D i m i t r i M o u t o nPréface d’Alain Bobant, président de la FNTC

Sécurité de la dématérialisationDe la signature électronique au coffre-fort

numérique, une démarche de mise en œuvre

G13418_SECURITE_PDT.indd 2 18/06/12 15:11

© Groupe Eyrolles, 2012, ISBN : 978-2-212-13418-6

1

Avant-propos

Portée de l’ouvrage La dématérialisation n’est plus « en cours » : elle fait aujourd’hui partie intégrante de notre quotidien, que ce soit dans la sphère privée, la sphère professionnelle ou les relations à l’administration.

Le présent ouvrage détaille les mécanismes de sécurité destinés à créer les conditions de la confiance dans les applications web, ainsi que les méthodologies projet destinées à leur mise en œuvre efficace.

Tout d’abord, nous définirons les notions clés de dématérialisation, de sécurité et de confiance :

• les enjeux de la dématérialisation ;

• la sécurité sous ses aspects technique, applicatif, juridique et compor-temental ;

• la nécessité de faire naître la confiance des utilisateurs pour promouvoir les usages ;

• le rôle des tiers de confiance dans la chaîne de la dématérialisation ;

• les mécanismes de cryptographie qui sous-tendent la sécurisation des services.

Nous détaillerons ensuite les notions essentielles de la sécurité applica-tive :

• l’identité numérique et le contrôle d’accès ;

• le certificat ;

• la confidentialité, via la gestion des droits et le chiffrement ;

• la signature électronique et ses avatars techniques ;

• la traçabilité et l’horodatage ;

• l’archivage électronique.

Après avoir décrit comment renforcer la valeur juridique des échanges dématérialisés au travers d’une convention de preuve, nous approfondirons :

Mouton.indb 1 13/06/12 13:15

Sécutité de la dématérialisation

2

• les cinq axes d’approche de la sécurité informatique (fonctionnel, juri-dique, organisationnel, technique et fi nancier) ;

• les étapes clés d’un projet de dématérialisation ;

• les impacts de cette nouvelle réalité sur l’organisation de l’entreprise.

À qui s’adresse ce livre ? Ce livre s’adresse avant tout aux concepteurs d’applications de dématéria-lisation confrontés à la mise en œuvre de la sécurité, que ce soit au sein des administrations, des grandes entreprises ou des PME innovantes :

• directeurs et chefs de projet ;

• directeurs Recherche et développement ;

• architectes fonctionnels ou techniques ;

• DSI, architectes SI, RSSI ;

• consultants, assistance à maîtrise d’ouvrage ou à maîtrise d’œuvre ;

• développeurs.

Il a été conçu pour apporter aux étudiants en informatique les clés qui leur permettront d’aborder sereinement le secteur d’avenir que constitue la sécurisation des services dématérialisés.

Enfi n, de par sa volonté de clarté et de pédagogie, il est également abor-dable sans restriction par le lecteur curieux qui souhaite en savoir plus sur la dématérialisation, la sécurité et la confi ance.

À propos de l’auteur Dimitri Mouton est ingénieur de Télécom Paris (ENST).

Il a débuté sa carrière à France Télécom R&D, au sein du laboratoire Sécu-rité des services et des réseaux, où il a déposé vingt brevets sur les sujets du prépaiement, de la signature électronique et de la sécurité des termi-naux mobiles.

Il a ensuite été responsable Études et développement d’Achatpublic.com, où il a conçu la plate-forme de dématérialisation des marchés publics et d’enchères électroniques inversées.

Puis il a rejoint CertEurope, opérateur de services de e-confi ance, en tant que directeur Recherche et développement.

Il a fondé en 2009 le cabinet de conseil en dématérialisation Demaeter, au sein duquel il accompagne de nombreux projets de conception et de sécurisation de services dématérialisés.

Mouton.indb 2 13/06/12 13:15

Avant-propos

3

Il est également expert indépendant en solutions de vote par Internet.

