|
La cryptographie, un outil au service de la sécurité des systèmes d'information |
Téléchargement |
|
|
Publié par :
Docenstoc
|
|||
|
|
|
|
La cryptographie,
La cryptographie,
un outil au service de la
un outil au service de la
sécurité des systèmes
sécurité des systèmes
d’information
d’information
Direction Centrale de la Sécurité des Systèmes d’Information
Florent Chabaud
19 mars 2008
Plan
La réglementation
La DCSSI
Réglementation crypto
Réglementation sur la protection des informations
Le nouveau droit de l’économie numérique
Certification des produits
La réglementation en pratique
Ordonnance 2005 – 1516
Référentiel Général de Sécurité (RGS)
IGC/A
Les référentiels techniques
Lien avec le RGS
Cryptographie
Gestion des clés
Authentification
Perspectives en SSI
Rapport d’orientation de recherche et développement
Défi SEC&SI
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
2/52
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
3/52
Organisation nationale de la SSI
PREMIER MINISTRE
MINISTERES
SECRÉTARIAT GÉNÉRAL
DE LA DÉFENSE NATIONALE
Justice
Défense
Technologies et
Protection et
Direction centrale
Affaires étrangères
transferts sensibles
sécurité de l’État
de la sécurité des
Intérieur
systèmes d’information
CIEEMG : Études sur les
Economie, Finances
exportations des matériels de guerre
SAIV
Secteurs d’activité d’importance vitale
Hauts fonctionnaires
CISSI
de défense et de sécurité
Commission interministérielle de la SSI
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
4/52
Domaines de coopération avec les ministères
ECONOMIE-INDUSTRIE
DEFENSE
Société de l’information
Analyse de la menace
e-Administration
R&D
Innovation Technique and industrielle
Développement des produits de sécurité
Relations avec les PME
Expertise Scientifique and technique
SGDN/DCSSI
TOUS
INTERIEUR et JUSTICE
Activités opérationnelles
Cyber-criminalité
Veille - alerte - réponses
Exploitation des données de trafic
Inspections et Audits
Protection des données personnelles
Protection des infrastructures vitales
Réglementation
Entrainement
Enquêtes judicaires
Exercices
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
5/52
Les deux grands objectifs de la DCSSI
Assurer la sécurité des systèmes d ’information de l’Etat
(administrations et infrastructures vitales)
Créer les conditions d’un environnement de confiance et
de sécurité propice au développement de la société de
l’information en France et en Europe
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
6/52
Les missions de la DCSSI
Contribuer à la définition interministérielle et à l’expression de
la politique gouvernementale, en matière de sécurité des
systèmes d’information
Assurer la fonction d’autorité nationale de régulation pour la
SSI
Assister les services publics en matière de SSI
(conseils, Inspections, CERTA…)
Développer l’expertise scientifique et technique dans le
domaine de la SSI, au bénéfice de l’administration et des
services publics
Former et sensibiliser à la SSI
Assurer la coordination interministérielle de prévention et de
protection contre les attaques en SSI
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
7/52
Organisation de la DCSSI
DIRECTION
Communication
Centre de formation
Sous-direction
Sous-direction
Sous-direction
SCIENTIFIQUE et
RÉGULATION
OPÉRATIONS
TECHNIQUE
Technologies de
Relations Internationales
Conseil en SSI
l’information
Réglementation
inspections
Cryptographie
Signaux
Certification
Cryptologie appliquée
compromettants
Relations Industrielles
COSSI
AsTec
CERTA
Directeur
Patrick PAILLOUX
Directeur adjoint
CA Michel BENEDITTINI
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
8/52
Sous direction
Régulation
Relations internationales
• analyse l’environnement international en matière de SSI
• participe aux travaux internationaux (OCDE, OTAN, UE, G8…)
• assure les relations avec ses services homologues (NSA, CESG, BSI…)
Réglementation
• propose les évolutions de la politique nationale en matière de SSI
• participe à l’élaboration des textes législatifs et réglementaires
Certification
• gère le schéma d’évaluation selon les critères internationaux ITSEC et
Critères Communs
Relations Industrielles
• analyse l’environnement industriel européen et international
• propose des positionnements de la DCSSI dans ce contexte
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
9/52
Sous direction
Opérations
COSSI
• alerte et gère les incidents relatifs aux systèmes d’information
• veille générale (dont offre de services aux administrations et services
rattachés)
Conseil en SSI (assistance à maîtrise d’ouvrage)
• définit les besoins, les architectures et les mesures organisationnelles
• analyse les risques
Inspections en SSI
• Inspections annuelles ministérielles
Cryptologie appliquée
• fabrique les clés de chiffrement pour les organismes
gouvernementaux
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
10/52
Sous direction
Scientifique et technique
Laboratoire des technologies de l’information
• études et recherches sur les technologies de l’information, appliquées à la SSI
• veille scientifique et technique
• analyse des outils et logiciels sous l’angle de la SSI
Laboratoire de cryptographie
• recherche scientifique et technique permettant de garantir la qualité des
algorithmes et protocoles utilisés dans les systèmes d’information
gouvernementaux
Laboratoire des signaux compromettants
• analyse les risques et les vulnérabilités liés à la capture de signaux
compromettants
Les laboratoires de la DCSSI ont des activités de recherche académique en
cryptographie, systèmes d’exploitation, composants, etc.
http://www.ssi.gouv.fr/fr/sciences/publications.html
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
11/52
Réglementation crypto
En vertu de l'article 30-I de la loi 2004-575 du 21 juin 2004 (loi dite
« pour la confiance dans l’économie numérique »):
L'utilisation des moyens de cryptologie est libre.
ECOX0200175L
En revanche, la fourniture, l'importation et l'exportation de ces
moyens sont réglementées en France. Ces opérations sont
soumises soit au régime de la déclaration, soit au régime de
l'autorisation.
La règle générale : la déclaration suffit.
L’exception : l’exportation.
La DCSSI est chargée d'instruire les déclarations et les demandes
d'autorisation des moyens et prestations de cryptologie
conformément à la législation.
http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
12/52
La protection des informations classifiées
Un domaine particulier : le classifié de défense
Relève du pénal
Ø Code Pénal art. 410, 411, 413, 414
Régi par le principe de l’obligation de moyens
Ø Utilisation de produits agréés
Ø Instruction interministérielle n° 920/SGDN/DCSSI du 12 janvier
2005 relative aux systèmes traitant des informations classifiées de
défense de niveau confidentiel-défense
Ø Instruction générale interministérielle n° 1300/SGDN/PSE/SSD
du 25 août 2003 sur la protection du secret de la défense nationale
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
13/52
Protection des informations non classifiées
Le sensible non classifié
Relève aussi du pénal !!!
Ø Code Pénal art. 226, 323
• les atteintes au secret professionnel
• les atteintes aux droits de la personne
• les atteintes aux systèmes de traitement automatisé de données
• (ancienne loi n°88-19, dite loi "GODFRAIN")
Régi par le principe de l’obligation de moyens
Ø Mais en l’absence de référentiel légal, c’est le juge qui estime si les
moyens mis en œuvre étaient adéquats ou non
Une doctrine qui s’est assouplie
Le risque zéro n’existe plus
On parle de gestion du risque
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
14/52
L’homologation de sécurité
L’autorité d’exploitation homologue son système d’information
pour un usage
Cette mesure est réglementaire
Elle conduit à s’appuyer sur une méthode (ex. EBIOS) pour :
Identifier les risque résiduels (menaces non couvertes, vulnérabilités
identifiées, …)
Accepter formellement ces risques résiduels
Développer des mesures de défense dans la profondeur
Des textes plus anciens restent utiles
Recommandation n° 901/DISSI/SCSSI du 2 mars 1994
Recommandations pour la protection des systèmes d'information
traitant des informations sensibles non classifiées de défense
Recommandation n° 600/DISSI/SCSSI de mars 1993
Protection des informations sensibles ne relevant pas du secret de
défense
Recommandations pour les postes de travail informatiques
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
15/52
Le nouveau droit de l’économie numérique
Des évolutions fondamentales du droit sont en cours
Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux
technologies de l'information et relative à la signature électronique
•
JUSX9900020L
Ø Introduit la notion de « signature électronique présumée fiable »
Ø Découle d’une directive européenne
Loi 2004-575 du 21 juin 2004 (LCEN)
•
ECOX0200175L
Ordonnance n° 2005-1516 du 08 décembre 2005
régissant les échanges électroniques entre les usagers et les autorités
administratives et entre les autorités administratives.
