Tiers de confiance numérique

Les possibilités offertes par le développement d’internet et la dématérialisation progressive des procédures amènent la plupart des organisations (en particulier dans les domaines de l’administration et de la banque) à avoir recours à de nouveaux systèmes de sécurisation des flux informatiques.

Une offre complète de confiance numérique

Informatique CDC, Tiers de confiance et opérateur pour le secteur public, a développé une offre de confiance numérique complète, conforme à l’état de l’art et au nouveau cadre règlementaire afin de garantir à ses membres un niveau de sécurité optimal au regard de ces nouveaux enjeux. Cette offre est constituée des briques fonctionnelles suivantes :

  • PKI ou ICP : Infrastructure à Clés Publiques
    • Délivrance des identités numériques (certificats) pour personnes ou machines ;
    • Autorités de Certification qualifiées RGS (Référentiel Général de Sécurité de l’ANSSI) selon les exigences de sécurité adéquates.
  • PAMM  : Plateforme d’Authentification Multi-Moyens
    • Fourniture de services d’authentification simple ou renforcée multi-moyens (couple identifiant / mot de passe, certificat, OTP…) ;
    • Augmentation progressive du niveau de sécurité des applications.
  • PCN  : Plateforme de Confiance Numérique
    • Fourniture des services de validation de certificats et de signature électronique ;
    • Constitution et horodatage de la preuve électronique (enrichissement) ;
    • Versement et archivage de la preuve électronique.
  • SAE  : Services d’Archivage Electronique
    • Archivage à valeur probante (scellement, signature, horodatage, preuve de dépôt) ;
    • Conformité à la norme Afnor NF Z42-013.

Cette offre, industrielle et pérenne (urbanisée), est modulable et intégrable (web services ou API) en fonction des besoins des acteurs et du niveau de sécurité souhaité. Elle s’appuie autant que nécessaire sur des produits ou des services qualifiés par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information).

Un rôle d’Autorité d’Enregistrement

Informatique CDC assure le rôle d’Autorité d’Enregistrement au sein du dispositif de certification du groupe Caisse des Dépôts.

La Caisse des Dépôts s’est dotée de nouveaux moyens de sécurité pour répondre aux enjeux de la dématérialisation. Grâce à son offre complète de confiance numérique, les questions de sécurité sont adressées de manière mutualisée notamment par l’usage d’identités électroniques appelées certificats numériques.

Ce dispositif de certification est hiérarchisé comme suit :

  • Une Autorité de Certification (AC) qui est l’entité morale garante du lien entre l’identité réelle d’un porteur et son identité numérique également appelée certificat.

Sous l’autorité d’une AC, une Autorité d’Enregistrement (AE) :

  • est l’entité responsable de la gestion du cycle de vie des certificats ;
  • est garante de l’identité des porteurs à qui elle délivre des certificats ;
  • dispose d’opérateurs humains dûment habilités ;
  • vérifie l’authenticité des demandes ;
  • valide les demandes des porteurs ;
  • émet les certificats.

Informatique CDC assure le rôle d’Autorité d’Enregistrement pour le compte des AC suivantes :

  • CDC - FIDELIA : émission de certificats porteurs
  • CDC - ESSELIA : émission de certificats serveurs

Pour accéder au formulaire de demande :
[Formulaire de demande]

Pour télécharger le driver :
(lien fichier installation du driver)

Pour en savoir plus sur le Programme de confiance numérique de la Caisse des Dépôts
http://www.caissedesdepots.fr/confiance.html

Les notions de risque et de sécurité

Les besoins en nouveaux systèmes de sécurisation reposent sur deux considérations majeures :

  • Le renforcement de l’identification des acteurs (authentification forte via l’identité numérique) ;
  • La signature électronique de transactions ou de documents électroniques certifiés.

Par ailleurs, l’omniprésence de l’informatique dans l’entreprise et dans la vie civile induit de nouveaux risques à couvrir. Récemment, de nombreux incidents avérés et liés à la négligence humaine, tant dans le monde de l’industrie que dans le monde des services ont fait l’objet de publications importantes dans les médias grand public. La divulgation ou la falsification d’informations issues de systèmes sensibles deviennent aujourd’hui une préoccupation majeure pour de nombreux grands groupes privés ou institutions publiques.

Factuellement, les menaces sont essentiellement de trois types :

  • L’accès frauduleux à l’information via l’usurpation d’identité d’une personne habilitée ;
  • La falsification d’un document officiel ou la réalisation d’une opération interdite  ;
  • La divulgation d’informations sensibles classées confidentielles.

Mais au-delà de la protection de l’information, la vigilance et la préoccupation des décideurs concernent également :

  • L’intégrité financière et l’impact boursier (engagements excessifs sur les marchés financiers…) ;
  • La communication et la protection de l’image (compromission de la crédibilité, atteinte à l’image…) ;
  • La confidentialité des informations stratégiques (informations personnelles…).

C’est dans ce contexte que l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) a procédé à la rédaction du Référentiel Général de Sécurité (RGS). Le RGS – officiellement publié par décret (1) le 2 février 2010 – impose aux administrations publiques des règles officielles et incontestables. Ce texte fédérateur adossé à l’Ordonnance du 8 décembre 2005 (2) rassemble les règles de sécurité à respecter dans le cadre de la dématérialisation des services publics.

NOTES

1. Décret n° 2010-112 du 2 février 2010 & arrêté afférent du 6 mai 2010
2. Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administrative

Remonter en haut de page

En complément

Acteur de la confiance

Filiale de la Caisse des Dépôts, créée en 1816 pour gérer des fonds privés et rétablir la confiance dans le crédit public,
Informatique CDC a transposé ce rôle de Tiers de confiance dans son domaine d’expertise, le numérique. Ainsi, Informatique CDC est le garant de la confidentialité, de la sécurité et de l’intégrité des systèmes d’information de ses membres.

Les membres et partenaires

De par son statut de Groupement d’Intérêt Economique (GIE), Informatique CDC répond aux enjeux de rationalisation des acteurs publics. Ses membres sont avant tout des partenaires qui conservent le pilotage de leur système d’information, et bénéficient des mécanismes de mutualisation des ressources humaines et matérielles du GIE.