Vous êtes sur la page 1sur 66

NATHAN HATTAB

CONSULTANT EN SYSTEMES D'INFORMATION


EXPERT EN INFORMATIQUE PRES LA COUR D'APPEL DE PARIS
ET LES COURS ADMINISTRATIVES D'APPEL DE PARIS ET DE VERSAILLES
54 RUE JULIETTE SAVAR
94000 CRETEIL

AUDIT DU RESEAU PRIVE VIRTUEL


AVOCATS (RPVA)

09/06/2010

Rapport daudit
ralis la demande de Monsieur A.J.M. POUCHELON,
Prsident de la Confrence des Btonniers

TELEPHONE : 01.49.80.34.06. - TELECOPIE : 01.49.80.34.07. - E-MAIL : Nathan.Hattab@Wanadoo.fr"

RPVA
Rapport daudit Version 1.1 09/06/2010

SOMMAIRE
1

La mission daudit, les acteurs et le contexte ......................................................................... 3


1.1

Contexte et objectifs ............................................................................................................... 3

1.2

Audit technique et conomique pour clairer la Confrence des Btonniers ........................ 5

1.3

Les acteurs ............................................................................................................................... 7

Lanalyse .............................................................................................................................13
2.1

La scurit de la liaison et de lauthentification.................................................................... 13

2.2

La scurit globale des changes electroniques ................................................................... 16

2.3

La scurisation du rseau local du cabinet et du travailleur nomade................................... 18

2.4

Le dveloppement de nouveaux services scuriss.............................................................. 22

2.5

La dpendance NAVISTA .................................................................................................... 24

Comparatifs et analyse critique ............................................................................................27


3.1

Aspects conomiques des trois systemes ............................................................................. 27

3.2

Scurit informatique............................................................................................................ 34

3.3

Intgration dans les cabinets, prise en compte par les prestataires informatiques ............. 36

3.4

Maitrise contractuelle ........................................................................................................... 38

Conclusion ...........................................................................................................................41
4.1

Analyse de la situation gnrale ........................................................................................... 41

4.2

Points particuliers et Recommandations .............................................................................. 44

4.3

Synthse ................................................................................................................................ 48

Annexes...............................................................................................................................50
5.1

Annexe 1 Larchitecture des trois solutions ....................................................................... 50

5.2

Annexe 2 Le boitier NAVISTA, qualit, performance et scurit ....................................... 61

5.3

Annexe 3 Les entretiens et les visites effectues ................................................................ 63

5.4

Annexe 4 - Glossaire .............................................................................................................. 64

2/66

RPVA
Rapport daudit Version 1.1 09/06/2010

1
1.1

LA MISSION DAUDIT, LES ACTEURS ET LE CONTEXTE


CONTEXTE ET OBJECTIFS

1.1.1 METTRE EN UVRE LA CONVENTION ENTRE LE MINISTERE DE LA JUSTICE ET LE


CNB
Le Ministre de la Justice et le Conseil National des Barreaux (CNB) ont sign une convention le 4 mai
2005 puis le 28 septembre 2007. Elle porte sur le systme de communication entre les Juridictions
et les cabinets davocats pour la consultation du dossier informatique et lchange sous format
lectronique des donnes utiles la gestion des procdures civiles et pnales . Lensemble des
fonctionnalits des systmes est conforme au droit positif et les systmes de communication
instaurs sont conus pour sadapter aux volutions procdurales .
Elle dsigne le CNB comme responsable de lopration du rseau priv virtuel avocats raccordant
les avocats aux juridictions. Ce rseau est dsign par la suite comme RPVA .
1.1.2 CNB EXPLOITE, MAINTIENT, FAIT EVOLUER E-BARREAU ET SECURISE SON ACCES
Conformment aux dispositions de la convention avec la Chancellerie, le CNB a organis un point
daccs unique aux greffes des tribunaux de grande instance et des cours dappel de France, qui
rsulte dune suite danalyses et de dcisions.
Les 19 et 20 mars 2004, le Conseil National des Barreaux a examin un rapport sur la messagerie et
laccs Internet scuris pour les avocats.
Son paragraphe introductif tait le suivant :

Linformatique et lInternet sont parties intgrantes de la vie quotidienne des avocats et les
professionnels que nous sommes ne peuvent, titre individuel, qutre tous impliqus terme dans
ces nouvelles technologies.
La mission de nos instances reprsentatives, au premier rang desquelles se place le Conseil National
des Barreaux, est de promouvoir laccs dun maximum, sinon de la totalit de nos confrres, aux
nouvelle technologies, et ce en raison de la ncessit dviter en ce domaine une sorte de fracture
sociale qui serait une fracture technologique.
La nature de nos activits, la confidentialit des lments qui nous sont confis par les clients, nos
principes dontologiques devraient cependant appeler une vigilance extrme.
Le Conseil National des Barreaux entend insister pour que les avocats obtiennent de leurs prestataires
des assurances techniques afin de protger efficacement le flux dinformations sensibles que
vhiculent leurs messageries lectroniques.
Il rflchit, par ailleurs, avec tous les acteurs de la profession, aux solutions utiles notre
communaut professionnelle .

3/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Dans le droit fil de cette premire dlibration, le Conseil National des Barreaux a dcid, loccasion
de son assemble gnrale des 10 et 11 dcembre 2004, de doter la profession dun vritable
intranet, de faon pouvoir rpondre collectivement lensemble des besoins (connus ou
susceptibles de se rvler) lis lexercice de la profession,
Les consquences techniques de ces choix politiques ont galement t prises en considration,
comme le montre lextrait du procs-verbal :

Option 1 : Un accs scuris aux donnes disponibles sur le serveur Web du Conseil National

[extranet cnb.fr en https + certificats]. Cette solution rpond de manire restreinte (accs
Web uniquement) au cahier des charges de la Chancellerie. Les autres types dchanges
lectroniques relevant de chaque avocat
Option 2 : Un internet professionnel et scuris [rseau RPVA + extranet cnb.fr + certificats].
Cette solution repose sur une infrastructure de scurit collective et globale pour tous les
changes Internet professionnels (emails, Web, accs nomades, changes inter-applications).

L'assemble gnrale du Conseil a adopt la majorit des voix larchitecture technique du RPVA
option 2.
Les engagements contractuels pris par le Conseil National des Barreaux vis vis du Ministre de la
Justice pour l'interconnexion avec le RPVJ, imposent de respecter un haut niveau de scurit et un
interlocuteur unique garant/responsable de l'ensemble des accs "avocat".
Cest en fonction des orientations rappels ci-dessus et en adquation avec les diffrents besoins de
services exprims par la profession que le Conseil National des Barreaux a labor la solution
propose aux avocats.
Cette solution est matrialise dans une plateforme e-Barreau qui permet un avocat de consulter
ltat de ses dossiers, et de raliser des actes de procdure de faon lectronique.
Pour scuriser lauthentification de lavocat aux services de-Barreau, le CNB a mis en place une
authentification forte assure par un certificat protg par un code Pin et stock sur un
cryptoprocesseur.
Le transport est scuris par un cryptage point point via Https authentifi par le certificat. Un
deuxime niveau de scurit est mis en uvre puisque le flux Https est encapsul dans des tunnels
VPN reliant le rseau local du cabinet davocat au frontal de-Barreau.
Pour la mise en uvre de ces tunnels VPN, le CNB a pris loption de dployer des boitiers firewallVPN mis au point par la socit NAVISTA.
1.1.3 3 SOLUTIONS MISES EN AVANT POUR LA SECURISATION DE LACCES
Remarquant que la solution du CNB induit un cot pour la collectivit des avocats de plusieurs
millions dEuros, le Barreau de Paris a propos une architecture plus lgre, maintenant un niveau de
scurit lev, mais rpondant principalement la fonction accs au service e-Barreau.
Lutilisation du VPN comme surcouche de scurit na donc pas t adopte par le Barreau de Paris.
4/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Le Barreau de Marseille a adopt une dmarche comparable celle du CNB, tout en sappuyant sur la
mutualisation du boitier firewall-VPN NAVISTA.
CNB.COM DEPLOYER LE RESEAU NAVISTA DANS TOUS LES CABINETS
CNB a pris loption de dployer un rseau priv virtuel au sein de tous les cabinets davocats. Le
rseau est ralis par des boitiers NAVISTA. Outre le chiffrement, les boitiers ont aussi vocation
assurer la scurisation des rseaux locaux des cabinets et ouvrir laccs des tl-services adapts
aux exigences de scurit des avocats.
PARIS LA CONVENTION NIMPOSE QUE LE HTTPS ET LE CERTIFICAT
Le Barreau de Paris estime que la scurisation par HTTPS et authentifi par un dispositif
cryptoprocesseur est largement suffisante. Cest le dispositif historique qui est exploit au sein du
Barreau avec le greffe du TGI de Paris.
Le Barreau de Paris a obtenu un accs spcifique e-Barreau pour les avocats parisiens, quil a
intgr son bouquet de services.
MARSEILLE UNE ALTERNATIVE ECONOMIQUE A LA SECURISATION PAR NAVISTA
Le Barreau de Marseille a point en 2009 le cot important de loption prise par le CNB et ses
limitations en termes de mobilit. Elle a dvelopp une plateforme daccs e-Barreau scurisant
laccs par des technologies Cisco. Le principe mme de laccs permet laccs nomade.
Compte tenu des exigences du CNB en matire de connexion e-Barreau, Marseille a connect son
concentrateur CISCO au RPVA en passant par un boitier RSA quelle a ainsi mutualis.

1.2

AUDIT TECHNIQUE ET ECONOMIQUE POUR ECLAIRER LA CONFERENCE DES


BATONNIERS

1.2.1 MISSION DAUDIT


Le Prsident de la Confrence des Btonniers a dsign un expert pour :

Auditer techniquement et conomiquement la solution du CNB


Auditer techniquement et conomiquement la solution du Barreau de Marseille
Recueillir les informations techniques et conomiques de la solution du Barreau de Paris

Le Prsident a demand lauditeur de prendre en compte dans ses questionnaires, les lments
quil estime utile de retenir de la grille dvaluation technique du CNB.
Cette grille porte notamment sur :
-

Les pr-requis techniques et la politique de licence.


La scurit de la liaison,

5/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Laccs scuris des tl-services,


La scurit du rseau local du cabinet et des accs internet.

1.2.2 DEMARCHE DAUDIT


Elle a consist :

Comprendre le contexte, les acteurs, les enjeux


Positionner le dbat, les arguments de chacun et leurs fondements
Prsenter les lments de fait collects et des premires conclusions aux principaux acteurs
interviews
laborer le rapport d'audit avec les points forts, les points faibles et les recommandations
Traduire les objectifs de l'audit en points d'audit
Identifier les sites visiter, les acteurs interviewer et collecter la documentation
Comprendre le contexte gnral du milieu professionnel
Visiter des cabinets d'avocats dots du boitier NAVISTA et conduite des interviews
Rencontrer les promoteurs de chacune des trois solutions et conduire les interviews
Prsenter pour validation les lments de fait collects
laborer un rapport d'audit intermdiaire
Elaborer le rapport dfinitif aprs recueil des observations du mandant

1.2.3 EQUIPE DAUDIT


Directeur de mission : Nathan Hattab, Consultant en systmes dinformation, Expert prs la Cour
dAppel de Paris et les Cours Administratives dAppel de Paris et de Versailles.
Consultant : Philippe Aymar, Consultant en systmes dinformation, Expert prs la Cour dAppel de
Paris et les Cours Administratives dAppel de Paris et de Versailles.
1.2.4 ORIENTATIONS
Laudit sest droul en sappuyant sur les thmes danalyse et de rflexion suivants :
Les acteurs
o Le CNB, CNB.COM et NAVISTA
o Le Barreau de Paris
o Le Barreau de Marseille
Lanalyse
o Les positions respectives sur laccs scuris aux services de-Barreau, concepts et
fondements,
o La scurit de liaison et de lauthentification,
o La scurit des changes lectroniques
o La scurit des cabinets et des travailleurs nomades
o Le dveloppement de nouveaux services scuriss
o La dpendance NAVISTA
Comparatif et analyse critique

6/66

RPVA
Rapport daudit Version 1.1 09/06/2010

1.3

o Aspects conomiques
o Scurit informatique
o Intgration dans les cabinets, prise en compte par les prestataires informatiques
o Maitrise contractuelle
Conclusions
LES ACTEURS

1.3.1 CNB, CNB.COM ET NAVISTA


CNB.COM
Le CNB Conseil National des Barreaux reprsente la profession des avocats auprs de la
Chancellerie.
Il a sign en 2005 puis en 2007 une convention avec la Chancellerie qui permet aux avocats la
consultation du dossier informatique et lchange, sous format lectronique, dinformations utiles
la gestion des procdures civiles et pnales.
Le CNB a pris lengagement de mettre en uvre linfrastructure et les mesures pour garantir la
fiabilit de lidentification des avocats parties la communication lectronique, lintgrit des
documents adresss, la scurit et la confidentialit des changes ainsi que ltablissement avec
certitude de la date denvoi et celle de rception des lments changs.
Le CNB a opt dans un premier temps pour un accs Internet haut dbit (ADSL) comme le montre
lextrait du PV dAG des 27 et 28 avril 2007 :
Techniquement la solution qui a t retenue propose aux avocats un accs Internet haut dbit
(ADSL), une messagerie lectronique scurise consacrant lidentification avocat-conseil , une
certification forte avec authentification de la qualit davocat et un outil de signature lectronique
spcifique de la profession.
Elle a entrain la signature par le Conseil National des Barreaux d'un contrat avec France Tlcom
pour une dure de trois ans (mai 2005 mai 2008) et dont les cots fixes, de lordre de 300 k par an,
sont seuls pris en charge par le Conseil ()
Le dploiement de loffre RPVA, lance loccasion de la convention de Marseille, sest avre
complexe compte tenu dun certain nombre de contraintes techniques (unicit et changement du FAI
impliquant des coupures daccs sauf disposer de deux lignes distinctes, etc..) qui ont
considrablement compliqu la mise en place du rseau dans les cabinets.
Les difficults rencontres avec laccs Internet haut dbit (ADSL) ont conduit le CNB opter pour
une autre solution comme le montre lextrait du PV de lAG des 14 et 15 septembre 2007 :
Le dossier a connu ces derniers temps une importante acclration en raison du changement
doprateur par le Conseil National et de la pros en charge du chantier par la Caisse des dpts qui
met la disposition du ministre de la justice des moyens financier, techniques et humains.

7/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Lobjectif annonc par la Chancellerie est quipement de tous les TGI au 1er janvier 2008 au rythme
de trois juridictions par jour compter du 1er octobre prochain.

()
Il sagit donc dun challenge monumental pour la profession qui dispose de trois mois pour finaliser ce
projet et quiper les barreaux.
Le Conseil National a travaill pour se faire sur une modification de loffre technique de-barreau. Il a
ainsi fait choix de la socit NAVISTA qui propose un boitier lectronique sans obligation pour le
cabinet de changer doprateur et de nom de domaine. Cette solution technique qui se greffe sur le
rseau informatique du cabinet, avec le mme niveau de scurit, permet de connecter autant de
poste que lon veut et nimpose aucun changement dadresse de messagerie.
Le CNB a alors confi lassociation vocation nationale, CNB.COM, la charge de

Maintenir la plateforme technique e-Barreau,

Dployer larchitecture NAVISTA (frontal Rennes et boitiers RSA dans les cabinets davocats)
pour laccs au service e-Barreau,

Assurer le support utilisateur pour les cls e-Barreau et les boitiers RSA (niveau 0 seulement),

CNB.COM a opt pour une fiscalit qui permette aux avocats de se faire rembourser la TVA sur les
prestations refactures par CNB.COM, et notamment celles de NAVISTA et de CertEurope.
CNB.COM a sign en 2007 avec la socit NAVISTA une convention qui dfinit un modle
conomique bti sur

la location mensuelle des botiers RSA par NAVISTA CNB.COM, organisme national,

le support et la maintenance des boitiers dploys chez les avocats,

l'attribution NAVISTA de la garantie du monopole des accs e-Barreau assortie de la garantie


dune quantit minimum de boitiers. Le monopole est form par lexclusivit de la fourniture
des services de liaison scurise de type TCP/IP XDSL lexclusion de celles transportant le
protocole IP en mode MPLS aux services RPVA des changes entre les cabinets davocats et le
serveur e-Barreau.

Un accord a t trouv en 2009 pour autoriser la sortie du Barreau de Paris du dispositif et revoir les
engagements prix-volumes pour la location NAVISTA des boitiers RSA.
NAVISTA
NAVISTA est une socit dune dizaine de personnes implante PERPIGNAN. Elle conoit, dploie et
administre des solutions rseaux scurises. Elle est certifie ISO 9001 depuis mars 2006 et elle est
compose de :
-

un service de recherche et dveloppement qui dfinit les boitiers, dveloppe les logiciels
embarqus dans les boitiers et les solutions de contrle centralis (NCC),

8/66

RPVA
Rapport daudit Version 1.1 09/06/2010

un service support avec trois niveaux, le premier niveau rgle les questions simples, le
second permet de rpondre aux questions techniques en particulier des installateurs de
boitiers, le troisime prend en charge les corrections dapplicatif et est port par le service
recherche et dveloppement,
un service de montage, de paramtrage, de tests et vrification, et dexpdition des botiers
RSA vers les cabinets davocats
une salle de serveurs comportant les serveurs de tests et de dveloppement ainsi que le
serveur qui hberge lapplication de contrle centralis des boitiers.