•
ECOX0500286R
Ø Introduit deux référentiels généraux relatifs à
•
L’interopérabilité (RGI)
•
La sécurité (RGS)
Ø Le décret relatif au RGI est paru :
–
BUDJ0700001D
•
Le RGI est placé sous la responsabilité du ministre chargé de la réforme de l'État.
•
Un comité du RGI est créé.
•
Le RGI est approuvé par arrêté du Premier ministre : non encore paru
Ø Les autres décrets (dont celui du RGS) ne sont pas encore parus
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
16/52
La signature électronique
Le procédé de signature électronique est présumé fiable si :
la signature électronique est sécurisée ;
elle est créée par un dispositif sécurisé de création de signature,
c'est à dire par un dispositif certifié conforme aux exigences de
l'article 3. I du décret conformément à la procédure de
"Certification de conformité des dispositifs de création de
signature électronique";
et la vérification de cette signature repose sur l'utilisation d'un
certificat électronique qualifié. Les certificats délivrés par des
"prestataires de services de certification électronique qualifiés"
sont présumés qualifiés.
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
17/52
Certification
La certification « tierce partie »
permet à un client de s'assurer par l'intervention d'un professionnel
Ø indépendant, compétent et contrôlé
de la conformité d'un produit
Le décret 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la
sécurité offerte par les produits des technologies de l'information décrit le schéma
de certification français pour les produits et les systèmes de sécurité.
Ø PRMX0100183D
La DCSSI est chargée d'instruire les certifications
Les travaux d'évaluation réalisés par des laboratoires CESTI
Ø agréés par le Premier ministre
Ø accrédités par le comité français d'accréditation (COFRAC) selon la norme NF EN ISO/CEI 17025.
Les évaluations sont menées conformément à des normes spécifiées par la DCSSI.
Les certificats émis par la DCSSI attestent que les produits certifiés sont conformes
à une spécification technique appelée cible de sécurité.
Une cible de sécurité peut elle-même être certifiée conforme à
un cahier des charges appelé profil de protection.
Le profil de protection permet d'exprimer des exigences de haut
niveau et peut-être partagée par une communauté d'intérêts telle
que la communauté bancaire
Les produits ou systèmes certifiés peuvent arborer la marque "
Certification Sécurité TI " ci-dessous :
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
18/52
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
19/52
Ordonnance 2005-1516 : champ couvert
Systèmes visés : tous systèmes échangeant des informations entre
l’Autorité Administrative (AA) et un tiers
Téléservices, échanges « métier » entre autorités administratives
Quel que soit le mode d’échange (courrier électronique inclus !)
Intranet et applications internes : impact probable, direct ou indirect
Axes de développement de l’e-administration portés par l’ordonnance
Confiance et Adhésion des usagers (Sécurité, interopérabilité, simplicité)
Echange de documents (administration et usagers)
Ø directement ou via un espace de stockage personnel
Cadre générique pour dématérialiser les relations avec l’administration
Ø Signature des actes, accusé de réception…
Ouverture aux acteurs du marché (produits, prestations)
L’obligation de sécurité est globale
Adaptée aux systèmes d’information
Complémentaire de l’existant (informatique et libertés, secret professionnel…)
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
20/52
Ordonnance 2005-1516 : champ couvert
Points majeurs
Accusé de réception ou d’enregistrement (art. 5)
Communication d’informations d’une AA à une autre (art. 6)
Espace de stockage personnel (art. 7)
Signature électronique des actes des AA (art. 8 - pas de décret)
Référentiel Général de Sécurité (art. 9)
Ø Des niveaux pour des fonctions de sécurité
Qualification des produits et prestataires de confiance (Art. 9)
Validation par l’Etat des certificats des AA et agents (art. 10)
Référentiel Général d’Interopérabilité (art. 11)
Produits de sécurité référencés (art. 12)
Délai de mise en conformité : 3 ans, 1 an ou immédiat (art. 14)
Les projets en cours doivent donc s’intéresser au plus tôt au RGS
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
21/52
Ordonnance 2005-1516 : les référentiels
Pourquoi instaurer des référentiels
Pour « insuffler » la cohérence entre les divers service
dématérialisés
Pour l’accessibilité à tous les acteurs du marché
Quels référentiels
Référentiel général de sécurité (RGS)
Référentiel général d’interopérabilité (RGI)
Complémentarité des référentiels
Fonder la confiance est souvent un préalable nécessaire à
l’interopérabilité
Un mécanisme standard doit être mis en œuvre de manière
adéquate
La frontière entre les deux domaines est parfois ténue
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
22/52
Référentiel Général de Sécurité (RGS)
Extrait du I de l’article 9 de l’ordonnance
« Un référentiel général de sécurité fixe les règles que doivent respecter les
fonctions des systèmes d’information contribuant à la sécurité des informations
échangées par voie électronique »
Extrait du II de l’article 9 de l’ordonnance
« Lorsqu’une autorité administrative met en place un système d’information, elle
détermine les fonctions de sécurité nécessaires pour protéger ce système.
Pour les fonctions de sécurité traitées par le référentiel général de sécurité, elle
fixe le niveau de sécurité requis parmi les niveaux prévus et respecte les règles
correspondantes »
Le RGS reprend et englobe la PRIS v2.1 (Politique de Référencement
Intersectoriel et de Sécurité, créée au départ par l’ADAE)
Le RGS est conçu et rédigé conjointement par la DCSSI et la DGME
(Direction Générale de la Modernisation de l’Etat)
Il est disponible sur le site http://www.synergies-publiques.fr/
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
23/52
RGS : articulation des textes
Ordonnance
2005-1516
Décret RGS,
Qualification
Décret
Homologation
Procédures
(produits et
RGI
Qualification
prestataires)
Exigences
RGI
RGS
PRIS
Maturité
Guide GISSIP
EBIOS
Exigences Types
Feros Types
Supports dans valeur légale, pour l’aide à la mise en oeuvre
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
24/52
RGS : bénéfices attendus
Eviter que l’administration électronique soit source de risques non
mesurés pour les autorités et pour les usagers
Promouvoir une approche globale et sans rupture de la sécurité
Données personnelles, continuité d’activité, téléservices, sécurité des
processus internes…
Stimuler le positionnement des fournisseurs sur le marché, y
compris en régions
enrichissement de l’offre, compétence,
concurrence…
Consultants, développeurs, intégrateurs, créateurs de produits …
Prestataires de services de confiance
Favoriser la mutualisation et l’interopérabilité des solutions
Ex: gérer l’authentification dans les systèmes qui nécessitent des
comptes d’usagers ou d’agents
Ex: échanger des documents signés numériquement
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
25/52
Ordonnance 2005-1516 : fonder la confiance
Accusé de réception électronique
Conditions d’usage de l’espace de stockage personnel
Signature numérique des actes des autorités administratives
Obligation globale de sécurité de l’autorité administrative
Engagement de l’AA = homologation
Produits de confiance
Qualifiés par la DCSSI
Prestations de confiance
Certifiées par un organisme indépendant (basé sur schéma
COFRAC)
Validation des certificats par l’Etat (IGC/A)
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
26/52
Ordonnance 2005-1516 : comment l’appliquer
Se conformer aux « obligations de service » formulées par
l’ordonnance
Adopter une approche SSI adéquate
Mesure des risques encourus par l’autorité administrative
Sans oublier les risques encourus par les usagers
Engagement explicite sur les choix effectués
Considérer les risques globaux liés à l’usage du système
d’information
Y compris certains risques périphériques au SI, mais induits par lui
Participer à la construction globale de l’administration électronique
En se servant des référentiels
En cherchant à exploiter les synergies entre autorités administratives
Se préparer au plus tôt
Pour des systèmes lourds, délais de mise en conformité très tendus
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
27/52
Rappel des règles de gestion de la sécurité
La démarche de gestion de risque est obligatoire
Rigueur et niveau de détail doivent être proportionnés à l’enjeu (cf. guide
GISSIP)
L’homologation est obligatoire
La méthode EBIOS est recommandée
La validation des objectifs de sécurité est obligatoire (homologation)
L’affectation des exigences de sécurité aux acteurs est obligatoire
La maîtrise des risques résiduels est obligatoire (homologation)
Des outils ciblés sur les téléservices ont été élaborés. Leur utilisation est
recommandée
Analyses de risque génériques pour les téléservices types (FEROS types)
Guide d’Exigences Types
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
28/52
RGS : les fonctions de sécurité traitées
Identification / Authentification
Avec certificat
Avec OTP (« one time password » ou « mot de passe dynamique »)
+ déverrouillage avec mot de passe statique
Confidentialité
Certificats pour la confidentialité
Signature
Certificats pour la signature électronique
Certificats serveur pour « cachet serveur »
Signature électronique des actes des autorités administratives
Horodatage
Accusé de réception et d’enregistrement
Signature des actes des Autorités Administratives
+ Compléments à intégrer dans les versions successives du RGS
selon les besoins
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
29/52
L’IGC/A
L‘IGC/A a été développée par la DCSSI pour fournir des certificats
électroniques aux autorités « racines » des administrations de l'État.