Dimitri Mouton est membre de la Fédération nationale des tiers de confi ance depuis 2003. Il y anime trois groupes de travail consacrés au vote électronique, à la traçabilité, à l’identité numérique et la signature électronique, ainsi que des cycles de formation, notamment à la signature électronique.

Il est coauteur de l’ouvrage Les marchés publics dématérialisés (éd. Moniteur, Paris, 2004), et de nombreux guides de la confi ance de la FNTC.

À propos de l’illustrateur Artiste peintre, graphiste et illustrateur, Stéphane Torossian crée depuis quelques années des supports de communication, identités visuelles et solutions graphiques dans le domaine de la dématérialisation.

Mouton.indb 3 13/06/12 13:15

XI

Table des matières

Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Portée de l’ouvrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

À qui s’adresse ce livre ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

À propos de l’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

À propos de l’illustrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Partie 1 – Les clés de la révolution numérique

Chapitre 1 – La dématérialisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Du traitement automatisé des données à la suppression du papier . . . 7

Le « zéro papier » : un mythe utile ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Les composants d’un service dématérialisé . . . . . . . . . . . . . . . . . . . . . . 10

Internet : une zone de non-droit ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Chapitre 2 – La sécurité de la dématérialisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Les différents types de risques et de réponses . . . . . . . . . . . . . . . . . . . . 15

La sécurité technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

La sécurité applicative et juridique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

La sécurité comportementale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

La chaîne de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Normalisation et référentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Un peu de cryptographie pour y voir plus clair . . . . . . . . . . . . . . . . . . . . 24

Chapitre 3 – La notion de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Une définition de la confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

La confiance dans l’économie numérique du point de vue juridique . 38

Le tiers de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

La chaîne de la confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Mouton.indb 11 13/06/12 13:15

Sécutité de la dématérialisation

XII

Partie 2 – L’identité numérique

Chapitre 4 – La gestion d’identités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

La notion d’identité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

L’identité numérique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Identifi cation et authentifi cation : quelle différence ? . . . . . . . . . . . . . . 58

Les différents modes d’identifi cation et d’authentifi cation . . . . . . . . . 59

Du bon usage des identifi ants et des mots de passe . . . . . . . . . . . . . . . 72

Quelques exemples emblématiques de projets de gestion d’identités 78

Chapitre 5 – Le certifi cat, une carte d’identité numérique . . . . . . . . . . . . . . . . . . . . . 85

Qu’est-ce qu’un certifi cat ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Le cycle de vie du certifi cat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

La chaîne de la certifi cation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Identité numérique et certifi cats : deux exemples de projets . . . . . . . 129

Les conséquences catastrophiques d’une sécurité insuffi sante : la faillite de Diginotar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Chapitre 6 – La confi dentialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

Qu’est-ce qui est confi dentiel… et vis-à-vis de qui ? . . . . . . . . . . . . . . 143

Le cas particulier des données à caractère personnel . . . . . . . . . . . . . 144

Limiter l’accès aux données : la gestion des habilitations . . . . . . . . . 145

Rendre les données inintelligibles : le chiffrement . . . . . . . . . . . . . . . 146

Transmettre des secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

Conserver et utiliser des secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Rompre le lien entre les personnes et les données : l’anonymisation 157

Partie 3 – La signature électronique

Chapitre 7 – La signature électronique en pratique . . . . . . . . . . . . . . . . . . . . . . . . . 161

Signature manuscrite et signature électronique : deux actes très ressemblants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Signature manuscrite et signature électronique : quelques différences pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

Comprendre le cadre juridique : un passage obligé . . . . . . . . . . . . . . . 164

Chapitre 8 – La signature électronique : un objet technique . . . . . . . . . . . . . . . . . . 175

La réalisation technique d’une signature électronique . . . . . . . . . . . . 175

La vérifi cation d’une signature électronique . . . . . . . . . . . . . . . . . . . . 180

Mouton.indb 12 13/06/12 13:15

Table des matières

XIII

Biométrie et signature électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

Chapitre 9 – Le cachet et les autres formes de signatures . . . . . . . . . . . . . . . . . . . . 191

