Académique Documents
Professionnel Documents
Culture Documents
SANOU FFGI2016 Certification PDF
SANOU FFGI2016 Certification PDF
DEFIS ET ENJEUX
Formation des Formateurs pour la Gouvernance de l’Internet (FFGI 2016)
8
Contexte
confidentielles, etc.)
Envoyer des factures dématérialisées sécurisées,
Téléenseignement, etc.)
Consulter et répondre aux appels d’offres
Utilisateur A Utilisateur B
____ ____
____ ____
____ ____
___ ___
Clé Secrète
Canal sûr
Publique
Avantages
– Pas de partage de secret
– Pas de problème de distribution des clés publiques
Technique : Cryptographie asymétrique
Hash = empreinte
de longueur fixe
Décryptage
Cryptage
Ma Clé PUBLIQUE
Ma Clé PRIVEE Hash = empreinte Hash = empreinte
SIGNATURE de longueur fixe de longueur fixe
électronique
A ce stade l'intégrité du fichier est garantie mais pas l'identité du signataire (l’attaque
du « man in the middle » diffuse une fausse clé). Il faut en effet être assuré que le bi-
clé dont on a vérifié le lien mathématique appartient bien au signataire. Ce problème
est résolu par l'utilisation d'une carte d'identité électronique délivrée et signée par
un tiers de confiance, appelé Autorité de Certification. Cette carte d'identité est
associée à la clé publique et s'appelle certificat de clé publique (on le désignera par le
terme : « certificat »).
Ainsi chacun sera assuré de l'identité du signataire dès lors :
qu'il fera confiance à l'AC ayant émis le certificat du signataire
et qu'il aura vérifié, en consultant une liste publiée tenue à jour et signée par
l'Autorité de Certification, que ce certificat n'a pas été révoqué à l'instant de la
signature (penser à l'analogie de la mise en opposition d'une carte bancaire).
Technique : Cryptographie asymétrique
Hash = empreinte de
longueur fixe
Ma Clé PRIVEE
SIGNATURE Ma Clé publique est extraite du message
électronique mais la confiance ne peut s'instaurer car
mon destinataire n'a pas le certificat de
l'autorité de certification pour valider ma
clé …
La confiance n'est instaurée que par
les Autorités de Certification, pas par Soit je le lui envoie ou bien il va le
les utilisateurs ... chercher sur le site de l'AC
Technique : Normes de certification
Les normes de certification (certificats)
X509 (RFC 2459) : La norme la plus universellement utilisée. Reprise dans le monde de l’Internet
. Définie un format de certificat numérique. Est issue du CCITT / UIT.
24
Technique : Avantages
Les avantages des certificats électroniques :
Dématérialiser avec un certificat électronique, c’est :
+ de productivité
+ de temps
+ de place
+ de sécurité dans vos échanges
+ de respect pour l’environnement
Et c’est aussi :
– de papiers
– de frais postaux
– de tâches administratives sans valeur ajoutée
(mise sous pli, archivage…)
25
Technique : Supports
26
Aspects réglementaires
27
Aspects réglementaires
Un ensemble de règles générales :
28
Agenda
Infrastructure de confiance
Certificats S/MIME – SSL – SET – IPSEC – cartes à puce
Infrastructure de communication
IP – GSM - …
31
Infrastructure à clé publique
Source : Devoteam
33
Infrastructure à clé publique
L’Autorité de Certification (AC) :
34
Infrastructure à clé publique
Fonctionnement simple de la PKI
35
Infrastructure à clé publique
Avantages :
La gestion centralisée de l’ensemble du cycle de vie des
certificats
La compatibilité avec les différents standards de Token
(soft, carte puce, jeton USB) offrant différents niveaux de
sécurité pour la protection des clés privées
La distribution sûre des clés publiques grâce au format
de certificat normalisé X.509
Le support des mécanismes de gestion des droits et
privilèges (Certificats d’attributs, BD de gestions des droits,
Annuaires, …)
La compatibilité avec les applications majeures de sécurité
(SSL, S/mime, IPSec, VPN…)
36
Infrastructure à clé publique
Inconvénients :
Le coût : le coût d’exploitation de la PKI est élevé car :
40
Benchmark PKI : régional
PAYS CADRE APC RAC AC AE OC
REGLEMENTAI (ACCREDIT
RE ATION)
Burkina Loi n° 045- PSCEs (Prestataires de Services de Certification
Faso 2009/AN sur les Electronique
transactions
électroniques
4 Décrets
d’application
Cote Loi N° 2013-546 PSCEs (Prestataires de Services
d’Ivoire relative aux de Certification Electronique
transactions
électroniques
Sénégal Loi n° 2008-08 FSCEs (Fournisseurs de Services de Certification
sur les Electronique
transactions
électroniques.
Ghana Electronic
Transactions Act,
NITA Certifying Agency
2008 act 772
Agenda
AUTHENTIFICATION
Signature Chiffrement
INTEGRITE CONFIDENTIALITE
PKI
NON-REPUDIATION
Signature et Certificat
Enjeux, défis et gouvernance
Politiques pour définir la stratégie du gouvernement en matière de
développement de l’administration publique et des services publics en ligne,
pour mettre en place le cadre institutionnel chargé de l’exécution de cette
stratégie,
Juridiques et réglementaires afin de promouvoir la transparence des actions
publiques, définir le cadre juridique de la cyber sécurité et des Échanges
électroniques ou encore développer les partenariats public-privé,
Organisationnels pour définir les normes et référentiels communs aux
différentes structures de l’administration,
Technologiques visant d’une part le renforcement des infrastructures de
télécommunication et les équipements électroniques, et d’autre part
l’intégration des SI et leur adaptation pour les rendre interactifs,
Educatifs visant la sensibilisation des usagers des services publics en ligne, la
mise ˆ niveau des fonctionnaires, la formation et le développement des
compétences TIC des futurs diplômés de l’université.
Enjeux et Défis : Politiques
Adoption de référentiels en matières de sécurité des
systèmes d’information (RGS, RGI, Normes, Bonnes
pratiques, etc.)
Définition des Stratégies, des Plans d’action
Définition des Politiques spécifiques au PKI :
politique d’enregistrement
politiques de certification (RFC 2527)
politique de révocation
politique de recouvrement
politique de sécurité
audit des politiques
Enjeux et Défis : Règlementaires
Au niveau national :
Loi en matière de Cybersécurité / cybercriminalité
Loi en matière de Transactions électroniques
Loi en matière de Commerce électronique (E-commerce)
Loi en matière de Protection des données personnelles
Etc.
Au niveau régional :
Textes communautaires (Directives UEMOA, Actes additionnels CEDEAO,
Textes de l’Union Africaine, Etc.
Tiers de confiance :
OC :
Auto-certification :
Enjeux et Défis : Technologiques
Offres de constructeurs PKI :
Baltimore : UniCERT 5.0
VeriSign : OnSite
Sagem : Confidence
Renforcement de capacité
Sensibilisation
Communication
Promotions
Etc.
Gouvernance électronique
Gouvernance électronique
Développement des services en ligne et contenus
Gouvernance électronique
UNITED NATIONS
E-GOVERNMENT SURVEY 2016
TII:
Telecommunication
Infrastructure Index
EGDI : E-
governance
Development Index
Source : www.un.org
Conclusion
Questions ?