Les certificats correspondants sont disponibles sur le site de la
DCSSI : http://www.ssi.gouv.fr/fr/sigelec/igca/index.html
Le certificat RSA est inclus nativement dans Windows depuis avril 2007
Garantie d’intégrité : le certificat est publié au JO n°41 du 17 février
2007, sous le numéro NOR : PRMX0710016V
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
30/52
Évolutions prévues
Abandon du DSA
Taille de la norme initiale (1024 bits) désormais insuffisante
Jamais utilisé depuis le vendredi 13 décembre 2002 !
Mise en place d’une liste de révocation
Indispensable dans le contexte RGS
Émission de nouveaux certificats
RSA 4096 – SHA2
Ø Pour tenir compte des attaques survenues sur SHA1 même si elles
sont sans impact immédiat dans le contexte de la certification
Ø Nécessaire pour rester *** au-delà de 2010
Courbes elliptiques
Ø Pour encourager à leur adoption
À terme : révocation du certificat RSA2048 – SHA1 actuel
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
31/52
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
32/52
Encore des référentiels !
Il s’agit des référentiels techniques élaborés par les laboratoires de
la DCSSI
Ils sont utilisés dans les processus de qualification de la DCSSI
Ils n’ont pas de valeur réglementaire
Leur objectif est de ne pas prendre les industriels « en traître » au moment de
l’évaluation
Ils sont déclinés en trois niveaux
Standard : aucune attaque dans un modèle de sécurité réaliste n’a pu être
exhibée, y compris de la part d’un attaquant disposant de compétences élevées
et d’une capacité de calcul très importante.
Renforcé : sont appliquées en outre les règles de bonne pratiques issues de
l’état de l’art.
Élevé : application d’un principe de précaution supplémentaire.
Ø Référentiel classifié
Ø Dédié au classifié de défense
Le niveau standard des référentiels est disponible en ligne
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
33/52
Lien avec le RGS
Décalage temporel entre juridique et technique
Exemple : le référentiel cryptographique prévoit une année limite pour
certains dimensionnements
Ø Utilisation avant 2010 : RSA 1536 de niveau standard
Ø Utilisation après 2010 : RSA 2048 de niveau standard
Ø Utilisation après 2020 : RSA 4096 de niveau standard
Ce type de date est difficile à prendre en compte dans un texte
juridique
Ø les délais de mise en place sont longs
Ø Les textes doivent être applicables
•
Solutions disponibles
•
Prise en compte de l’existant
D’où des incohérences apparentes
Mais le résultat positif est une convergence observée des textes
juridiques vers le référentiel technique
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
34/52
Principe de gestion des certificats (PRISv1)
***
**
*
Face à face ou à distance
(envoi d’un dossier papier /
électronique ou fourniture
Enregistrement
d’un élément permettant
Face à face obligatoire soit lors de
d’identifier via une base de
l’enregistrement, soit lors de la remise au
données administrative)
porteur
messagerie
Remise au
électronique ou
porteur
téléchargement
RSA
2048 bits
1024 bits ou 2048 bits
Taille des clés
2048 /q =
du porteur
DSA
1024 /q = 256 ou 2048 /q = 256
256
Type
matériel
matériel ou logiciel
Niveau de
Dispositif du
EAL 4+
EAL2+
certification
Déclaration de
porteur
conformité aux
exigences
Qualification
Renforcé
Standard
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
35/52
Principe de gestion des certificats (RGS)
***
**
*
Face à face ou à distance
(envoi d’un dossier papier /
électronique ou fourniture
Enregistrement
d’un élément permettant
Face à face obligatoire soit lors de
d’identifier via une base de
l’enregistrement, soit lors de la remise au
données administrative)
porteur
messagerie
Remise au
électronique ou
porteur
téléchargement
RSA
4096 bits
2048 bits
Taille des clés
du porteur
EC
256 bits
256 bits
Type
matériel
matériel ou logiciel
Niveau de
Dispositif du
EAL 4+
EAL 3+
-
certification
porteur
Qualification
Renforcé
Standard
CSPN
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
36/52
Les référentiels techniques de la DCSSI
Destiné aux experts des industriels de la SSI
Définition des concepts
Ø Pour partager un langage commun
Présentation de règles et de recommandations
Ø Les règles sont « plutôt » impératives
Ø Les recommandations visent à l’amélioration progressive des produits et
facilitent la transition entre niveaux standard / renforcé
Ne constituent pas un dogme imposé aux concepteurs de produits
L’objectif est de contribuer à une amélioration constante de la qualité
des produits de sécurité.
Le suivi des règles énoncées doit être considéré comme une démarche
saine permettant de se prémunir contre de nombreuses erreurs de
conception.
Sont un élément de capitalisation des retours d’expérience de la
DCSSI dans le suivi des évaluations de produits.
