Article ANNEXE AUTONOME ABROGE, en vigueur du au (Arrêté du 13 mars 1998 fixant la forme et le contenu du dossier de demande d'agrément des organismes gérant pour le compte d'autrui des conventions secrètes)
Article ANNEXE AUTONOME ABROGE, en vigueur du au (Arrêté du 13 mars 1998 fixant la forme et le contenu du dossier de demande d'agrément des organismes gérant pour le compte d'autrui des conventions secrètes)
MODÈLE DE CAHIER DES CHARGES D'UN ORGANISME AGRÉÉ ASSURANT LA GESTION DE CONVENTIONS SECRÈTES POUR LE COMPTE D'AUTRUI
Préambule
Article 1er
Définitions
Dans le présent cahier des charges, il est fait usage de termes qui sont entendus de la manière suivante :
- le gestionnaire : l'organisme agréé auquel est confiée la gestion, pour le compte d'autrui, des conventions secrètes de cryptologie permettant d'assurer des fonctions de confidentialité, au sens du II de l'article 28 de la loi n° 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications ;
- le client ou l'utilisateur : personne morale ou physique ayant passé un contrat avec le gestionnaire ;
- les autorités habilitées : autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi du 29 décembre 1990 précitée ;
- la gestion de conventions secrètes : prestation consistant en la détention, la certification, la distribution ainsi que, éventuellement, la génération des clés dans les conditions définies au présent cahier des charges ;
- la remise des conventions secrètes : opération de délivrance des conventions secrètes d'un utilisateur à une autorité habilitée qui le requiert ;
- la mise en oeuvre des conventions secrètes : opération de restitution des données claires d'un utilisateur, effectuée à la demande d'une autorité habilitée après fourniture par cette autorité des données chiffrées.
Article 2
Identification du gestionnaire
(A compléter par le gestionnaire, en précisant le nom
et la qualité du représentant de celui-ci)
Chapitre 1er
Conditions générales d'exercice
Article 3
Moyens et prestations de cryptologie proposés aux clients
Le gestionnaire s'engage à ne fournir à ses clients des conventions secrètes que pour les seuls moyens ou prestations de chiffrement énumérés ci-dessous, à l'exception de tout autre :
(A compléter par le gestionnaire, en précisant pour chaque moyen ou prestation :
- le nom du moyen ou de la prestation ;
- le nom ou la dénomination sociale du fournisseur ;
- le numéro d'autorisation de fourniture ou le numéro du récépissé de déclaration délivré par le service central de la sécurité des systèmes d'information.)
Article 4
Sécurité des prestations
Le gestionnaire s'engage à définir et à appliquer des procédures administratives et techniques visant à garantir la sécurité et la disponibilité des conventions secrètes et à prévenir tout manquement de la part de ses agents.
Pour ce faire, le gestionnaire élabore et tient à jour un document décrivant sa politique de sécurité. Ce document est connu de tous les employés du gestionnaire ayant une responsabilité en ce domaine. Ce document est approuvé personnellement par le plus haut responsable du gestionnaire. Il contient au minimum :
- une définition des objectifs de sécurité du gestionnaire, en particulier ceux concernant son activité principale, la gestion des conventions secrètes ;
- les règles de sécurité et le rappel des sanctions disciplinaires et pénales applicables en cas de manquement à ces règles ;
- la présentation de l'organisation de sécurité interne, en particulier les procédures d'information et de responsabilisation du personnel, de contrôle de l'application des règles de signalement et de traitement des incidents.
Le gestionnaire nomme au sein de son entreprise un responsable de la sécurité. Ce responsable est chargé de l'application pratique de la politique de sécurité, qui recouvre :
- l'élaboration d'un guide pratique de sécurité à l'intention du personnel ;
- le contrôle de son application ;
- l'organisation d'audits internes ;
- le traitement des incidents signalés.
Article 5
Sécurité des personnels
Le gestionnaire s'engage à fournir au service central de la sécurité des systèmes d'information la liste des personnels qu'il emploie dans le cadre de l'activité agréée. Cette liste contient les informations suivantes : nom, prénom, adresse, nationalité, type de contrat de travail, poste occupé. Elle est adressée, après mise à jour, au service central de la sécurité des systèmes d'information dès qu'un élément d'information est modifié.
