRUST SERVICES ELECTRONIQUES DE CERTIFICATION CDS

CONTRAT DE LICENCE D UTILISATION DU LOGICIEL MORPH M SOUS LA FORME MORPH M PYTHON

Identification : ERDF-FOR-CF_41E Version : V1 Nombre de pages : 8. Document(s) associé(s) et annexe(s)

Conditions Générales d Utilisation

Règlement Internet Banking. Helpdesk Internet Banking: ou

CONDITONS GENERALES D UTILISATION

N OBJET : CONVENTION D ADHESION AU SERVICE D ARCHIVAGE DU DEPARTEMENT DE LA MARNE

MARCHE DE PRESTATION DE SERVICES DE NETTOYAGE DES AUTORAILS CAHIER DES CLAUSES ADMINISTRATIVES PARTICULIERES

Conditions Générales de Vente de Webncie

CONTRAT DE SOUSCRIPTION OFFRE PUSH-CLASSIQUE

CONTRAT DE PRESTATIONS DE SERVICES EN INGENIERIE INFORMATIQUE

Conditions générales d achats - Telespazio France - version du 16/12/2013 1

Certification électronique et E-Services. 24 Avril 2011

MARCHE N MARCHE A PROCEDURE ADAPTEE RELATIF AU NETTOYAGE DU GYMNASE D AMBLAINVILLE CAHIER DES CLAUSES TECHNIQUES PARTICULIERES CCTP

Transcription:

CONSEIL SUPERIEUR DU NOTARIAT AUTORITE DE CERTIFICATION NOTAIRES POLITIQUE DE CERTIFICATION POUR CERTIFICATS DE CLASSES 0 ET 3 VERSION : 1.0 DATE : 02/04/2002 OID de la PC AC Notaires : 1.2.250.78.2.1.X

Autorité de Certification REAL HISTORIQUE DU DOCUMENT Date Etape Version Nature de la modification 01.2002 Création 0.0 04.2002 Validation 1.0 DOCUMENTS DE REFERENCE Renvoi Version Date Titre du document / Référence [DECRET_31_01] 30.03.2001 Décret n 2001-272 du 30 mars 2001 relatif à la signature électronique [EU_99_93] 13.12.1999 Directive Européenne n 1999/93/CE sur un cadre communautaire pour les signatures électroniques [LOI_78-17] 06.01.1978 Loi relative à l informatique, aux fichiers et aux libertés [LOI_90_1170] 26.07.1996 Article 28 de la loi n 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications modifié par l article 17 de la loi n 96-659 du 26 juillet 1996. [LSQ] 15.11.2001 Articles 29 à 31 de la loi n 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne [PC_2] 2.2 22.01.2001 Procédures et politiques de certification de clés [PC AC REAL] 3.0 04.2002 AC REAL [RFC 2459] 01.1999 Internet X.509 Public Key Infrastructure Certificate and CRL Profile [RFC 2527] 03.1999 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework Réf : PC AC Notaires - 20020403 - v1.0.doc Page 2/36

TABLE DES MATIERES 1. Présentation générale... 6 1.1 Liste des acronymes...6 1.2 Définitions...6 1.3 Avertissement...8 1.4 Introduction...8 1.4.1 Type d applications... 8 1.4.2 Types de certificats... 8 1.5 Entités concernées par la PC...9 1.6 Identification de la PC...9 1.7 Modification de la PC...9 1.8 Points de contact...10 1.8.1 Organisation administrative compétente pour l ICP... 10 1.8.2 Personne à contacter concernant cette PC... 10 2. Dispositions générales... 11 2.1 Contrôle de conformité...11 2.1.1 Notion de contrôle de conformité... 11 2.1.2 Identité et qualifications du contrôleur... 11 2.1.3 Sujets couverts par le contrôle de conformité... 11 2.1.4 Communication des résultats... 11 2.1.5 Mesures à prendre suivant les résultats... 11 2.2 Obligations...12 2.2.1 Obligations communes à toutes les composantes de l ICP... 12 2.2.2 Obligations de l OSC Notaires... 12 2.2.3 Obligations de l AE... 13 2.2.4 Obligations propres au demandeur... 13 2.2.5 Obligations propres aux titulaires... 13 2.2.6 Obligations propres aux utilisateurs... 14 2.3 Responsabilités et garanties...14 2.3.1 Responsabilités du PSC Notaires... 14 2.3.2 Limites de responsabilités du PSC Notaires... 14 2.3.3 Responsabilités et garanties de l AE... 15 2.3.4 Responsabilités des titulaires... 15 2.3.5 Responsabilités financières et honoraires... 15 2.4 Interprétation des lois...15 2.4.1 Lois applicables... 15 2.4.2 Résolution des différends ou litiges... 15 2.5 Publication et services associés...16 2.5.1 Informations publiées... 16 2.5.2 Contrôles d accès aux publications... 16 2.6 Politique de confidentialité...16 2.6.1 Type d informations considérées comme confidentielles... 16 2.6.2 Divulgation des causes de révocation... 16 2.6.3 Remise sur demande du titulaire physique... 17 2.6.4 Délivrance aux autorités habilitées... 17 2.7 Droits sur la propriété intellectuelle...17 3. Identification... 18 Réf : PC AC Notaires - 20020403 - v1.0.doc Page 3/36