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
37/52
Trois référentiels disponibles
Règles et recommandations concernant
Le choix et le dimensionnement des mécanismes cryptographiques
Ø Publié fin 2004
Ø Réactualisé fin 2006
Ø Disponible également en version anglaise
La gestion des clés utilisées dans les mécanismes cryptographiques
Ø Officialisé début 2006
Les mécanismes d’authentification
Ø Officialisé début 2007
Ø Présenté à l’ENISA
•
Normalisation à l’étude
Un référentiel en préparation sur l’architecture de produits de sécurité
Un document complémentaire dédié à l’interopérabilité
Algorithmes cryptographiques pour l’interopérabilité du format v1 de signature
électronique XAdES de l’Administration
Ø Validé au plan technique mais en attente de l’officialisation du document de référence
par la DGME
Ø Dernière nouvelle ! Le document en question a été récemment publié
http://www.synergies-publiques.fr/IMG/pdf/Format_de_signature_Xades_V1.0.pdf
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
38/52
Mécanismes cryptographiques
Définit des règles et recommandations sur les mécanismes
cryptographie symétrique
Ø Chiffrement par bloc
Ø Chiffrement par flot
Ø MAC
cryptographie asymétrique
Ø Factorisation
Ø Logarithme discret
Ø Courbes elliptiques
Autres primitives cryptographiques
Ø Fonctions de hachage
Ø Génération d’aléa
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
39/52
Gestion des clés cryptographiques
Définition de notions
Authenticité
Clé secrète vs. Clé privée
Environnement de confiance
Tiers de confiance
Identification d’un cycle de vie des clés
Demande de clé
Génération
Affectation
Ø Notion de premier enrôlement
Introduction
Utilisation
Fin de vie
Renouvellement
Recouvrement
Quelques règles phares :
Une clé = un usage
Une clé = un impact
Un principe sous-jacent : fort impact nécessite une sécurité renforcée
Exemple : génération centralisée de clés ou dérivation à partir d’une clé maître
Ø
recommandation de niveau renforcé
Exemple : recouvrement
Ø règle de niveau renforcé
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
40/52
Authentification
Introduit un modèle de l’authentification distante permettant
D’identifier les acteurs
Ø Demandeur
Ø Receveur
Ø Canal
De définir les notions
Ø De session authentifiée
Ø De déverrouillage
De distinguer les mécanismes
Ø Cryptographiques
Ø De déverrouillage
De mettre en exergue la notion d’environnement de confiance local
Ø C’est l’environnement qui gère les mécanismes de déverrouillage
Une règle phare
L’authentification de machines doit faire intervenir un mécanisme
cryptographique
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
41/52
Session authentifiée
demandeur
Le demandeur cherche à effectuer des actions auprès du
receveur
Par l’intermédiaire d’un canal
L’objectif de sécurité du receveur :
S’assurer que toutes les actions reçues par le canal sont
authentiques
receveur
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
42/52
Session authentifiée
Etat
ALARME
erreur
t
sur erreur
ur
sur erreur
sur er
rre
re
e
ur
urs
Etat
Connexion
Déconnexion
initial
(contrôle d’identité)
t
session authentifiée
Etat
action
action
authentifié
authentifiée
authentifiée
t
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
43/52
Authentification de machines
Objectif de l’authentification :
Ouvrir un canal d’accès contrôlé
authentifié
Un (ou plusieurs) tiers peu(ven)t intervenir
Mais en utilisant des canaux authentifiés
SI d’accès
Contrôle d’accès
SI
d’authentification
de confiance
Environnement
de confiance
local
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
44/52
Authentification de personnes
Rajout de l’utilisateur par rapport au modèle précédent
Objectif de l’authentification de l’utilisateur :
Ouvrir un canal pour le système d’information local
Moyennant un déverrouillage local
Ø Le SI local est un médiateur d’authentification : le déverrouillage
manifeste la volonté de l’utilisateur
SI distant
SI d’auth. de confiance
Utilisateur
Env. de conf. local
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
45/52
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
46/52
Rapport d’orientation de la R&D en SSI
La DCSSI assure le secrétariat d’un GT sur la R&D en SSI
Mandat du groupe comprenant la rédaction annuelle d’un
rapport d’orientation
Première édition (n° 2571 du 30 novembre 2006)
Deuxième édition en cours de validation
Ø Peu de modifications par rapport à la première édition
Enjeux :
Souveraineté
Protection de la vie privée
Disponibilité
Imputabilité des actes
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
47/52
Technologies de la R&D en SSI
Évolutions en cours
Archivage de données
Administration et
supervision
Identité numérique et
nomadisme
Multimédia
Sans fil et sans contact
Suite à ce constat des
domaines technologiques
qu’il paraît important de
maîtriser au niveau
national
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
48/52
Une conséquence (in)directe : le défi
« SEC&SI »
Le « Défi Sécurité - Système d'Exploitation Cloisonné et
Sécurisé pour l'Internaute »
Programme Systèmes Embarqués et Grandes Infrastructures de
l’agence nationale de la recherche
Appel à projets : date de clôture 3 avril 2008
Un sujet fixé : réaliser une configuration linux pour l’internaute
Messagerie SMTP signée
Télé-déclaration des impôts
Autres services en ligne sécurisés par SSL
Conservation sécurisée de données
Mise à jour sécurisées
Cela paraît simple car toutes les briques sont disponibles…
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
49/52
SEC&SI : en quoi est-ce de la recherche ?
La solution doit être
Ergonomique
Ø Utilisable par l’internaute lambda
Fonctionnelle
Ø Les sites existants, qui peuvent être malveillants, doivent pouvoir être
consultés
Tolérante aux agressions
Ø C’est une notion de résilience qui est encore peu répandue : les défenses
restent pour la plupart périmétriques.
Adaptable
Ø La réaction aux attaques n’est pas non plus une fonctionnalité vraiment
étudiée et mise en pratique
Toutes ces notions sont latentes dans la recherche mais si on
compare au rapport d’orientation de la R&D en SSI, on voit que
beaucoup de domaines restent à couvrir :
Système d’exploitation, interopérabilité de la sécurité, gestion de clés,
architectures diversifiées, ergonomie de la sécurité, etc.
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
50/52
SEC&SI : le challenge !
Les équipes sont donc soutenues financièrement
L’appel à projets est simplifié : il y a juste à décrire l’équipe
Le sujet étant fixé, il s’agissait d’imaginer un moyen de dynamiser
les travaux
Les solutions qu’elles proposent sont classées entre elles !
Le classement s’effectue collégialement
par les équipes elles-mêmes
par la démonstration qu’elles font des vulnérabilités qu’elles ont
couvertes
par la démonstration que ces vulnérabilités sont présentes dans les
autres solutions
Un jury est mis en place auquel participe la DCSSI
pour éventuellement arbitrer des différences d’appréciation
pour garantir le respect d’une éthique de publication des attaques
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
51/52
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
52/52
La cryptographie,
un outil au service de la
un outil au service de la
sécurité des systèmes
sécurité des systèmes
d’information
d’information
Direction Centrale de la Sécurité des Systèmes d’Information
Florent Chabaud
19 mars 2008
Plan
La réglementation
La DCSSI
Réglementation crypto
Réglementation sur la protection des informations
Le nouveau droit de l’économie numérique
Certification des produits
La réglementation en pratique
Ordonnance 2005 – 1516
Référentiel Général de Sécurité (RGS)
IGC/A
Les référentiels techniques
Lien avec le RGS
Cryptographie
Gestion des clés
Authentification
Perspectives en SSI
Rapport d’orientation de recherche et développement
Défi SEC&SI
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
2/52
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
3/52
Organisation nationale de la SSI
PREMIER MINISTRE
MINISTERES
SECRÉTARIAT GÉNÉRAL
DE LA DÉFENSE NATIONALE
Justice
Défense
Technologies et
Protection et
Direction centrale
Affaires étrangères
transferts sensibles
sécurité de l’État
de la sécurité des
Intérieur
systèmes d’information
CIEEMG : Études sur les
Economie, Finances
exportations des matériels de guerre
SAIV
Secteurs d’activité d’importance vitale
Hauts fonctionnaires
CISSI
de défense et de sécurité
Commission interministérielle de la SSI
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
4/52
Domaines de coopération avec les ministères
ECONOMIE-INDUSTRIE
DEFENSE
Société de l’information
Analyse de la menace
e-Administration
R&D
Innovation Technique and industrielle
Développement des produits de sécurité
Relations avec les PME
Expertise Scientifique and technique
SGDN/DCSSI
TOUS
INTERIEUR et JUSTICE
Activités opérationnelles
Cyber-criminalité
Veille - alerte - réponses
Exploitation des données de trafic
Inspections et Audits
Protection des données personnelles
Protection des infrastructures vitales
Réglementation
Entrainement
Enquêtes judicaires
Exercices
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
5/52
Les deux grands objectifs de la DCSSI
Assurer la sécurité des systèmes d ’information de l’Etat
(administrations et infrastructures vitales)
Créer les conditions d’un environnement de confiance et
de sécurité propice au développement de la société de
l’information en France et en Europe
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
6/52
Les missions de la DCSSI
Contribuer à la définition interministérielle et à l’expression de
la politique gouvernementale, en matière de sécurité des
systèmes d’information
Assurer la fonction d’autorité nationale de régulation pour la
SSI
Assister les services publics en matière de SSI
(conseils, Inspections, CERTA…)
Développer l’expertise scientifique et technique dans le
domaine de la SSI, au bénéfice de l’administration et des
services publics
Former et sensibiliser à la SSI
Assurer la coordination interministérielle de prévention et de
protection contre les attaques en SSI
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
7/52
Organisation de la DCSSI
DIRECTION
Communication
Centre de formation
Sous-direction
Sous-direction
Sous-direction
SCIENTIFIQUE et
RÉGULATION
OPÉRATIONS
TECHNIQUE
Technologies de
Relations Internationales
Conseil en SSI
l’information
Réglementation
inspections
Cryptographie
Signaux
Certification
Cryptologie appliquée
compromettants
Relations Industrielles
COSSI
AsTec
CERTA
Directeur
Patrick PAILLOUX
Directeur adjoint
CA Michel BENEDITTINI
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
8/52
Sous direction
Régulation
Relations internationales
• analyse l’environnement international en matière de SSI
• participe aux travaux internationaux (OCDE, OTAN, UE, G8…)
• assure les relations avec ses services homologues (NSA, CESG, BSI…)
Réglementation
• propose les évolutions de la politique nationale en matière de SSI
• participe à l’élaboration des textes législatifs et réglementaires
Certification
• gère le schéma d’évaluation selon les critères internationaux ITSEC et
Critères Communs
Relations Industrielles
• analyse l’environnement industriel européen et international
• propose des positionnements de la DCSSI dans ce contexte
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
9/52
Sous direction
Opérations
COSSI
• alerte et gère les incidents relatifs aux systèmes d’information
• veille générale (dont offre de services aux administrations et services
rattachés)
Conseil en SSI (assistance à maîtrise d’ouvrage)
• définit les besoins, les architectures et les mesures organisationnelles
• analyse les risques
Inspections en SSI
• Inspections annuelles ministérielles
Cryptologie appliquée
• fabrique les clés de chiffrement pour les organismes
gouvernementaux
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
10/52
Sous direction
Scientifique et technique
Laboratoire des technologies de l’information
• études et recherches sur les technologies de l’information, appliquées à la SSI
• veille scientifique et technique
• analyse des outils et logiciels sous l’angle de la SSI
Laboratoire de cryptographie
• recherche scientifique et technique permettant de garantir la qualité des
algorithmes et protocoles utilisés dans les systèmes d’information
gouvernementaux
Laboratoire des signaux compromettants
• analyse les risques et les vulnérabilités liés à la capture de signaux
compromettants
Les laboratoires de la DCSSI ont des activités de recherche académique en
cryptographie, systèmes d’exploitation, composants, etc.