Outre le Rseau Priv Virtuel des Avocats, NAVISTA a deux autres rfrences dans le monde de la
Justice, les cabinets de notaires dIle de France pour lesquels elle dploie un rseau priv virtuel, et
ladministration pnitentiaire laquelle elle propose des terminaux client lger destination des
dtenus en fin de peine.
NAVISTA est consciente de limpact potentiel de son organisation sur la scurit du RPVA et des
cabinets davocats qui y sont connects, la fois par la qualit de ses dveloppements et par la
capacit que lui donne son centre de contrle NCC. Elle envisage dengager une certification ISO
27001. Son site est dailleurs en voie de scurisation renforce puisque outre le site de badge de
contrle daccs, elle fait clturer le primtre immdiat de son immeuble dont elle est la seule
occupante.

LA VISION CNB, CNB.COM ET NAVISTA POUR LE RPVA


Le CNB voit le RPVA comme un rseau priv qui sanctuarise les cabinets davocats voluant au sein
dInternet. Dabord conu pour assurer la communication scurise avec le serveur de-Barreau, le
RPVA est vu comme le canal de communication scuris des avocats avec leurs confrres et leurs
partenaires.
La scurit est assure par des communications chiffres, par le dploiement de routeurs-firewallchiffreurs qui en contrle les accs Internet des cabinets, par la contractualisation de services
adapts aux exigences de scurit des avocats et par le contrle centralis des boitiers par CNB.COM,
acteur issu de la profession et au service de la profession.
Les points cls de cette organisation sont :
- Une liaison scurise entre le cabinet davocats et les greffes des juridictions,
- Lutilisation dune messagerie scurise pour les changes des avocats avec les tiers,
- La scurisation du rseau local du cabinet et des travailleurs nomades
- Louverture de services numriques scuriss tels que Visio-confrence, tl-sauvegarde,
filtre de contenu,
- Un partenariat avec un prestataire de qualit, NAVISTA, reconnu dans le monde de la justice

9/66

RPVA
Rapport daudit Version 1.1 09/06/2010

1.3.2 LE BARREAU DE PARIS


LE PRECEDENT E-GREFFE
Le Barreau de Paris reprsente le 1er Barreau de France avec 40% des avocats de France et 80% du CA
des avocats de France,
Il avait dj mis en place en 2003 un accs aux serveurs du TGI de Paris, appel e-Greffe et reposant
sur lutilisation dun certificat sur cl USB intgrant un cryptoprocesseur. Le Barreau de Paris passe
par lautorit de certification CertEurope pour la gestion et la fourniture de ces cls.
Le service e-Barreau du CNB a repris les principales fonctionnalits du service e-Greffe qui a t
abandonn, et remplac par le nouveau service.
Relevant la fois les contraintes apportes par le RPVA et la performance scuritaire de
linfrastructure dj en place Paris, le Barreau de Paris a ngoci un accord avec le CNB et NAVISTA,
pour connecter sa plateforme ddie aux avocats parisiens au serveur e-Barreau. Ainsi, les avocats
parisiens peuvent se connecter e-Barreau grce leur seul certificat sur cl USB et nont pas besoin
de squiper du boitier NAVISTA.
Ainsi, le Barreau de Paris propose donc un accs au service e-Barreau et nestime pas ncessaire que
lensemble des avocats appartiennent un mme rseau priv virtuel, il a cr un prcdent
montrant que laccs scuris e-Barreau tait possible sans passer par larchitecture base de
boitiers NAVISTA.
LA VISION DE PARIS
Lorganisation mise en place par le Barreau de Paris repose sur une plateforme daccs aux diffrents
services du Barreau de Paris. La scurit de cette plateforme est assure par :
-

Une authentification par certificat support physique,

Un chiffrement par HTTPS,

Un dispositif de supervision de la plateforme dinterconnexion,

La validation de la plateforme dinterconnexion par des tests dintrusions effectus par un


acteur indpendant.

La plateforme a t adapte pour intgrer e-Barreau la gamme de services offerts.


e-Barreau a t adapt pour que la plateforme parisienne puisse relayer lauthentification initiale de
lavocat par sa cl et que-Barreau puisse reconnaitre cette authentification qui mane dune autorit
de certification diffrente de celle utilise par le CNB.
Pour fonctionner, cette organisation ne ncessite que linstallation dun pilote logiciel pour que la cl
Paris soit reconnue sur le poste de travail.

10/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Pour le reste, elle ne ncessite pas dautre adaptation, ni de lordinateur, ni du rseau local. HTTPS et
les certificats tant pris en charge par lensemble des navigateurs du march.
Le Barreau de Paris nenvisage pas dautres dispositions. Il considre que pour la messagerie relative
aux changes des avocats avec les tiers, le niveau de scurisation des services internet grand public
est suffisant. Si ncessaire, des offres dhbergement ddies de type Exchange ou autre
foisonnent.
Sagissant de la scurisation du rseau local des cabinets et des travailleurs nomades :
Les gros cabinets davocats ont dj scuris leur rseau local avec des couches de parefeu et savent se procurer des services de filtrage sils lestiment ncessaires
La scurit des petits cabinets par les box Internet est suffisante.
Quant louverture de services scuriss, le Barreau de Paris rappelle que le march est trs
dynamique et propose dj des tl-services avec un niveau de scurit suffisant pour les avocats. Il
estime que la dfinition dune offre ddie aux avocats par le CNB naura pour effet que de crer des
monopoles, donc de rduire le rapport qualit/prix offert lutilisateur. Si ces services peuvent avoir
un intrt parce quils facilitent leur appropriation pour lavocat, ils ne doivent pas tre imposs.

1.3.3 LE BARREAU DE MARSEILLE


LE BARREAU DE MARSEILLE
Le Barreau de Marseille reprsente le 3me Barreau de France, avec 5% des avocats de France.
Il a conu et mis en place une solution base de matriels et de logiciels CISCO permettant un accs
distant et scuris (VPN) au boitier RSA du Barreau de Marseille. Cette solution a t hberge par
un infogrant Vnissieux.
A un moment o la solution NAVISTA tait critique pour son cot (55 HT/mois) et limpratif dtre
au cabinet pour se connecter, la solution CISCO quil a mis au point, permet laccs des avocats eBarreau pour au plus 2 par mois et depuis nimporte quel point connect Internet.
Compte tenu des rticences du CNB ouvrir de nouveaux accs au centre de Rennes, le Barreau de
Marseille a connect sa plateforme CISCO au RPVA en passant par un boitier RSA NAVISTA mutualis.
En avril 2010, NAVISTA a dcid darrter le fonctionnement de la solution du Barreau de Marseille,
en bloquant les adresses IP utilises par linfogrant Vnissieux.
LA VISION DE MARSEILLE
Lorganisation mise en place par le Barreau de Marseille est base sur les rgles suivantes :
La liaison scurise avec les greffes repose sur le protocole HTTPS avec authentification par certificat
support physique. Le flux HTTPS est lui-mme crypt au sein dun tunnel VPN tabli depuis le poste
de lavocat jusquau serveur frontal CISCO.

11/66

RPVA
Rapport daudit Version 1.1 09/06/2010

La scurit est assure par :


-

Une premire authentification par la cl USB dlivre par le CNB sur le frontal CISCO,

Un cryptage du flux passant par Internet au sein dun tunnel VPN Cisco puis dun tunnel VPN
NAVISTA,

Une deuxime authentification sur le serveur e-Barreau par la cl USB du CNB.

Marseille rappelle que les accs ADSL grand public sont fournis par les FAI (Fournisseurs dAccs
Internet) avec des routeurs-firewall intgrs et que les postes de travail depuis Windows XP SP2
(2004) sont maintenant scuriss par des firewalls locaux.
Lavocat nest donc pas dpendant du bon fonctionnement de son boitier RSA et de son accs
internet cabinet, lorsquil est en mobilit.
Rappelant que la scurit est avant tout une affaire de dispositions organisationnelles et compte
tenu du niveau lev de scurisation dj apport au grand public, elle estime ainsi que la
scurisation du rseau local apporte par le RSA est superflue, sinon redondante avec les dispositifs
dj en place au sein de quelques groupements.
Quant louverture de services scuriss, le march propose des solutions scurises sur des
architectures plus lgres que celle de CNB NAVISTA

12/66

RPVA
Rapport daudit Version 1.1 09/06/2010

2
2.1

LANALYSE
LA SECURITE DE LA LIAISON ET DE LAUTHENTIFICATION

Les analyses respectives dveloppes se prsentent succinctement comme suit :


2.1.1 CNB
Le protocole HTTPS avec certificat support physique nest pas suffisant, pour assurer la scurit
optimale des changes sur Internet.
Le protocole VPN NAVISTA introduit un niveau de chiffrement supplmentaire pour se protger
contre les attaques visant dcrypter le flux. Il permet aussi de restreindre lexposition du frontal
NAVISTA de Rennes qui se limite aux seuls accs de type NTS (NAVISTA Transport System).
Le principe du VPN plutt quHTTPS a t retenu ds novembre 2004 par le CNB par un vote de son
assemble gnrale.
2.1.2 PARIS
Le protocole HTTPS avec certificat physique reprsente ltat de lart sur les services sensibles des
professionnels dans lconomie de lInternet, et il est suffisant. Le chiffrement autoris est de 256bits
et de 128 bits pour HTTPS, en fonction des navigateurs des postes des avocats.
Lintroduction dun niveau de chiffrement supplmentaire du VPN, napporte pas de valeur ajoute
significative parce que lensemble des correspondances avec les partenaires du cabinet est relay en
clair sur internet et que le Conseil constitutionnel nimpose pas plus de scurit. Le code de
procdure pnale mentionne aussi les communications par courriels sans signaler de procdure de
chiffrement.
2.1.3 MARSEILLE
Le protocole HTTPS avec certificat physique reprsente ltat de lart sur les services sensibles dans
lconomie de lInternet, et il est suffisant.
Puisque selon le CNB, il est indispensable d'introduire un niveau de chiffrement supplmentaire du
flux par VPN, Marseille encapsule aussi le flux Https dans un flux VPN. Elle maintient aussi que les
solutions VPN du march sont prfrables conomiquement des solutions VPN propritaires, pour
une scurit quivalente.

13/66

RPVA
Rapport daudit Version 1.1 09/06/2010

2.1.4 ECLAIRAGE DES AUDITE URS


En premier lieu, larchitecture des solutions examines est dcrite dans lannexe 1 du prsent
rapport.
LE CHIFFREMENT A 128 BITS EST SUFFISANT
Le niveau de chiffrement nest pas critique dans la protection des changes numriques. Le
chiffrement de base de HTTPS est 128 bits, et lANSSI1 estime que ce niveau rsistera aux attaques
en forces brutes jusquen 2020 minimum. Pour une utilisation au-del de 2020, la taille minimale des
blocs des mcanismes de chiffrement par bloc est de 128 bits.
Les nouveaux algorithmes AES permettent de mettre en uvre des chiffrements 256 bits sans
pnaliser les performances logicielles. Ce niveau de chiffrement devrait se gnraliser dans les
annes venir.
LE CERTIFICAT EST LA CLE DE LA SECURITE DHTTPS

La limite reconnue des communications HTTPS est leur exposition aux attaques de type Men in the
middle , dans lesquelles un attaquant arrive sintercaler dans la communication pour fonctionner
comme rpteur et ainsi accder lensemble des flux.
Lutilisation de lauthentification par certificat permet de se protger contre cette attaque et
complique la tche de lattaquant qui doit aussi sinsrer dans la liaison avec lautorit de
certification.
Aussi, si lautorit de certification surveille correctement ses logs, elle est capable de dtecter des
intrusions et de ragir pour renouveler les cls concernes et alerter la vigilance des administrateurs
concerns.
LE VPN APPORTE UNE SECURITE SUPPLEMENTAIRE PARCE QUIL INTRODUIT UN DEUXIEME
NIVEAU DAUTHENTIFICATION
Le VPN apporte une deuxime faon de mettre en place la squence de chiffrement et un deuxime
dispositif de supervision de la liaison.
Dans ce contexte, le VPN apporte effectivement un plus en scurit, parce quil donne une deuxime
opportunit de djouer ou dtecter une attaque.
Le VPN mis en place par Marseille na quun intrt rduit parce quil utilise la mme authentification
que le HTTPS et que lalgorithme de chiffrement (SSL) est similaire.

ANSSI : Agence Nationale de la Scurit des Systmes dInformation publie notamment Rgles et

recommandations concernant la gestion des cls utilises dans des mcanismes cryptographiques

14/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Lutilisation des cls NAVISTA, si elles sont bien gres, renforcent effectivement la scurit,
puisquelle impose au pirate de tromper un systme qui est bien indpendant.

LUTILISATION DUN PROTOCOLE PROPRIETAIRE NEST PAS GARANTIE DE SECURITE


LANSSI rappelle dans ses Rgles et recommandations concernant le choix et le dimensionnement
des mcanismes cryptographiques , version 1.20 du 20/01/2010 (RGS_B_1), les rgles quun
processus de chiffrement doit respecter. Elles nont rien de trivial et un certain nombre dalgorithmes
ne les respectent pas.
Ces rgles concernent toutes les tapes, de la gnration des cls jusquaux algorithmes de
chiffrement.
Des protocoles rputs scuriss tels que OpenVPN , nont progress que par leur exposition aux
regards de tous.
Le protocole NTS de NAVISTA a fait lobjet dune dclaration mais na pas encore t soumis la
certification. Tant que cette certification na pas t obtenue, son intgrit doit tre aborde avec
prcaution.
CASSER UNE LIAISON HTTPS AVEC UN CERTIFICAT REPRESENTE UN GROS EFFORT ET LAISSE
DES TRACES
Mme si le protocole HTTPS avec certificat encapsul dans un VPN authentifi par un mcanisme
indpendant reprsente le must de la scurit , il ne faut pas considrer pour autant que HTTPS
avec certificat est une solution faible.
1) Une attaque laisse des traces, au minimum sur les serveurs de lautorit de certification.
2) Une attaque ncessite plusieurs jours de prparation pour tromper le routeur du client ou le
serveur DNS auquel il rpond. Son excution ncessite un niveau dexpertise lev.
3) Prolonger la session aprs la dsactivation du certificat est encore plus difficile, aussi
lattaque cesse lorsque le certificat est dbranch.
A ce niveau de technicit, un pirate peut tre tent dattaquer le serveur ou le poste client plutt que
dattaquer la liaison. Ce point sera abord dans la partie relative la scurit du poste de travail et
du rseau local.

15/66

RPVA
Rapport daudit Version 1.1 09/06/2010

2.2

LA SECURITE GLOBALE DES ECHANGES ELECTRONIQUES

2.2.1 CNB
Le CNB considre que lobligation des avocats de protger la confidentialit des dossiers confis par
leurs clients devrait les conduire disposer :

de flux chiffrs avec les serveurs de mails,

des mails stocks sur des serveurs scuriss, soit en interne, soit chez un prestataire de
confiance.

Le serveur avocat-conseil.fr rpond ces deux proccupations, mme si cette adresse courriel
nest pas impose. Laccs partir du cabinet se fait par le VPN NAVISTA et les mails sont conservs
sur un serveur qui est contrl par la profession. En cas dinjonction communiquer des documents,
le Btonnier concern sera inform.
2.2.2 PARIS
80% des changes de mails des avocats sont faits avec les clients et les confrres, et ne sont pas
couverts par la messagerie avocat-conseil.fr
La messagerie avocat-conseil .fr court-circuite les noms de domaine des cabinets davocats qui en
ont un (80% du chiffre daffaires de la profession).
Les accs depuis des PDA la messagerie avocat-conseil.fr restent non chiffrs.
Le Barreau de Paris considre aussi que les solutions gratuites comme Gmail et les Google Apps
offrent des niveaux de scurit suffisants :
-

Flux crypts SSL

Historique des accs sur le site

Obligation de conformit la loi amricaine et sanction du march, sont plus efficaces quun
monopole

La question de savoir si les socits franaises doivent ou non utiliser des services fournis par des
socits amricaines nest pas dactualit pour le Barreau de Paris.
Finalement, quelque soit lhbergeur, la protection des correspondances davocats sapplique.
2.2.3 MARSEILLE
Pour la scurit des changes lectroniques par un cabinet d'Avocat, le Barreau de Marseille estime
que la scurit de sa liaison et l'authentification de l'avocat par la cl USB dlivre par le CNB sont
conformes aux textes en vigueur.
S'agissant de la sensibilisation des Avocats pour une meilleure rflexion sur ce que devrait tre la
scurit globale d'un cabinet informatis, le Barreau de Marseille estime que l'action doit tre
16/66

RPVA
Rapport daudit Version 1.1 09/06/2010

nationale et pdagogique et l'imposition du boitier NAVISTA ne constitue en rien la scurisation


gnrale et souhaitable d'un cabinet, outre qu'elle n'est pas pdagogique.
Le Barreau de Marseille propose de sensibiliser les avocats de son Barreau par des cycles de
formation si aucune action nationale n'est entreprise.
2.2.4 ECLAIRAGES DES AUDIT EURS
LA SECURISATION DES COURRIERS ELECTRONIQUES DE LA PROFESSION PAR LADRESSE
(PRENOM).(NOM)@AVOCAT-CONSEIL.FR EST CONFRONTEE A DE NOMBREUX
OBSTACLES
La scurisation des courriers lectroniques ncessite que lensemble des correspondants soit pris en
charge par le dispositif de communication.
Le serveur avocat-conseil.fr accd via le RPVA ne prend en charge quune partie des
correspondants :
-

Les politiques de marque des cabinets, les font communiquer par des adresses attaches aux
cabinets, et le serveur avocat-conseil.fr ne prend en compte quune partie des mails,
Les courriers des avocats concernent un ou plusieurs acteurs qui sont en dehors du RPVA et
en dehors du domaine avocat-conseil.fr,
Les accs par PDA et Smartphone se gnralisent et ne sont pas pris en charge par le RPVA
(pas de client NAVISTA sur les iPhones, Blackberry, et autres) et sont contraints de passer par
des protocoles non scuriss,
Les cabinets davocats parisiens nont pas adopts les boitiers NAVISTA,

Compte tenu de la diversit des acteurs concerns et de leur parc informatique, seul un standard de
march semble raliste et, pour les changes de courriels scuriss, il ny en a pas qui se dgage.
LES CABINETS DAVOCATS PEUVENT DEJA DISPOSER DEJA DUNE SECURITE EQUIVALENTE A
AVOCAT-CONSEIL.FR
Lanalyse des niveaux de scurit qui simposent aux courriers des avocats na pas t faite au
pralable par la profession.
A minima, un cabinet doit sassurer que les mails quil stocke sont conservs dans de bonnes
conditions de scurisation. Cette scurit passe par des dispositions organisationnelles et pour la
partie technique par :
-

Lhbergement chez un tiers de confiance,


Lchange crypt avec le serveur.

