Scribd Logo
Upload

Welcome to Scribd!

  • Sécurité Informatique - Securite de La Dématérialisation - Eyrolles 2

    Uploaded by

    mapetrolette
    36 views325 pages

    Original Title

    Sécurité Informatique - Securite de la Dématérialisation - Eyrolles 2

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    36 views325 pages

    Sécurité Informatique - Securite de La Dématérialisation - Eyrolles 2

    Uploaded by

    mapetrolette

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 325
    Cae ec Lee Ce a a a Securite demateérialisation eee oe Pd chef de projet au laboratoire Sécurité des services ct des réseaux de France Télécom R&D. Concep- teur dApplatoo, premier logiciel de signature lec: tronique certifié par IANSSI (services du premier eee rence Cette es viert en un an la plate-forme de dématérialisation des marchés publics de référence. Directeur RED. de Certfurope de 2006 & 2008, il crée son cabinet eee Eee eee eae oe Pere eerste re ty Rt ere eat ard Ore tee ae cee uch CeO tater tesco pr eereemrceets a Cec Cee seta ema CO ese eu ecu ar deétaille les mécanismes de sécurité indispensables aux applica~ tions web, ainsi que les méthodologies projet destinées a leur mise COR Us Ce ee ecco eto i eee ee ence ee ee a eae confiance et sécurité, puis detaillé les mécanismes de cryptogra- Pee eeu ens eet eee ns Per ee ee ene tion : V'identité numérique et le controle daccés, le certificat, la confidentialité, la signature électronique et le cachet, la tracabilité et 'horodatage, le coffre-fort électronique et larchivage. ere eu tee nee Re eae tion, le livre développe la nécessité de faire naitre la confiance des utilisateurs pour promouvoir les usages et précise le réle des tiers de confiance dans la chaine de la dématérialisation, dont il rappelle les bases juridiques, telle la convention de preuve qui donne leur Sete ee ees Secu rite de la dematérialisation De la signature électronique au coffre-fort numérique, une démarche de mise en ceuvre Cue: Dans Ia collection Solutions d’entreprise A. FewaNpez-Toro. ~ Management de la sécurité de Vinformation. N°12697, 2012, 344 pages. Y. Coxstaxrisips, préface de M. Vote, ~ Expression des besoins pour le systéme d'information. L’art de recueillir et formaliser les besoins. N°12783, 2011, 246 pages. S. Bounke. - Moderniser son systéme formation. Comprendre la valeur stratégique d'un SI. N°12764, 2011, 290 pages environ. Dans la collection Blanche J. Pautt, G. PLessis, C. Pierre be Gever. ~ Audit et optimisation LAMP. N°12800, 2012, 300 pages environ R. Rimes. — HTML 5. Une référence pour le développeur web. 1N°12982, 2011, 604 pages. F. Daousr, D. Hazatt-Massirux. —Relever le défi du Web mobile. Bonnes pratiques de conception et de développement. N?12828, 2011, 300 pages. D. Savy, P. Gamacte, - Sécurité PHP 5 et MySQL. 1N?13339, 3° édition, 2011, 277 pages. J. Cant, D, Guionarb, E. Roses, N. Soret. Programmation Android. N°13303, 2° édition, 2012, 520 pages environ, JM. Derrance. -Ajax, jQuery et PHP. 1N°13271, 3 édition, 2011, 482 pages. Autres ouvrages E MEME EDITEUR A. Luprnr, préface de H. Scuaver (HSC Consultants). Sestion des risques en sécurité de l'information, Mise en euvre de la norme ISO 27005. N°12593, 2010, 232 pages. E, Besluau.~ Management de la continuité activité. Assurer la pérennité de lentreprise planification, choix techniques et mise en euvre 1N?12820, 2 édition, 2010, 312 pages. S. Borpace. ~ Conduite de projet web. 1N°13308, 2012, 480 pages. T. Sai ani, JM. Lacoste. ~ Programmation TOS 5 pour iPhone et iPad. N?12799, 2 édition, 2012, 350 pages environ. E, Sarion. — jQuery Mobile. La bibliothéque JavaScript pour le Web mobile. 1N°13388, 2012, 610 pages. J. Stark. ~ Applications iPhone avec HTML, CSS et JavaScript. Conversion en natifs avec PhoneGap. N?12745, 2010, 190 pages. E. Dasprr et C. Pier! pe Gever. — PHP 5 avancé. N°13435, 6 ition, 2012, 900 pages environ. P, BorcttNo, O. Dasint, A. GabaL.