http://www.ssi.gouv.fr/fr/sciences/publications.html
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
11/52
Réglementation crypto
En vertu de l'article 30-I de la loi 2004-575 du 21 juin 2004 (loi dite
« pour la confiance dans l’économie numérique »):
L'utilisation des moyens de cryptologie est libre.
ECOX0200175L
En revanche, la fourniture, l'importation et l'exportation de ces
moyens sont réglementées en France. Ces opérations sont
soumises soit au régime de la déclaration, soit au régime de
l'autorisation.
La règle générale : la déclaration suffit.
L’exception : l’exportation.
La DCSSI est chargée d'instruire les déclarations et les demandes
d'autorisation des moyens et prestations de cryptologie
conformément à la législation.
http://www.ssi.gouv.fr/fr/reglementation/index.html#crypto
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
12/52
La protection des informations classifiées
Un domaine particulier : le classifié de défense
Relève du pénal
Ø Code Pénal art. 410, 411, 413, 414
Régi par le principe de l’obligation de moyens
Ø Utilisation de produits agréés
Ø Instruction interministérielle n° 920/SGDN/DCSSI du 12 janvier
2005 relative aux systèmes traitant des informations classifiées de
défense de niveau confidentiel-défense
Ø Instruction générale interministérielle n° 1300/SGDN/PSE/SSD
du 25 août 2003 sur la protection du secret de la défense nationale
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
13/52
Protection des informations non classifiées
Le sensible non classifié
Relève aussi du pénal !!!
Ø Code Pénal art. 226, 323
• les atteintes au secret professionnel
• les atteintes aux droits de la personne
• les atteintes aux systèmes de traitement automatisé de données
• (ancienne loi n°88-19, dite loi "GODFRAIN")
Régi par le principe de l’obligation de moyens
Ø Mais en l’absence de référentiel légal, c’est le juge qui estime si les
moyens mis en œuvre étaient adéquats ou non
Une doctrine qui s’est assouplie
Le risque zéro n’existe plus
On parle de gestion du risque
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
14/52
L’homologation de sécurité
L’autorité d’exploitation homologue son système d’information
pour un usage
Cette mesure est réglementaire
Elle conduit à s’appuyer sur une méthode (ex. EBIOS) pour :
Identifier les risque résiduels (menaces non couvertes, vulnérabilités
identifiées, …)
Accepter formellement ces risques résiduels
Développer des mesures de défense dans la profondeur
Des textes plus anciens restent utiles
Recommandation n° 901/DISSI/SCSSI du 2 mars 1994
Recommandations pour la protection des systèmes d'information
traitant des informations sensibles non classifiées de défense
Recommandation n° 600/DISSI/SCSSI de mars 1993
Protection des informations sensibles ne relevant pas du secret de
défense
Recommandations pour les postes de travail informatiques
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
15/52
Le nouveau droit de l’économie numérique
Des évolutions fondamentales du droit sont en cours
Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux
technologies de l'information et relative à la signature électronique
•
JUSX9900020L
Ø Introduit la notion de « signature électronique présumée fiable »
Ø Découle d’une directive européenne
Loi 2004-575 du 21 juin 2004 (LCEN)
•
ECOX0200175L
Ordonnance n° 2005-1516 du 08 décembre 2005
régissant les échanges électroniques entre les usagers et les autorités
administratives et entre les autorités administratives.
•
ECOX0500286R
Ø Introduit deux référentiels généraux relatifs à
•
L’interopérabilité (RGI)
•
La sécurité (RGS)
Ø Le décret relatif au RGI est paru :
–
BUDJ0700001D
•
Le RGI est placé sous la responsabilité du ministre chargé de la réforme de l'État.
•
Un comité du RGI est créé.
•
Le RGI est approuvé par arrêté du Premier ministre : non encore paru
Ø Les autres décrets (dont celui du RGS) ne sont pas encore parus
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
16/52
La signature électronique
Le procédé de signature électronique est présumé fiable si :
la signature électronique est sécurisée ;
elle est créée par un dispositif sécurisé de création de signature,
c'est à dire par un dispositif certifié conforme aux exigences de
l'article 3. I du décret conformément à la procédure de
"Certification de conformité des dispositifs de création de
signature électronique";
et la vérification de cette signature repose sur l'utilisation d'un
certificat électronique qualifié. Les certificats délivrés par des
"prestataires de services de certification électronique qualifiés"
sont présumés qualifiés.
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
17/52
Certification
La certification « tierce partie »
permet à un client de s'assurer par l'intervention d'un professionnel
Ø indépendant, compétent et contrôlé
de la conformité d'un produit
Le décret 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la
sécurité offerte par les produits des technologies de l'information décrit le schéma
de certification français pour les produits et les systèmes de sécurité.
Ø PRMX0100183D
La DCSSI est chargée d'instruire les certifications
Les travaux d'évaluation réalisés par des laboratoires CESTI
Ø agréés par le Premier ministre
Ø accrédités par le comité français d'accréditation (COFRAC) selon la norme NF EN ISO/CEI 17025.
Les évaluations sont menées conformément à des normes spécifiées par la DCSSI.
Les certificats émis par la DCSSI attestent que les produits certifiés sont conformes
à une spécification technique appelée cible de sécurité.
Une cible de sécurité peut elle-même être certifiée conforme à
un cahier des charges appelé profil de protection.
Le profil de protection permet d'exprimer des exigences de haut
niveau et peut-être partagée par une communauté d'intérêts telle
que la communauté bancaire
Les produits ou systèmes certifiés peuvent arborer la marque "
Certification Sécurité TI " ci-dessous :
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
18/52
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
19/52
Ordonnance 2005-1516 : champ couvert
Systèmes visés : tous systèmes échangeant des informations entre
l’Autorité Administrative (AA) et un tiers
Téléservices, échanges « métier » entre autorités administratives
Quel que soit le mode d’échange (courrier électronique inclus !)