L’ambiguïté du terme « signature électronique » . . . . . . . . . . . . . . . . . 191

La signature de personne morale : le cachet . . . . . . . . . . . . . . . . . . . . 191

Les autres usages du mécanisme technique de « signature » . . . . . . 193

Chapitre 10 – Défi nir son besoin et choisir un outil de signature électronique . . . 197

Déterminer le contexte du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Les différentes façons de réaliser des signatures électroniques . . . . 198

Partie 4 – Tracer, conserver et certifi er les données

Chapitre 11 – La traçabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

La traçabilité, défi nition et usages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Les différentes formes de traçabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

Inclure la traçabilité dans son projet . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

Quelques exemples de projets incluant la traçabilité . . . . . . . . . . . . . 231

Chapitre 12 – L’archivage électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

Conserver à long terme les documents électroniques . . . . . . . . . . . . . 235

Défi nir un plan d’archivage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

Chapitre 13 – La convention de preuve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

Une convention de preuve… Pour quoi faire ? . . . . . . . . . . . . . . . . . . . 251

Constituer une convention de preuve . . . . . . . . . . . . . . . . . . . . . . . . . . 254

Partie 5 – Organiser la dématérialisation et mener son projet

Chapitre 14 – Mener un projet de dématérialisation . . . . . . . . . . . . . . . . . . . . . . . . 267

Les méthodologies normalisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

Les cinq axes d’approche décisionnels . . . . . . . . . . . . . . . . . . . . . . . . . 268

Le déroulement d’un projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

Chapitre 15 – Organiser la dématérialisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297

La dématérialisation : un projet d’entreprise transverse . . . . . . . . . . . 297

Vers une direction de la dématérialisation ? . . . . . . . . . . . . . . . . . . . . . 298

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301

Mouton.indb 13 13/06/12 13:15

VII

Préface

Au fil de l’évolution de ses supports, l’écrit a été valorisé grâce à la compé-tence et au sérieux des scribes, des secrétaires, des clercs…, intermédiaires éclairés qui l’ont produit, et qui ont contribué à le préserver de la perte ou de la destruction. L’intervention de ces personnes consciencieuses et érudites suscitait un sentiment de sécurité et de confiance dans le public.

Le tsunami planétaire d’Internet et les violentes éruptions technologiques des quinze dernières années, ont provoqué une mutation irréversible des activités humaines au travers de l’émergence de la dématérialisation. Après que le droit a adapté un nouveau cadre juridique au phénomène, la révolution numérique a très rapidement pris de l’ampleur, s’imposant à tous irrésistiblement.

La dématérialisation de l’écrit s’est organisée autour de la mise en place d’un assortiment de processus et d’outils destiné à satisfaire les critères d’une sécurité absolue. C’est ainsi que la confiance s’est dissociée de l’élément humain qui la véhiculait, pour se raccorder aux instruments tech-niques que nous forgeons sans relâche.

Dimitri Mouton porte un regard expert sur cette dynamique du futur.

Son analyse méthodique, aiguisée et pertinente, clarifie le sujet.

Il nous incite à prendre le temps d’une réflexion sur la « technologisation » de la société.

Tandis que la machine à fabriquer les rêves tourne à plein régime, il est trop tôt pour savoir si nous pourrons supporter l’accélération du rythme des cycles technologiques et le raccourcissement des mutations socié-tales qui en résultent. Mais il n’est pas trop tard pour s’alarmer du fait que l’homme paraît vouloir figurer désormais en simple filigrane dans la page numérique qu’il vient d’ouvrir.

Devons-nous concéder aux seuls mécanismes techniques le soin d’as-sumer l’énorme exigence de confiance que la dématérialisation requiert, ou tenter de rééquilibrer le rôle de l’humain dans leur mise en œuvre ?

La Fédération nationale des tiers de confiance (FNTC) s’investit aux côtés de ceux qui s’appliquent à résoudre les défis du xxie siècle issus de ces

Mouton.indb 7 13/06/12 13:15

Sécutité de la dématérialisation

VIII

bouleversements. Elle présente l’originalité de réunir dans le même cénacle des fournisseurs de solutions technologiques de sécurité, reconnus pour leur compétence, et des vecteurs traditionnels de la confi ance, porteurs institutionnels des valeurs de neutralité, de pérennité et de légitimité.