Les cabinets qui sont suivis par un prestataire informatique ont pour la plupart des serveurs de mails
hbergs au cabinet ou sur une plateforme contrle par leur prestataire. Les autres passent par des
services grand-publics, affichs sous leur nom de domaine, ou sous la marque du prestataire.

17/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Les hbergeurs publics (wanadoo, free.fr, gmail, hotmail, yahoo, etc.) ou mutualiss (OVH, etc.)
proposent tous des accs chiffrs. Ils intgrent des services dantivirus et dantispam plus ou moins
performants, et assurent une surveillance troite de la scurit de leurs installations. De plus ces
services ayant une grande audience, les anomalies sont vite remontes et prises en compte (ex.
dbat rcent sur les procdures de rcuprations de mot de passe).
Ces services ont des niveaux de scurit quivalents ce que propose le CNB. Ils ne sont pas tous
hbergs en Europe et peuvent soulever des difficults relevant de lintelligence conomique et de la
protection des donnes personnelles. Les avocats qui sestiment concerns par cette problmatique
devront la prendre en compte dans le choix de leur hbergement.
Compte tenu des observations prcdemment faites sur les accs avocat-conseil.fr, il convient de
souligner que cette messagerie est en marge de larchitecture RPVA puisquelle est galement
accessible depuis Internet. Il sagit dune solution Sun iplanet hberge par Orange BS.

LES PLATES-FORMES COLLABORATIVES OFFRENT LA POSSIBILITE DE CREER DES ESPACES


DECHANGES POUR DES EQUIPES PROJET
Des solutions peuvent toutefois tre adoptes au cas par cas et selon la criticit des dossiers. Elles
peuvent passer par des plateformes collaboratives ddies, ventuellement scurises par
lutilisation de cls de chiffrement, lutilisation dun deuxime facteur dauthentification (SMS, cl
USB, cryptoprocesseur, calculatrice gnrateur de code,).
Ce type de plate-forme se gnralise (ex. Google Apps, Soho, BaseCamp, etc.) Elles utilisent pour la
plupart des niveaux de scurit de type Https simple. Elles posent aussi la problmatique du stockage
hors Europe lorsque des considrations dintelligence conomique ou de protection des donnes
personnelles sappliquent.
Certains prestataires proposent des plateformes collaboratives hberges sur leurs serveurs ou sur
des serveurs mutualiss, et construites partir de suites propritaires (SharePoint) ou libres
(Zimbra).
Les conditions de scurit de ces plateformes auraient intrt tre values en attendant la mise
en place dune plateforme ddie aux avocats par le CNB.

2.3

LA SECURISATION DU RESEAU LOCAL DU CABINET ET DU TRAVAILLEUR NOMADE

2.3.1 CNB
La convention entre le Ministre de la Justice et le Conseil National du Barreau de 2007, et les
ngociations en cours pour sa refonte, font apparatre des obligations en la matire pour la
profession des avocats.

18/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Compte tenu du nombre des avocats individuels et des difficults quils rencontrent pour rgler cette
question, le CNB a vis une solution RPVA base sur un boitier RSA qui apporte une offre accessible
tous pour un haut niveau de scurit.
Dautre part, le CNB responsable de la scurit des accs e-Barreau, considre quelle doit passer
par des dispositifs de chiffrement pour les changes et la scurisation des points daccs au RPVA. A
ce titre, il est indispensable que ces points daccs au RPVA soient situs derrire des firewalls.
Le dploiement de boitiers RSA au sein de chaque cabinet est la seule faon qu le CNB de sassurer
que les points daccs sont bien scuriss.

2.3.2 PARIS
La question de la scurit des cabinets davocats doit tre aborde globalement en termes
dorganisation et de dontologie, et non pas seulement en matire doutil et de technique.
2.3.3 MARSEILLE
Le Barreau de Marseille considre que les systmes grand public (Freebox, Livebox, etc.) intgrent
dj un firewall et que, si un niveau supplmentaire devait tre impos, les prestataires infogrants
des cabinets davocats savent mettre en place des solutions incluant pare-feu et VPN avec des
quipements du commerce (Fortinet, Netasq ; Harpoon, Cisco,) dont le cot est sans comparaison
avec celui du boitier NAVISTA.
De plus, depuis Windows XP, toutes les versions de Windows intgrent un firewall et rappellent la
ncessit dun antivirus.
2.3.4 ECLAIRAGE DES AUDITE URS
LE FIREWALL PROTEGE DES ATTAQUES FRONTALES, LUTILISATION DU VPN RENFORCE LA
SECURITE APPORTEE PAR LE FIREWALL
Le firewall limite lexposition du rseau local Internet. Il nexpose aux requtes provenant
dInternet que les machines qui ont t prvues cette fin (serveur mail, serveur collaboratif,
serveur Citrix, serveur TSE par exemple). Il est ncessaire que la scurit des machines exposes
Internet soit adapte et tenue jour.
Lorsque les accs passent par un VPN, le firewall introduit une tape dauthentification pralable
laccs au rseau local et ajoute une couche de protection ces services. Le paramtrage de ce mode
daccs doit saccompagner dun ajustement de la gestion des droits sur le rseau local. Cest une
opration dlicate qui ncessite lintervention dun professionnel.

19/66

RPVA
Rapport daudit Version 1.1 09/06/2010

LE VPN CONTRIBUE A SECURISER LES ACCES NOMADES


Lavocat qui se connecte par un accs Wifi grand public nest pas assur dtre sur un rseau local
amical. Le principe de reconnecter lavocat un rseau local scuris (son cabinet) par un tunnel VPN
apporte dans ce cas prcis un gain de scurit apprciable une fois que le VPN est activ. Les risques
ne sont pas pour autant vacus (phase pralable lactivation du VPN par exemple). Il faudra
complter ce dispositif technique par des consignes aux utilisateurs nomades pour :
-

Les stratgies de choix des points daccs grand public,


Lactivation des paramtres de scurit renforce du poste de travail dans les lieux publics
(disposition actives par dfaut sur Windows partir de la version Vista)

Lutilisation de cl 3G est une alternative pour laccs scuris. Lisolation faite par loprateur assure
lutilisateur dtre dans un environnement amical.

LA SECURITE PAR LE FIREWALL EST LIMITEE


La scurit est une proccupation importante qui est largement prise en compte par les acteurs du
march qui dploient des solutions de scurisation tous les niveaux.
La consquence est double :
-

les gains apports par la technique seule sont dj mis en uvre par les technologies grand
public et les gains rsiduels sont rechercher dans lducation des acteurs et lapplication de
rgles organisationnelles,
les pirates dveloppent des techniques qui court-circuitent les dispositifs de contrle par
firewall et antivirus.

Les techniques actuelles dattaque passent par lintgration de contenu malveillant dans les
documents (en ce moment, 50% des attaques relayes par document le sont par les PDF) et
lintgration de contenu malveillant dans des sites internet malveillants ou parfois mme dans des
sites bienveillants mais faiblement scuriss.
Les contenus malveillants intgrent des mcanismes de diffusion et sont complts par des
campagnes dapptage (phishing, scams, etc.).
Le firewall NAVISTA offre, dans sa configuration actuelle, une protection limite contre ces attaques,
qui exploitent lutilisateur comme moyen daccs aux failles. Lorsque le filtrage de contenu sera mis
en place, il aura la possibilit dagir sur ce risque. Ces fonctions et leur tarification ne sont pas encore
connues et ne peuvent pas tre values.
LA SECURITE EST UNE PREOCCUPATION ORGANISATIONNELLE
Ainsi le cabinet qui souhaiterait optimiser sa scurit aurait mettre en place des rgles
organisationnelles sur laccs aux mails, sur limportation de contenu provenant dinternet et sur une
surveillance de ses installations. Il aurait intrt se rapprocher dun prestataire informatique qui

20/66

RPVA
Rapport daudit Version 1.1 09/06/2010

lassisterait dans la dfinition de ces rgles organisationnelles et leur implmentation dans


lorganisation informatique du cabinet.
Les composants techniques qui entrent en jeu sont la gestion des droits daccs sur les ressources du
rseau local et leur gestion centralise par un contrleur de domaine.
Cette opration ncessite lintervention dun prestataire informatique.

COMPTE TENU DU MODE DADOPTION DU FIREWALL NAVISTA PAR LES PRESTATAIRES


INFORMATIQUES, TOUTE DEMARCHE DE SECURISATION DE LORGANISATION
COURT-CIRCUITE LES FONCTIONS DE SECURITE DU BOITIER NAVISTA
Nous avons vu ici que le dispositif Firewall-VPN mis en uvre par NAVISTA est limit sil nest pas
complt par lintervention dun prestataire informatique.
Nous avons observ que les prestataires informatiques court-circuitent frquemment les fonctions
de scurit du firewall NAVISTA pour leur prfrer un quipement de scurit standard sur lequel ils
ont la totale maitrise et ils ont dvelopp une expertise.
La position des prestataires informatiques sexplique en partie par le fait que le firewall NAVISTA na
pas encore reu de certification manant dune autorit indpendante, mme si la carte utilise dans
le botier NAVISTA est certifie. Dautre part, il nest pas anormal que sans directive prcise, ils
prfrent des quipements notoires ou des quipements avec une certification internationale de
type Critres Communs, ITSEC ou franaise comme celle de lANSSI (CSPN Certificat de scurit de
premier niveau).
De plus, un firewall est un quipement complexe rgler. Il nest pas anormal que les prestataires se
spcialisent sur un ou deux quipements, et que leur choix se porte sur des appareils du march
quils matrisent.
LE FIREWALL NAVISTA A UN INTERET POUR LES PETITES STRUCTURES
Dans ce contexte, le boitier NAVISTA prsente un intrt pour les petits cabinets davocats qui
souhaitent disposer dun accs distant et scuris leur serveur de fichier.
Compte tenu du morcellement de la profession, les petits cabinets reprsentent de lordre de 70%
des dploiements.
Du fait des offres de stockage distant disponibles actuellement sur le march (voire tl-sauvegarde),
il est probable que seule une partie de ces cabinets seront concerns.
Nous ne disposons pas dvaluation de la scurit des box Internet, aussi il est difficile de prendre
position sur ce sujet. La situation mriterait dtre prcise, en commandant un comparatif un
prestataire spcialis.
En ce qui concerne les boitiers routeurs du commerce, ils offrent des fonctions de scurit
satisfaisantes, mais ncessitent dtre maintenus (1 ou 2 patchs par an) par un prestataire. Les petits
21/66

RPVA
Rapport daudit Version 1.1 09/06/2010

cabinets ne disposent pas de comptence pour raliser ces oprations. Sils adoptaient une telle
solution, il faudrait prvoir un budget de 200 par an ou lachat dun boitier avec une solution de
mise jour automatique.

2.4

LE DEVELOPPEMENT DE NOUVEAUX SERVICES SECURISES

2.4.1 CNB
Le CNB envisage dutiliser les boitiers RSA pour donner aux avocats laccs un certain nombre de
tl-services avec lesquels elle aurait des partenariats. Les partenariats auraient pour objectifs
dadapter les tl-services aux exigences de la profession, voire dorganiser un point de facturation
unique centralis par CNB.COM
Les services envisags sont :
- Coffre-fort lectronique,
- Tl-sauvegarde,
- Contrle des accs internet et du contenu,
- Espace collaborative.
En parallle, le CNB insiste sur la possibilit daccder au cabinet distance grce aux capacits VPN
du RSA. Elle appelle cette possibilit tltravail dont le mode daccs est dcrit en annexe 1 du
prsent rapport. Le collaborateur du cabinet peut ainsi travailler depuis chez lui en prenant la main
sur son poste rest connect dans le cabinet. Cette solution peut aussi tre utilise par les
connexions nomades de type clef 3G depuis nimporte o, tout en garantissant un niveau de scurit
gnral. Ce systme permet aussi tablir une session sur e-Barreau depuis son ordinateur personnel
tout en gardant un niveau de scurit lev de bout en bout, condition de disposer de la cl
dauthentification.
2.4.2 PARIS
Ces tl-services ne font pas partie de la convention que la profession a passe avec la chancellerie.
Le terme Tltravail nest pas la bonne appellation parce quelle suppose un cadre lgal (travail
distance) et organisationnel (contrle des horaires), ce qui nest pas le cas. Il sagit plutt daccs
distance.
Laccs distance scuris est dj mis en uvre par les gros cabinets (80% du CA de la profession)
et se fait trs bien avec des solutions simples sur tagre. La scurisation des accs distance
ncessite aussi la scurisation du rseau local qui nest pas couverte par NAVISTA.
La tl sauvegarde scurise existe sur le march avec des accs scuriss. La couche VPN de
NAVISTA napporte rien de plus. Le service tl-sauvegarde CNB.COM nexiste pas encore.

22/66

RPVA
Rapport daudit Version 1.1 09/06/2010

2.4.3 MARSEILLE
Le Barreau de Marseille constate que la convention avec la Chancellerie ne porte pas sur les services
annexes proposs (et pas encore dvelopps) par NAVISTA. Le CNB ne peut pas imposer aujourd'hui
de futurs services des avocats qui n'en auront pas l'utilit.

2.4.4 ECLAIRAGE DES AUDITE URS


LE TUNNEL SECURISE VERS UN PRESTATAIRE SELECTIONNE EST SEDUISANT DANS SON
PRINCIPE
Le CNB envisage pour fournir ces nouveaux services, de contracter avec des tiers fournisseurs de ces
services distance. La valeur ajoute selon le CNB rsiderait dans :
-

La mise en place dun tunnel VPN ddi avec le prestataire du tl-service,


Ladaptation du tl-service aux spcificits des avocats,
La prise en charge du paramtrage du tl-service par la gestion centralise des boitiers.

Il est difficile de se prononcer sur des dispositifs qui ne sont pas encore connus, et dont les modalits
techniques et conomiques de dploiement restent dfinir.
LES INFOGERANTS OFFRENT DEJA CE TYPE DE SERVICES
Il faut noter que les services identifis (coffre fort, sauvegarde, contrle de contenu, ) existent dj
sous forme de tl-services sur le march et ont t conus pour sintgrer facilement aux rseaux
des cabinets et aux postes de travail.
Ces services sont assurs par les prestataires infogrants des cabinets davocats et par des
oprateurs grand public.
Par exemple pour la tl-sauvegarde, plusieurs acteurs sont dj prsents :
-

Les infogrants sur leurs serveurs ou via des tl-services en OEM (Oodrive, OVH,)
Les diteurs de logiciel de gestion de cabinet intgrent des dispositifs de tl-sauvegarde
leur offre commerciale

Tous ne mettent pas en uvre des tunnels VPN mais certains scurisent la connexion par Https.
DES OFFRES DE TELESAUVEGARDE EXISTENT AUSSI
Le march Internet propose plusieurs solutions de tl-sauvegarde accessibles par SSL et, pour
certaines assurant le cryptage avant envoi des donnes sauvegardes.
Par exemple, Dropbox, box.net, Live.com, Me.com, OVH.com en grand public, et avec des stockages
hors Europe.