3.1 Enregistrement initial du titulaire d un certificat...18 3.1.1 Convention de noms... 18 3.1.2 Nécessité d utilisation de noms explicites... 18 3.1.3 Unicité des certificats... 18 3.1.4 Unicité des noms... 18 3.1.5 Procédure de résolution de litige sur déclaration de nom... 18 3.1.6 Identification... 18 3.1.7 Preuve de possession... 18 3.2 Renouvellement des certificats (hors révocation)...19 3.2.1 Pour les titulaires physiques... 19 3.2.2 Pour les titulaires machines... 19 3.3 Renouvellement de certificats après révocation...19 3.4 Identification d une demande de révocation...19 3.4.1 Pour les certificats des titulaires physiques... 19 3.4.2 Pour les certificats des titulaires machines... 19 4. Besoins operationnels... 20 4.1 Demande de certificat...20 4.1.1 Origine de la demande... 20 4.1.2 Informations à fournir... 20 4.1.3 Dossier de demande de certificats... 21 4.1.4 Archivage des dossiers de demandes de certificat... 21 4.1.5 Opérations à effectuer... 21 4.2 Remise des certificats...21 4.3 Acceptation de certificat...21 4.4 Révocation de certificat...21 4.4.1 Causes possibles de révocation... 21 4.4.2 Origine d une demande de révocation... 22 4.4.3 Procédure de demande de révocation... 23 4.4.4 Traitement d une demande de révocation... 23 4.4.5 Délai de traitement d une demande de révocation... 23 4.4.6 Publication des causes de révocation... 23 4.4.7 Vérification des certificats publiés dans une LCR... 23 4.4.8 Formes de publication des LCR... 23 4.4.9 Suspension des certificats... 23 4.5 Journalisation d événements...24 4.5.1 Objectifs... 24 4.5.2 Types d événements enregistrés... 24 4.5.3 Processus de journalisation... 25 4.5.4 Conservation des journaux... 25 4.5.5 Protection des journaux d événements... 25 4.5.6 Système de collecte des journaux d événements... 25 4.5.7 Imputabilité... 25 4.5.8 Anomalies et audit... 25 4.6 Archives...26 4.6.1 Types de données à archiver...26 4.6.2 Durée de conservation des archives... 26 4.6.3 Protection des archives... 26 4.6.4 Procédure de copie des archives... 26 4.6.5 Horodatage des archives... 26 4.6.6 Système de collecte des archives... 26 4.6.7 Procédures de récupération des archives... 27 4.7 Changement de clé d une composante de l ICP...27 Réf : PC AC Notaires - 20020403 - v1.0.doc Page 4/36

4.8 Récupération en cas de sinistre ou de compromission...27 4.9 Cessation d activité d une composante de l ICP...27 5. Contrôles de sécurité physique, contrôle des procedures, contrôle du personnel... 28 5.1 Contrôles de sécurité physique...28 5.2 Contrôle des procédures...28 5.2.1 Rôles de confiance... 28 5.2.2 Nombre de personnes nécessaires à chaque tâche... 28 5.2.3 Identification des rôles... 28 5.3 Contrôles du personnel...29 5.3.1 Passé professionnel, qualifications, expérience et exigences d habilitation... 29 5.3.2 Procédures de contrôle du passé professionnel... 29 5.3.3 Exigences de formation... 29 5.3.4 Fréquence des formations... 29 5.3.5 Gestion des métiers... 29 5.3.6 Sanctions pour des actions non-autorisées... 29 5.3.7 Contrôle des personnels contractants... 29 5.3.8 Documentation fournie au personnel... 29 6. Contrôles techniques de sécurité... 31 6.1 Génération et installation de biclés...31 6.1.1 Procédure de génération des biclés... 31 6.1.2 Transmission des clés publiques... 31 6.1.3 Taille des clés... 31 6.1.4 Paramètres de génération des clés... 31 6.1.5 Contrôle de la qualité des paramètres... 31 6.1.6 Mode de génération des clés de l ICP... 32 6.1.7 Usage des clés... 32 6.2 Protection de la clé privée...32 6.2.1 Dispositif de gestion des éléments secrets... 32 6.2.2 Contrôle des clés privées de l AC Notaires par plusieurs personnes... 32 6.2.3 Séquestre de clé privée de confidentialité... 32 6.3 Autres aspects de la gestion des biclés...32 6.3.1 Archivage des clés publiques...32 6.3.2 Durée de vie des clés... 32 6.4 Données d activation...33 6.4.1 Confidentialité des données d activation... 33 6.4.2 Preuve de possession d une carte REAL Plus et des données d activation... 33 6.4.3 Déblocage de cartes REAL Plus... 33 6.5 Contrôles de sécurité des postes de travail...34 6.6 Contrôles techniques du système durant son cycle de vie...34 6.6.1 Contrôles des développements des systèmes... 34 6.6.2 Contrôles de la gestion de la sécurité... 34 6.7 Contrôles de la sécurité réseau...34 6.8 Contrôles techniques des modules cryptographiques...34 7. Profils des certificats LCR et LAr... 35 8. Administration des spécifications... 36 8.1 Procédure de modification des spécifications...36 Réf : PC AC Notaires - 20020403 - v1.0.doc Page 5/36

1. PRESENTATION GENERALE 1.1 Liste des acronymes AC ADSN AE AR COFRAC CRIDON CSN DN DPC EA FCDDV ICP LAR LCR OSC PC PIN PSC REAL RSA TTS 1.2 Définitions Autorité de Certification Association pour le Développement du Service Notarial Autorité d'enregistrement Accusé de Réception COmité FRançais d ACcréditation. Centre de Recherche, d Information et de DOcumentation Notarial Conseil Supérieur du Notariat Distinguished Name Déclaration des Pratiques de Certification Entité d'audit Fichier Central des Dispositions de Dernières Volontés Infrastructure à Clé Publique Liste des Autorités de Certification Révoquées Liste des Certificats Révoqués Opérateur de Service de Certification Personal Identification Number Prestataire de Service de Certification Réseau Electronique notarial Rivest Shamir Adelman Trusted Time Server Annuaire : liste des certificats valides (c est à dire non expirés et non révoqués). Autorité d Enregistrement (AE) : composante de l ICP qui vérifie que les données propres au demandeur ou porteur de certificat sont exactes et que les contraintes liées à l usage d un certificat sont remplies, conformément à la politique de certification. Autorité de Certification (AC) : autorité chargée par un ou plusieurs utilisateurs de créer et d attribuer les certificats. Biclés : couple de clés utilisé avec un algorithme cryptologique asymétrique, l'une est publique, l'autre est privée (secrète). Certificat : clé publique d un utilisateur, ainsi que certaines autres informations rendues infalsifiables par signature avec la clé secrète de l autorité de certification qui l a délivré. Chaîne de certification : liste chaînée de certificats ayant pour extrémité supérieure le certificat racine et pour extrémité inférieure le certificat du titulaire. Composante de l ICP : entité jouant un rôle déterminé au sein de l ICP. Une composante peut être l'osc, l AE, l AC, etc. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 6/36