En associant la multiplicité des talents, des aptitudes, des savoir-faire et des expériences de ces nouveaux « intermédiaires éclairés », la FNTC peut favoriser fortement l’essor d’une « dématérialisation en toute confi ance », et permettre à l’homme de demeurer maître de son destin.

Alain Bobant

Huissier de justice

Président de la Fédération nationale des tiers de confi ance

Mouton.indb 8 13/06/12 13:15

1PARTIE 1Les clés

de la révolution numérique

Mouton.indb 5 13/06/12 13:15

2PARTIE 2L’identité numérique

Mouton.indb 53 13/06/12 13:15

3PARTIE 3La signature électronique

Mouton.indb 159 13/06/12 13:15

4PARTIE 4Tracer, conserver

et certifi er les données

Mouton.indb 209 13/06/12 13:15

5PARTIE 5Organiser la

dématérialisation et mener son projet

Mouton.indb 265 13/06/12 13:16

301

Cas pratiques

accès au compte bancaire 56Achatpublic.com 43, 117, 125,

149, 201Adobe Reader 200affaire Kerviel 299anonymisation de données

médicales 26Applatoo 47, 154archivage

des e-mails 241des versions de travail des

documents 241du code source 242

attaqueman in the middle 104

contre Facebook 141authentification forte 195badge multi-usage 275Banque Casino 203Carte nationale d’identité

électronique 129Certigreffe 109changement de certificat 68CNIE (Carte nationale d’identité

électronique) 129confidentialité des e-mails 146conservation des contrats

conclus avec des particuliers 248

construction d’un bâtiment 235

dématérialisationdes achats 293des factures 9des marchés publics 149,

153, 166, 184, 216, 233fiscale des factures 192, 271

dépôt de marque à l’INPI 57DICT.fr 44, 205Diginotar 133, 139documents RH 241, 246données médicales 157e-attestations 44, 205e-bourgogne 280e-commerce 217e-stonia 129ETSCAF 145horodatage de signature

électronique 223huissiers de justice 244Idénum 131jedeclare.com 281jeux d’argent et de hasard en

ligne 215, 233justificatif de domicile 8lettre recommandée

électronique 217magasin de certificats de

Windows 97Microsoft Office 199notaires 244parapheur électronique 293

Index

Mouton.indb 301 13/06/12 13:16

Index

302

Planet Limousin 70, 120, 202, 204, 213, 280

réponse aux marchés publics 57reseaux-et-canalisations.gouv.fr

70réseaux sociaux 57scellement

d’un certifi cat 194d’une LCR 194d’une réponse OCSP 194d’un horodatage 194de code exécutable 193des traces applicatives 194

services publics dématérialisés 218

signature électroniqued’e-mails 180d’un fi chier ZIP 179et engagement 273par tablette graphique 189

Signexpert 199, 282souscription de contrat

dématérialisé en agence 205télédéclaration IR 38Télé IR 202téléservice Réseaux et

canalisations 117, 126, 192, 202, 206, 217

traçabilitébancaire 215, 220des FAI et fournisseurs

d’hébergement de contenu 216

et données à caractère personnel 272

validation des CGU 206vérifi er une signature

manuscrite 87vote par Internet 150, 153, 155,

231

Défi nitions

AC (Autorité de certifi cation) 92, 107

accusé de réception 227AdES-A (Archiving) 177AdES (Advanced Electronic

Signature) 177AdES-BES (Basic Electronic

Signature) 177AdES-C (Complete) 177AdES-L (Long-term) 177AdES-T (Timestamp) 177AdES-X (Extended) 177AE (Autorité d’enregistrement)

107annuaire 78anonymisation 157ANSSI (Agence nationale de la

sécurité des systèmes d’information) 30

applet Java 200AR (Autorité de révocation) 108

archivageélectronique 235, 262plan d’ 245

archivescourantes 242défi nitives 243intermédiaires 243recherche d’ 249restauration d’ 249