— Audit et optimisation MySQL 5. N?12634, 2010, 282 pages C. Portenevve. — Bien développer pour le Web 2.0. Bonnes pratiques Ajax. 1N?12391,, 2 édition, 2008, 674 pages. V. Mrssaark Rota. — Gestion de projet agile. Avec Serum, Lean, eXtreme Programming... N°12750, 3 édition, 2010, 272 pages. A. Boucuer, ~ Ergonomie web illustrée. 60 sites a la loupe. 1N°12695, 2010, 302 pages (Design & Interface). A. Boucuex. ~ Ergonomie web. Pour des sites web efficaces. N°13215, 3 édition, 2011, 356 pages (Aceas libre). 1. Cantver. — Bien rédiger pour le Web. Stratégie de contenu pour améliorer son référencement naturel 1N°12883, 2° édition, 2011, 552 pages (Accés libre). E, Sareion ~ jQuery & jQuery UL. N?12892, 2011, 520 pages (Collection Noire), M.-V. Broo, O. Macettin, M. Zener. — Lisibilité des sites web. Des choix typographiques au design d'information N°12426, 2009, 326 pages (Ac s libre). E, Soi. ~ Mémento Sites web. Les bonnes pratiques: 'N°12802, 3° édition, 2010, 18 pages. . Axpaieu. ~ Réussir son référencement web. ition 2012. 1N°13396, 4° édition, 2011, 700 pages. G. Swinven, ~ Apprendre & programmer avec Python 3. N°12708, 2 édition, 2010 (Collection Noire). DIMtItTRIM OU TON Préface d’Alain Bobant, président de la FNTC Se CU rite de la déemateérialisation De la signature électronique au coffre-fort numérique, une démarche de mise en ceuvre EYROLLES eaSeassaheh-denzaeaicaas EDITIONS EYROLLES 61, bd Saint-Germain 75240 Paris Cedex 05 www.editions-eyrolles.com Remerciements a Stéphane Torossian pour la réalisation des illustrations de louvrage En application de la loi du 11 mars 1957, il est interdit de reproduire intégralement ou partiellement le présent ouvrage, sur quelque support que ce soit, sans l'autorisation de Editeur ou du Centre Frangais exploitation du droit de copie, 20, rue des Grands Augustins, 75006 Paris. © Groupe Eyrolles, 2012, ISBN : 978-2-212-13418-6 Copyright © 2012 Eyrolles. Ce livre est dédié @ Alice et Bob. “sa[}oshg 710% @ qBsAdoD Préface Au fil de lévolution de ses supports, crit a été valorisé grace a la comp: tence et au sérieux des scribes, des secrétaires, des clercs...., ntermédiaires éclairés qui font produit, et qui ont contribué & le préserver de la perte ou de la destruction. intervention de ces personnes consciencieuses et érudites suscitait un sentiment de sécurité et de confiance dans le public. Le tsunami planétaire d’Internet et les violentes éruptions technologiques des quinze derniéres années, ont provoqué une mutation irréversible des activités humaines au travers de l’émergence de la dématérialisation Apres que le droit a adapté un nouveau cadre juridique au phénoméne, la révolution numérique a trés rapidement pris de l'ampleur, simposant 4 tous irrésistiblement. La dématérialisation de crit s'est organisée autour de la mise en place dun assortiment de processus et d'outils destiné & satisfaire les critéres d'une sécurité absolue. C’est ainsi que la confiance s'est dissociée de élément humain qui la véhiculait, pour se raccorder aux instruments tech- niques que nous forgeons sans relache. Dimitri Mouton porte un regard expert sur cette dynamique du futur. Son analyse méthodique, aiguisée et pertinente, clarifie le sujet. II nous incite & prendre le temps d'une réflexion sur la « technologisation » de la société. Tandis que la machine a fabriquer les réves tourne & plein régime, il est trop tét pour savoir si nous pourrons supporter l'accélération du rythme des cycles technologiques et le raccourcissement des mutations soci tales qui en résultent. Mais il n’est pas trop tard pour salarmer du fait que Thomme parait vouloir figurer désormais en simple filigrane dans la page