Contrôle de conformité : vérification la plus exhaustive possible afin de s assurer de l application stricte des procédures et de la réglementation au sein d un organisme. Déclaration des pratiques de certification (DPC) : document interne qui décrit comment les exigences concernant la gestion des certificats qui sont formulées dans la politique de certification sont atteintes dans la pratique. Demandeur : notaire ou responsable d une instance faisant une demande de certificat pour lui ou pour l un de ses collaborateurs. Données d activation (PIN code): code confidentiel de la carte REAL Plus. Employé du notariat : collaborateur rattaché à un office ou à une instance du notariat. Entité d Audit (EA) : organisme indépendant chargé d auditer les composantes de l ICP à la demande du PSC. Infrastructure à Clé Publique (ICP) : ensemble organisé de composantes dédiées à la gestion de clés et de certificats basés sur la cryptographie à clé publique (ou cryptographie asymétrique). Instance du notariat : un des organismes suivants : ADSN, CSN, CRIDON ou Centre de Formation, Caisse Centrale de Garantie et Caisses de Retraites, Chambres départementale ou interdépartementale des notaires, Conseils Régionaux des notaires, Caisses Régionales de Garantie et Etude de Notaire. Journalisation : fait d enregistrer dans un fichier dédié à cet effet certains types d événements provenant d une application ou du système d exploitation d un poste informatique. Ce fichier permet de tracer les opérations effectuées et en garantit ainsi l imputabilité. Opérateur de Service de Certification (OSC) : prestataire technique auquel le PSC sous-traite les opérations d émission et de gestion des certificats. (PC) : ensemble de règles, identifié par un nom, qui indique les conditions d applicabilité d un certificat pour une communauté donnée ou pour des applications présentant des besoins de sécurité communs. Prestataire de Services de Certification (PSC) : toute personne qui délivre des certificats ou fournit d'autres services en matière de signature électronique. Résiliation d une carte REAL Plus : fait de désactiver une carte REAL Plus ce qui entraîne la révocation de tous les certificats de cette carte. Révocation de certificat : action demandée par l AC, une AE, le titulaire de certificat ou le demandeur, et dont le résultat est la suppression de la caution de l AC sur un certificat donné, avant la fin de sa période de validité. Statut d un certificat : le statut d un certificat est l état du certificat à un moment donné. Il peut être valide, expiré ou révoqué. Titulaire machine : serveur TTS ou FCDDV ou un autre service nécessitant une identification par certificat REAL. Titulaire physique : personne physique détenant de façon licite une carte à puce REAL Plus. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 7/36

Utilisateur : toute personne ou machine utilisant un certificat émis au titre de la présente PC (ou la clé privée correspondante), soit pour s'identifier, signer ou chiffrer un document, soit pour vérifier l'identification ou la signature d'un tiers. Validation (de certificat) : contrôle du statut d un certificat et de sa chaîne de certification. Vérification (de signature) : contrôle d une signature numérique. 1.3 Avertissement Eu égard à la communauté notariale concernée, nous avons volontairement expurgé au maximum le présent document des termes «authentification» (le terme «identification» lui sera préféré) et «certification» car ils ont une signification précise pour cette communauté, différente de celle spécifiquement employée dans la documentation relative aux Infrastructures à Clé Publique (ICP) et à la sécurité informatique. 1.4 Introduction Afin d améliorer la qualité des services professionnels des notaires dans le nouvel environnement électronique, le Conseil Supérieur du Notariat (CSN) a décidé la mise en place des moyens permettant de développer les applications reposant sur la carte à puce REAL Plus. Il s agit notamment de sécuriser et développer les transactions électroniques entre les notaires et leurs partenaires privilégiés. La réalisation de ces objectifs repose sur la mise en œuvre d une ICP basée sur la cryptographie asymétrique et l usage de certificats importés dans les cartes à puce REAL Plus. 1.4.1 Type d applications Dans le cadre notarial, les applications rendues possibles par l ICP mise en place sont : L identification ; La signature électronique ; Le chiffrement. 1.4.2 Types de certificats Les certificats émis par le PSC REAL sont conformes au standard RFC 2459 qui définit le profil des certificats X.509. Quatre classes de certification ont été identifiées en fonction du titulaire du certificat (champ subject) : Classe 0 : machines (TTS, FCDDV, etc.) ; Classe 1 : collaborateurs et notaires ; Classe 2 : notaires ; Classe 3 : OSC et AC. Le tableau suivant récapitule le type d applications possibles par classe de certification : Identification Signature de documents Chiffrement Signature des certificats et listes Réf : PC AC Notaires - 20020403 - v1.0.doc Page 8/36

Identification Signature de documents Chiffrement Signature des certificats et listes Classe 0 Oui Oui Oui Non Classe 1 Oui Oui Oui Non Classe 2 Non Oui Non Non Classe 3 Non Non Non Oui Le présent document constitue la (PC) sous la responsabilité du Prestataire de Service de Certification (PSC) Notaires. Les certificats émis dans le cadre de cette PC appartiennent aux classes 0 et 3. 1.5 Entités concernées par la PC L Autorité de Certification (AC) REAL est la composante effectuant la génération des certificats des titulaires physiques de l OSC (certificats de classe 3). L AC Notaires génère les certificats de l AC REAL et des titulaires machines (certificats de classe 0). Cette dernière AC est elle-même une sous AC de l AC Racine dédiée aux professions réglementées. Cet ensemble constitue une hiérarchie de certification. Le schéma suivant présente cette hiérarchie de certification à laquelle sont rattachés les certificats de classes 0 et 3 : AC Racine des professions réglementées AC Notaires AC ExtraNotaires AC REAL Titulaires Machines Titulaires Physiques L ICP est opérée par l Opérateur de Service de Certification (OSC) (i.e. l ADSN) sous la responsabilité du PSC Notaires (i.e. le CSN). Les rôles, obligations et responsabilités des entités nommées ci-dessus sont décrits au chapitre suivant. 1.6 Identification de la PC La présente PC est identifiée dans le champ policyidentifier des certificats par l identifiant d objet (OID) suivant, déposé par le CSN auprès de l AFNOR : 1.2.250.78.2.1.X 1.7 Modification de la PC La présente PC est revue tous les deux ans ou sur événement déclencheur afin d assurer sa conformité aux normes de sécurité et évolutions du marché. Les modifications sont réalisées par le PSC Notaires. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 9/36

1.8 Points de contact 1.8.1 Organisation administrative compétente pour l ICP L organisation administrative compétente pour l ICP est le CSN. 1.8.2 Personne à contacter concernant cette PC La personne à contacter concernant la présente PC est : Membre du bureau du CSN, responsable des nouvelles technologies au sein du bureau du CSN 31 rue du Général Foy 75008 Paris France 01 44 90 30 00 mail : informatique.csn@notaires.fr Réf : PC AC Notaires - 20020403 - v1.0.doc Page 10/36