Arjel (Autorité de régulation des jeux en ligne) 215

attaqueécoute et rejeu 77force brute 33, 74man in the middle 133par dictionnaire 75

authentifi cation 28, 58d’un serveur 64faible 69forte 69jeton d’ 80

Mouton.indb 302 13/06/12 13:16

Index

303

autoritéd’enregistrement 107d’horodatage 222de certifi cation 92, 107de révocation 108de validation 108

AV (Autorité de validation) 108bac à sable 193badge multi-usage 275bi-clé 28BPM 10cachet 191

politique de 260serveur 191

CAdES (CMS Advanced Electronic Signature) 177, 197

captcha 76Card Management System 275carte à puce 100cercle de confi ance 83certifi cat 32, 85

AKI 91autosigné 110, 118Basic constraints 92classe 120CN (Common Name) 90CRLDP 91dates de validité 91délivrance 109demande 109DN (Distinguished Name) 89enveloppe autonome 97Extended key usage 91famille de 92, 107interopérabilité 122Key usage 91magasin de 95numéro de série 91porteur de 107profi l de 89qualifi é 121, 168renouvellement 117révocation 113scellement 93

SKI 91stratégie de 92support 94support dynamique

externalisé 98support matériel 99suspension 115utilisateur de 107validation 115

Certifi cate Revocation List 114Certifi cate Signing Request 110certifi cation

chaîne de la 118croisée 119de sécurité de premier

niveau 48opérateur de 108politique de 259

chaînage cryptographique des traces 225

chaînede la certifi cation 118de la confi ance 51

chiffrement 29, 146classe

1 1212 1213 1213+ 121de certifi cat 120

clécryptographique USB 100privée 27publique 27secrète 32symétrique 32taille de la 30

CMS (Card Management System) 275

coffre-fort électronique 237Cofrac (Comité français

d’accréditation) 49condensation 24confi ance 35

Mouton.indb 303 13/06/12 13:16

Index

304

confi dentialité 143politique de 263

contremarque de temps 222convention de preuve 254CRL (Certifi cate Revocation List)

114cross-certifi cation 119cryptage 146cryptographie

à clé publique 27à clé secrète 32asymétrique 27symétrique 32

CSPN (Certifi cation de sécurité de premier niveau) 48

CSR (Certifi cate Signing Request) 110

déclaration de pratiques 257défi /réponse 64délivrance de certifi cat 109Delta LCR 115demande de certifi cat 109dématérialisation 7dictionnaire (attaque par) 75donnée à caractère personnel

144données métier 212Dublin Core 246écoute et rejeu (attaque par) 77empreinte 24enregistrement 107enrôlement 107entiercement 242enveloppe autonome 97étoiles du RGS 123famille de certifi cats 92, 107fédération d’identités 83FNTC (Fédération nationale des

tiers de confi ance) 41fournisseur d’identités 83GED 10génération de clés embarquée

101

gestiondes habilitations 145des identités et des accès 10des processus métier 10électronique de documents

10Hardware Security Module

(HSM) 102hash 24horodatage 221

autorité d’ 222certifi é 222jeton d’ 222politique d’ 258simple 221

HSM (Hardware Security Module) 102

IAM 10ICP (Infrastructure à clé

publique) 108identifi ant 60

constitution 72identifi cation 58identité 55

numérique 56IGC (Infrastructure de gestion de

clés) 108index 238infrastructure

à clé publique 108de gestion de clés 108

inscription en ligne 82intégrité 193interopérabilité des certifi cats

122ISO 15836 246jeton d’horodatage 222key logger 76LCR (Liste de certifi cats

révoqués) 114logs techniques 224magasin de certifi cats 95

de confi ance 124man in the middle 133

Mouton.indb 304 13/06/12 13:16

Index

305

matériel cryptographique 102méta-annuaire 79métadonnées 238, 246mot de passe 60

à usage unique 61constitution 74dynamique 61fort 74

obfuscation 157OC (Opérateur de certifi cation)