Le gestionnaire s'engage à disposer au sein de son entreprise de personnel ayant une compétence technique dans le domaine de la sécurité des systèmes d'information.
Le gestionnaire s'engage à porter à la connaissance de son personnel les obligations et peines encourues au titre des dispositions du code pénal, et notamment au titre des articles 226-13, 226-15 et 423-9. Le gestionnaire s'engage à faire signer à tous les membres concernés de son personnel un document où ceux-ci reconnaissent avoir connaissance de la politique de sécurité du gestionnaire, des guides et manuels de sécurité et de leurs responsabilités en cas de manquement à leurs obligations.
De plus, les personnels mentionnés à l'article 4 du décret n° 98-102 du 24 février 1998, qui sont appelés à remettre ou à mettre en oeuvre des conventions secrètes, font l'objet d'une habilitation au niveau secret défense, au sens du décret n° 81-514 du 12 mai 1981.
Article 6
Sécurité des locaux
Le gestionnaire s'engage à disposer d'au moins une zone à accès contrôlé pour abriter les activités de gestion, de mise en oeuvre ou de remise des conventions secrètes.
Cette zone à accès contrôlé est physiquement protégée contre un accès extérieur non autorisé. La liste des personnels autorisés à y accéder est limitée au strict besoin du bon fonctionnement du service. L'accès des personnels autorisés est contrôlé par un moyen physique et enregistré.
En dehors des heures ouvrables, la sécurité de cette zone est renforcée par la mise en oeuvre de moyens de détection d'intrusion physique.
Le gestionnaire s'engage à communiquer au service central de la sécurité des systèmes d'information la localisation de cette zone, la description des dispositifs de sécurité mis en place et la liste des personnels autorisés.
Toute intrusion ou toute tentative d'intrusion visant à pénétrer dans cette zone donne lieu au dépôt d'une plainte dans les vingt-quatre heures suivant sa découverte. De plus, le gestionnaire s'engage alors à remettre les dispositifs de sécurité de cette zone en état de bon fonctionnement dans les meilleurs délais.
Article 7
Sécurité informatique
Si le gestionnaire, pour accomplir les fonctions de détention, de mise en oeuvre ou de remise des conventions secrètes, emploie un système informatique, il s'engage à :
- ne l'utiliser pour aucune autre application ;
- s'assurer que le système comporte les fonctions de sécurité décrites ci-après et à mettre celles-ci en oeuvre.
a) Identification/authentification
Les moyens de sécurité permettent d'identifier, puis d'authentifier les utilisateurs. Le mécanisme d'authentification nécessite la présentation d'un support matériel associé à un code personnel.
Le système reconnaît, sur la base de cette Identification/Authentification, les trois rôles suivants :
- ingénieur système ;
- administrateur de sécurité ;
- opérateur.
L'ingénieur système est chargé de la mise en route et de la maintenance technique du système, l'administrateur est chargé de la gestion de sa sécurité et l'opérateur de son exploitation.
Il n'est pas souhaitable que l'administrateur et l'ingénieur système soient une seule et même personne.
b) Contrôle d'accès
Sur la base de l'identification/authentification, les moyens de sécurité assurent le respect du droit d'accès aux ressources du système. Ces droits sont définis par l'administrateur et limités au strict besoin du service.
Nul ne doit avoir directement accès à la clé permettant de certifier les conventions secrètes des clients. L'utilisation d'un processeur de sécurité interfacé avec le système est indispensable.
Pendant toute la durée de leur détention, les conventions secrètes sont chiffrées. Elles ne sont déchiffrées que pour la mise en oeuvre ou la remise. Il est souhaitable que le déchiffrement s'opère à l'intérieur d'un processeur de sécurité, ou que les paramètres utilisés pour le déchiffrement soient partagés entre deux dispositifs détenus par des opérateurs différents dont seule la présence simultanée permet d'accéder aux conventions secrètes en clair. Dans ce dernier cas, un poste de travail isolé, dont la configuration sera régulièrement vérifiée, sera utilisé.
De même, seule la présence simultanée d'au moins deux opérateurs doit permettre de mettre en oeuvre la convention secrète d'un client.
c) Imputabilité
Toute opération permettant l'accès aux conventions secrètes ou autres ressources de sécurité du système est imputable à son auteur.
d) Audit
Sur la base de cette imputation, un enregistrement est généré pour toute opération permettant l'accès aux conventions secrètes ou autres ressources de sécurité du système. Cet enregistrement comporte les informations suivantes :
- le nom de l'opérateur ;
- l'opération effectuée ;
- la date et l'heure de l'opération.