2. DISPOSITIONS GENERALES 2.1 Contrôle de conformité 2.1.1 Notion de contrôle de conformité Le PSC Notaires peut être amené à faire procéder à l audit d une composante de son ICP. 2.1.2 Identité et qualifications du contrôleur Le PSC Notaires peut sous-traiter les opérations de contrôle à une Entité d Audit (EA) de son choix. L EA choisie ne peut avoir partie liée avec aucune composante de l ICP. Elle doit être compétente dans le domaine de la certification et est choisie de préférence sur une liste publiée par le COFRAC. 2.1.3 Sujets couverts par le contrôle de conformité Le contrôle de conformité porte sur les points suivants : Dispositions générales ; Identification ; Besoins opérationnels ; Contrôles de sécurité physique, contrôle des procédures, contrôle du personnel ; Contrôles techniques de sécurité ; Profils des certificats, LCR et LAR ; Spécifications d administration. 2.1.4 Communication des résultats Les résultats des contrôles de conformité sont communiqués au PSC audité. 2.1.5 Mesures à prendre suivant les résultats A l issue du contrôle de conformité, l EA rend au PSC un avis qui peut être «Réussite», «Échec» ou «A confirmer». En cas d échec, et selon l importance des non-conformités, l EA peut proposer au PSC la révocation des certificats mis en cause. En cas de résultat «A confirmer», le PSC peut remettre à la composante défaillante un avis précisant sous quel délai les non-conformités doivent être réparées. Puis, un contrôle de «Confirmation» permettra de vérifier que tous les points critiques ont été résolus. En cas de réussite, le contrôleur remet un avis de conformité des certificats relevant de cette PC. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 11/36

2.2 Obligations 2.2.1 Obligations communes à toutes les composantes de l ICP Les obligations suivantes sont communes à toutes les composantes de l ICP : Protéger sa clé privée en intégrité et confidentialité ; N utiliser ses biclés qu aux fins pour lesquels elles ont été émises et avec les outils spécifiés, selon la présente PC ; Respecter et appliquer les termes de leur DPC ; Se soumettre aux contrôles de conformité effectués par l EA, en respecter les conclusions et remédier aux non-conformités qu ils révéleraient ; Respecter les contrats qui lient les titulaires à l ICP ; Documenter et mettre à jour ses procédures internes de fonctionnement ; Mettre en œuvre les moyens techniques et humains nécessaires à la réalisation des tâches auxquelles elles s engagent, dans des conditions garantissant qualité et sécurité. 2.2.2 Obligations de l OSC Notaires L OSC Notaires a des obligations de moyens et de résultats (résultats dont le PSC est responsable). Ainsi l OSC doit tout mettre en œuvre pour garantir que toutes les actions opérationnelles qui relèvent de ses services respectent les termes de la présente PC et de la DPC correspondante. Plus particulièrement, l OSC doit : Appliquer les pratiques définies dans la PC et la DPC ; Emettre et révoquer les certificats selon les règles énoncées dans la présente PC ; Pouvoir démontrer aux utilisateurs de ses certificats, qu elle a émis un certificat pour un titulaire donné et que ce titulaire a accepté le certificat ; Utiliser tous les moyens dont il dispose pour informer tous les titulaires et utilisateurs de certificats de la révocation du certificat d une de ses composantes ; Tenir à disposition des titulaires et des utilisateurs de certificats la notification de révocation du certificat d une composante de l ICP ou d un titulaire ; Prendre toutes les mesures raisonnables pour s assurer que les titulaires sont au courant de leurs droits et obligations en ce qui concerne l utilisation et la gestion des clés, des certificats ou encore de l équipement et des logiciels utilisés aux fins de l ICP. La relation entre un titulaire et le PSC est formalisée par un lien contractuel précisant les droits et obligations des parties et notamment les garanties apportées par le PSC ; Assurer la fourniture des certificats et des données d activation par des moyens différents ; Garantir le suivi et le contrôle de la fourniture des certificats mais aussi des données d activation ; Garantir l intégrité des certificats ; Garantir l intégrité et la confidentialité des clés privées et des données d activation durant la période de génération et de transfert de ces données ; Réf : PC AC Notaires - 20020403 - v1.0.doc Page 12/36

Publier la PC, les LCR et LAR, et les certificats de chiffrement selon les règles énoncées dans la présente PC ; Garantir la conservation, la protection en confidentialité et en intégrité des données personnelles d identification relatives aux titulaires dont il dispose ; Garantir l intégrité de toutes les données archivées et la confidentialité de celles qui le nécessitent ; Utiliser des ressources cryptographiques conformes à [ISO 15408] ou équivalent ; Contrôler les accès physiques et les limiter aux personnels autorisés. A propos des LCR et LAR publiées, elles doivent : Comporter des informations contrôlées et à jour ; Etre protégées en intégrité ; Etre accessibles en écriture aux seules personnes dûment autorisées ; Etre disponibles 24 heures sur 24 et 7 jours sur 7. 2.2.3 Obligations de l AE L AE s engage à respecter tous les principes de sécurité liés : à la conservation et transmission des cartes REAL Plus ; aux demandes d enregistrement ; aux demandes de résiliation de cartes REAL Plus. L AE doit également garantir la conservation, la protection en confidentialité et en intégrité des données personnelles d identification relatives aux titulaires physiques. 2.2.4 Obligations propres au demandeur Le demandeur doit : Communiquer des informations justes lors de la demande de certificats ; S engager à aviser sans délai l AE de tout événement qui pourrait affecter le statut du titulaire. 2.2.5 Obligations propres aux titulaires Tout titulaire physique doit : Protéger ses clés privées ainsi que les clés privées de la ou des machines dont il est responsable, si tel est le cas ; Protéger le code PIN de sa carte REAL Plus ainsi que les données d activation des certificats de la ou des machines dont il est responsable, si tel est le cas ; Respecter les restrictions d utilisation de ses clés privées, ainsi que de celles de la ou des machines dont il est responsable, si tel est le cas ; Réf : PC AC Notaires - 20020403 - v1.0.doc Page 13/36