108OCSP (Online Certifi cate Status

Protocol) 116OTP (One-Time Password) 61PAdES (PDF Advanced

Electronic Signature) 177, 197PC (Politique de certifi cation)

107PDF/A 243PGP 137phishing 77PIN (Personal Identifi cation

Number) 101PKI (Public Key Infrastructure)

108plan

d’archivage 245de classement 245

politiqued’archivage électronique

240, 262de cachet 260de certifi cation 92, 107, 259de confi dentialité 263de gestion des identités et

d’authentifi cation 263de signature électronique

260de traçabilité et de gestion

de preuves 231, 261d’horodatage 258

PoP (Proof of Possession) 109porteur de certifi cat 107

prestatairede validation de certifi cats

électroniques 43prestataire de services

d’archivage électronique 43d’horodatage électronique

43, 222de certifi cation électronique

(PSCE) 43, 92, 107de confi ance 42

qualifi cation 42de gestion de preuves 43de signature électronique 43de validation de certifi cats

électroniques 43preuve

cryptographique 225de possession 109renversement de la charge de

la 170principe des quatre yeux 151profi l d’acheteur 216Proof of Possession 109protocole de consentement 203provenance 193PSAE (Prestataire de services

d’archivage électronique) 43PSCE (Prestataire de services de

certifi cation électronique) 43, 92, 107

PSCO (Prestataire de services de confi ance) 42

qualifi cation 42, 49PSGP (Prestataire de services de

gestion de preuves) 43PSHE (Prestataire de services

d’horodatage électronique) 43, 222

PSSE (Prestataire de services de signature électronique) 43

Public Key Infrastructure 108PUK (PIN Unlocking Key) 101PVCE (Prestataire de validation

de certifi cats électroniques) 43

Mouton.indb 305 13/06/12 13:16

Index

306

qualifi cation des produits de sécurité 47

question secrète 68recherche d’archives 249rejeu 69rejouable 69renouvellement de certifi cat 117renversement de la charge de la

preuve 170restauration d’archives 249réversibilité 240révocation 113RGS (Référentiel général de

sécurité) 23étoiles 123

sauvegarde 236sécurité 35

applicative 11, 18chaîne de la 21comportementale 19technique 16

session 60signataire 168, 171signature

d’approbation 179de certifi cation 179défi nition

juridique 165pratique 161

électronique 29à la volée 203avancée 171défi nition 162, 166, 171,

175dispositif sécurisé de

création 101politique de 260présumée fi able 166, 170

sécurisée 169simple 168vérifi cation 180, 181, 184

Single Sign-On 80source de temps 221SSL (Secure Socket Layer) 63SSO (Single Sign-On) 80stockage 236strate 221stratégie de certifi cat 92support

de certifi cat 94dynamique externalisé 98logiciel 95matériel 99

système de gestion des cartes 275

TBS Certifi cate 110test de Turing 76tiers

archiveur 240de confi ance 40

TLS (Transport Layer Security) 63

traçabilité 211traces applicatives 224Turing (test de) 76URL 63utilisateur de certifi cat 107VABF (Vérifi cation d’aptitude au

bon fonctionnement) 288validation de certifi cat 115Vérifi cation d’aptitude au bon

fonctionnement (VABF) 288vérifi cation de signature

électronique 180XAdES (XML Advanced

Electronic Signature) 177, 197

Normes

2TUP 267AES 32, 147, 149, 154, 287

AES CBC 32AES ECB 32

Mouton.indb 306 13/06/12 13:16

Index

307

CAdES (CMS Advanced Electronic Signature) 22, 177, 178, 179, 197, 202, 222, 261, 287