numérique qu'il vient douvrir. Devons-nous concéder aux seuls mécanismes techniques le soin d'as- sumer Iénorme exigence de confiance que la dématérialisation requiert, ou tenter de rééquilibrer le réle de humain dans leur mise en ceuvre ? La Fédération nationale des tiers de confiance (FNTC) s'investit aux cotés de ceux qui sappliquent a résoudre les défis du xx'° siécle issus de ces Sécutité de la dématérialisation bouleversements. Elle présente loriginalité de réunir dans le méme cénacle des fournisseurs de solutions technologiques de sécurité, reconnus pour leur compétence, et des vecteurs traditionnels de la confiance, porteurs institutionnels des valeurs de neutralité, de pérennité et de légitimité. En associant la multiplicité des talents, des aptitudes, des savoir-faire et des expériences de ces nouveaux « intermédiaires éclairés », la FNTC peut favoriser fortement l'essor d'une « dématérialisation en toute confiance », et permettre a homme de demeurer maitre de son destin Alain Bobant Huissier de justice Président de la Fédération nationale des tiers de confiance yright € Cop: Remerciements Mes remerciements vont en premier lieu aux deux personnes qui mont appris tout ce que je sais en cryptographie et en mécanismes de sécurité David Arditi et Gilles Macario-Rat. Débuter sa carrigre avec de tels tuteurs est le réve de tout ingénieur Je remercie chaleureusement tous ceux qui ont participé, directement ou indirectement, par leurs témoignages, leurs encouragements, leur relec- ture, & la rédaction et a la publication de cet ouvrage : Alain Bobant, Alain Borghesi, Eric Caprioli, Pascal Colin, Jean Denuziére, Charles Du Boullay, Thomas Kaeb, Cécile Lazaro, Philippe Maraval, Bertrand Maré- chaux, Fabrice Mattatia, Didier Plas, Emmanuel Poidevin, Gilles Pourcher, Syivie Robert, Jean Saphores, Hervé Schauer, Michel Treins, Armelle Trotin Ignace Vantorre et Philip Zimmermann. Je ne saurais trop remercier Stéphane Torossian, qui a su combiner talent artistique et rigueur technique pour réaliser les nombreuses illustrations du livre Enfin, mes pensées vont également aux membres de la Fédération natio- nale des tiers de confiance qui, par la richesse des échanges réguliers de nos groupes de travail, ont amplement contribué a alimenter le contenu de ce livre “sa[}oshg 710% @ qBsAdoD Table des matieres Avant-propos Il Portée de l'ouvrage 1 Aqui s'adresse ce livre ? A propos de l’auteur A propos de l'illustrateur Partie 1 - Les clés de la révolution numérique Chapitre 1 - La dématérialisation RS eee eater: Du traitement automatisé des données a la suppression du papier Le « zéro papier » : un mythe utile ? 8 Les composants d'un service dématérialisé 10 Internet : une zone de non-droit ? ul Chapitre 2 - La sécurité de la dématérialisation Les différents types de risques et de réponses 15 La sécurité technique 16 La sécurité applicative et juridique 18 La sécurité comportementale 19 La chaine de la sécurité 21 Normalisation et référentiels 22 Un peu de cryptographie pour y voir plus clair 24 Chapitre 3 - La notion de confiance 35 Une définition de la confiance 35 La confiance dans économie numérique du point de vue juridique . 38 Le tiers de confiance 40 La chatne de la confiance 51 Sécutité de la dématérialisation Partie 2 - Lidentité numérique Chapitre 4 - La gestion d'identites 255 La notion d'identité 55 Lidentité numérique 56 Identification et authentification : quelle différence ? 58 Les différents modes d’identification et d'authentification 59 Du bon usage des identifiants et des mots de passe 72 Quelques exemples emblématiques de projets de gestion d'identités 78 Chapitre 5 - Le certificat, une carte d'identité numérique .......0....000.00...85 Qu’est-ce qu’un certificat 2 85 Le cycle de vie du cettificat 107 La chaine de la certification 118 Identité numérique et certificats : deux exemples de projets 129 Les conséquences catastrophiques d'une sécurité insuffisante la faillite de Diginotar 133 Chapitre 6 - La confidentialité . 