Informer sans délai l OSC en cas de compromission de l une de ses clés privées ou de celles de la ou des machines dont il est responsable (si tel est le cas) et confirmer ensuite auprès de son AE ; S engager à aviser sans délai l AE de tout événement qui pourrait affecter son statut. La relation entre le titulaire et l ICP est formalisée par un engagement du titulaire visant à assurer l exactitude des renseignements et documents fournis. 2.2.6 Obligations propres aux utilisateurs Les utilisateurs doivent : Respecter l usage pour lequel un certificat a été émis, conformément à la présente PC ; Vérifier la signature de l'ac qui a émis le certificat qu ils vont utiliser, et le cas échéant de la chaîne de certification jusqu à sa racine ; Contrôler la validité des certificats qu ils vont utiliser (dates de validité et statut de révocation). 2.3 Responsabilités et garanties Si l OSC a des obligations de moyens et de résultats, le PSC est responsable des obligations de résultats. 2.3.1 Responsabilités du PSC Notaires Plus particulièrement, le PSC est responsable : de la conformité des certificats émis vis-à-vis de la présente PC ; du respect de tous les principes de sécurité et de la qualité des services décrits dans la PC et DPC pour toutes les composantes de l ICP tant en terme de moyens que de résultats. Le PSC ne pourra pas être tenu pour responsable d'une utilisation : non-autorisée des certificats (comme cela est mentionné dans le bon de commande des cartes REAL Plus) ou des LAR et LCR ; non-conforme à la présente PC. 2.3.2 Limites de responsabilités du PSC Notaires Le PSC Notaires décline toute responsabilité vis-à-vis de l utilisation, dans des conditions autres que celles prévues par la présente PC, des certificats qu il fournit, ainsi que des clés privées associées. Le PSC Notaires décline en particulier sa responsabilité pour tout dommage résultant d un emploi des certificats pour un usage (tel qu engagement de payer) autre que ceux prévus, comme pour tout dommage résultant d actes délictueux dans lesquels serait intervenue l utilisation du certificat. L AC Notaires décline également sa responsabilité pour tout dommage résultant des erreurs ou inexactitudes entachant les informations contenues dans le certificat, lorsque ces erreurs ou inexactitudes résultent directement du caractère erroné des informations qui lui ont été transmises. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 14/36

2.3.3 Responsabilités et garanties de l AE L AE est responsable des contrôles de complétude et de cohérence qui sont effectués lors de la réception du formulaire de demande de certificats. L AE ne pourra être tenue pour responsable de tout dommage résultant des réclamations par des tiers, de perte de clientèle, d arrêt de travail ou de tout autre dommage ou perte commerciale. 2.3.4 Responsabilités des titulaires Les titulaires sont responsables de l utilisation des certificats et biclés aux fins pour lesquels ils sont générés. Les titulaires sont responsables des dommages causés par l utilisation non-autorisée de leurs clés privées s il y a eu négligence de leur part. 2.3.5 Responsabilités financières et honoraires 2.3.5.1 Responsabilités financières Les risques susceptibles d engager la responsabilité du PSC, notamment sur le plan financier, sont couverts par une assurance appropriée à la dématérialisation des documents. 2.3.5.2 Honoraires L OSC peut imposer des frais pour : L émission et le renouvellement d un certificat ; L accès à l annuaire contenant les certificats valides ; L accès aux LCR et LAR ; Le déblocage d une carte REAL Plus ; La résiliation d une carte REAL Plus ; La révocation d un certificat logiciel. 2.4 Interprétation des lois 2.4.1 Lois applicables La loi française est applicable et notamment, les données à caractère personnel d une personne physique sont protégées suivant la loi L78-17 et la loi sur la sécurité quotidienne. Pour le reste, les dispositions de nature juridique (législatifs ou réglementaires) ou normative applicables sont indiquées en annexe. 2.4.2 Résolution des différends ou litiges La procédure relative à la résolution de différends ou litiges sera celle convenue dans le cadre de l accord entre les parties. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 15/36

2.5 Publication et services associés 2.5.1 Informations publiées Les informations publiées par le service de publication du PSC Notaires sont les suivantes : Les PC et DPC ; Les LAR et LCR ; Les formulaires d enregistrement de titulaires machines ; Les formulaires de révocation de titulaires machines ; Les formulaires de demande de cartes REAL Plus ; Les formulaires de demande de résiliation et d information ; Les formulaires de demande de déblocage de cartes REAL Plus ; Les formulaires de renouvellement ; L empreinte (hash) de la clé publique des différentes AC. 2.5.2 Contrôles d accès aux publications Les accès en écriture aux informations publiées sont contrôlés par l OSC qui est responsable de la mise en œuvre et de l application des politiques de sécurité définies par le PSC Notaires. 2.6 Politique de confidentialité 2.6.1 Type d informations considérées comme confidentielles Les informations considérées comme confidentielles sont les suivantes : Les différentes clés privées ; Les codes PIN des cartes REAL Plus des titulaires physiques ; Les données d activation des clés des titulaires machines ; Les journaux d événements des composantes de l ICP ; Les dossiers d enregistrement ainsi que tout document contenant des données personnelles relatives aux titulaires physiques ; Les causes de révocation des certificats ; Les archives des informations susnommées lorsque celles-ci sont archivées. 2.6.2 Divulgation des causes de révocation Les causes de révocation d'un certificat restent confidentielles à l AC et l AE. Au cas où la demande n émanerait pas du titulaire physique, elles lui seront communiquées sur demande écrite auprès du PSC Notaires. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 16/36

2.6.3 Remise sur demande du titulaire physique Le titulaire physique peut obtenir sur demande écrite la cause de révocation de son certificat ou du certificat de la ou des machines dont il est responsable, si tel est le cas. 2.6.4 Délivrance aux autorités habilitées Les procédures relatives au traitement de la confidentialité sont conformes à la législation française (cf. loi L90-1170 et loi sur la sécurité quotidienne). 2.7 Droits sur la propriété intellectuelle Le PSC Notaires est titulaire de l ensemble des droits de propriété intellectuelle et industrielle attachés aux éléments de toute nature et notamment logiciel, bases de données, documentation, matériel, système, savoir faire utilisés au titre du service proposé et fourni par l ICP, ou a obtenu des titulaires desdits droits, les autorisations nécessaires aux fins d exécution dudit service. Les logiciels, bases de donnée, documentation, matériel, système, savoir-faire et tout autre produit, élément, document, utilisés au titre du service proposé et fourni par l ICP, ainsi que tous les droits de propriété intellectuelle et industrielle qui y sont attachés (droit d auteur, brevet, marque, etc.) restent en toutes circonstances la propriété exclusive du PSC (et/ou, selon le cas, de son concédant), quel qu en soit l état d achèvement et ce, au fur et à mesure de leur réalisation. En conséquence, la fourniture du service par l ICP ne saurait être interprétée comme entraînant la cession d un quelconque droit de propriété intellectuelle et industrielle appartenant au PSC ou le cas échéant, à ses concédants, et afférent aux éléments précités. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 17/36