CAPI 104CMS 148, 177Convergence 140CSP (Cryptographic Service

Providers) 104, 193CSPN (Certifi cat de sécurité de

premier niveau) 233EBIOS (Expression des besoins

et identifi cation des objectifs de sécurité) 124, 284

ElGamal 151ETSI 101456 50, 127extreme programming 267GS1, recommandations pour

l’échange de factures dématérialisées fi scalement 192

ISO 14641 237ISO 14641-1 22ISO 14721 237ISO 15408 48ISO 15489 237ISO 27000 22ITIL 267label FNTC

coffre-fort électronique 237tiers archiveur 237

LDAP 79Merise 267MoReq2010 237NF Z42-013 22, 237NF Z42-025 23NTP (Network Time Protocol)

221OAIS (Open Archival

Information System) 237PAdES (PDF Advanced

Electronic Signature) 22, 177, 178, 179, 197, 202, 261, 287

PC/SC (Personal Computer/Smart Card) 104

PGP 137PKCS 22PKCS#7 148, 177PKCS#11 104, 193PKCS#12 98, 156PKCS#15 105RACHE (Rapid Application

Conception and Heuristic Extreme-programming) 267

Référentiel général d’accessibilité pour les administrations (RGAA) 287

Référentiel général d’interopérabilité (RGI) 287

RFC 2527 22RFC 2560 22, 116RFC 2630 22, 148RFC 3039 92RFC 3161 22, 222

annexe A 223RFC 3647 259RFC 4055 22RFC 4330 221RFC 5280 22, 89, 115RGAA (Référentiel général

d’accessibilité pour les administrations) 287

RGI (Référentiel général d’interopérabilité) 287

RGS (Référentiel général de sécurité) 23, 167, 172, 191, 258, 259, 274, 282

étoiles 23RSA 27, 147, 149, 154, 164, 175,

287SHA256 24, 175, 287S/MIME 148Sovereign Keys 140SSL (Secure Socket Layer) 63,

151standard d’échange de données

pour l’archivage DAF 237Time Stamp Protocol (TSP) 222

Mouton.indb 307 13/06/12 13:16

Index

308

TLS (Transport Layer Security) 63

TSP (Time Stamp Protocol) 222UML 286X.500 79

X.509 89, 90XAdES (XML Advanced

Electronic Signature) 22, 177, 178, 179, 197, 261, 287

XMLDSig 178

Paroles d’experts

Borghesi Alain, Cecurity.com 239Caprioli Éric, avocat, cabinet

Caprioli et associés 252Colin Pascal, Keynectis 50Denuzière Jean, Ilex 81Du Boullay Charles, CDC Fast et

CDC Arkhinéo 218Kaeb Thomas, Wacom 188Maraval Philippe, Pôle Emploi 185Maréchaux Bertrand, ANTS 130Mattatia Fabrice, CDC 131

Plas Didier, Genitech 287Poidevin Emmanuel,

e-attestations 45Pourcher Gilles, Région

Limousin 294Saphores Jean, CSOEC 281Treins Michel, Ineris 71Trotin Armelle, LSTI 135Vantorre Ignace, Sogelink 20Zimmermann Philip,

cryptologue 139

Textes législatifs et réglementaires

arrêtédu 26 juillet 2004 49du 28 août 2006 252RGS du 18 mai 2010 24

Code civilarticle 1108-2 270article 1156 255article 1162 255article 1316 12article 1316-1 12, 194, 239article 1316-2 252, 254article 1316-3 12article 1316-4 164, 165, 166,

187, 260, 272, 273, 282article 1369-8 217

Code de commerce, article L.123-22 248

Code de la consommationarticle L.132-1 253, 255article L.134-2 248article R132-2 253