Intranet et applications internes : impact probable, direct ou indirect
Axes de développement de l’e-administration portés par l’ordonnance
Confiance et Adhésion des usagers (Sécurité, interopérabilité, simplicité)
Echange de documents (administration et usagers)
Ø directement ou via un espace de stockage personnel
Cadre générique pour dématérialiser les relations avec l’administration
Ø Signature des actes, accusé de réception…
Ouverture aux acteurs du marché (produits, prestations)
L’obligation de sécurité est globale
Adaptée aux systèmes d’information
Complémentaire de l’existant (informatique et libertés, secret professionnel…)
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
20/52
Ordonnance 2005-1516 : champ couvert
Points majeurs
Accusé de réception ou d’enregistrement (art. 5)
Communication d’informations d’une AA à une autre (art. 6)
Espace de stockage personnel (art. 7)
Signature électronique des actes des AA (art. 8 - pas de décret)
Référentiel Général de Sécurité (art. 9)
Ø Des niveaux pour des fonctions de sécurité
Qualification des produits et prestataires de confiance (Art. 9)
Validation par l’Etat des certificats des AA et agents (art. 10)
Référentiel Général d’Interopérabilité (art. 11)
Produits de sécurité référencés (art. 12)
Délai de mise en conformité : 3 ans, 1 an ou immédiat (art. 14)
Les projets en cours doivent donc s’intéresser au plus tôt au RGS
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
21/52
Ordonnance 2005-1516 : les référentiels
Pourquoi instaurer des référentiels
Pour « insuffler » la cohérence entre les divers service
dématérialisés
Pour l’accessibilité à tous les acteurs du marché
Quels référentiels
Référentiel général de sécurité (RGS)
Référentiel général d’interopérabilité (RGI)
Complémentarité des référentiels
Fonder la confiance est souvent un préalable nécessaire à
l’interopérabilité
Un mécanisme standard doit être mis en œuvre de manière
adéquate
La frontière entre les deux domaines est parfois ténue
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
22/52
Référentiel Général de Sécurité (RGS)
Extrait du I de l’article 9 de l’ordonnance
« Un référentiel général de sécurité fixe les règles que doivent respecter les
fonctions des systèmes d’information contribuant à la sécurité des informations
échangées par voie électronique »
Extrait du II de l’article 9 de l’ordonnance
« Lorsqu’une autorité administrative met en place un système d’information, elle
détermine les fonctions de sécurité nécessaires pour protéger ce système.
Pour les fonctions de sécurité traitées par le référentiel général de sécurité, elle
fixe le niveau de sécurité requis parmi les niveaux prévus et respecte les règles
correspondantes »
Le RGS reprend et englobe la PRIS v2.1 (Politique de Référencement
Intersectoriel et de Sécurité, créée au départ par l’ADAE)
Le RGS est conçu et rédigé conjointement par la DCSSI et la DGME
(Direction Générale de la Modernisation de l’Etat)
Il est disponible sur le site http://www.synergies-publiques.fr/
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
23/52
RGS : articulation des textes
Ordonnance
2005-1516
Décret RGS,
Qualification
Décret
Homologation
Procédures
(produits et
RGI
Qualification
prestataires)
Exigences
RGI
RGS
PRIS
Maturité
Guide GISSIP
EBIOS
Exigences Types
Feros Types
Supports dans valeur légale, pour l’aide à la mise en oeuvre
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
24/52
RGS : bénéfices attendus
Eviter que l’administration électronique soit source de risques non
mesurés pour les autorités et pour les usagers
Promouvoir une approche globale et sans rupture de la sécurité
Données personnelles, continuité d’activité, téléservices, sécurité des
processus internes…
Stimuler le positionnement des fournisseurs sur le marché, y
compris en régions
enrichissement de l’offre, compétence,
concurrence…
Consultants, développeurs, intégrateurs, créateurs de produits …
Prestataires de services de confiance
Favoriser la mutualisation et l’interopérabilité des solutions
Ex: gérer l’authentification dans les systèmes qui nécessitent des
comptes d’usagers ou d’agents
Ex: échanger des documents signés numériquement
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
25/52
Ordonnance 2005-1516 : fonder la confiance
Accusé de réception électronique
Conditions d’usage de l’espace de stockage personnel
Signature numérique des actes des autorités administratives
Obligation globale de sécurité de l’autorité administrative
Engagement de l’AA = homologation
Produits de confiance
Qualifiés par la DCSSI
Prestations de confiance
Certifiées par un organisme indépendant (basé sur schéma
COFRAC)
Validation des certificats par l’Etat (IGC/A)
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
26/52
Ordonnance 2005-1516 : comment l’appliquer
Se conformer aux « obligations de service » formulées par
l’ordonnance
Adopter une approche SSI adéquate
Mesure des risques encourus par l’autorité administrative
Sans oublier les risques encourus par les usagers
Engagement explicite sur les choix effectués
Considérer les risques globaux liés à l’usage du système
d’information
Y compris certains risques périphériques au SI, mais induits par lui
Participer à la construction globale de l’administration électronique
En se servant des référentiels
En cherchant à exploiter les synergies entre autorités administratives
Se préparer au plus tôt
Pour des systèmes lourds, délais de mise en conformité très tendus
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
27/52
Rappel des règles de gestion de la sécurité
La démarche de gestion de risque est obligatoire
Rigueur et niveau de détail doivent être proportionnés à l’enjeu (cf. guide
GISSIP)
L’homologation est obligatoire
La méthode EBIOS est recommandée
La validation des objectifs de sécurité est obligatoire (homologation)
L’affectation des exigences de sécurité aux acteurs est obligatoire
La maîtrise des risques résiduels est obligatoire (homologation)
Des outils ciblés sur les téléservices ont été élaborés. Leur utilisation est
recommandée
Analyses de risque génériques pour les téléservices types (FEROS types)
Guide d’Exigences Types
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
28/52
RGS : les fonctions de sécurité traitées
Identification / Authentification
Avec certificat
Avec OTP (« one time password » ou « mot de passe dynamique »)
+ déverrouillage avec mot de passe statique
Confidentialité
Certificats pour la confidentialité
Signature
Certificats pour la signature électronique
Certificats serveur pour « cachet serveur »
Signature électronique des actes des autorités administratives
Horodatage
Accusé de réception et d’enregistrement
Signature des actes des Autorités Administratives
+ Compléments à intégrer dans les versions successives du RGS
selon les besoins
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
29/52
L’IGC/A
L‘IGC/A a été développée par la DCSSI pour fournir des certificats
électroniques aux autorités « racines » des administrations de l'État.
Les certificats correspondants sont disponibles sur le site de la
DCSSI : http://www.ssi.gouv.fr/fr/sigelec/igca/index.html
Le certificat RSA est inclus nativement dans Windows depuis avril 2007
Garantie d’intégrité : le certificat est publié au JO n°41 du 17 février
2007, sous le numéro NOR : PRMX0710016V
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
30/52
Évolutions prévues
Abandon du DSA
Taille de la norme initiale (1024 bits) désormais insuffisante
Jamais utilisé depuis le vendredi 13 décembre 2002 !
Mise en place d’une liste de révocation
Indispensable dans le contexte RGS
Émission de nouveaux certificats
RSA 4096 – SHA2
Ø Pour tenir compte des attaques survenues sur SHA1 même si elles
sont sans impact immédiat dans le contexte de la certification
Ø Nécessaire pour rester *** au-delà de 2010
Courbes elliptiques
Ø Pour encourager à leur adoption
À terme : révocation du certificat RSA2048 – SHA1 actuel
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
31/52
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
32/52
Encore des référentiels !
Il s’agit des référentiels techniques élaborés par les laboratoires de
la DCSSI
Ils sont utilisés dans les processus de qualification de la DCSSI
Ils n’ont pas de valeur réglementaire
Leur objectif est de ne pas prendre les industriels « en traître » au moment de
l’évaluation
Ils sont déclinés en trois niveaux
Standard : aucune attaque dans un modèle de sécurité réaliste n’a pu être
exhibée, y compris de la part d’un attaquant disposant de compétences élevées
et d’une capacité de calcul très importante.
Renforcé : sont appliquées en outre les règles de bonne pratiques issues de
l’état de l’art.
Élevé : application d’un principe de précaution supplémentaire.