143 Qu’est-ce qui est confidentiel... et vis-a-vis de qui ? 143 Le cas particulier des données a caractére personnel 144 Limiter l'accés aux données : la gestion des habilitations 145 Rendre les données inintelligibles : le chiffrement, 146 Transmettre des secrets 154 Conserver et utiliser des secrets 155 Rompre le lien entre les personnes et les données : l'anonymisation 157 Partie 3 - La signature électronique Chapitre 7 - La signature électronique en pratique -161 Signature manuscrite et signature électronique deux actes trés ressemblants 161 Signature manuscrite et signature électronique quelques différences pratiques 163 Comprendre le cadre juridique : un passage obligé loa Chapitre 8 - La signature électronique : un objet technique 175 La réalisation technique d'une signature électronique 175 La vérification d'une signature électronique 180 eo Table des matiéres Biométrie et signature électronique 187 Chapitre 9 - Le cachet et les autres formes de signatures 191 Lambiguité du terme « signature électronique » 191 La signature de personne morale : le cachet 191 Les autres usages du mécanisme technique de « signature » 193 Chapitre 10 - Définir son besoin et choisir un outil de signature électronique ... 197 Déterminer le contexte du service 197 Les différentes facons de réaliser des signatures électroniques 198 Partie 4 - Tracer, conserver et certifier les données Chapitre 11 ~ La tragabilité m La tracabilité, définition et usages 21 Les différentes formes de tragabilité 221 Inclure la tracabilité dans son projet 227 Quelques exemples de projets incluant la tragabilité 231 Chapitre 12 - Larchivage électronique . 235 Conserver & long terme les documents électroniques 235 Définir un plan d'archivage 245 Chapitre 13 - La convention de preuve . -.251 Une convention de preuve... Pour quoi faire ? 251 Constituer une convention de preuve 254 Partie 5 - Organiser la dématérialisation et mener son projet Chapitre 14 - Mener un projet de dématérialisation ......... ..267 Les méthodologies normalisées 267 Les cing axes d’approche décisionnels 268 Le déroulement d'un projet 283 Chapitre 15 - Organiser la dématérialisation .........0..0.cccceeeeeeees2/297 La dématérialisation : un projet d'entreprise transverse 297 Vers une direction de la dématérialisation ? 298 Index 301 “sa[}oshg 710% @ qBsAdoD Avant-propos Portée de l’ouvrage La dématérialisation n'est plus « en cours » : elle fait aujourd'hui partie intégrante de notre quotidien, que ce soit dans la sphere privée, la sphere professionnelle ou les relations a l'administration Le présent ouvrage détaille les mécanismes de sécurité destinés 8 créer les conditions de la confiance dans les applications web, ainsi que les méthodologies projet destinées a leur mise en ceuvre efficace Tout dabord, nous définirons les notions clés de dématérialisation, de sécurité et de confiance * les enjeux de la dématérialisation ; * la sécurité sous ses aspects technique, applicatif, juridique et compor- temental ; * la nécessité de faire naitre la confiance des utilisateurs pour promouvoir les usages * le rdle des tiers de confiance dans la chaine de la dématérialisation ; * les mécanismes de cryptographie qui sous-tendent la sécurisation des services, Nous détaillerons ensuite les notions essentielles de la sécurité applica- tive Videntité numérique et le controle d’accés ; le certificat ; la confidentialité, via la gestion des droits et le chiffrement ; la signature électronique et ses avatars techniques ; la tracabilité et lhorodatage ; * Tarchivage électronique. Aprés avoir décrit comment renforcer la valeur juridique des échanges dématérialisés