23/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Certaines solutions logicielles permettent dutiliser un rpertoire FTP distant comme support de
backup chiffr.
QUELLES SOLUTIONS POUR QUELLES DONNEES
Diffrents cadres rglementaires sappliquent aux donnes traites par les cabinets davocats. Ces
cadres peuvent tre trs restrictifs et contraignants et en particulier en matire pnale o le secret
professionnel est opposable. Dautre part, lavocat qui traite de la prservation des donnes
personnelles ou celui qui est confront de lintelligence conomique ont probablement des
exigences diffrentes.
Une revue des cadres et des niveaux de scurit qui en dcoulent devrait tre effectue pour
apprcier les diffrents cas de figure qui sappliquent aux donnes des cabinets davocat. A chacun
de ces cas de figure, les dispositions organisationnelles et techniques associes seraient identifies,
de faon apprcier le cadre demploi des diffrents services du march.

2.5

LA DPENDANCE NAVISTA

2.5.1 CNB
Le CNB met en avant les avantages du choix du prestataire NAVISTA par :
-

Son intgration verticale, il couvre la fois les dveloppements, la distribution, le


paramtrage initial, le support des utilisateurs, le support aux prestataires.

Sa comptence et son professionnalisme qualification ISO 9001-2000, intention de


qualification ISO 27001, intention de certification ANSSI du protocole NTS.

Sa connaissance des mtiers du droit, et son agrment au chiffrement par DCSSI.

Son cot attractif, et la maitrise contractuelle par CNB.COM.

Le CNB rappelle les conditions qui ont conduit au choix de ce prestataire.


-

Au lancement du RPVA, le Conseil National des Barreaux a contract avec France Telecom
(ORANGE).

Le Service Equant IP VPN retenu est un service dinterconnexion de Sites et dUtilisateurs


travers un rseau priv virtuel scuris ou Virtual Private Network appel VPN
transportant le protocole IP en mode MPLS : Multi-Protocol Label Switching RFC2547
(VPN/MPLS). Ce service permet aux avocats dchanger des flux de donnes entre les
diffrents sites quips dAccs IP VPN et appartenant son rseau VPN. Ltanchit des
flux est garantie au sein dun VPN scuris. Le CNB a une souplesse de gestion de topologie
au travers de la gestion des tables VRF (Virtual Routing Forwarding Table) permettant le
routage et la commutation de labels.

24/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Dans toutes les configurations valides, les flux issus des sites ou utilisateurs quips daccs
IP VPN ADSL monoposte et light sont dirigs vers un site dsign appel aussi site de
concentration, savoir la plateforme RPVA.

Les offres proposs lpoque sarticulaient autour des dbits et technologies suivants :
ADSL 512Ko, ADSL 8 Mo et SDSL 1 Mo (pour un cot minimal de 70 HT/mois.

Le CNB rassure sur les risques associs un partenaire unique par :


-

Son intention dorganiser un plan de reprise et de rversibilit en cas de dfaillance de


NAVISTA.

Lhbergement prochain des services NCC sur les plateformes du CNB Rennes.

Son intention de prendre en charge le support via NCC.

En parallle, NAVISTA rassure aussi sur ses changements de statuts en les justifiant par une conomie
sur les cots de structure.
2.5.2 MARSEILLE
Le choix dun partenaire unique expose de faon draisonne la profession une petite structure
juridique faible capital social.
La technologie propritaire (par botier individuel) est injustifie alors que des protocoles quivalents
(logiciels, sans boitier individuel) existent avec des implmentations standards, supportes par des
grands fournisseurs et des grands comptes, et avec un haut niveau de portabilit (cas CISCO et VPN
over SSL).
Le systme NCC permet quelques acteurs, dont NAVISTA, de contrler lensemble des boitiers de la
profession et de sintroduire dans les rseaux locaux de tous les cabinets davocats.
Que devient le RPVA, et la scurit des cabinets davocats si une prise de contrle hostile de
NAVISTA se produit ?
Le service de base rendu par la formule de NAVISTA savoir le transport de donnes entre les
cabinets davocats et les greffes des juridictions peut parfaitement tre rendu avec des
technologies standards pour un cot bien moindre. Les services valeur ajoute ne sont pas couverts
par le prix actuel, jug dj lev, et les prix venir ne sont pas arrts et donc inconnus.
2.5.3 ECLAIRAGE DES AUDITE URS
LA MAITRISE CONTRACTUELLE EST A AMELIORER
La capacit du CNB grer la reprise et la rversibilit du RPVA, en cas de dfaillance de NAVISTA,
n'est pas dmontre avec les moyens techniques et humains aujourdhui en place. Ce point est
dvelopp dans la partie du rapport relative la maitrise contractuelle du CNB.

25/66

RPVA
Rapport daudit Version 1.1 09/06/2010

LE RISQUE DINTRUSION PAR NAVISTA PEUT-ETRE MAITRISE


NAVISTA a certes la capacit de sintroduire dans les cabinets davocats mais elle peut tre encadre
si le cabinet adapte ses dispositions pour la scurit (isolation du boitier NAVISTA, restriction des
droits des utilisateurs anonymes sur le rseau et les dossiers partags, etc.).
Cette capacit dintroduction est bien moindre que celle des prestataires informatiques qui eux ont
un accs de tlmaintenance complet au serveur, aux sauvegardes, aux postes de travail.
Certes les prestataires ont une capacit daccs limit en largeur (100 cabinets max pour les gros
prestataires), mais elle est sans commune mesure si on lvalue en profondeur.
Il nous apparait que globalement, le risque pris est de mme niveau que celui dj pris avec les
prestataires informatiques.
Avec NAVISTA, il est possible dencadrer sa responsabilit contractuelle et de mettre en place des
moyens de contrle de son utilisation des moyens quelle dveloppe. Si le CNB et NAVISTA ont une
politique volontaire sur ce point, le risque peut tre maitris.

26/66

RPVA
Rapport daudit Version 1.1 09/06/2010

COMPARATIFS ET ANALYSE CRITIQUE

3.1

ASPECTS CONOMIQUES DES TROIS SYSTEMES

3.1.1 DONNEES DE REFERENCE SUR LES AVOCATS ET COUTS DE REFERENCE


Les donnes et les dfinitions qui suivent sont extraites dune publication en date doctobre 2008, de
lObservatoire du Conseil National du Barreau : Avocats - faits et chiffres , disponible sur le site
www.cnb.avocat.fr
Cette tude recense en 2007, 47.765 avocats France entire, se dcomposant en :
-

15484 avocats individuels2

14019 avocats associs

15093 avocats collaborateurs

3169 avocats salaris non associs

3
4
5

Parmi ces 47.765 avocats, le Barreau de Paris en compte 19.250, soit 40,3%. La rgion PACA en
compte 4462 avocats, soit 9,3%.
Le Barreau de Marseille compte en avril 2010, 1675 avocats actifs.
Pour lanne 2006, le revenu moyen des avocats est de 72.352 et le revenu mdian 42.536 .
LIle-de-France dtient avec 90.440 , le revenu moyen le plus lev.
Pour les cabinets davocats, les cots induits par le RVPA se rpartissent en :
-

Cot dinstallation initiale

Cot de location

Cot de maintenance

3.1.2 DONNEES CONOMIQUES CNB


Le nombre de boitiers recenss par NAVISTA en avril 2010 est de 2722.
Selon son dirigeant, NAVISTA compte installer 4000 boitiers dici le 31 dcembre 2010 et vise un parc
de lordre de 7.000 boitiers terme.

2 Lavocat individuel exerce sa profession de faon totalement indpendante. Il est impos au rgime de lIR et est responsable indfiniment sur ses biens
propres.
3 Lavocat associ est une personne physique dtenant des parts dans une socit davocats, ses revenus se composant dhonoraires et de dividendes.
4 Lavocat collaborateur travaille de faon autonome sur les dossiers qui lui sont confis. Sa rmunration seffectue sous forme de rtrocession dhonoraires.
5 Lavocat salari est une personne travaillant sous contrat de travail avec son employeur moyennant le versement rgulier dun salaire. Il na pas de clientle
personnelle.

27/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Le prix pay par le CNB NAVISTA pour la location des boitiers dpend du nombre de boitiers dj
dploys, par exemple les 4000 premiers boitiers ont un prix, les 1000 suivants un autre, etc.
Dautre part, pour stimuler le projet de dploiement des RSA au sein des cabinets, le CNB a rduit le
prix pay par le cabinet davocat, la fois en :
-

Subventionnant une part du prix du boitier, pour que lavocat nait payer que 25 HT,

Engageant la profession sur un nombre de boitiers minimum, et selon le CNB, pour que le
prix de location soit lui aussi rduit.

En complment des prix mensuels, le cabinet doit aussi rgler un forfait de prise en charge par
NAVISTA de 39 HT, dans laccompagnement du cabinet ou de son prestataire, pour le paramtrage
du RSA au sein du rseau local.
NAVISTA propose aussi une prise en charge de linstallation pour 169 HT, qui correspond ce quun
prestataire informatique facturerait pour intgrer le RSA dans le rseau local du cabinet.
Il faut ainsi ajouter de lordre de 200 HT par installation du RSA dans les cabinets.
Pour la location / maintenance des botiers RSA, la premire mensualit verse CNB.COM, par les
cabinets davocats sest leve au dpart 55 HT, dont 5 pour la cl dauthentification et 2
ladresse de messagerie. Elle est passe 25 HT partir davril 2010.
Depuis avril 2010, un nouvel accord a permis de rduire le montant pay par CNB.COM NAVISTA. La
redevance mensuelle du boitier RSA est ainsi passe de 45 35 HT et passera 30 HT partir du
janvier 2011. La diffrence entre le montant pay NAVISTA et celui pay par le cabinet davocats
est pris en charge par le CNB. Les 7 HT pour la cl et ladresse mail sappliquent encore.
Ainsi sur la base de ces nouveaux tarifs, le cot annuel payer par les cabinets davocats svalue :
-

Pour 2.010, le changement de tarif en avril 2010 et le passage de 2700 4000 cabinets
conduit un montant de lordre de 1.000.000 HT

Pour 4.000 boitiers 25 par mois en 2011, le montant sera au moins de 1.200.000 HT

Pour 5.000 boitiers 25 par mois en 2012, le montant sera de 1.650.000 HT

Pour 7.000 boitiers 25 par mois, le montant passera 2.100.000 HT.

De son cot, le CNB complte le financement :


-

Pour 4.000 boitiers en 2011, il aura dbourser de 240.000 HT.

Pour 5.000 boitiers en 2012, il aura dbourser de 240.000 HT.

Pour 7000 boitiers en 2013, il sera de 300.000 HT.

28/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Le CNB ayant concd NAVISTA le monopole des accs XDSL pour la France hors Paris, jusquen
2014, le cot global de lquipement des cabinets davocats en botiers RSA de 2010 2014 est
suprieur 9,3 M.
Nous faisons la simulation suivante pour dterminer les ordres de grandeur :
2008

2009

2010

2011

2012

2013

2014

Total

Nb cabinets

NC

NC

2 700

4 000

5 000

7 000

7 000

Cot cabinet ()

45

45

45/25

25

25

25

25

Cots cabinets (M)

NC

NC

1,00

1,2

1,5

2,1

2,1

7,90

Cot CNB (M)

0,3

0,24

0,28

0,3

0,3

1,42

Nb davocats

NC

NC

7000

11000

16000

22000

22000

Cot avocat/mois

14

NC = Non Connu
Ce montant couvre la seule part de laccs e-Barreau. Le cot des cls et du support assur en
direct par le CNB nest pas pris en compte.
En toute rigueur, il faudrait aussi ajouter les 200 par cabinet pour linstallation du botier RSA, ce
qui slve 1,4 M pour 7 000 cabinets.
Ainsi sur la priode 2010 2014, le dploiement du RPVA avec la solution NAVISTA aura cot de
lordre 10,7 M, dont 1,42 M pris en charge par le CNB.
Par avocat et par mois, le cot moyen est de 14 en 2010 et de 8 partir de 2012.
3.1.3 DONNEES ECONOMIQUES PARIS
A Paris, les avocats reoivent les cls dauthentification, gratuitement pour linstant et ne payent
aucune redevance pour accder e-Barreau.
Il ny a pas de cot dinstallation ni de cot de maintenance pour les avocats.
Le Barreau de Paris utilise sa plateforme daccs aux services e-Carpa et anciennement e-Greffe quil
a fait voluer pour quelle puisse relayer lauthentification faite par Paris sur le serveur de-Barreau.
La migration e-greffe vers e-barreau, a ncessit l'adaptation de la plateforme d'authentification afin
de rediriger les flux des avocats authentifis vers le RPVA, ainsi que ladaptation de la plateforme ebarreau afin que celle ci soit en mesure de grer les flux en provenance du rseau parisien. Cette
volution a cout 24 000 HT.
Le Barreau de Paris a aussi mis en place une liaison scurise et redonde pour accder e-Barreau :
-

Il a achet et mis en place en 2008 des quipements rseaux pour un montant de 66.000
(dont les 24.000 dadaptation des plates-formes) amortir sur 5 ans, soit 13.200 par an.

29/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Il sagit de deux clusters de deux Fortinet Fortigate 200A possdant les fonctions de
pare-feu et de rseaux privs virtuels associs un moteur IPS (Intrusion Prevention
System). Un analyseur Fortinet Fortianalyser 800B a t install par CertEurope pour
concentrer et traiter les logs et les alertes de scurit.
-

Il sest dot dune ligne prive haut dbit Orange business 10 Mb/s, secourue par un lien
priv SDSL 4 Mb/s pour un montant annuel de 57.328 . Il finance la maintenance du
Firewall pour 7176 par an ainsi quune surveillance et une exploitation pour 12.228 par
an.

Le budget annuel pour assurer la fonction transport jusqu e-Barreau est de 89.932 par an.
Le prix de revient par avocat et par an, sera fonction du nombre davocats utilisant la liaison :
-

Pour 4.000 avocats, il revient 1,87 par avocat et par mois, soit 22,48 par an

Pour 5.000 avocats, il revient 1,5 par avocat et par mois, soit 18 par an

Pour 20.000 avocats, il serait de 0,38 par avocat et par mois, soit 4,50 par an

2008

2010

2011

2012

2013

2014

Nb cabinets

2 700

9360

9360

9360

9360

Cot cabinet

Cots cabinets (M)

0,00

0,09

0,1

0,1

0,1

0,1

0,58

Cot Barreau Paris (M)

2009

0,09

Total

Le support consiste essentiellement au support du certificat sur cl. Nous ne lavons pas pris en
compte comme nous ne lavons pas pris en compte pour le CNB et pour Marseille.
Au global, le cot de la solution parisienne est de lordre de 0,6 M dont 0,5 M de liaison avec la
plateforme e-Barreau.
A titre de comparaison, le Barreau de Paris a recens en 2008, le nombre de sites qui auraient
ncessit un botier NAVISTA. Il a recens 9360 sites. Au moment du choix par Paris de sa solution,
pour une redevance mensuelle de 55 par mois (dont 48 pour le botier NAVISTA) et par avocat, le
cot induit par NAVISTA aurait t de 4 492 800 HT/an.
Cette analyse mriterait dtre affine parce que le CNB estime que la couverture nationale hors
Paris est de lordre de 7300 boitiers, alors que le nombre de cabinets couverts est suprieur au
nombre de cabinets davocats parisiens (1/3 de plus davocats en province qu Paris et des cabinets
plus petits en province qu Paris).

30/66

RPVA
Rapport daudit Version 1.1 09/06/2010

En projection sur 2011, avec les nouveaux tarifs 25 par boitier et par mois, la redevance annuelle
avocat et hors subvention CNB pour les 9.360 botiers serait passe pour les avocats parisiens
2.808.000 HT/an.
3.1.4 DONNEES ECONOMIQUES MARSEILLE
La solution du Barreau de Marseille a t mise en place VENISSIEUX par un infogrant ICT-Flowline.
Elle a ncessit lacquisition dquipements rseaux et implique des cots de fonctionnement
annuels et rcurrents.
Lacquisition porte sur un frontal CISCO ASA 5550 dot dun firewall de 100 licences Premium pour
un montant de 23.000 HT. Un Routeur 3845 et un Switch 2960 pour grer si ncessaire plusieurs
botiers RSA NAVISTA mutualiss pour 17.000 HT, et 1950 HT pour les installations successives. Le
montant des acquisitions initiales est de 47.800 HT, amortir sur 5 ans, soit 9.560 HT par an.
Si le nombre dutilisateurs simultans devait dpasser les 100, le Barreau de Marseille envisage
dacheter un pack de licences Cisco supplmentaires qui coterait de lordre de quelques milliers
deuros.
Les cots rcurrents concernent 4 botiers RSA, une liaison de bande passante de 1 Mo/s, et un
hbergement, pour 770 HT par mois, soit 5.875 HT par an.
Le cot annuel de la solution du Barreau de Marseille est ds lors de 15.435 HT.
Il faut remarquer ici que si la solution Marseille devait tre valide par le CNB comme un mode
daccs autoris e-Barreau, le concentrateur Cisco ASA devrait tre localis dans le centre
dexploitation du CNB. Le transport et les 4 boitiers RSA seraient vits et la liaison serait fiabilise.
Lavocat dispose dune documentation qui lui explique la dmarche suivre pour installer sur son
ordinateur les logiciels tlcharger et les paramtres initialiser. Un support est assur par un
technicien du Barreau de Marseille. Linstallation de ce logiciel est concomitante celle des pilotes
de la cl Gemalto, aussi il nest pas pris en compte.
Dimensionne pour 1000 avocats dots de la cl e-Barreau, la solution revient 1,29 HT par
avocat et par mois.