Ø Référentiel classifié
Ø Dédié au classifié de défense
Le niveau standard des référentiels est disponible en ligne
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
33/52
Lien avec le RGS
Décalage temporel entre juridique et technique
Exemple : le référentiel cryptographique prévoit une année limite pour
certains dimensionnements
Ø Utilisation avant 2010 : RSA 1536 de niveau standard
Ø Utilisation après 2010 : RSA 2048 de niveau standard
Ø Utilisation après 2020 : RSA 4096 de niveau standard
Ce type de date est difficile à prendre en compte dans un texte
juridique
Ø les délais de mise en place sont longs
Ø Les textes doivent être applicables
•
Solutions disponibles
•
Prise en compte de l’existant
D’où des incohérences apparentes
Mais le résultat positif est une convergence observée des textes
juridiques vers le référentiel technique
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
34/52
Principe de gestion des certificats (PRISv1)
***
**
*
Face à face ou à distance
(envoi d’un dossier papier /
électronique ou fourniture
Enregistrement
d’un élément permettant
Face à face obligatoire soit lors de
d’identifier via une base de
l’enregistrement, soit lors de la remise au
données administrative)
porteur
messagerie
Remise au
électronique ou
porteur
téléchargement
RSA
2048 bits
1024 bits ou 2048 bits
Taille des clés
2048 /q =
du porteur
DSA
1024 /q = 256 ou 2048 /q = 256
256
Type
matériel
matériel ou logiciel
Niveau de
Dispositif du
EAL 4+
EAL2+
certification
Déclaration de
porteur
conformité aux
exigences
Qualification
Renforcé
Standard
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
35/52
Principe de gestion des certificats (RGS)
***
**
*
Face à face ou à distance
(envoi d’un dossier papier /
électronique ou fourniture
Enregistrement
d’un élément permettant
Face à face obligatoire soit lors de
d’identifier via une base de
l’enregistrement, soit lors de la remise au
données administrative)
porteur
messagerie
Remise au
électronique ou
porteur
téléchargement
RSA
4096 bits
2048 bits
Taille des clés
du porteur
EC
256 bits
256 bits
Type
matériel
matériel ou logiciel
Niveau de
Dispositif du
EAL 4+
EAL 3+
-
certification
porteur
Qualification
Renforcé
Standard
CSPN
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
36/52
Les référentiels techniques de la DCSSI
Destiné aux experts des industriels de la SSI
Définition des concepts
Ø Pour partager un langage commun
Présentation de règles et de recommandations
Ø Les règles sont « plutôt » impératives
Ø Les recommandations visent à l’amélioration progressive des produits et
facilitent la transition entre niveaux standard / renforcé
Ne constituent pas un dogme imposé aux concepteurs de produits
L’objectif est de contribuer à une amélioration constante de la qualité
des produits de sécurité.
Le suivi des règles énoncées doit être considéré comme une démarche
saine permettant de se prémunir contre de nombreuses erreurs de
conception.
Sont un élément de capitalisation des retours d’expérience de la
DCSSI dans le suivi des évaluations de produits.
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
37/52
Trois référentiels disponibles
Règles et recommandations concernant
Le choix et le dimensionnement des mécanismes cryptographiques
Ø Publié fin 2004
Ø Réactualisé fin 2006
Ø Disponible également en version anglaise
La gestion des clés utilisées dans les mécanismes cryptographiques
Ø Officialisé début 2006
Les mécanismes d’authentification
Ø Officialisé début 2007
Ø Présenté à l’ENISA
•
Normalisation à l’étude
Un référentiel en préparation sur l’architecture de produits de sécurité
Un document complémentaire dédié à l’interopérabilité
Algorithmes cryptographiques pour l’interopérabilité du format v1 de signature
électronique XAdES de l’Administration
Ø Validé au plan technique mais en attente de l’officialisation du document de référence
par la DGME
Ø Dernière nouvelle ! Le document en question a été récemment publié
http://www.synergies-publiques.fr/IMG/pdf/Format_de_signature_Xades_V1.0.pdf
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
38/52
Mécanismes cryptographiques
Définit des règles et recommandations sur les mécanismes
cryptographie symétrique
Ø Chiffrement par bloc
Ø Chiffrement par flot
Ø MAC
cryptographie asymétrique
Ø Factorisation
Ø Logarithme discret
Ø Courbes elliptiques
Autres primitives cryptographiques
Ø Fonctions de hachage
Ø Génération d’aléa
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
39/52
Gestion des clés cryptographiques
Définition de notions
Authenticité
Clé secrète vs. Clé privée
Environnement de confiance
Tiers de confiance
Identification d’un cycle de vie des clés
Demande de clé
Génération
Affectation
Ø Notion de premier enrôlement
Introduction
Utilisation
Fin de vie
Renouvellement
Recouvrement
Quelques règles phares :
Une clé = un usage
Une clé = un impact
Un principe sous-jacent : fort impact nécessite une sécurité renforcée
Exemple : génération centralisée de clés ou dérivation à partir d’une clé maître
Ø
recommandation de niveau renforcé
Exemple : recouvrement
Ø règle de niveau renforcé
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
40/52
Authentification
Introduit un modèle de l’authentification distante permettant
D’identifier les acteurs
Ø Demandeur
Ø Receveur
Ø Canal
De définir les notions
Ø De session authentifiée
Ø De déverrouillage
De distinguer les mécanismes
Ø Cryptographiques
Ø De déverrouillage
De mettre en exergue la notion d’environnement de confiance local
Ø C’est l’environnement qui gère les mécanismes de déverrouillage
Une règle phare
L’authentification de machines doit faire intervenir un mécanisme
cryptographique
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
41/52
Session authentifiée
demandeur
Le demandeur cherche à effectuer des actions auprès du
receveur
Par l’intermédiaire d’un canal
L’objectif de sécurité du receveur :
S’assurer que toutes les actions reçues par le canal sont
authentiques
receveur
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
42/52
Session authentifiée
Etat
ALARME
erreur
t
sur erreur
ur
sur erreur
sur er
rre
re
e
ur
urs
Etat
Connexion
Déconnexion
initial
(contrôle d’identité)
t
session authentifiée
Etat
action
action
authentifié
authentifiée
authentifiée
t
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
43/52
Authentification de machines
Objectif de l’authentification :
Ouvrir un canal d’accès contrôlé
authentifié
Un (ou plusieurs) tiers peu(ven)t intervenir
Mais en utilisant des canaux authentifiés
SI d’accès
Contrôle d’accès
SI
d’authentification
de confiance
Environnement
de confiance
local
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
44/52
Authentification de personnes
Rajout de l’utilisateur par rapport au modèle précédent
Objectif de l’authentification de l’utilisateur :
Ouvrir un canal pour le système d’information local
Moyennant un déverrouillage local
Ø Le SI local est un médiateur d’authentification : le déverrouillage
manifeste la volonté de l’utilisateur
SI distant
SI d’auth. de confiance
Utilisateur
Env. de conf. local
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
45/52
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
46/52
Rapport d’orientation de la R&D en SSI
La DCSSI assure le secrétariat d’un GT sur la R&D en SSI
Mandat du groupe comprenant la rédaction annuelle d’un
rapport d’orientation
Première édition (n° 2571 du 30 novembre 2006)
Deuxième édition en cours de validation
Ø Peu de modifications par rapport à la première édition
Enjeux :
Souveraineté
Protection de la vie privée
Disponibilité
Imputabilité des actes
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
47/52
Technologies de la R&D en SSI
Évolutions en cours
Archivage de données
Administration et
supervision
Identité numérique et
nomadisme
Multimédia
Sans fil et sans contact
Suite à ce constat des
domaines technologiques
qu’il paraît important de
maîtriser au niveau
national
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
48/52
Une conséquence (in)directe : le défi
« SEC&SI »
Le « Défi Sécurité - Système d'Exploitation Cloisonné et
Sécurisé pour l'Internaute »
Programme Systèmes Embarqués et Grandes Infrastructures de
l’agence nationale de la recherche
Appel à projets : date de clôture 3 avril 2008
Un sujet fixé : réaliser une configuration linux pour l’internaute
Messagerie SMTP signée
Télé-déclaration des impôts
Autres services en ligne sécurisés par SSL
Conservation sécurisée de données
Mise à jour sécurisées
Cela paraît simple car toutes les briques sont disponibles…
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
49/52
SEC&SI : en quoi est-ce de la recherche ?
La solution doit être
Ergonomique
Ø Utilisable par l’internaute lambda
Fonctionnelle
Ø Les sites existants, qui peuvent être malveillants, doivent pouvoir être
consultés
Tolérante aux agressions
Ø C’est une notion de résilience qui est encore peu répandue : les défenses
restent pour la plupart périmétriques.
