Académique Documents
Professionnel Documents
Culture Documents
Sécurité de la
ment • horodatage • traçabilité, archivage • coffre-fort • identité numérique • signature électronique
dématérialisation
numérique • signature électronique • confidentialité • chiffrement • horodatage • traçabilité, archivage
L
e guide incontournable du concepteur d’applications
dématérialisées. En s’appuyant sur les textes et normes
en vigueur et au travers d’exemples concrets, cet ouvrage
détaille les mécanismes de sécurité indispensables aux applica-
tions web, ainsi que les méthodologies projet destinées à leur mise
L’auteur en œuvre, tant sous leurs aspects techniques et applicatifs que
Ingénieur de Télécom Paris, Dimitri Mouton a été juridiques et comportementaux. Après avoir rigoureusement défini
chef de projet au laboratoire Sécurité des services confiance et sécurité, puis détaillé les mécanismes de cryptogra-
et des réseaux de France Télécom R&D. Concep-
phie qui sous-tendent la sécurisation des services, l’auteur décrit
teur d’Applatoo, premier logiciel de signature élec-
tronique certifié par l’ANSSI (services du premier les fonctionnalités à déployer dans tout projet de dématérialisa-
ministre), il rejoint en 2003 Achatpublic.com dont tion : l’identité numérique et le contrôle d’accès, le certificat, la
il conçoit l’infrastructure de confiance, et qui de- confidentialité, la signature électronique et le cachet, la traçabilité
vient en un an la plate-forme de dématérialisation et l’horodatage, le coffre-fort électronique et l’archivage.
des marchés publics de référence. Directeur R&D
de CertEurope de 2006 à 2008, il crée son cabinet Une mise en perspective essentielle sur la dématérialisation.
de conseil Demaeter en 2009 pour réaliser des
Grâce à de nombreux témoignages d’experts de la dématérialisa-
missions d’assistance à maîtrise d’ouvrage auprès
de grandes collectivités publiques et d’assistance à tion, le livre développe la nécessité de faire naître la confiance des
la R&D auprès de PME innovantes. Il est également utilisateurs pour promouvoir les usages et précise le rôle des tiers
expert indépendant en solutions de vote par Inter- de confiance dans la chaîne de la dématérialisation, dont il rappelle
net. Il anime auprès de la Fédération Nationale les bases juridiques, telle la convention de preuve qui donne leur
des Tiers de Confiance (FNTC) les groupes de
valeur aux échanges et aux documents.
travail « identité numérique et signature électro-
nique », « e-vote » et « e-traçabilité ».
Au sommaire
Traitement automatisé des données et suppression du
papier. Sécurité technique et sécurité juridique. Le RGS. Les
bases techniques de la cryptographie. Confiance et tiers de
confiance. L’identité numérique. Authentification faible et
authentification forte. Mot de passe à usage unique. SSL.
À qui s’adresse ce livre ? Attaques et parades. Man in the middle. SSO. Fédération
d’identités. Certificat : carte d’identité numérique. Chaîne de
• Aux directions informatiques (DSI), certification. PKI. Autorité de certification. Conserver et trans-
architectes du SI, responsables mettre des secrets. Anonymisa1tion. Signature électronique
sécurité (RSSI) ; et signature manuscrite. Cachet et scellement électronique.
• Aux experts de la gouvernance Horodatage. Traçabilité. Tracer, conserver et certifier les
des SI ; données. Vote par Internet, jeux en ligne, marchés publics
• Aux directeurs Recherche et dématérialisés, e-commerce, e-gouvernement. Coffre-fort
développement ; électronique. Archivage. Convention de preuve. Mener un
projet de dématérialisation.
• A ux architectes fonctionnels
et techniques ;
• Aux consultants, assistants à maîtrise
d’ouvrage ou à maîtrise d’œuvre ;
ISBN : 978-2-212-13418-6
Code éditeur : G13418
Autres ouvrages
V. Messager Rota. – Gestion de projet agile. Avec M.-V. Blond, O. Marcellin, M. Zerbib. – Lisibilité
Scrum, Lean, eXtreme Programming... des sites web. Des choix typographiques au design
N°12750, 3e édition, 2010, 272 pages. d’information.