2008

2009

2010

2011

2012

2013

2014

Nb avocats

1000

1200

1200

1200

1200

Cot avocat ()

Cots avocats (M)

0,00

Cot Marseille (M)

0,015

0,015

0,015

0,015

0,015

0,08

31/66

Total

RPVA
Rapport daudit Version 1.1 09/06/2010

Au global, le cot de la solution du Barreau de Marseille est de 80 k, dont 60 de transport jusqu


e-Barreau.

3.1.5 COMPARATIF DES SERVICES RENDUS PAR LES TROIS SOLUTIONS


Pour la communaut des avocats, la solution CNB est plus chre de plusieurs ordres de grandeurs
que les solutions marseillaise et parisienne.
Elle ne peut videmment pas tre rduite au transport scuris quassurent les deux autres solutions,
et ncessite dtre mise dans la perspective des services complmentaires quelle apporte aux
cabinets davocats en terme de scurit et de nouvelles fonctionnalits.
Il faut retenir ici que compte tenu du systme complexe au sein duquel elle se place et des volutions
du march rcentes pour lamlioration globale dinternet et la diffusion de tl-services, la
justification du service rendu par le dploiement du RSA est dlicate apprcier.
Effectivement, le boitier permet de scuriser laccs au rseau internet et daccder des tlservices scuriss.
Mais les cabinets moyens et gros qui font appel des prestataires informatiques pour grer leurs
postes de travail et leur rseau local, disposent dj des solutions de scurit et de tl-services. Le
boitier vient en doublon pour les fonctions de scurisation.
Les petits cabinets ont aujourdhui la possibilit dutiliser les solutions grand public pour scuriser
leur accs internet et accder des tl-services. Ces services sont performants (une box internet
intgre un routeur firewall mis jour automatiquement par le Fournisseur dAccs Internet (FAI) et
un service comme Dropbox assure le transport chiffr des donnes de tl-sauvegarde qui sont ellesmmes conserves chiffres sur les serveurs de Dropbox.
Si la scurit et la qualit de ces service ntaient pas adaptes ce que lon imagine du niveau de
qualit qui simpose lavocat, lanalyse na pas t faite et mene par le CNB qui impose le RSA.

3.1.6 SYNTHESE ECONOMIQUE


Larchitecture NAVISTA impose un cot la profession de quelques millions dEuros par an, et un
cot global, sur la priode couverte par le contrat NAVISTA, de lordre de 12 M.
Le CNB justifie ce surcot par un service rendu sur les points suivants :

la scurisation renforce de la liaison,

la scurisation du rseau local du cabinet,

la scurisation du poste de travail de l'avocat,

l'accs scuris aux boites aux lettres avocat-conseil.fr

l'extension de nouveaux services,

32/66

RPVA
Rapport daudit Version 1.1 09/06/2010

la simplicit d'installation sur les postes de travail du cabinet,

la maintenance centralise dun firewall-VPN.

Larchitecture NAVISTA prsente effectivement toutes ces proprits, mais compte tenu de la
diversit des situations rencontres sur le terrain, il est difficile de se prononcer sur leur intrt
effectif pour les cabinets davocats. En effet :

La liaison est dj fortement scurise avec un chiffrement HTTPS et une authentification par
cryptoprocesseur sur cl USB. En cas dintrusion, les logs serveurs permettent dapprcier la
pertinence dune contestation. Le transport au sein dun VPN prouv apporte une scurit
supplmentaire sur la liaison. Il ny a pas dvaluation qui justifie le gain apport ;

La scurit du poste de travail de lavocat et du cabinet davocat dpend pour lessentiel des
facteurs organisationnels et des dispositions techniques relevant du rseau local du cabinet.
Ces dispositions ne sont pas couvertes par le RSA qui se limite mettre en place un (bon)
firewall contrlant les accs Internet ;

La scurisation des changes de mails entre avocats par ladresse avocat-conseil.fr, accde
travers le VPN NAVISTA, est confronte de multiples obstacles : cabinet utilisant leur
propre nom de domaine, avocats prfrant la richesse fonctionnelle des webmails
commerciaux (Gmail,Hotmail,), inexistence de client VPN NAVISTA pour les terminaux
mobiles (PDA, Smartphone), non prise en compte des tiers (clients, magistrats sur adresses
personnelles) ;

L'extension de nouveaux services passera par laccs scuris par VPN des tl-services.
La scurisation par VPN est un plus par rapport la scurisation HTTPS sans certificat des
offres grand public. Cependant, les services retenus par le CNB ne sont pas encore connus et
ainsi nont pas pu tre valus. Ils ne seront pas gratuits (20% de plus la location du RSA
pour le transport jusqu'au nouveau service, plus cot du service lui mme) et leur intrt
technique et conomique devra tre dmontr ;

Pour la simplicit de laccs e-Barreau, le boitier RSA nvacue pas la ncessit dinstaller
les pilotes Gemalto sur les postes de travail qui simpose aussi aux deux autres solutions. La
solution du Barreau de Marseille impose dinstaller un autre logiciel loccasion de
linstallation des pilotes. Cette tche supplmentaire est bien assiste et reste du mme
niveau de complexit que la cration dun compte daccs distant sur le RSA ;

La maintenance centralise par NAVISTA du firewall-VPN est un rel service apport par la
solution du CNB. Elle permet au cabinet davocat davoir son matriel suivi par une hotline
spcialise et mis jour des derniers correctifs de scurit. Il intresse les petits cabinets qui
souhaitent accder distance leur cabinet et qui souhaitent conomiser le suivi par un
prestataire informatique. La maintenance NAVISTA lui assure les dernires mises jour et le
service support lui reparamtre le routeur si sa configuration tait amene voluer.

Mme si cest le critre de la scurit des changes avec e-Barreau qui a t mis en avant par le CNB
pour prescrire le botier RSA, cest langle du service pour les petits cabinets qui merge comme la
vritable valeur ajoute potentielle du RSA.

33/66

RPVA
Rapport daudit Version 1.1 09/06/2010

La gestion du routeur et de ses mises jour par une administration centrale,

La possibilit de se brancher par un lien hautement scurit (VPN) des services


slectionns par e-Barreau et compatibles avec le protocole NTS (Navista Tunneling System).

Cette valeur ajoute, qui pouvait faire sens au dmarrage du projet en 2007, est aussi remise en
question par la nouvelle configuration de march qui voit des acteurs trs dynamiques se positionner
en offrant mobilit, souplesse daccs et scurit.

3.2

SCURIT INFORMATIQUE

Il ne nous a pas t communiqu danalyse de scurit ni de rfrentiel de scurit pour les cabinets
davocats, ni par le CNB ni par aucun des autres acteurs de laudit.
Nous prsentons ici les principes de base qui ont guid notre analyse scuritaire.
3.2.1 LES DIFFERENTES ATTAQUES
Pour rcuprer la copie des donnes accdes par un internaute sur un serveur internet, diffrentes
attaques sont possibles :
.

7
6
2

5
3
Internet

Routeur Pare-feu
eB
9
8
ar
re
au
e
- bLa liaison internet
e
B

4
Pare-feu

Serveur
eBarr
eaue
beB

o 1 - Interception du flux, soit en sinterposant entre (Man in the Middle) le serveur et


le poste de lutilisateur grce une attaque du routeur et/ou des DNS de rfrence
du cabinet,

34/66

RPVA
Rapport daudit Version 1.1 09/06/2010

o 2 - En interceptant la liaison depuis le rseau local (quand on y a accs), soit parce


quelle est en clair, soit parce quelle est en HTPPS qui est plus facile intercepter
sur le rseau local,
-

Le serveur
o 3 - Le firewall pour avoir un accs au serveur,
o 4 - Le serveur travers les accs quil offre travers le pare-feu ou firewall,

Le rseau local
o 5 - En attaquant le firewall pour avoir accs au rseau local,
o 6 - En attaquant le serveur sil est expos directement Internet (cas des serveurs
TSE branchs en direct) et avoir accs soit aux documents stocks, soit par rebond
aux autres machines du rseau local,
o 7 En attaquant le rseau Wifi si on est proximit,

Lorganisation
o 8 - En attaquant lutilisateur concern ou un autre utilisateur du rseau en incitant
son utilisateur activer une charge offensive (pice jointe, site web exploitant des
failles navigateur) ,
o 9 - En manipulant une personne ayant accs au rseau pour quil/elle cre une
brche de scurit dans le rseau (divulgation de mot de passe par exemple, envoi
de document, activation dune procdure de rcupration, etc.)

Cette diversit dattaques rappelle que la scurit est une affaire globale et impliquent de multiples
mises niveau. Elle ncessite une approche mthodique au sein dun projet la fois technique et
organisationnel.

35/66

RPVA
Rapport daudit Version 1.1 09/06/2010

3.3

INTEGRATION DANS LES CABINETS, PRISE EN COMPTE PAR LES PRESTATAIRES


INFORMATIQUES

3.3.1 AUJOURDHUI, LES CABINETS CONFIENT LEUR INFORMATIQUE GLOBALEMENT A


DES SOCIETES SPECIALISEES
LES DIFFERENTS NIVEAUX DE SERVICE
Les cabinets davocats font appel frquemment des prestataires de services en informatique pour
-

Installer leur matriel (poste de travail, serveur, quipement rseau)

Mettre au point notamment la configuration logicielle des postes de travail

Configurer le domaine informatique et/ou le serveur de fichiers

Configurer le systme de courrier lectronique accessible distance

Configurer les accs internet, notamment les liaisons intersites, les accs distants

DANS CE CONTEXTE LE PRESTATAIRE INFORMATIQUE UTILISE LES SERVICES QUIL MAITRISE


VOIRE QUIL PRODUIT LUI-MEME OU QUUN DE SES PARTENAIRES PRODUIT
Le prestataire installera des quipements quil matrise et quil a dj installs chez dautres clients.
Ces quipements sont parfois dj en place et fonctionnent en donnant toute satisfaction, lorsquon
lui demande dinstaller un botier NAVISTA. Cest le cas avec les routeurs VPN (Fortinet, Cisco,
Arkoon,) dont les fonctions sont proches de celles du RSA.
Le prestataire gre aussi le serveur de mails du cabinet et peut assurer le suivi des sauvegardes en
interne (cassettes, disque de backup), ou sur ses serveurs, voire sur ceux dun autre prestataire de
services.
CNB.COM SINSERE DANS CE DISPOSITIF AVEC LE BOITIER RSA
Le boitier RSA NAVISTA est un matriel impos au prestataire qui doit lintgrer dans le rseau
informatique du cabinet.
Le matriel et lorganisation Internet associe, viennent sinsrer ou se substituer des dispositifs
du cabinet.
Les prestataires procdent cette opration pour un prix souvent forfaitaire pour un petit cabinet ou
un cabinet moyen pour un cot de lordre de 200 HT.

36/66

RPVA
Rapport daudit Version 1.1 09/06/2010

3.3.2 PRISE EN COMPTE DU BOITIER PAR LES PRESTATAIRES INFORMATIQUES DES


CABINETS
Les quelques visites effectues dans des cabinets de lIle de France et de la Rgion PACA ont montr
que le botier RSA dans une grande partie des cas, est utilis comme dcodeur RPVA et le reste
des fonctions est ignor.
Le botier RSA vient en doublon des dispositifs dj existants, pour lesquels le prestataire est
capable de garantir les performances et doptimiser le paramtrage.
Son installation est contraignante, ncessite de passer par lassistance en ligne de NAVISTA pour
obtenir un mot de passe qui donne accs aux paramtres lmentaires ou de solliciter lintervention
distante de NAVISTA pour les oprations fines de paramtrage.
Il a aussi t constat que dans la gamme de tl-services envisags par CNB.COM, certains sont dj
assurs par les prestataires. Cest le cas de la tl-sauvegarde.
3.3.3 LA POSITION DE CNB ET CNB.COM
Lorganisme CNB.COM simpose comme un partenaire incontournable des cabinets davocats. Il
sappuie sur les prestataires informatiques pour dployer son dispositif mais ne leur donne pas
toujours les directives et les moyens de valoriser ce service.
Il dveloppe en parallle une offre qui peut apparatre aux prestataires des cabinets davocats
comme concurrentielle. Le boitier est peru comme le vecteur de cette concurrence venir.
Le boiter NAVISTA est en plus surdimensionn par rapport sa fonction initiale qui est le cryptage
des communications, il ne prendra sa valeur que lorsque les tl-services seront utiliss.
3.3.4 CNB.COM PEUT-ELLE ETRE LE PRESTATAIRE UNIQUE DES CABINETS DAVOCATS ?
La technologie NAVISTA est-elle la meilleure offre possible pour cette technologie unique? Sil avait le
choix, quelle alternative peut adopter un cabinet davocats ?
Le niveau de scurit supplmentaire apport par le RSA justifie-t-il la dpense impose aux avocats?
Le choix impos par le CNB cre-t-il des distorsions de concurrence avec les prestataires de services
informatiques ?
Les cabinets davocats peuvent-ils tre laisss libres de configurer leur scurit pour atteindre le
niveau de scurit vis par le CNB?
Est-il possible dvaluer cette scurit? Pour lavocat concern? Pour le Barreau?
Aujourdhui les fonctions de filtrage scuritaire ne sont pas adoptes par les cabinets davocats qui
utilisent le RSA comme dcodeur e-Barreau. Il en est de mme des cabinets davocats parisiens qui
ont obtenu la drogation.
Est-il possible de leur imposer dutiliser du RSA comme frontal internet des cabinets ?

37/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Pour les grands cabinets tels que FIDAL, la rponse est dj donne. Le CNB a admis que ces cabinets
nutiliseront le RPVA que pour sa fonction transport e-Barreau .
A ce jour, seuls les petits cabinets pourraient rentrer compltement dans le schma CNB.

3.4

MAITRISE CONTRACTUELLE

3.4.1 LES ENGAGEMENT MUTUELS


CNB.COM et NAVISTA ont sign le 10 octobre 2007 une convention qui attribue pendant 5 ans,
NAVISTA un monopole des changes entre les cabinets davocats et le serveur e-Barreau.
CNB.COM sest engag :

Maintenir la plateforme technique e-Barreau,

Dployer larchitecture NAVISTA (frontal Rennes et boitiers RSA dans les cabinets davocats)
pour laccs au service e-Barreau,

Assurer le support utilisateur pour les cls e-Barreau et les boitiers RSA (niveau 0 seulement)

NAVISTA loue CNB.COM des botiers RSA qui quiperont les cabinets davocats et en assure la
maintenance et la tl-administration.
NAVISTA sengage dans cette convention assurer ladministration et la maintenance du service de
liaison scuris. Elle sengage raliser un tldiagnostic dans un dlai indicatif de 4 heures et
adresser labonn un quipement de remplacement dans un dlai de 48 heures aprs lexpiration
du dlai de tldiagnostic.
A larticle 10 de la convention du 10 septembre 2010, intitul Proprit Industrielle
Consquences de la dfaillance de la socit NAVISTA , il est prcis que :
En cas de dfaillance de la socit NAVISTA, dans la fourniture du service de liaison scurise
suprieur SOIXANTE DOUZE HEURES (72), lAssociation CNB.COM peut lui substituer un tiers
SEPT (7) JOURS aprs la rception dune mise en demeure reste sans effet faite par lettre
recommande avec avis de rception
Dans ce mme article, ile est prcis que :
La socit NAVISTA soblige dposer les sources des logiciels daccs, leurs mises jour
ainsi que leur documentation auprs de lAgence Pour la Protection des Programmes (APP)
En octobre 2009, un nouvel accord a t trouv avec NAVISTA, pour autoriser le Barreau de Paris
sortir du dispositif. A cette occasion, les prix ont t revus la baisse, et des engagements sur des
quantits de botiers RSA installer au 31 dcembre 2010 ont t pris par CNB.COM.

38/66

RPVA
Rapport daudit Version 1.1 09/06/2010

3.4.2 LA REPRISE DE MAIN


Actuellement NAVISTA assure la tl administration sans partage ni contrle.
Pour viter un risque humain, il convient que des contrles priodiques de cette administration
soient raliss par un tiers.
3.4.3 LA REVERSIBILITE
En cas de dfaillance, la convention prvoit en son article 10, la substitution dun tiers en cas de
dfaillance grave de NAVISTA, qui dans ce cas sest engage transfrer le savoir faire et les sources
ncessaires la poursuite de la prestation.
Le primtre de la reprise (donnes, NCC, OS des boitiers, NTS) et ses modalits sont imprcises dans
le contrat.
Nous relevons aussi que le CNB ne sest pas encore organis pour avoir assurer cette reprise.
En premier lieu, aucun tiers na t identifi pour linstant pour prendre en charge cette reprise de
lactivit, en cas de dfaillance de NAVISTA.
En deuxime lieu, le dpt de sources qui protge le CNB dune dfaillance globale de NAVISTA na
pas t valid, ni sur son contenu, ni sur son utilisabilit par un tiers.
En particulier, les codes sources dposs nont pas t valids en termes de contenu et dutilisabilit.
Rien ne garantit que le CNB dispose de la dernire version des sources, que les outils et les directives
de compilation, sont fournis et quils permettent bien dobtenir la version en production.
Il conviendrait aussi den valider de contenu pour sassurer quune documentation technique est
fournie ou que la description des outils de dveloppement et de tests est disponible.
3.4.4 LENCADREMENT DE LEVOLUTION FONCTIONNELLE DU RSA
Nous navons pas vu de contrat dans lequel NAVISTA prcise les fonctionnalits quelle allait
dvelopper pour le CNB.
Nous observons que les options prises par NAVISTA sont utiles et constructives :
-

Dveloppement dune suite Accs distant (paramtrage depuis e-Barreau, client VPN
tlchargeable, etc.),

NCC grant les tickets et les configurations,

Renforcement de la fiabilit des boitiers par un test avant montage des cartes et une
meilleure gestion de la mmoire flash,

Aussi, les nouvelles volutions annonces par NAVISTA sont prometteuses :


-

Filtre de contenu intgrer au routeur,

39/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Paramtrage par linterface NCC mis disposition des prestataires,

Dans lensemble NAVISTA apparait comme un partenaire proactif du CNB. Il est intress au succs
de son offre auprs des avocats et met en uvre un effort global.
En revanche, il est proccupant que lensemble de ce bon fonctionnement ne soit pas encadr par un
contrat prcis entre le CNB et NAVISTA et ne repose que sur lintrt commun peru par les deux
parties.
Nous relevons au passage que la slection de NAVISTA na pas rsult dun appel doffre.
Le CNB explique cette situation par le contexte historique du RPVA et les difficults rencontres avec
la premire solution retenue et toujours disponible, base dun accs Internet haut dbit.