3. IDENTIFICATION 3.1 Enregistrement initial du titulaire d un certificat 3.1.1 Convention de noms Les noms utilisés dans un certificat émis dans le cadre de cette PC sont décrits selon la norme ISO/IEC 9594 (Distinguished Names), chaque titulaire ayant un nom distinct (DN). 3.1.2 Nécessité d utilisation de noms explicites Les noms pour désigner les titulaires sont explicites. Le nom distinctif est sous la forme d une chaîne imprimable (printablestring) de type nom X.501. 3.1.3 Unicité des certificats L unicité d un certificat est basée sur l unicité de son numéro de série à l intérieur du domaine de certification du PSC REAL. 3.1.4 Unicité des noms Un numéro ajouté assure le caractère unique du DN d un titulaire. N CRCPEN de l instance 3 N Identifiant de département l instance 3 N Identifiant de département l instance Numéro unique Identifiant de 4 chiffres 9 pour les titulaires X X X machines 9 pour les titulaires Y Y Y physiques 3.1.5 Procédure de résolution de litige sur déclaration de nom Le PSC est responsable de l'unicité des noms de ses titulaires et de la résolution des litiges portant sur la revendication d utilisation d un nom. 3.1.6 Identification L identification d un titulaire revient à l AE. 3.1.7 Preuve de possession Les biclés des titulaires physiques et machines sont générées par l OSC et non pas par les titulaires donc la preuve de possession de la clé privée associée à la clé publique qui est certifiée est inutile. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 18/36

3.2 Renouvellement des certificats (hors révocation) 3.2.1 Pour les titulaires physiques Le renouvellement des certificats (hors révocation) des titulaires physiques correspond au renouvellement des cartes REAL Plus hors résiliation. Trois mois avant la fin de vie de la carte REAL Plus (dont la durée de vie est de deux ans) le titulaire physique est prévenu. Il reçoit un bordereau pré-rempli qu il doit renvoyer selon la procédure initiale d enregistrement. 3.2.2 Pour les titulaires machines Pour les titulaires machines, les certificats sont re-générés automatiquement 15 jours avant la fin de validité du certificat. 3.3 Renouvellement de certificats après révocation Après une révocation, l attribution de nouvelles clés et des certificats correspondants suivent la procédure initiale d enregistrement. 3.4 Identification d une demande de révocation 3.4.1 Pour les certificats des titulaires physiques Une demande de révocation d un certificat de titulaire physique correspond à une demande de résiliation de sa carte REAL Plus. Toute demande de révocation est identifiée par l OSC et/ou l AE, selon le type de demande, avant résiliation. 3.4.2 Pour les certificats des titulaires machines Lors d une demande de révocation des certificats d un titulaire machine, l OSC et/ou l AE (selon le type de demande) identifie le titulaire physique en charge de cette machine. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 19/36

4. BESOINS OPERATIONNELS 4.1 Demande de certificat 4.1.1 Origine de la demande 4.1.1.1 Cas d un titulaire physique La demande de certificat pour un titulaire physique émane de son supérieur hiérarchique. 4.1.1.2 Cas d un titulaire machine La demande de certificat pour un titulaire machine émane du titulaire physique en charge de cette machine. 4.1.2 Informations à fournir 4.1.2.1 Cas d un titulaire physique Les informations suivantes figurent dans la commande de carte REAL Plus faisant office de demande de certificat pour un titulaire physique : Le nom du titulaire ; Les données personnelles d identification du titulaire ; S il est employé de l ADSN ou personnel contractant ; La signature de son supérieur hiérarchique ; Le nom du service auquel il appartient ; L identification de la machine dont il a la responsabilité. Au dos de ce formulaire de commande de carte REAL Plus figurent les règles d utilisation de la carte REAL Plus. 4.1.2.2 Cas d un titulaire machine Les informations suivantes figurent dans la demande de certificat pour un titulaire machine : Réf : PC AC Notaires - 20020403 - v1.0.doc Page 20/36

L adresse IP de la machine ; La fonction de la machine ; L ID de la machine ; Les services sécurisés de cette machine ; La signature du titulaire physique en charge de cette machine. 4.1.3 Dossier de demande de certificats L AE valide les formulaires de demande de certificat dûment remplis et signés. 4.1.4 Archivage des dossiers de demandes de certificat Tous les formulaires de demande de certificat sont archivés pendant cinq ans. 4.1.5 Opérations à effectuer Ces opérations sont décrites dans la DPC. 4.2 Remise des certificats Les cartes REAL Plus sont remises en main propre aux titulaires physiques. Les certificats logiciels d un titulaire machine sont installés sur la machine par le titulaire physique en charge de celle-ci. 4.3 Acceptation de certificat L'AE s assure que le titulaire physique confirme qu il accepte ses certificats, la DPC décrit la procédure applicable. Pour le titulaire machine, il s agit d une acceptation implicite à la première utilisation. 4.4 Révocation de certificat Pour un titulaire physique, la résiliation d une carte REAL Plus fait office de révocation des certificats qu elle contient. 4.4.1 Causes possibles de révocation 4.4.1.1 Certificat de l AC Les causes de révocation du certificat d une AC sont : Compromission, suspicion de compromission, perte ou vol de la clé privée de l'ac ; Cessation d activité de l'ac ; Décision suite à un échec d un contrôle de conformité. 4.4.1.2 Certificat de l'osc Les circonstances suivantes peuvent être à l origine de la révocation d un certificat de l'osc : Réf : PC AC Notaires - 20020403 - v1.0.doc Page 21/36