Tous les enregistrements sont retracés dans un fichier d'audit. Celui-ci n'est consultable que par l'administrateur. Une sauvegarde régulière en est faite et archivée.
e) Réutilisation d'objets
Tous les objets de stockage ayant contenu une ressource sensible du système sont mis à zéro avant une utilisation ultérieure. Lorsqu'il n'est plus utilisé, le dispositif contenant la clé de certification est détruit et sa destruction fait l'objet d'un compte rendu. Les dispositifs servant à déchiffrer les conventions secrètes sont conservés dans une armoire forte.
Article 8
Répertoire des clients
Le gestionnaire s'engage à tenir à jour et à communiquer au service central de la sécurité des systèmes d'information, au moins une fois par semestre, la liste de ses clients, faisant apparaître au moins les informations suivantes :
- le nom, le prénom ou la dénomination sociale ;
- l'adresse ;
- le moyen dont les conventions secrètes sont gérées ;
- la valeur des identifiants prévus à l'article 18 du présent cahier des charges.
Si ce répertoire prend la forme d'un traitement informatique, le gestionnaire s'engage à fournir au service central de la sécurité des systèmes d'information la copie de la déclaration effectuée auprès de la Commission nationale de l'informatique et des libertés.
Article 9
Informations à communiquer au client par le gestionnaire
Le gestionnaire s'engage à mentionner dans le contrat qu'il passe avec son client les informations sur les conditions légales et réglementaires s'appliquant au service offert, en particulier :
- les règles d'emploi du moyen et des conventions secrètes distribuées ;
- les sanctions encourues par le client en cas de mauvais usage ou de détournement du moyen dont le gestionnaire gère les conventions secrètes ;
- les sanctions encourues par le gestionnaire en cas de perte, vol ou altération des conventions secrètes d'un client.
Article 10
Cessation d'activité
En cas de cessation d'activité ou de retrait d'agrément, le gestionnaire s'engage à communiquer à ses clients la liste des organismes agréés offrant les mêmes services. Le gestionnaire s'engage à confier, sur un support électronique standardisé, à l'organisme agréé désigné en application de l'article 13 du décret n° 98-102 du 24 février 1998, les conventions secrètes qu'il détenait sous la forme décrite en ASN 1 (Abstract Syntax Notation) :
Identification : chaîne de caractères ;
Numéro d'utilisateur : entier ;
Numéro d'organisme : entier ;
Valeur de la clé : chaîne de bits ;
Date de validité de la clé : date.
Chapitre 2
Conditions de gestion des conventions secrètes
Article 11
Lieu de gestion des conventions secrètes
Le gestionnaire s'engage à effectuer la gestion des conventions secrètes, objet de l'agrément dans les locaux suivants :
(A compléter par le gestionnaire pour chaque type d'activité :
détention, certification, distribution ou génération)
Article 12
Moyens de cryptologie utilisés
pour la gestion des conventions secrètes
Pour l'exercice de ses activités de gestion au profit de ses clients, le gestionnaire détient et utilise les moyens cités ci-dessous :
(A compléter par le gestionnaire, en précisant pour chaque moyen ou prestation :
- le nom du moyen ;
- le nom ou la dénomination sociale du fournisseur ;
- s'il y a lieu, le numéro d'autorisation de fourniture ou le numéro du récépissé de déclaration délivré par le service central de la sécurité des systèmes d'information.)
Chapitre 3
Conditions de mise en oeuvre
ou de remise des conventions secrètes
Article 13
Personnels responsables de la mise en oeuvre ou de la remise
Le gestionnaire s'engage à prévoir et à communiquer au service central de la sécurité des systèmes d'information les procédures qui permettent, le cas échéant, la mise en oeuvre ou la remise des conventions secrètes.
Il s'engage à organiser l'unicité du point d'entrée et la disponibilité permanente de ces procédures.