Adaptable
Ø La réaction aux attaques n’est pas non plus une fonctionnalité vraiment
étudiée et mise en pratique
Toutes ces notions sont latentes dans la recherche mais si on
compare au rapport d’orientation de la R&D en SSI, on voit que
beaucoup de domaines restent à couvrir :
Système d’exploitation, interopérabilité de la sécurité, gestion de clés,
architectures diversifiées, ergonomie de la sécurité, etc.
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
50/52
SEC&SI : le challenge !
Les équipes sont donc soutenues financièrement
L’appel à projets est simplifié : il y a juste à décrire l’équipe
Le sujet étant fixé, il s’agissait d’imaginer un moyen de dynamiser
les travaux
Les solutions qu’elles proposent sont classées entre elles !
Le classement s’effectue collégialement
par les équipes elles-mêmes
par la démonstration qu’elles font des vulnérabilités qu’elles ont
couvertes
par la démonstration que ces vulnérabilités sont présentes dans les
autres solutions
Un jury est mis en place auquel participe la DCSSI
pour éventuellement arbitrer des différences d’appréciation
pour garantir le respect d’une éthique de publication des attaques
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
51/52
Premier ministre - SGDN / DCSSI - La cryptographie, un outil au service de la SSI – 19 mars 2008
52/52
Informations
Date : 06/02/2011
Langue : Français
Pages : 52
Consultations : 503
Commentaires : 0
Langue : Français
Pages : 52
Consultations : 503
Commentaires : 0
| Note : |
Résumé
Description : La cryptographie, un outil au service de la sécurité des systèmes d'information.
Tags : Cryptographie, sécurité, SI, systèmes d'information
Sur le même thème
Vues : 2968
De :
Kapten
La sécurité des systèmes informatiques (Théorie)
Pseudo : Kapten
Vues : 2968
Date : 01/12/2010
Pages : 31
Langue : Français
Vues : 2968
Date : 01/12/2010
Pages : 31
Langue : Français
Description :
I] Qu'est ce que la sécurité d'un système? II] Pourquoi sécuriser les systèmes informatiques III] Comment et avec quoi les...
I] Qu'est ce que la sécurité d'un système? II] Pourquoi sécuriser les systèmes informatiques III] Comment et avec quoi les...
Vues : 558
De :
Readandlearn
Sensibilisation à la sécurité informatique
Pseudo : Readandlearn
Vues : 558
Date : 28/12/2010
Pages : 46
Langue : Français
Vues : 558
Date : 28/12/2010
Pages : 46
Langue : Français
Description :
Guide de sensibilisation à la sécurité informatique
Guide de sensibilisation à la sécurité informatique
Vues : 462
De :
Web 3.0
Sécurité Web (introduction)
Pseudo : Web 3.0
Vues : 462
Date : 09/10/2010
Pages : 60
Langue : Français
Vues : 462
Date : 09/10/2010
Pages : 60
Langue : Français
Description :
Document sous licence CC: http://creativecommons.org/licenses/by-sa/2.0/fr/. Sécurité Web (introduction).
Document sous licence CC: http://creativecommons.org/licenses/by-sa/2.0/fr/. Sécurité Web (introduction).
Vues : 374
De :
Readandlearn
Les dangers sur Internet en chiffres
Pseudo : Readandlearn
Vues : 374
Date : 28/12/2010
Pages : 2
Langue : Français
Vues : 374
Date : 28/12/2010
Pages : 2
Langue : Français
Description :
Les dangers sur Internet en chiffres
Les dangers sur Internet en chiffres
Vues : 297
De :
Readandlearn
Guide pratique de la sécurité
Pseudo : Readandlearn
Vues : 297
Date : 28/12/2010
Pages : 2
Langue : Français
Vues : 297
Date : 28/12/2010
Pages : 2
Langue : Français
Description :
Guide pratique de la sécurité
Guide pratique de la sécurité
Vues : 252
De :
HANACHI
Mesure de métrique de sécurité-l'intégrité
Pseudo : HANACHI
Vues : 252
Date : 09/08/2011
Pages : 94
Langue : Français
Vues : 252
Date : 09/08/2011
Pages : 94
Langue : Français
Description :
notre thèse est une application d'une formule mathématique réalisent par M.Savola et H.abie qui permet de mesurer...
notre thèse est une application d'une formule mathématique réalisent par M.Savola et H.abie qui permet de mesurer...
Du même contributeur
Vues : 1715
De :
Docenstoc
Java pour le développement d'applications Web
Pseudo : Docenstoc
Vues : 1715
Date : 08/10/2010
Pages : 175
Langue : Français
Vues : 1715
Date : 08/10/2010
Pages : 175
Langue : Français
Description :
Document sous licence CC: http://creativecommons.org/licenses/by-sa/2.0/fr/. Java pour le développement d'applications Web.
Document sous licence CC: http://creativecommons.org/licenses/by-sa/2.0/fr/. Java pour le développement d'applications Web.
Vues : 1474
De :
Docenstoc
Créer une table des matières sous OpenOffice
Pseudo : Docenstoc
Vues : 1474
Date : 13/12/2010
Pages : 11
Langue : Français
Vues : 1474
Date : 13/12/2010
Pages : 11
Langue : Français
Description :
Dans la série Les tutoriels libres présentés par le site FRAMASOFT : Créer une table des matières sous OpenOffice....
Dans la série Les tutoriels libres présentés par le site FRAMASOFT : Créer une table des matières sous OpenOffice....
Vues : 1438
De :
Docenstoc
Cours de PHP
Pseudo : Docenstoc
Vues : 1438
Date : 17/12/2010
Pages : 404
Langue : Français
Vues : 1438
Date : 17/12/2010
Pages : 404
Langue : Français
Description :
Cours de PHP par le PHP Documentation Group. Ce manuel peut être redistribué sous licence GNU General Public License.
Cours de PHP par le PHP Documentation Group. Ce manuel peut être redistribué sous licence GNU General Public License.
Vues : 1257
De :
Docenstoc
Introduction aux architectures n-tier
Pseudo : Docenstoc
Vues : 1257
Date : 08/12/2010
Pages : 7
Langue : Français
Vues : 1257
Date : 08/12/2010
Pages : 7
Langue : Français
Description :
Cours d'introduction aux architectures n-tier dispensé à TELECOM Bretagne. Cours sous licence Creative Commons :...
Cours d'introduction aux architectures n-tier dispensé à TELECOM Bretagne. Cours sous licence Creative Commons :...
Vues : 1214
De :
Docenstoc
Clients riches : les technologies du marché
Pseudo : Docenstoc
Vues : 1214
Date : 08/10/2010
Pages : 63
Langue : Français
Vues : 1214
Date : 08/10/2010
Pages : 63
Langue : Français
Description :
Document sous licence CC: http://creativecommons.org/licenses/by-sa/2.0/fr/.
Document sous licence CC: http://creativecommons.org/licenses/by-sa/2.0/fr/.
Vues : 1043
De :
Docenstoc
Méthodes de programmation systèmes
Pseudo : Docenstoc
Vues : 1043
Date : 13/12/2010
Pages : 258
Langue : Français
Vues : 1043
Date : 13/12/2010
Pages : 258
Langue : Français
Description :
Méthodes de programmation systèmes par Emmanuel DESVIGNE. Document sous licence GNU/FDL.
Méthodes de programmation systèmes par Emmanuel DESVIGNE. Document sous licence GNU/FDL.
Commentaires
| Aucun commentaire pour cette publication |
Ajouter un commentaire
Vous devez vous connecter ou vous inscrire pour ajouter un commentaire.
Cliquez ici pour vous inscrire.
 |
Vous devez vous connecter ou vous inscrire pour envoyer le document.
Cliquez ici pour vous inscrire.
|
Vous ne pouvez pas acheter de documents sur Needocs.
Vous pouvez vous référer aux conditions générales de vente et d'achat du portail pour connaître les modalités d'achat.
Vous pouvez vous référer aux conditions générales de vente et d'achat du portail pour connaître les modalités d'achat.
|