Compromission, suspicion de compromission, perte ou vol de la clé privée de l'osc ; Décision de changement d'osc suite à une non-conformité avec les procédures de la PC ou de la DPC ; Cessation d activité de l'osc ; Décision suite à un échec d un contrôle de conformité ; Révocation du certificat de l AC émettrice. 4.4.1.3 Certificat de titulaire physique Les circonstances suivantes peuvent être à l origine de la révocation d un certificat d un titulaire physique : Perte ou vol de la carte REAL Plus du titulaire physique ; Les informations ou les attributs du titulaire figurant dans son certificat ne sont plus en cohérence avec l utilisation prévue du certificat, ceci avant l expiration normale du certificat dans les cas suivants : Lorsque l activité professionnelle du titulaire physique change ; Lorsque la carte REAL Plus est perdue ou volée ; Lorsque le certificat de l AC est révoqué (ce qui entraîne automatiquement la révocation des certificats signés par l AC) ; Par décision de l'ae ou de l AC dans les cas suivants : Il a été démontré que le titulaire physique n a pas respecté les modalités applicables d utilisation du certificat ; Le titulaire physique refuse la carte REAL Plus ; La carte REAL Plus ou son contenu est suspectée de compromission ; En cas de décès du titulaire physique. 4.4.1.4 Certificat de titulaire machine Les circonstances suivantes peuvent être à l origine de la révocation d un certificat d un titulaire machine : Compromission, suspicion de compromission, perte ou vol de la clé privée ; Lorsqu'un système informatique n'exploite plus d'application nécessitant un certificat d'identification ; Révocation du certificat de l AC émettrice. 4.4.2 Origine d une demande de révocation Les entités qui peuvent demander la résiliation d une carte REAL impliquant la révocation des certificats qu elle contient sont les suivantes : Réf : PC AC Notaires - 20020403 - v1.0.doc Page 22/36

Le titulaire physique ; Le supérieur hiérarchique du titulaire physique ; L AE ; L OSC ; Le PSC. Les entités qui peuvent demander la révocation des certificats d un titulaire machine sont les suivantes : Un titulaire physique en charge de cette machine ; L AE ; L OSC ; Le PSC. 4.4.3 Procédure de demande de révocation Cf. DPC 4.4.4 Traitement d une demande de révocation Cf. DPC 4.4.5 Délai de traitement d une demande de révocation Le délai de traitement (publication incluse) n excède pas 13 heures ouvrées. 4.4.6 Publication des causes de révocation Les causes de révocation de certificats ne sont pas publiées. 4.4.7 Vérification des certificats publiés dans une LCR L utilisateur d un certificat peut valider au préalable le statut de ce certificat et de sa chaîne de certification. 4.4.8 Formes de publication des LCR Les LCR sont publiées dans un annuaire LDAP. Cette PC ne formule pas d exigences ni d interdictions sur d autres formes de publication des LCR. Toute forme de publication proposée par le marché est applicable à condition qu elle respecte les exigences de confidentialité, d intégrité, de disponibilité et de délai de publication. 4.4.9 Suspension des certificats Les certificats émis dans le cadre de cette PC ne sont pas suspensibles. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 23/36

4.5 Journalisation d événements 4.5.1 Objectifs L'ICP consigne tous les évènements qui sont nécessaires, d'une part, pour pouvoir reconstituer le cycle de vie de chaque certificat (événements liés à la demande, la génération, la compromission, la révocation, l expiration, et l archivage des certificats) et, d'autre part, pour suivre son exploitation et, en particulier, les tentatives d'atteintes à la sécurité, et les caractéristiques de performance et de sûreté du système. Cette consignation est réalisée sur un support fiable et intègre. Les événements consignés sont datés de façon infalsifiable. Ces informations pourront être exploitées, en particulier, en cas de litige et d'audit de l'icp. 4.5.2 Types d événements enregistrés Les principaux événements sont enregistrés sous forme électronique par génération automatique. Mais certains sont enregistrés sous forme manuelle ou sous forme électronique par saisie. Les différentes composantes liées à la gestion des certificats doivent tenir à jour une liste des événements qui les concernent. L AE transmet à l OSC au moins les événements suivants qui sont consignés par l OSC : Les demandes de cartes REAL Plus ; Les demandes de certificats ; Les demandes de résiliation de cartes REAL Plus ; Les demandes de révocation de certificats ; Les demandes de déblocage de cartes REAL Plus ; Les demandes de renouvellement ; La copie du registre des signatures. L'OSC consigne au moins les événements suivants : Toutes les opérations concernant la vie des certificats et des clefs privées ainsi que les LCR (création et modifications) et LAR ; Tous les événements ayant trait à la sécurité de son système y compris les accès physiques, les actions de maintenance et de changements de la configuration du système, les changements apportés au personnel et les actions de destruction (des supports contenant des clés, des codes PIN ou des renseignements sur les titulaires physiques) ; Les événements permettant de suivre les caractéristiques de sûreté et de performance de l'exploitation pour permettre la vérification des objectifs décrits dans la présente PC et la DPC correspondante. Pour chaque événement, les informations suivantes doivent être enregistrées : Réf : PC AC Notaires - 20020403 - v1.0.doc Page 24/36

Type de l opération ; Destinataire de l opération ; Nom de l exécutant ; Nom des personnes présentes (s il s agit d une opération nécessitant plusieurs personnes) ; Date et heure de l opération ; Cause de l événement ; Résultat de l événement (échec ou réussite). 4.5.3 Processus de journalisation Le processus de journalisation est effectué en tâche de fond et permet un enregistrement en temps réel des opérations effectuées. En cas de saisie manuelle, l écriture doit se faire dans le même jour ouvré que l événement. 4.5.4 Conservation des journaux Les journaux de l ICP sont périodiquement sauvegardés. 4.5.5 Protection des journaux d événements L écriture dans les journaux d événements est conditionnée par des contrôles de droits d accès. Par ailleurs, les enregistrements ne sont pas modifiables a posteriori. Les journaux d événements sont protégés en intégrité et le système de datation des événements est non modifiable a posteriori. 4.5.6 Système de collecte des journaux d événements La collecte des journaux commence aux démarrages des systèmes concernés par les événements à enregistrer et se termine aux arrêts de ces systèmes. 4.5.7 Imputabilité L imputabilité d une action revient à la personne ou au système l ayant exécutée et dont le nom figure dans le champ «nom de l exécutant» du journal d événements. 4.5.8 Anomalies et audit L OSC doit être attentif à toute tentative de violation de l intégrité du système de gestion des certificats, y compris les équipements physiques, l environnement d exploitation et le personnel. Les journaux d événements sont contrôlés pour identifier des anomalies liées à des tentatives en échec. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 25/36