40/66

RPVA
Rapport daudit Version 1.1 09/06/2010

CONCLUSION

4.1

ANALYSE DE LA SITUATION GENERALE

Le dploiement du RPVA soulve de nombreuses questions parmi lesquelles nous relevons les
thmatiques suivantes :

Quel est le niveau de scurisation atteindre sur les changes avec les juridictions et contre
quels scnarios protge-t-il ?

Quel est, au-del de la mise en uvre dune solution de chiffrement, le primtre scuriser
pour assurer la scurit de liaison ?

Au-del de la liaison, quel est le niveau dexigences de scurit auquel doivent se soumettre
les cabinets davocats ?

Quel est le niveau de services dinformatisation que devront mettre en uvre les cabinets
davocats ?

Face ces questions, nous navons pas trouv de rflexion globale, ni danalyse dtaille sur le plan
organisationnel, mais une rponse construite autour de ladoption de moyens techniques.
Ce manque est dautant plus frappant que le projet engage la profession jusquen 2014 dans un
financement valu prs de 10,7 M HT.
Nous retenons que lengagement de la profession vis--vis de la chancellerie est dorganiser une
communication et une authentification scurise avec les services du greffe.
Ce contrat minimum est assur par lutilisation de certificats sur cryptoprocesseurs, qui garantissent
lauthentification sur les services du greffe et scurisent la mise en place du canal scuris avec la
plateforme relais quest e-Barreau.
Ce dispositif fait consensus et les trois solutions, dans les grandes lignes satisfaisantes, en assurent la
prise en charge.
Le CNB va plus loin en imposant une architecture qui a pour objectif damliorer :
-

La scurisation de la liaison

La scurit des donnes changes avec les greffes

Ladoption par la profession doutils de productivit scurise

Nous passons en revue les gains attendus et ladquation des moyens mis en uvre.

41/66

RPVA
Rapport daudit Version 1.1 09/06/2010

4.1.1 LA SECURISATION DE LA LIAISON ET DE LAUTHENTIFICATION


Ce dispositif HTTPS plus Certificat dauthentification nest pas inviolable. Des attaques sont possibles,
elles ncessitent des moyens importants (plusieurs jours dexpert). Elles laissent aussi des traces sur
les serveurs si les moyens de surveillance adquats ont t mis en place et sont exploits. Ces traces
permettent de valider ou dinvalider une ventuelle contestation de lauthentification.
Lamlioration mise en place par le CNB consiste encapsuler le canal HTTPS au sein dun tunnel
VPN. Si le VPN est bien constitu, cette amlioration rend la communication quasiment
inviolable . Elle introduit aussi une sparation des cls : la cl RSA du VPN sert scuriser le
transport, la cl du certificat sert scuriser lauthentification.
Cette amlioration, si elle est en premire approche bienvenue, conduit un attaquant, expert,
reporter ses efforts sur des cibles plus faciles que sont le rseau du cabinet ou le serveur.
Ainsi vouloir amliorer la scurit du dispositif Https+Certificat, cest sengager dans une course la
scurit qui va engager tout lcosystme dans lequel sinscrit cette liaison :
-

Les cls dauthentification, le processus de dlivrance de ces cls, leur utilisation au sein du
cabinet,

Le routeur, les cls de chiffrement des VPN ouverts par le routeur,

Lorganisation qui gre la maintenance des routeurs et les cls de chiffrement,

Le poste de travail qui se connecte, mais aussi tous les postes du rseau local sur lequel il se
trouve, et tous les serveurs qui sont ouverts Internet,

Lorganisation qui gre ces quipements, qui les approvisionne, qui les maintient, ainsi que
les comportements de ceux qui utilisent ces quipements.

Cest la mise niveau simultane de ces dispositifs qui permet damliorer la scurit du
dispositif Https avec certificat du point de vue de lauthentification et de laccs au serveur eBarreau pour le faire passer de fortement scuris inviolable .
Une telle dmarche ncessite de coordonner tous les acteurs qui interviennent autour dobjectifs
concrets.
Nous observons un certain nombre de lacunes dans ce dispositif :
-

Le partage des cls dans les cabinets

Le manque de contrle sur les routeurs utiliss par les cabinets davocats (entre 30 et 50%
court-circuitent le routeur de rfrence du CNB),

Linexistence de certification du routeur RSA de rfrence du CNB, des protocoles utiliss, de


lorganisation qui les gre,

Labsence de visibilit organisationnelle relaye par le RPVA sur le niveau de scurit de


postes de travail et plus gnralement du rseau local du cabinet,

42/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Linexistence dun accord avec les prestataires informatiques des cabinets

Labsence de politique centrale sur la manire dont les cabinets devraient aborder la scurit
au quotidien.

Sans une coordination globale de ces diffrents lments du dispositif, il nous semble que le
dploiement des boitiers RSA ne suffira pas amliorer la scurit gnrale de laccs et de
lauthentification.

4.1.2 LA SECURITE DES DONNEES ECHANGEES AVEC LES GREFFES AU SEIN DES
CABINETS
Ce point nest pas explicitement couvert par la convention avec le Ministre de la Justice, mais il peut
rsulter des engagements de confidentialit de la profession, auquel cas il faudrait ltendre
lensemble des documents grs par le cabinet.
-

Quels sont les documents sensibles ? Quel est le niveau de protection quil faut leur assurer ?
Quels sont les scnarios critiques ? Quelles sont les consquences dune dfaillance ?
Comment les documents sont rfrencs ? reprs ? stocks ? Comment leur accs est-il
contrl ? Quels sont les outils de stockage et de diffusion de donnes ? Quels sont les
usages associs ?
Quels sont les moyens mis en uvre pour scuriser ces documents ? Quels sont les rgles
organisationnelles associes ? Quelles sont les mtriques ?
A qui les documents sont-ils communiqus ? Par quels moyens ? Quels engagements de
scurit prend le correspondant ?

Cest ainsi une politique complte de scurit qui se dcline.


Il est probable quelle se formule en termes simples mettant en jeu quelques principes de
sgrgation dans le stockage des documents et les points daccs Internet, et que ces principes
soient complts par des bonnes pratiques au niveau de la gestion informatique au sein des cabinets
et de lutilisation dInternet et des services Internet.
Cette formulation ncessite au pralable une concertation au niveau de la profession pour dfinir le
niveau de scurit adopter selon les grandes familles de documents (lments de procdures,
pices communiques, lments clients, etc.), un positionnement sur les moyens disponibles sur le
march et des bonnes pratiques diffuser au sein de tous les cabinets.
Aujourdhui, le CNB propose des adresses mails, associes un serveur de courrier quil hberge et
des moyens scuriss daccs cette adresse. Ce dispositif se heurte un certain nombre de
limitations lies pour lessentiel la non adoption de ces adresses par les avocats qui ont une
politique de marque sur Internet ou qui prfrent la convivialit de services prouvs par le grand
public.

43/66

RPVA
Rapport daudit Version 1.1 09/06/2010

4.1.3 LADOPTION DE NOUVEAUX SERVICES SECURISES


La bonne utilisation des outils documentaires peut permettre de gagner en scurit et en
productivit. Elle permettrait la profession davocats de rester comptitive par rapport aux
volutions du paysage juridique franais et europen.
Des solutions techniques sont envisages par le CNB pour couvrir certaines des proccupations de la
scurit des donnes, il sagit pour lessentiel de lutilisation de tl-services accds par des tunnels
VPN ouverts depuis le boitier NAVISTA.
Les tl-services envisags sont :
-

Tl-sauvegarde des donnes sur une plate-forme scurise et localise en France,


Plate-forme collaborative pour permettre aux avocats de crer des espaces collaboratifs avec
leurs clients,
Coffre-fort lectronique pour archiver des documents auprs dun tiers de confiance,

Nous ne doutons pas de lintrt potentiel de ces services.


Nous navons cependant pas eu de description prcise de ces tl-services, de leur cot, de leur
calendrier, de leur positionnement par rapport aux offres du march existantes aujourdhui et
court terme, et de la libert de choix des cabinets vis--vis de ces tl-services. Il nous est donc
difficile de nous positionner sur leur intrt ou leur adquation au besoin de la profession.

4.2

POINTS PARTICULIERS ET RECOMMANDATIONS

4.2.1 INTERET ECONOMIQUE DE LA SOLUTION NAVISTA POUR UN CABINET


Indpendamment du monopole quimpose le CNB, la solution NAVISTA offre-t-elle un intrt
conomique pour un cabinet ?
Le prix de 900 sur 3 ans que cotera la solution NAVISTA pour un cabinet, est du mme ordre de
grandeur quun routeur6 haut de gamme qui intgre des filtres de contenu mis jour
quotidiennement et avec une maintenance 24/7.
Le botier RSA NAVISTA a lambition doffrir un niveau de service analogue.
Il offre lintrt dtre gr par les avocats, dtre dj dploy au sein de la profession et davoir une
offre de services associe qui peut dispenser le cabinet davoir un prestataire informatique, si le
cabinet est mme de grer ses postes de travail et son rseau et quil souhaite dlguer la gestion
de laccs scuris Internet avec une fonction daccs distant.

Nous intgrons dans cette comparaison en ordre de grandeur une installation initiale simplifie ralise par
un installateur agr.

44/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Aux recommandations prs qui suivent sur la qualification de loffre NAVISTA et du projet RPVA, le
boitier NAVISTA peut reprsenter une solution viable pour les cabinets qui souhaiteraient amliorer
leur scurit, en utilisant un tiers pour la gestion du routeur, et tout en grant eux-mmes la scurit
de leur rseau local.
Le profil du cabinet intress est ainsi un petit cabinet, possdant quelques postes avec un serveur
de fichier, connects Internet par la box livre par le Fournisseur dAccs Internet. Il aurait dj
mis sous contrle sa scurit informatique, avec des principes organisationnels, la gestion des
documents lectroniques, la gestion des installations de supports et de logiciels, la gestion des
profils, la gestion des mots de passe, la gestion des mises jour, le paramtrage de la box ,
lutilisation de tl-services (dont tl-sauvegarde et courrier lectronique) de qualit, etc.
Pour amliorer sa scurit, il prendrait loption de ne pas transformer son rseau local parce que son
informatique locale ne change par significativement et quil passe de plus en plus par de tlservices. Ainsi, il pourrait se dispenser de passer par un prestataire informatique pour le rseau local
et mettrait laccent de lamlioration de la scurit sur le niveau de sa connexion Internet et des tlservices quil utilise.
Dans ce scnario, le choix de passer par le routeur NAVISTA et les tl-services quenvisage de
dvelopper CNB.COM peut avoir une justification technique et conomique. La proximit de
CNB.COM avec la profession faciliterait la dmarche et rduirait le cot de transaction pour le
cabinet.
Lintrt pour les cabinets plus consistants est moindre parce que ces cabinets doivent passer par un
prestataire informatique. Cet intrt dpendra aussi de la capacit du RSA NAVISTA tre adopt par
les prestataires informatiques qui devront utiliser alors le routeur NAVISTA plein potentiel et non
plus en marge de solutions de scurit reconnues par le march et quils maitrisent.
Si la profession choisit dengager une politique volontariste sur la mise niveau de la scurit des
cabinets davocats, il nous semble que dici deux ans le scnario que nous avons dcrit ci-dessus
pourrait concerner lensemble des cabinets de 1 4 personnes (soit 1 ou 2 avocats).
RECOMMANDATIONS :
Le CNB devrait sassurer dun certain nombre de mises niveau :
-

Validation de la scurit effective apporte par le boitier par un tiers indpendant, par
exemple via un certificat de scurit de premier niveau (CSPN) de lANSSI.
Validation par un tiers que lorganisation que NAVISTA et CNB.COM dveloppent autour du
boitier est aux bonnes pratiques de scurit,
Contour fonctionnel et conomique des services qui seront attachs au boitier,
Intgration dune technologie standard et scurise comme IPSEC dans les services offerts
par le boitier, au minimum pour la prise en charge des terminaux mobiles, au mieux pour
garantir louverture de la solution adopte par le cabinet,
Politique dagrment des prestataires informatiques, validant que les prestataires maitrisent
les diffrentes options techniques du boitier et disposent des moyens daccder au
paramtrage du boitier en conformit avec les bonnes pratiques de scurit.

45/66

RPVA
Rapport daudit Version 1.1 09/06/2010

4.2.2 INTERET ECONOMIQUE DE RPVA A BASE DE BOITIER NAVISTA POUR LA


PROFESSION
Pour la profession, le projet NAVISTA dans la logique du monopole impos par le CNB reprsente un
investissement de lordre de 10,7 M seulement pour la partie NAVISTA, boitiers et frontal associ.
Nous remarquons que :
-

Pour une bonne part, ces boitiers sont en doublons des routeurs-NAT dj en place et sont
utiliss minima pour le seul accs e-Barreau par le VPN propritaire de NAVISTA,
Le montant est justifi pour le renforcement de la scurit de routeurs en place, alors que
leurs insuffisances ventuelles nont t ni explicites ni dmontres, et pour ouvrir la
possibilit dintgrer des solutions de scurit et de tl-services dont le contour et le prix ne
sont pas connus,
La solution NAVISTA est une solution qui est en constante amlioration depuis 2007 et ses
volutions se font en dehors de tout cahier des charges formalis par le CNB, et au sein dun
dispositif contractuel peu maitris.

Les plus scuritaires apports par lutilisation de tunnels VPN et de pare-feu pour protger les points
daccs ce VPN, pour tre effectifs, ncessitent que la scurit de ces VPN et pare-feu soit atteste.
Ils impliquent aussi une srie de mises niveau concomitantes, portant sur la scurit des rseaux
locaux, des serveurs, des postes de travail et de lorganisation en gnral, qui ne sont pas prises en
compte par le projet technique de dploiement des boitiers RSA.
Dans ces conditions de double emploi, de valeur ajoute scuritaire conditionne des mises
niveau des cabinets hors du primtre du projet RPVA et dabsence de maitrise contractuelle, la
justification conomique du rseau virtuel base de boitiers RSA dans tous les cabinets nous semble
problmatique.
RECOMMANDATIONS :
Il nous parait important
-

de mettre en place une conduite du projet RPVA qui prcise les objectifs viss, en termes
fonctionnels, techniques, conomiques et de dploiement engageant les partenaires au sein
dun calendrier.
de procder la formalisation de la reprise en main et de la rversibilit en cas de dfaillance
de NAVISTA,
dorganiser conjointement la mise niveau des points daccs Internet et la mise niveau de
la scurit au sein des cabinets. Une approche globale type ISO 27001 aborderait lensemble
de ces points. Compte tenu de laspect service public de la profession dans sa dimension
judiciaire, il nous paraitrait judicieux dadopter les prconisations de lANSSI et son approche
de lISO 27001 par la mthodologie eBIOS.