Code de la propriété intellectuelle

article L.331-12 216article L.336-3 216

Code des marchés publics 185article 56 216, 271article 57 270

Code des postes et télécommunications, article L.34-1 216

Code général des impôtsannexe 3, article 96 F 272article 289 V 192, 271

communication de la Commission européenne du 8 octobre 1997 38

décretn° 79-1037 du

3 décembre 1979 242n° 2001-272 du 30 mars 2001

101, 107, 122, 164, 166, 168, 169, 170, 191, 272, 282

Mouton.indb 308 13/06/12 13:16

Index

309

n° 2002-535 du 18 avril 2002 47, 49

n° 2011-144 du 2 février 2011 217

RGS 2010-112 du 2 février 2010 48

délibération CNIL n° 2010-371 du 21 octobre 2010 150, 232

directive1999/93/CE du

13 décembre 1999 38, 39, 121, 164, 171, 172, 173, 191, 192, 251

Commerce électronique 2000/31/CE du 8 juin 2000 39

loiInformatique et libertés

n° 78-17 du 6 janvier 1978 7, 11, 144, 220, 230, 272

n° 2000-230 du 13 mars 2000 11, 164, 166, 251, 252

n° 2004-575 pour la confi ance dans l’économie numérique (LCEN) du 21 juin 2004 39, 122, 215

n° 2004-801 du 6 août 2004 144

n° 2009-526 du 12 mai 2009 270

n° 2010-476 du 12 mai 2010 215

ordonnance n° 2005-1516 du 8 décembre 2005 23, 42, 218, 227, 256

règlement n° 97-02 de la Banque de France 51

RGS (Référentiel général de sécurité) 23, 39, 42, 123

Mouton.indb 309 13/06/12 13:16

Index-Mouton.pdfTable des matièresAvant-propos Portée de l’ouvrage À qui s’adresse ce livre ? À propos de l’auteur À propos de l’illustrateur

Les clés de la révolution numérique La dématérialisation Du traitement automatisé des données à la suppression du papier Le « zéro papier » : un mythe utile ? Les composants d’un service dématérialisé Internet : une zone de non-droit ?

La sécurité de la dématérialisation Les différents types de risques et de réponses La sécurité technique La sécurité applicative et juridique La sécurité comportementale La chaîne de la sécurité Normalisation et référentiels Un peu de cryptographie pour y voir plus clair

La notion de confiance Une définition de la confiance La confiance dans l’économie numérique du point de vue juridique Le tiers de confiance La chaîne de la confiance

L’identité numérique La gestion d’identités La notion d’identité L’identité numérique Identification et authentification : quelle différence ? Les différents modes d’identification et d’authentification Du bon usage des identifiants et des mots de passe Quelques exemples emblématiques de projets de gestion d’identités

Le certificat, une carte d’identité numérique Qu’est-ce qu’un certificat ? Le cycle de vie du certificat La chaîne de la certification Identité numérique et certificats : deux exemples de projets Les conséquences catastrophiques d’une sécurité insuffisante : la faillite de Diginotar

La confidentialité Qu’est-ce qui est confidentiel… et vis‑à‑vis de qui ? Le cas particulier des données à caractère personnel Limiter l’accès aux données : la gestion des habilitations Rendre les données inintelligibles : le chiffrement Transmettre des secrets Conserver et utiliser des secrets Rompre le lien entre les personnes et les données : l’anonymisation

La signature électronique La signature électronique en pratique Signature manuscrite et signature électronique : deux actes très ressemblants Signature manuscrite et signature électronique : quelques différences pratiques Comprendre le cadre juridique : un passage obligé

La signature électronique : un objet technique La réalisation technique d’une signature électronique La vérification d’une signature électronique Biométrie et signature électronique

Le cachet et les autres formes de signatures L’ambiguïté du terme « signature électronique » La signature de personne morale : le cachet Les autres usages du mécanisme technique de « signature »

Définir son besoin et choisir un outil de signature électronique Déterminer le contexte du service Les différentes façons de réaliser des signatures électroniques

Tracer, conserver et certifier les données La traçabilité La traçabilité, définition et usages Les différentes formes de traçabilité Inclure la traçabilité dans son projet Quelques exemples de projets incluant la traçabilité

L’archivage électronique Conserver à long terme les documents électroniques Définir un plan d’archivage

La convention de preuve Une convention de preuve… Pour quoi faire ? Constituer une convention de preuve

Organiser la dématérialisation et mener son projet Mener un projet de dématérialisation Les méthodologies normalisées Les cinq axes d’approche décisionnels Le déroulement d’un projet

Organiser la dématérialisation La dématérialisation : un projet d’entreprise transverse Vers une direction de la dématérialisation ?

Index