au travers d'une convention de preuve, nous approfondirons Sécutité de la dématérialisation * les cing axes d'approche de la sécurité informatique (fonctionnel, juri- dique, organisationnel, technique et financier) ; * les étapes clés d'un projet de dématérialisation ; * les impacts de cette nouvelle réalité sur lorganisation de lentreprise A qui s'adresse ce livre ? Ce livre s'adresse avant tout aux concepteurs d’applications de dématéria- lisation confrontés & la mise en ceuvre de la sécurité, que ce soit au sein des administrations, des grandes entreprises ou des PME innovantes * directeurs et chefs de projet ; © directeurs Recherche et développement ; * architectes fonctionnels ou techniques ; * DSI, architectes SI, RSSI ; * consultants, assistance 4 maitrise d’ouvrage ou 4 maitrise dceuvre ; * développeurs Il a été concu pour apporter aux étudiants en informatique les clés qui leur permettront d'aborder sereinement le secteur d'avenir que constitue la sécurisation des services dématérialisés. Enfin, de par sa volonté de clarté et de pédagogie, il est également abor dable sans restriction pare lecteur curieux qui souhaite en savoir plus sur la dématérialisation, la sécurité et la confiance. > propos de |'auteur Dimitri Mouton est ingénieur de Télécom Paris (ENST) lla débuté sa carrigre & France Télécom RED, au sein du laboratoire Sécu- Tité des services et des réseaux, oti i a déposé vingt brevets sur les sujets du prépaiement, de la signature électronique et de la sécurité des termi- naux mobiles Il a ensuite été responsable Etudes et développement d’Achatpublic.com, oi il a concu la plate-forme de dématérialisation des marchés publics et denchéres électroniques inversées. Puis il a rejoint CertEurope, opérateur de services de e-confiance, en tant que directeur Recherche et développement. Il a fondé en 2009 le cabinet de conseil en dématérialisation Demaeter, au sein duquel il accompagne de nombreux projets de conception et de sécurisation de services dématérialisés Avant-propos Il est également expert indépendant en solutions de vote par Internet. Dimitri Mouton est membre de la Fédération nationale des tiers de confiance depuis 2003. Il y anime trois groupes de travail consacrés au vote électronique, la tragabilité, & lidentité numérique et la signature électronique, ainsi que des cycles de formation, notamment a la signature électronique. Il est coauteur de louvrage Les marchés publics dématérialisés (éd. Moniteur, Paris, 2004}, et de nombreux guides de la confiance de la FNTC. A propos de l'illustrateur Artiste peintre, graphiste et illustrateur, Stéphane Torossian crée depuis quelques années des supports de communication, identités visuelles et solutions graphiques dans le domaine de la dématérialisation. Copyright “sa[}oshg 710% @ qBsAdoD (PARTIE ib PARTIE | Les clés de la révolution numérique “sa[}oshg 710% @ qBsAdoD 012 yright © 21 La dématérialisation Du traitement automatisé des données & la suppression du papier La dématérialisation est le nouveau nom de l'informatique. Mais il est bien entendu possible de nuancer cette définition a lemporte-piéce ! Linformatique est un domaine trés étendu, qui concerne l'ensemble des activités nécessaires au traitement automatisé de linformation, depuis la « pascaline », premiere machine a calculer inventée en 1642 par Blaise Pascal, jusquaux supercalculateurs employés pour les prévisions météo- rologiques, en passant par les consoles de jeu portatives. La dématérialisation peut étre considérée comme un sous-domaine de Vinformatique, qui vise supprimer le support papier des documents au profit de fichiers purement électroniques. A laube de I'an 2000, les professionnels de la conception de services @ valeur ajoutée sur Internet ne se reconnaissaient plus dans le terme

    You might also like