46/66

RPVA
Rapport daudit Version 1.1 09/06/2010

4.2.3 LA SOLUTION DE MARSEILLE A-T-ELLE UN INTERET COMPTE TENU DES DEUX


SOLUTIONS DEJA EN SE RVICE, PARIS ET CNB
La solution Marseillaise est une faon astucieuse de permettre laccs au RPVA dans des conditions
de scurit acceptable et sans avoir passer par le dploiement des boitiers RSA dans les cabinets
marseillais.
Le sur chiffrement VPN SSL par certificat napporte pas de scurit supplmentaire parce quil utilise
le mme certificat que le HTTPS et il impose une opration, minime, supplmentaire sur les postes
des avocats.
Dautre part, si la solution Marseillaise devait tre officialise, le routeur Cisco ASA qui la constitue
devrait tre gr par le CNB. Dune part, cela simplifierait larchitecture actuelle qui impose de
monter des boitiers RSA en batterie, et permettrait au CNB dintgrer ce nouveau point daccs eBarreau dans sa gestion de la scurit. Ce ne serait donc plus la solution Marseillaise, mais une
solution inspire par Marseille.
La solution parisienne est dj prouve et a fait lobjet dune procdure dintgration technique par
le CNB. Elle dispose aussi de liens de haute capacit et redonds.
Dans ces conditions, si le principe drogatoire qui offre la possibilit de ne pas passer par les boitiers
RSA des cabinets tait tendu, il nous semble que la solution du Barreau de Marseille ne dmontre
pas dintrt par rapport la solution du Barreau de Paris.
Dautre part, si le principe drogatoire devait tre tendu, il nous semble que lorganisation de
laccs Https + Certificat, devrait tre prise en charge depuis la plate-forme du CNB avec un dispositif
quelle grerait et dont elle maitriserait la scurit.
Si la mise en uvre technique par les prestataires du CNB devait tre retarde par des
considrations, contractuelles, techniques ou organisationnelles, alors la solution mise en uvre par
Paris ou une solution inspire par larchitecture de Marseille pourrait constituer une solution
temporaire acceptable.
Aussi, une des raisons qui nous conduit dire que les solutions Marseille et Paris sont
satisfaisantes pour la scurit du transport des donnes, cest quactuellement le facteur qui limite la
scurit nest pas le chiffrement de la liaison, mais lorganisation des cabinets en terme de scurit,
sur laquelle nous navons pas de visibilit et qui est, aujourdhui, hors du champ de contrle du CNB.
Si le principe drogatoire devait tre tendu, il devrait tre accompagn par un renforcement de la
politique de scurit au sein des cabinets. Des principes simples pourraient tre rapidement mis en
uvre.
Aussi, les cabinets qui ont dj intgr la scurit dans leurs proccupations et leurs pratiques, ne
doivent pas tre pnaliss et pouvoir continuer utiliser des tunnels VPN pour se connecter eBarreau.
RECOMMANDATIONS :

47/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Si la solution Marseillaise devait servir de base la gnralisation dun accs drogatoire, elle
serait rexaminer par le CNB qui pourrait sen inspirer pour permettre laccs hors boitier NAVISTA.
Si les dlais de mise en uvre au sein de la plateforme du CNB devaient tre trop longs, et ainsi
ncessiter une solution transitoire, alors la solution Paris ou en deuxime intention une solution
inspire de la solution Marseillaise pourraient tre utilises.
La baisse de scurit induite par les accs drogatoires, doit tre compense par une mise niveau
de la scurit des ordinateurs, des rseaux, des pratiques des organisations utilisant ce mode
daccs. Le CNB pourrait formuler les principes lmentaires quauraient respecter les cabinets
davocats candidats ces accs drogatoires.

4.3

SYNTHESE

En terme de scurit du transport, Paris et Marseille mettent en place des solutions thoriquement
plus faibles que le celle du CNB qui napporte un gain effectif que pour les cabinets qui ont intgr la
scurit informatique aux pratiques de leurs cabinets.
Si la scurit informatique des cabinets est une proccupation pour lensemble des acteurs que nous
avons rencontrs, nous navons relev aucune dmarche au niveau de la profession pour clarifier ce
que seraient des objectifs et des pratiques de scurit au niveau des cabinets.
Le boitier NAVISTA peut contribuer cette scurit au mme titre que toute la gamme des services
de scurit offerts par le march. Il offre lavantage de venir dans un package combinant la
plateforme technique, une organisation de support et la caution de la profession. Il peut avoir du
sens pour les petits cabinets (1 ou 2 avocats) qui seraient autonomes sur la gestion de leurs
ordinateurs et auraient ainsi un prestataire pour laccs rseau.
A ce jour, NAVISTA na prsent aucun lment de certification, tant sur le protocole que sur
lintgration des composants informatiques ou lorganisation de gestion des boitiers quelle met en
place. Cela nous semble plus une affaire de priorit dans lagenda de NAVISTA quune faille
structurelle de NAVISTA.
Le CNB sest engag se doter des moyens ncessaires la maitrise du RPVA, notamment en cas de
dfaillance de son fournisseur, avec un plan de reprise de main et des dispositions de rversibilit.
Sur ces deux points, certification NAVISTA et maitrise du fournisseur, NAVISTA et le CNB
annoncent rvaluer leurs priorits.
Le principe du boitier dploy et tl-administr par le CNB.COM dans tous les cabinets, offre la
possibilit de dployer rapidement des tl-services auprs des cabinets davocats. Le principe est
sduisant, notamment dans la perspective de lacte davocat qui imposera de dployer une fonction
de coffre-fort lectronique auprs des cabinets. Cependant, nous navons vu aucun plan projet
dcrivant ce que seraient ces dploiements, aussi bien sur les plans fonctionnels, techniques,
conomiques et calendaires.

48/66

RPVA
Rapport daudit Version 1.1 09/06/2010

La question de la possibilit pour les barreaux de province dutiliser dautres solutions que celle du
CNB, est lorigine de cet audit.
Nous ne pouvons pas faire de prconisations, dans la mesure o les enjeux dpassent largement la
question technique.
Sur un plan purement technique, et si les objectifs politiques devaient voluer, il nous semble que les
solutions parisiennes et marseillaises ne montrent pas de carences qui les empcheraient dtre
ouvertes plus largement.
La solution marseillaise est plus voir comme une dmonstration de capacit et si elle tait
tendue, doit tre reprise sa charge par le CNB.
Finalement, ltat du systme tant sur le plan de la scurit que sur celui de la conduite du projet
RPVA, nous semble justifier que dans le cadre dune remise plat, soient dvelopps les aspects
scurit, organisation et lien avec les prestataires informatiques.

Nathan HATTAB

Philippe AYMAR

49/66

RPVA
Rapport daudit Version 1.1 09/06/2010

5
5.1

ANNEXES
ANNEXE 1 LARCHITECTURE DES TROIS SOLUTIONS

5.1.1 LARCHITECTURE CNB MISE EN PLACE POUR LACCES A E-BARREAU


ARCHITECTURE GENERALE
Le RPVA mis en place par le CNB sappuie sur une architecture base de botiers routeurs firewallVPN NAVISTA pour connecter les diffrents services Internet. La fonction VPN assure le chiffrement
des communications et la fonction firewall, la scurisation des installations vis--vis dinternet.
Les boitiers sont installs laccs Internet de chaque cabinet et de chaque ressource exploite par le
RPVA. Les boitiers sont contrls depuis le centre de gestion centralise des boitiers RSA qui est
coopr par CNB.COM et NAVISTA.
Lavocat accde ainsi sa boite (prenom).(nom)@avocat-conseil.fr par un canal scuris par VPN.
Il accde e-Barreau par un canal scuris par VPN et HTTPS, lauthentification tant assure par un
certificat sur support physique.
Le centre de contrle qui supervise lensemble des boitiers opre aussi via un canal scuris par VPN.
Le serveur de contrle sera terme hberg par CNB. Ladministrateur transmet ses consignes au
serveur NCC, qui les relaie au frontal. Le frontal les relaie aux boitiers RSA qui lui sont connects.

CNB.COM

Gestion centralise
des boitiers RSA

NAVISTA
Serveur NCC

rrrz

RSA

eBarr
eaue
beB
e-

Internet

Frontal
partenaire
Tl-Service
partenaire
eBarr
eaue
beB

Serveur
avocat-conseil.fr

Serveur
Barr
Frontal Routeur
e-Barreau
eaue
RPVA interne
beB
eFrontal
RPVJ
Barr
pour e-Barreau
eaue
beB
Serveur
des greffes
eee- Barr Barr
50/66
Barr eaueeaue
eaue beB beB
beB

RPVA
Rapport daudit Version 1.1 09/06/2010

LE RSA - BOITIER NAVISTA DEPLOYE DANS LES CABINETS


Le boitier qui est dploy au sein de chaque cabinet est en fait un ordinateur complet, compact et
sans ventilateur ( fanless ) qui embarque une configuration de Linux oriente routeur-firewallVPN-proxy.
Le mme boitier quip dune configuration diffrente de Linux est dploy avec cran, clavier,
souris, pour fonctionner comme terminal client lger dans les prisons.
Dans le cas du RPVA, il intgre :
- Un firewall Iptable, permettant le contrle et le routage des flux,
- Un serveur DHCP dadresses locales
- Un proxy de contrle daccs Internet Squid,
- Un client et serveur VPN au protocole propritaire NAVISTA NTS ,
- Un client du logiciel NCC permettant le contrle distant depuis le NCC pour le paramtrage et
les mises jour,
- Laccs des webservices pour des extensions de fonctionnalits,
- La capacit prendre en charge deux connexions Internet, lune pour les flux prioritaires,
lautre pour les flux courants, et en cas dincident, le report de lensemble des
communications sur la ligne restante.
La carte ordinateur est fournie par Axiomtek et intgre dans un boitier aluminium par NAVISTA.
Selon NAVISTA, la carte choisie fournit une capacit suffisante pour chiffrer 70Mb/s, ce qui suffit aux
besoins dun cabinet. ( titre de comparaison, la plateforme parisienne observe un dbit moyen de
0,5 Mb/s pour lensemble des avocats parisiens connects sur e-Barreau en mars 2010).
LE NCC CENTRE DE CONTROLE DES BOITIERS RSA
La supervision des botiers est ralise laide du NCC (NAVISTA Control Center) qui est la plateforme
de supervision de NAVISTA. Elle intgre diffrentes fonctions :
-

Un annuaire ou base de gestion administrative des boitiers RSA qui recense les boitiers, leurs
paramtres en cours, labonn dtenteur ainsi quune base de donnes des vnements
(tickets) associs aux botiers (problmes rencontrs, demandes de support des prestataires,

Un outil de contrle des boitiers permettant le paramtrage et la mise jour des boitiers RSA
connects.
Un outil de gestion daccs aux diffrentes fonctions du NCC,
Il existe aussi un outil de production et de dploiement des matriels daccs, qui recense les
botiers en production et qui nont pas encore t affects.

NCC permet notamment de visualiser ltat dun boitier RSA, de grer ses mises jour, de configurer
ses services, notamment firewall et VPN.
Il permet de dlguer un tiers de confiance (CNB.COM voire les infogrants des cabinets), la
possibilit daccder de faon temporaire ou permanente au paramtrage dun ou plusieurs boitiers.

51/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Les fonctions qui peuvent tre contrles distance sont notamment :


-

lactivation/dsactivation de laccs du boitier au RPVA,

la mise jour des logiciels des boitiers chaque nouvelle version,

la configuration du logiciel de contrle de contenu lorsquil existera,

la cration de compte daccs distant au rseau local, fonction dite de tltravail,

linterconnexion par VPN des rseaux de deux filiales, voire de deux cabinets,

ltablissement dune connexion spcialise (exemple visioconfrence) entre deux boitiers,

la configuration de routes au sein du cabinet,

lautorisation ou linhibition de laccs certains services du cabinet depuis lextrieur.

DIFFERENTES FORMES DINSTALLATION DANS LES CABINETS


Les installations combinent plusieurs paramtres :
LE MONTAGE PHYSIQUE EN CASCADE OU EN ETOILE
Dans le montage en cascade, le boitier RSA a deux cbles rseaux, lun provient de la connexion
internet (modem ou box ADSL), lautre est branch sur le rseau local.
Tout le trafic rseau du cabinet traverse le boitier RSA, notamment celui destination de-Barreau
qui est automatiquement dirig dans le tunnel VPN du RPVA.

rrrz

Routeur

RSA

Montage en cascade

Dans le montage en toile, le boitier RSA ne reoit quun cble rseau, qui est branch sur le rseau
du cabinet.

Routeur

Montage en toile

rrrz

RSA

52/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Le rseau du cabinet est paramtr pour rediriger tout ou partie de ses flux vers le botier RSA qui
fonctionne en passerelle.
Ce montage permet aux administrateurs de conserver le rseau en tat de marche si le boitier RSA
venait tomber en panne.
Il nest disponible que depuis peu.
LACTIVATION DU FIREWALL DU BOITIER NAVISTA (DHCP, DU ROUTAGE NAT)
Dans la plupart des rseaux informatiques, il y a plusieurs composants qui sont capables dassurer la
scurit du rseau. La box Internet , le routeur NAT du cabinet sil en avait dj un, le contrleur
de domaine si le cabinet a organis son rseau.
Le botier RSA peut tre paramtr pour assurer ces fonctions de scurit ou laisser un autre
composant les raliser.

LA CONFIGURATION DU RSA COMME PASSERELLE


Il est impratif que le RSA soit configur en passerelle sur les flux destination de-Barreau pour que
la fonction de cryptage soit active et ainsi accder au le RPVA. Cette passerelle peut tre
configure :
-

pour tous les postes (paramtrage global rseau) ou pour seul les postes concernes par eBarreau (paramtrage au niveau des postes),

pour tous les flux ou seulement pour les flux RPVA

Toutes les combinaisons sont possibles.


Par exemple dans lillustration ci-dessous, les flux RPVA sont routs sur le RSA puis dans le VPN, les
autres sont routs sur les infrastructures habituelles du rseau.

Routeur

rrrz

RSA

BILAN

53/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Le boitier RSA est ainsi polyvalent et peut sadapter toutes les configurations rseau rencontres
par les installateurs.
Actuellement, les configurations types sont :
-

Petit cabinet avec une box ADSL installant le RSA lui-mme, sans passer par un
installateur.
Le boitier est mont en cascade et configur comme firewall et passerelle.

Petit cabinet avec une box ADSL passant par un installateur,


Le boitier est mont en toile, le rseau est configur pour utiliser le RSA comme firewall et
comme passerelle,

Moyen cabinet avec une box ADSL, un firewall et un infogrant,


Le boitier est mont en toile, le rseau est configur pour utiliser le firewall du cabinet et
utiliser le RSA en passerelle, pour tout ou partie des postes,

Gros cabinet
Le boitier est mont en toile, le RSA est cloisonn, et nest utilis comme passerelle que
pour les flux RPVA,

En cascade

Flux seuls

65%

Avec DHCP et routage NAT


En toile

Flux seuls

35%

Avec DHCP et routage NAT

NAVISTA na pas apport plus de prcision sur les statistiques de lactivation DHCP. Toutefois on a
relev que parmi les cabinets davocats visits, ceux qui avaient un prestataire infogrant nont pas
activ les fonctions DHCP/NAT du botier RSA. Le prestataire a prfr utiliser les couches de scurit
sur lesquelles il avait la pleine maitrise.

LAUTHENTIFICATION DES CONNEXIONS

54/66

RPVA
Rapport daudit Version 1.1 09/06/2010

La connexion e-Barreau est scurise par le protocole HTTPS avec certificat sur support physique.
Ce protocole utilise des mcanismes disponibles sur tous les navigateurs Internet.
En cas daccs hors du bureau, le travailleur nomade qui souhaite se connecter e-Barreau, doit se
connecter au routeur NAVISTA du cabinet. Cest possible par la solution de tltravail dploye par
NAVISTA qui lui permet de se connecter par VPN son cabinet.
La connexion au cabinet est scurise par un identifiant/mot de passe propre au travailleur nomade.
La gestion des accs nomades reste uniquement accessible par lutilisation de la cl USB
cryptographique.
LACCES DEPUIS LE BUREAU SELON LE CNB EN MODE TRAVERSANT
Dans ce mode tous les flux passent par le boitier RSA NAVISTA, que ce soit pour accder e-Barreau
ou dautres services Internet.

rrrz

RSA

eBarr
eaue
beB
Internet

Services
internet

Serveur
ee-Barreau
Barr
eaue
La flche en vert dsigne le tunnel VPN. Le flux en bleu est en HTPPS. Le
beBflux en rouge nest pas
forcment en HTPPS.
Frontal
RPVA

Le modem routeur du bureau nest pas reprsent sur le schma ci-dessus (entre le RSA et Internet)
pour allger la prsentation.

LACCES DEPUIS LE BUREAU EN MODE PASSERELLE


Dans ce mode les changes avec e-Barreau passent par le boitier RSA et lintrieur du tunnel VPN
mais dautres changes ne passent pas par le boitier RSA. Par contre tous les flux sont filtrs par un
routeur du cabinet dj en place.

55/66

RPVA
Rapport daudit Version 1.1 09/06/2010

rrrz

RSA

Routeur
cabinet

eBarr
eaue
beB
Internet

Services
internet

Serveur
ee-Barreau
Barr
eaue
Une partie du flux ne bnficie pas des fonctions de routage et de scurit beB
du RSA.
Frontal
RPVA

LACCES HORS DU BUREAU SELON LE CNB


Ce mode permet un avocat associ ou un collaborateur aprs autorisation pralable daccder
distance au boitier RSA. Ltablissement du tunnel VPN permet ensuite cet utilisateur laccs au
service e-Barreau, sil dispose de la cl dauthentification. Il peut aussi accder aux serveurs du
rseau local du cabinet, sous rserve quil dispose des identifiants et des mots de passe ncessaires.

Services
internet

rrrz

RSA

Rseau local du
cabinet

eBarr
eaue
beB Internet

Frontal
RPVA

Serveur
ee-Barreau
Barr
eaue
beB

Il faut remarquer que dans ce mode daccs au service e-Barreau, le rseau local du cabinet nest pas
ncessaire. Pour fonctionner, laccs distant na besoin davoir que le boitier RSA et le modem en
tat de fonctionnement. Il nest pas ncessaire que le poste de lavocat au bureau soit allum pour
accder e-Barreau.