A. Boucher. – Ergonomie web illustrée. 60 sites à la N°12426, 2009, 326 pages (Accès libre).
loupe.
N°12695, 2010, 302 pages (Design & Interface). E. Sloïm. – Mémento Sites web. Les bonnes
pratiques.
A. Boucher. – Ergonomie web. Pour des sites web
N°12802, 3e édition, 2010, 18 pages.
efficaces.
N°13215, 3e édition, 2011, 356 pages (Accès libre). O. Andrieu. – Réussir son référencement web.
I. Canivet. – Bien rédiger pour le Web. Stratégie de Édition 2012.
contenu pour améliorer son référencement naturel. N°13396, 4e édition, 2011, 700 pages.
N°12883, 2e édition, 2011, 552 pages (Accès libre). G. Swinnen. – Apprendre à programmer avec
E. Sarrion – jQuery & jQuery UI. Python 3.
N°12892, 2011, 520 pages (Collection Noire). N°12708, 2e édition, 2010 (Collection Noire).
Sécurité de la
dématérialisation
De la signature électronique au coffre-fort
numérique, une démarche de mise en œuvre
VII
Alain Bobant
Huissier de justice
Président de la Fédération nationale des tiers de confiance
VIII
Mes remerciements vont en premier lieu aux deux personnes qui m’ont
appris tout ce que je sais en cryptographie et en mécanismes de sécurité :
David Arditi et Gilles Macario-Rat. Débuter sa carrière avec de tels tuteurs
est le rêve de tout ingénieur.
Je remercie chaleureusement tous ceux qui ont participé, directement ou
indirectement, par leurs témoignages, leurs encouragements, leur relec-
ture, à la rédaction et à la publication de cet ouvrage : Alain Bobant,
Alain Borghesi, Éric Caprioli, Pascal Colin, Jean Denuzière, Charles Du
Boullay, Thomas Kaeb, Cécile Lazaro, Philippe Maraval, Bertrand Maré-
chaux, Fabrice Mattatia, Didier Plas, Emmanuel Poidevin, Gilles Pourcher,
Sylvie Robert, Jean Saphores, Hervé Schauer, Michel Treins, Armelle Trotin,
Ignace Vantorre et Philip Zimmermann.
Je ne saurais trop remercier Stéphane Torossian, qui a su combiner talent
artistique et rigueur technique pour réaliser les nombreuses illustrations
du livre.
Enfin, mes pensées vont également aux membres de la Fédération natio-
nale des tiers de confiance qui, par la richesse des échanges réguliers de
nos groupes de travail, ont amplement contribué à alimenter le contenu
de ce livre.
IX
Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Portée de l’ouvrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
À qui s’adresse ce livre ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
À propos de l’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
À propos de l’illustrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
XI
XII
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
XIII
Portée de l’ouvrage
La dématérialisation n’est plus « en cours » : elle fait aujourd’hui partie
intégrante de notre quotidien, que ce soit dans la sphère privée, la sphère
professionnelle ou les relations à l’administration.
Le présent ouvrage détaille les mécanismes de sécurité destinés à créer
les conditions de la confiance dans les applications web, ainsi que les
méthodologies projet destinées à leur mise en œuvre efficace.
Tout d’abord, nous définirons les notions clés de dématérialisation, de
sécurité et de confiance :
• les enjeux de la dématérialisation ;
• la sécurité sous ses aspects technique, applicatif, juridique et compor-
temental ;
• la nécessité de faire naître la confiance des utilisateurs pour promouvoir
les usages ;
• le rôle des tiers de confiance dans la chaîne de la dématérialisation ;
• les mécanismes de cryptographie qui sous-tendent la sécurisation des
services.
Nous détaillerons ensuite les notions essentielles de la sécurité applica-
tive :
• l’identité numérique et le contrôle d’accès ;
• le certificat ;
• la confidentialité, via la gestion des droits et le chiffrement ;
• la signature électronique et ses avatars techniques ;
• la traçabilité et l’horodatage ;
• l’archivage électronique.
Après avoir décrit comment renforcer la valeur juridique des échanges
dématérialisés au travers d’une convention de preuve, nous approfondirons :
À propos de l’auteur
Dimitri Mouton est ingénieur de Télécom Paris (ENST).