4.6 Archives 4.6.1 Types de données à archiver Les données archivées sont au moins les suivantes : Les formulaires de demandes de cartes REAL Plus ; Les formulaires de demandes de certificats ; Les certificats ; Les LCR ; Les LAR ; Les documents contractuels ; Les PC ; Les DPC ; Les journaux d événements (autres que ceux de l ICP) ; Les AR ; Les fichiers de configuration des équipements informatiques de l OSC. 4.6.2 Durée de conservation des archives Les certificats, les LCR et LAR sont conservés pendant au minimum cinq ans. Les autres données sont archivées pendant trente ans. 4.6.3 Protection des archives Pendant tout le temps de leur conservation, les archives : Sont protégées en intégrité ; Sont disponibles pour les autorités compétentes ; Peuvent être relues et exploitées. 4.6.4 Procédure de copie des archives Les données numériques archivées font l objet de copies régulières sur des supports externes dédiés. La procédure de copie des archives est décrite dans la DPC. 4.6.5 Horodatage des archives Les enregistrements des archives (numériques) sont horodatés. 4.6.6 Système de collecte des archives Le système de collecte des archives est décrit dans la DPC. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 26/36

4.6.7 Procédures de récupération des archives Les archives peuvent être récupérées dans un délai de 48 heures. La procédure de récupération des archives est décrite dans la DPC. 4.7 Changement de clé d une composante de l ICP L OSC ne peut pas générer de certificat dont la date de fin serait postérieure à la date d expiration de la biclé de l AC correspondant à la classe de ce certificat ou de la biclé racine de l AC. De ce fait, la période de validité de ces derniers certificats est supérieure à celle des certificats des titulaires, et la conséquence en est nécessairement un chevauchement des périodes de validité des certificats de l AC. Lorsqu un nouveau certificat d AC est émis, le certificat d AC précédent peut toujours être utilisé pour vérifier l authenticité des certificats des titulaires émis sous cet ancien certificat, et ce jusqu à ce que ces certificats de titulaires aient expiré. 4.8 Récupération en cas de sinistre ou de compromission L OSC doit établir des procédures visant à assurer le maintien des activités et décrire, dans ces procédures, les étapes prévues en cas de corruption ou de perte de ressources informatiques, de logiciels et (ou) de données. 4.9 Cessation d activité d une composante de l ICP En fin de vie, toute composante de l ICP s engage à : Communiquer au PSC Notaires, dans un délai de préavis spécifié dans la DPC, son intention de cesser son activité ; Mettre en œuvre tous les moyens dont elle dispose pour informer ses éventuels partenaires de ses intentions ; En aviser immédiatement les titulaires ; Remettre ses archives ainsi que l ensemble des données dont elle dispose à une entité fiable telle que définie dans la DPC ; Faire révoquer ses certificats. Si la composante est une AC : Révoquer tous les certificats valides qu elle a signé ; Révoquer son certificat ; Assurer la pérennité des LCR et LAR. Si les opérations d'un OSC sont transférées à un autre OSC, celui-ci devra avoir le même niveau d assurance de sécurité. Aucune clé privée de certification (i.e. d AC) ne peut être transmise. La fin de vie d une AC entraîne obligatoirement la destruction de sa clé privée de certification. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 27/36

5. CONTROLES DE SECURITE PHYSIQUE, CONTROLE DES PROCEDURES, CONTROLE DU PERSONNEL 5.1 Contrôles de sécurité physique Des contrôles de sécurité physique sont effectués sur les équipements de l ICP sur les points suivants : Situation géographique ; Accès physique ; Electricité et climatisation ; Dégâts des eaux ; Sécurité incendie ; Conservation des médias ; Destruction des supports ; Sauvegarde. Les procédures de ces contrôles de sécurité sont décrites dans la DPC. 5.2 Contrôle des procédures 5.2.1 Rôles de confiance La DPC décrit l'organisation de l ICP en termes de rôles et de responsabilités assumés. La DPC veille à la séparation des tâches critiques en respectant autant que faire se peut le principe du moindre privilège (i.e. possession uniquement des droits et des privilèges nécessaires et suffisants pour l exécution d une tâche). Les attributions associées à chaque rôle sont décrites dans la DPC. Plusieurs rôles peuvent être attribués à une même personne, dans la mesure où cela ne dégrade pas la sécurité globale des services offerts. 5.2.2 Nombre de personnes nécessaires à chaque tâche Selon le type d opération effectuée, le nombre et le type de personnes devant nécessairement être présentes, en tant qu acteurs ou témoins, peuvent être différents. La DPC précise le nombre d exploitants minimum nécessaire par type d opération. 5.2.3 Identification des rôles Les rôles définis dans la DPC sont, à un instant donné, tenus par des personnes physiques nommément désignées dans un document propre à chaque composante de l'icp et déposé à l AC. Réf : PC AC Notaires - 20020403 - v1.0.doc Page 28/36

Par ailleurs, l OSC dispose de la liste des machines présentes sur son site avec leur adresse IP. 5.3 Contrôles du personnel 5.3.1 Passé professionnel, qualifications, expérience et exigences d habilitation Tous les employés des composantes de l ICP s engagent vis-à-vis de leur employeur à respecter les règles de confidentialité. Les autorités de l ICP (AE et AC) s engagent à ce que les compétences professionnelles de leurs personnels correspondent à leurs attributions. Des profils de poste pour chacun des rôles sont définis dans la DPC. 5.3.2 Procédures de contrôle du passé professionnel Les autorités de l ICP s engagent à vérifier l honnêteté de leurs personnels par tous les moyens légaux dont elles disposent. 5.3.3 Exigences de formation Le personnel d exploitation de l ICP est formé aux logiciels, matériels et procédures internes de fonctionnement de la composante pour laquelle il opère. Cette formation comporte une sensibilisation aux risques liés à la sécurité et à leurs responsabilités dans le respect de la présente PC et de la DPC correspondante. 5.3.4 Fréquence des formations Tout nouvel employé doit suivre une formation initiale au système, aux politiques de sécurité, au plan de secours, aux logiciels et opérations qu il doit mettre en œuvre. Chaque employé doit assister à une formation de «contrôle» selon une périodicité mentionnée dans la DPC, ainsi qu après toute évolution importante du système. 5.3.5 Gestion des métiers Les règles de gestion des métiers au sein des composantes de l ICP sont celles des organismes employeurs (CSN, ADSN, etc.). 5.3.6 Sanctions pour des actions non-autorisées En cas de non-respect des règles précédemment énoncées, la personne reçoit un avertissement et si celle-ci récidive alors les rôles qui lui ont été attribués sont suspendus. 5.3.7 Contrôle des personnels contractants Les personnels contractants (sous-traitants) doivent suivre les mêmes règles que celles énoncées dans le reste du paragraphe 5.3. 5.3.8 Documentation fournie au personnel Chaque composante de l ICP doit mettre à la disposition de son personnel les documents suivants : Réf : PC AC Notaires - 20020403 - v1.0.doc Page 29/36

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back