Article 14
Lieu de remise des conventions secrètes
Le gestionnaire s'engage à maintenir un service permanent de remise des conventions secrètes dans les locaux suivants :
(A compléter par le gestionnaire si le lieu est différent
du lieu de gestion des conventions secrètes)
Article 15
Lieu de mise en oeuvre des conventions secrètes
(A compléter par le gestionnaire si le lieu est différent
du lieu de gestion et du lieu de remise des conventions secrètes)
Article 16
Moyens de cryptologie utilisés pour la mise en oeuvre des clés
Le gestionnaire détient et utilise aux fins exclusives de mise en oeuvre au profit des autorités habilitées les moyens cités ci-dessous :
(A compléter par le gestionnaire, en précisant pour chaque moyen ou prestation :
- le nom du moyen ;
- le nom ou la dénomination sociale du fournisseur.)
Article 17
Registre des demandes de remise
ou de mise en oeuvre des conventions secrètes
Le gestionnaire tiendra deux registres distincts, l'un pour les demandes effectuées par les autorités judiciaires, l'autre pour les demandes effectuées dans le cadre du titre II de la loi du 10 juillet 1991.
Ce dernier registre est classifié secret défense. Son accès est limité au Premier ministre et à la Commission nationale de contrôle des interceptions de sécurité ainsi qu'aux agents spécialement désignés par l'une ou l'autre de ces autorités.
Ces registres sont enfermés dans une armoire forte placée dans la zone à accès contrôlé.
Ces registres se présentent sous forme de cahiers reliés, aux pages numérotées par imprimerie dont aucune page ne doit être supprimée. En cas d'erreur, la page suivante doit être utilisée et la page erronée doit être simplement barrée à la main et complétée du nom de l'opérateur avec mention de la date de l'erreur et de sa signature.
Sur ces registres doivent être consignées les informations suivantes :
a) Pour le registre mentionnant les demandes présentées par les autorités judiciaires :
- la date et l'heure de la demande ;
- l'identité des personnels ayant reçu la demande ;
- les références de la commission rogatoire ou de la réquisition judiciaire ;
- la durée de l'autorisation avec éventuellement la prolongation afférente ;
b) Pour le registre mentionnant les demandes effectuées dans le cadre du titre II de la loi du 10 juillet 1991, exclusivement :
- la date et l'heure de la demande ;
- la durée de l'autorisation ;
- la référence de l'ordre de communication des conventions secrètes.
Le gestionnaire s'engage à remettre les conventions secrètes ou le résultat de la mise en oeuvre aux seules autorités habilitées correspondant au document officiel présenté à l'appui de cette demande.
Article 18
Conditions techniques de la mise en oeuvre
Le gestionnaire met en oeuvre les conventions secrètes sur les moyens dont la liste est donnée à l'article 16 du présent cahier des charges et les dispositifs permettant son identification et celle de son client.
Pour ce faire, il attribue et remet à ses clients un identifiant. Ceux-ci l'utilisent pour remplir les champs prévus, aux fins d'identification, dans les moyens de cryptologie décrits à l'article 3 du présent cahier des charges. Cette opération peut aussi être réalisée par le gestionnaire.
De plus, le gestionnaire met en oeuvre les dispositifs permettant de contrôler l'intégrité de ces identifiants et données associées. Il conserve ces identifiants dans le répertoire de ses clients prévu à l'article 8 du présent cahier des charges.
La mise en oeuvre s'effectue à la demande expresse de l'autorité requérante. Celle-ci fournit les données à déchiffrer sous la forme d'un fichier sur support informatique courant. Ce fichier contient :
- l'ensemble des données à déchiffrer sous leur forme brute, telles qu'obtenues juste après l'opération de chiffrement, avant tout éventuel post-traitement, ou insertion d'éléments de protocoles de communication, sans erreur ou omission ;
- les données contenues dans la communication permettant d'identifier l'utilisateur, le moyen, le gestionnaire, les éléments cryptologiques complémentaires et les moyens d'en vérifier l'authenticité.
Avant d'effectuer tout déchiffrement, le gestionnaire s'engage à vérifier l'authenticité de ces dernières données et à noter tout échec.
La procédure de mise en oeuvre a pour seul objet le déchiffrement des données et exclut tout formatage ou interprétation de celles-ci. Les données après déchiffrement sont remises à l'autorité requérante sur un support informatique courant.
Le gestionnaire s'engage à ne conserver aucune copie des informations remises aux autorités requérantes.
Fait à , le
Le gestionnaire : ,
(dénomination sociale)
représenté par :
(nom et qualité du représentant)
Signature