Il a débuté sa carrière à France Télécom R&D, au sein du laboratoire Sécu-
rité des services et des réseaux, où il a déposé vingt brevets sur les sujets
du prépaiement, de la signature électronique et de la sécurité des termi-
naux mobiles.
Il a ensuite été responsable Études et développement d’Achatpublic.com,
où il a conçu la plate-forme de dématérialisation des marchés publics et
d’enchères électroniques inversées.
Puis il a rejoint CertEurope, opérateur de services de e-confiance, en tant
que directeur Recherche et développement.
Il a fondé en 2009 le cabinet de conseil en dématérialisation Demaeter,
au sein duquel il accompagne de nombreux projets de conception et de
sécurisation de services dématérialisés.
À propos de l’illustrateur
Artiste peintre, graphiste et illustrateur, Stéphane Torossian crée depuis
quelques années des supports de communication, identités visuelles et
solutions graphiques dans le domaine de la dématérialisation.
La
dématérialisation
plus fréquents, tout en maintenant un traitement papier pour les cas les
moins répandus, plutôt que de chercher à prévoir exhaustivement tous
les cas d’usage possibles.
Voyons maintenant quels sont les éléments de base constituant un service
dématérialisé.
La gestion des identités et des accès (IAM, Identity and Access Manage-
ment), sert à contrôler les utilisateurs du service, à leur attribuer des droits
et à garantir leur respect et leur usage. Nous étudierons en détail cette
notion dans la partie traitant de l’identité numérique.
La gestion des processus métier (BPM, Business Process Management),
sert à définir les flux d’informations entre les utilisateurs : circulation des
données, circuits de décision, travail collaboratif, traitements automa-
tiques…
La gestion électronique de documents (GED), permet de gérer le
cycle de vie de l’information. Elle peut aller d’un simple système de clas-
sement, de conservation et de recherche de fichiers, à des mécanismes
évolués d’indexation riche, voire dynamique, et au stockage sur le long
terme de documents dans des conditions normalisées, prenant alors le
nom « d’archivage électronique ». Le chapitre 12 traite en détail de l’archi-
vage électronique.
10
11
12
13
La sécurité de la
dématérialisation
Sécurité technique, • La sécurité technique met en œuvre des infrastructures robustes, indé-
sécurité applicative pendamment de l’applicatif qui s’y exécute.
et sécurité compor- • La sécurité applicative consiste à employer, au sein du service lui-même,
tementale : trois des mécanismes garantissant la sécurité des données qui y sont trai-
notions complémen- tées : nous y incluons la sécurité juridique.
taires qu’il convient
de mettre en œuvre • La sécurité comportementale sensibilise les utilisateurs et les forme
conjointement . pour les amener à éviter les situations de prise de risque, consciente
ou inconsciente.
Nous allons maintenant détailler ces trois notions complémentaires.
La sécurité technique
La sécurité technique des systèmes d’information est la composante
qui pourra être traitée de manière identique quelle que soit l’application
concernée : les mesures mises en œuvre ne seront pas spécifiques au
besoin métier, aux données traitées, aux utilisateurs concernés, mais
dépendront seulement du niveau de sécurité attendu, dans l’absolu, en
termes de disponibilité des machines et de résistance aux attaques, aux
pannes et aux autres événements nuisibles pouvant survenir.
On concevra aisément, par exemple, que le niveau de sécurité (et donc le
coût induit) ne soit pas le même pour une application de vote par Internet,
dans laquelle une interruption de service peut être considérée comme
une entrave au droit de vote et faire naître la suspicion sur l’ensemble de
l’opération électorale, que pour un service en ligne de demande de rensei-
gnements sur les fêtes organisées par la municipalité, dont l’indisponibilité
pendant une demi-journée n’aura qu’un impact très limité.
En revanche, on aura des exigences de sécurité proches entre le vote par
Internet et la dématérialisation des marchés publics : si le fournisseur ne
peut pas se connecter pour déposer son offre dans les délais, l’ensemble
de la procédure risque d’être remise en cause, avec, à la clé, une perte de
temps de plusieurs mois et éventuellement une rupture d’approvisionne-
ment.
La sécurité technique repose sur plusieurs composantes complémen-
taires : les aspects contractuels, les aspects organisationnels, les aspects
logiques et les aspects physiques.
16