56/66

RPVA
Rapport daudit Version 1.1 09/06/2010

5.1.2 LACCES PAR LA PLATEFORME DU BARREAU DE PARIS


LA PLATEFORME RELAIS PARISIENNE
La plateforme de connexion e-Barreau propose par Paris est un serveur relais localis dans le
centre dexploitation de CertEurope. Le serveur est redond et protg derrire deux firewalls
indpendants.

La connexion la plateforme relais nest possible que si lavocat dispose dune cl Paris et de son
code Pin. La connexion est crypte par SSL 128bits.
La cl Paris sert ainsi une fois, pour authentifier lutilisateur sur la plateforme relais.
La plateforme parisienne relaie lauthentification sur e-Barreau (qui a t adapt cette fin), aussi
lavocat qui se connecte e-Barreau depuis la plateforme parisienne na saisir son code pin quune
seule fois.
Les autres services internet sont routs par les infrastructures habituelles du cabinet
En cas daccs hors du bureau, la configuration ne change pas. Laccs est permis grce la cl eBarreau et les autres services internet (mail et Google par exemple) sont accds par linfrastructure
locale.
LACCES DEPUIS LE BUREAU SELON PARIS
Les changes vers e-Barreau peuvent se faire partir du cabinet de lavocat. Les systmes de routage
et de scurit en place ou la simple Box Internet font office de pare-feu et de routeur.

57/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Services
internet

Routeur
du
Cabinet

Liaisons
prives

eBarr
Internet
eaue
beB

Cluster
Pare-feu
CertEurope

Cluster
Pare-feu
Rennes

Serveur
ee-Barreau
Barr
eaue
beB

LACCES HORS DU BUREAU SELON PARIS

Services
internet
Routeur
public

Liaisons
prives

eBarr
eaue
Internet
beB
Cluster
Pare-feu
CertEurope

Cluster
Pare-feu
Rennes

Serveur
ee-Barreau
Barr
eaue
beB

5.1.3 LACCES PAR LE CONCE NTRATEUR CISCO DU BARREAU DE MARSEILLE


LARCHITECTURE CISCO MISE EN PLACE PAR MARSEILLE
La plateforme de connexion e-Barreau propose par Marseille est un frontal Cisco ASA auquel
lavocat se connecte par VPN.
La connexion au VPN nest possible que si lavocat dispose dune cl USB dlivre par le CNB. Le
protocole utilis est de type SSL un niveau de chiffrement AES 256, cest un protocole de niveau
comparable au protocole propritaire utilis par NAVISTA pour son VPN.
La cl USB dlivre par le CNB, sert ainsi deux fois :
-

La premire fois pour authentifier lutilisateur sur le frontal Cisco de Marseille,


58/66

RPVA
Rapport daudit Version 1.1 09/06/2010

La deuxime fois pour authentifier lutilisateur sur le serveur e-Barreau.

Le routeur CISCO ne relaie pas lauthentification sur e-Barreau, aussi lavocat qui passe par la solution
marseillaise saisira deux fois son code pin.
Les autres services internet sont routs par les infrastructures habituelles du cabinet
En cas daccs hors du bureau, la configuration ne change pas. Le travailleur nomade tablit
directement un VPN scuris avec le frontal de Marseille depuis tout ordinateur connect Intenet.
Les autres services internet sont accds par linfrastructure locale.

LACCES DEPUIS LE BUREAU SELON MARSEILLE


Les changes vers e-Barreau peuvent se faire partir au cabinet de lavocat. Les systmes de routage
et de scurit en place ou la simple Box Internet font office de pare-feu et de routeur.
Les flux passeront ensuite travers le frontal CISCO de Marseille, le boitier RSA et le frontal RPVA
NAVISTA avant dtre prsent au serveur e-Barreau

Services
internet
Internet

eBarr
eaue
beB

Routeur
du
Cabinet

Frontal
CISCO
Marseille

LACCES HORS DU BUREAU SELON MARSEILLE

59/66

Internet
Boitier
RSA NAVISTA
mutualis

Frontal
RPVA
NAVISTA

Serveur
ee-Barreau
Barr
eaue
beB

RPVA
Rapport daudit Version 1.1 09/06/2010

Hors du cabinet lavocat suit la mme procdure de connexion


Services
internet
Internet

eBarr
eaue
beB

Routeur
Public

Frontal
CISCO
Marseille

Internet

Boitier
RSA NAVISTA
mutualis

Frontal
RPVA
NAVISTA

Serveur
ee-Barreau
Barr
eaue
beB

LA CONFIGURATION CIBLE POUR MARSEILLE


Marseille estime que lutilisation de boitiers RSA mutualiss nest que la rsultante dune contrainte
anormale impose par le CNB, et que le concentrateur CISCO devrait tre comme pour Paris
directement connect au firewall du CNB Rennes, soit en lien direct sur place, soit via une liaison
spcialise. L'ergonomie gnrale ainsi que le cot par avocat en serait encore amlior.

Services
internet
Internet

Routeur
du
Cabinet

eBarr
eaue
beB
Frontal
RPVA
NAVISTA
Frontal
Cluster
Paris

60/66

Frontal
Marseille

CISCO

Serveur
ee-Barreau
Barr
eaue
beB

RPVA
Rapport daudit Version 1.1 09/06/2010

5.2

ANNEXE 2 LE BOITIER NAVISTA, QUALITE, PERFORMANCE ET SECURITE

La socit NAVISTA a communiqu diffrents lments relatifs son boitier RSA et notamment :

la scurit du firewall
Il sagit de la certification CSPN de la technologie, Netfilter sur un noyau Linux v2.6.27
Iptables v1.4.2 que NAVISTA utilise dans son firewall. Navista ne justifie pas que son
intgration respecte les conditions dutilisation de ce noyau,

le protocole propritaire Navista Tunneling system


Il sagit de lautorisation de chiffrer accorde par la DCSSI. Elle assure que les services de
lEtat sauraient dchiffrer les communications NTS en tant que de besoin. Elle napporte
aucune dmonstration sur le protocole utilis et sa mise en uvre.

un cahier de test qui porte sur

La capacit des concentrateurs supporter la monte en charge

La capacit des boitiers VPN grer de multiples accs

La capacit des boitiers VPN grer de la QoS

La capacit des solutions techniques retenues basculer dun Datacenter vers un autre
en cas de problme

Nous relevons ici que :


Il ny aucune tude dadquation ralise par le CNB ou NAVISTA, pour justifier du dimensionnement
des boitiers par rapport au besoin du RPVA :
-

flux induits par le trafic avec les greffes

prise en charge du trafic complet des cabinets,

mise en uvre du tltravail,

services supplmentaires (filtrage de contenu, tl-sauvegarde,.)

Il ny a aucun lment tabli par un tiers indpendant qui justifie de la qualit du boitier, notamment
sur ses performances en termes de scurit.
-

Scurit du boitier tests dintrusion, tests de non rgression,

Scurit du frontal - tests dintrusion, tests de non rgression,

Scurit du tunnel NTS - agrment, certification

61/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Il conviendrait au minimum que NAVISTA prsente un Certificat de scurit de premier niveau (CSPN)
sur ces lments. Le respect des certifications Critres Commun serait souhaitable.
Les choix darchitecture pris par NAVISTA sont classiques. La dmonstration de scurit semble tre
une affaire de priorit plutt quune carence structurelle. Elle est nanmoins indispensable parce que
la solution est propritaire, dploye en petite srie au sein de communauts restreintes et ouvertes
sur internet. Ainsi, elle ne dispose pas dun grand retour dexprience qui permettrait dapprcier et
damliorer sa scurit.

62/66

RPVA
Rapport daudit Version 1.1 09/06/2010

5.3

ANNEXE 3 LES ENTRETIENS ET LES VISITES EFFECTUEES

31/03/2010 : M. S. SACCOCIO : Service Informatique du CNB Larchitecture du RPVA.


01/04/2010 : M. le Prsident de la Confrence des Btonniers : M. A.J.M. POUCHELON Lettre
lensemble des Btonniers
01/04/2010 : Commission Nouvelle Technologie du CNB (Prsident Me GUERRINI, Vice Prsident Me
PERRAULT, Me FAUGRES).
07/04/2010 : Ordre des Avocats de Marseille M. le Btonnier D. MATTE et Me J. JANSOLIN.
15/04/2010 : Cabinet BKP VERSAILLES Prsentation du tltravail (Me PERRAULT - M.
SACCOCIO).
19/04/2010 : Site FlowLine ICT VENISSIEUX M. S. SCOTTO DI PERROTOLO Prsentation de
linfrastructure du RPVA Marseille.
20/04/2010 : Socit NAVISTA PERPIGNAN M. J VINEGLA M. LECLERCQ Organisation et
architecture technique RPVA base de la solution NAVISTA.
21/04/2010 : Cabinet FIDAL NEUILLY-SUR-SEINE M. D. BEAULIEU M. A. LEMOINE M. S.
SACCOCIO Architecture technique dun grand cabinet ayant intgr la solution NAVISTA.
21/04/2010 : Ordre des avocats de LILLE M. le Btonnier R. DESPIEGHELAERE Me TITRAN M. S.
SACCOCIO La situation du Barreau de LILLE et les actions menes en faveur de la mise en place du
RPVA base du botier NAVISTA.
21/04/2010 : Cabinet comportant un avocat et un stagiaire avocat LILLE Me TITRAN - M. S.
SACCOCIO Lintgration dun boitier NAVISTA dans un petit cabinet.
23/04/2010 : Ordre des avocats de PARIS M. le Btonnier J. CASTELAIN Me X Me A.
BENSOUSSAN M. T. BERTE La solution du Barreau de PARIS hors des boitiers NAVISTA.
27/04/2010 : Me A. BENSOUSSAN - La solution du Barreau de Paris et les nouveaux services
03/05/2010 : Ordre des Avocats de Marseille - M. le Btonnier D. MATTE, Me J. JANSOLIN et M. S.
SCOTTO DI PERROTOLO. La solution du Barreau de Marseille
03/05/2010 : Visite de trois cabinets davocats de Marseille disposant dun botier RSA Me GALLO,
Me GUIDI, Me STALLA Me J. JANSOLIN et M. S. SCOTTO DI PERROTOLO
07/05/2010 : Direction Informatique de lOrdre des Avocats de PARIS M. T BERTE Larchitecture
technique de solution du Barreau de PARIS.

63/66

RPVA
Rapport daudit Version 1.1 09/06/2010

5.4

ANNEXE 4 - GLOSSAIRE

Adresse IP : Les ordinateurs connects au rseau Internet, possdent tous une adresse IP numrique.
Dans la version actuelle IPv4, ces adresses prennent la forme xxx.yyy.zzz.aaa, o xxx, yyy, zzz et aaa
sont quatre nombres variant entre 0 et 255. Aujourdhui, ladressage IPv4 est satur. Dans la version
IPv6, les adresses sont de la forme aaaa:bbbb:cccc:dddd:eeee:ffff:gggg:hhhh, o a, b, c, d, e, f, g et h
sont des caractres au format hexadcimal.
Pour faciliter laccs un serveur Internet, on a substitu son adresse IP un nom plus simple
retenir, appel nom de domaine.
Assistant numrique personnel est un appareil numrique portable, souvent appel par son sigle
anglais PDA (Personal Digital Assistant) (Exemple : Iphone, Balckberry, )
Certificat dauthentification a pour objet d'identifier une entit physique ou non-physique. Il fait le
lien entre l'entit physique et une entit numrique. Il est attribu par une autorit de certification
qui atteste de ce lien entre l'identit physique et l'entit numrique.
Un certificat dauthentification est un bloc de donnes comportant diffrentes informations dont un
numro de srie, l'identification de l'algorithme de signature, la dsignation de l'autorit de
certification mettrice du certificat, la priode de validit au-del de laquelle il sera suspendu ou
rvoqu, le nom du titulaire de la cl publique, l'identification de l'algorithme de chiffrement et la
valeur de la cl publique constitus d'une paire de cls asymtriques , Lorsque le certificat est
plac sur une cl USB, il est dit de classe 3+.
CNB.COM : Association loi 1901 mandate par le Conseil Nationale du Barreau pour la mise en
uvre auprs des cabinets davocats du dploiement de laccs rseau, notamment pour la
centralisation des commandes dabonnement des avocats au service RPVA.
DHCP (Dynamic Host Configuration Protocol) : A la fois protocole et serveur, dont le rle est
d'assurer la configuration automatique des paramtres IP d'une station. Il associe ladresse
physique MAC de la station une adresse IP dynamique. Ds lors, seuls les ordinateurs en service
utilisent une adresse de l'espace d'adressage et toute modification des paramtres du rseau est
rpercute sur les stations lors du redmarrage.
DNS (Domain Name System) (ou systme de noms de domaine) est un service permettant d'tablir
une correspondance entre une adresse IP et un nom de domaine.
HHTP (HyperText Transfer Protocol) est le protocole invent par lorganisme WWW (World Wide
Web) pour assurer les changes sur lInternet entre des clients et des serveurs.
Les clients HHTP les plus courants sont les navigateurs tels quInternet Explorer, ou Mozilla FireFox.
Ils permettent notamment un utilisateur d'accder un serveur Web distant.

64/66

RPVA
Rapport daudit Version 1.1 09/06/2010

HHTPS (HyperText Transfer Protocol Secured) est la version scurise du protocole HTTP. Il sagit de
la simple combinaison de HTTP avec une couche de chiffrement telle que SSL. HTTPS permet au
visiteur de vrifier l'identit du site auquel il accde grce un certificat d'authentification. Il
garantit la confidentialit et l'intgrit des donnes envoyes par l'utilisateur et reues du serveur.
Il est gnralement utilis pour les transactions financires en ligne : commerce lectronique,
banque en ligne, courtage en ligne, etc.
IPsec (Internet Protocol Security) est un cadre de standards ouverts pour assurer des
communications prives et protges sur des rseaux IP, par l'utilisation des services de scurit
cryptographiques. Il se diffrencie des standards de scurit antrieurs en n'tant pas limit une
seule mthode d'authentification ou d'algorithme.
Routeur est un lment intermdiaire dans un rseau informatique qui assure le routage des
paquets de donnes binaires d'une interface rseau vers une autre, selon un ensemble de rgles.
Routeur NAT (Network Adress Translation) ou Routeur (Traducteur dadresse rseau) a pour rle de
traduire des adresses internes au rseau local en adresses externes, et vis-versa. Ce mcanisme
permet de pallier la carence d'adressage de lIPv4 d'Internet en faisant correspondre une seule
adresse externe publique visible sur Internet plusieurs adresses internes un rseau priv. Le NAT
dynamique utilise un numro du port source de la machine interne pour lidentifier.
RPVA (Rseau Priv Virtuel des Avocats) : Rseau indpendant usage priv de communications
lectroniques rserves aux avocats inscrit un tableau de lOrdre dun Barreau franais.
RSA (Routeur Scuris Avocat ) est le nom du boitier NAVISTA spcialement mis au point pour le
rseau RPVA.
Pare-feu (firewall en anglais), dans le contexte dun rseau informatique, dsigne un logiciel et/ou un
matriel, qui a pour fonction de faire respecter la politique de scurit du rseau, en autorisant ou
en interdisant certains types de communication.
Il a pour principale tche de contrler le trafic entre diffrentes zones de confiance, en filtrant les
flux de donnes qui y transitent, et notamment celles qui proviennent dInternet.
Le filtrage se fait selon divers critres, dont les plus courants sont l'origine ou la destination des
paquets (adresse IP, ports, etc.), les donnes elles-mmes (taille, correspondance un motif, etc.),
les utilisateurs, ...
Proxy (ou serveur mandataire) est un serveur informatique qui a pour fonction de relayer des
requtes entre un poste client et un serveur. Les serveurs proxy sont notamment utiliss pour
assurer les fonctions de journalisation des requtes ( logging ), de scurit du rseau local ou de
filtrage.
SaaS (Software as a Service) est un concept consistant proposer un abonnement un logiciel
plutt que l'achat d'une licence. De plus en plus d'offres SaaS se font au travers du Web. Il n'y a alors
plus besoin d'installer une application de bureau ou un logiciel client.

65/66

RPVA
Rapport daudit Version 1.1 09/06/2010

Serveur informatique est un ensemble compos de logiciels et de l'ordinateur qui les hberge. Son
rle est de rpondre de manire automatique par des services des requtes ou demandes
envoyes par des clients.
SNMP (Simple Network Management Protocol) est un protocole de communication qui permet aux
administrateurs rseau de grer les quipements du rseau, de superviser et de diagnostiquer des
problmes rseaux, matriels distance.
SMTP (Simple Mail Transfer Protocol) est un protocole de communication utilis pour transfrer le
courrier lectronique (courriel) vers les serveurs de messagerie lectronique.
SSL (Secure Socket Layer) : ancien nom du protocole Transport Layer Security (TLS). Il sagit dun
protocole de scurisation des changes sur Internet, dvelopp l'origine par Netscape et dans
lequel l'utilisateur authentifie le serveur sur lequel il se connecte.
Cette authentification est ralise par l'utilisation d'un certificat numrique dlivr par une autorit
de certification.
Le certificat de lutilisateur peut tre stock au format numrique sur le poste client ou sur un
support matriel (carte puce, token USB).

66/66