J.O. Numéro 63 du 15 Mars 1998       J.O. disponibles       Alerte par mail       Lois,décrets       codes       AdmiNet

Texte paru au JORF/LD page 03886

Ce document peut également être consulté sur le site officiel Legifrance


Arrêté du 13 mars 1998 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie


NOR : PRMX9802729A



Le Premier ministre,
   Vu la loi no 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications, notamment son article 28 ;
   Vu le décret no 98-101 du 24 février 1998 définissant les conditions dans lequelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie, notamment ses articles 5, 10 et 13,
   Arrête :

   Art. 1er. - Le dossier de déclaration ou de demande d'autorisation concernant un moyen ou une prestation de cryptologie comporte une partie administrative et une partie technique.
La partie administrative comprend une déclaration ou une demande d'autorisation conforme au modèle annexé au présent arrêté, en trois exemplaires.
La partie technique comprend une description conforme au modèle annexé au présent arrêté, en trois exemplaires.
Les dossiers déposés dans le cadre du régime simplifié de déclaration prévu à l'article 9 du décret du 24 février 1998 susvisé ainsi que ceux déposés pour obtenir le renouvellement d'une autorisation ne comportent pas de partie technique. Celle-ci est remplacée par un engagement écrit de la personne déposant le dossier certifiant soit que l'impossibilité pour le moyen ou la prestation d'assurer des fonctions de confidentialité ne résulte pas d'un simple dispositif de verrouillage, soit que les caractéristiques techniques du moyen ou de la prestation sont inchangées par rapport à la description figurant dans la partie technique du dossier déposé lors de la première délivrance de l'autorisation.
   Art. 2. - Sont portés à la connaissance du service central de la sécurité des systèmes d'information, au moins un mois à l'avance :
- tout changement de nature à modifier le contenu du dossier de déclaration ou de demande d'autorisation ;
- la cessation de l'activité déclarée ou autorisée.
   Art. 3. - La secrétaire générale de la défense nationale est chargée de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.
   Fait à Paris, le 13 mars 1998.
Lionel Jospin
A N N E X EPREMIER MINISTREService central de la sécurité des systèmes d'information18, rue du Docteur-Zamenhof, 92131 Issy-les-Moulineaux Cedex(téléphone : 01-41-46-37-00, fax : 01-41-46-37-01)Numéro de dossier (*) : ....................Déclaration/demande d'autorisation concernant un moyenou une prestation de cryptologiePartie administrativeCocher la ou les cases correspondantes :Déclarationsimplifiée.de fourniture :en vue de l'utilisation générale ;en vue de l'exportation.d'importation en provenance de : ....................d'utilisation personnelle.Demande d'autorisationde fourniture pour une durée de : ....................(cinq ans maximum) d'un moyen ou d'une prestation qui n'utilise que des conventions secrètes gérées par un organisme agréé.de fourniture pour une durée de .................... (cinq ans maximum) :en vue de l'utilisation générale ;en vue de l'utilisation collective.d'exportation pour une durée de .................... (cinq ans maximum).d'importation en provenance de ....................d'utilisation personnelle pour une durée de : ....................(dix ans maximum).(*) Réservé à l'administration.A. - Déclarant ou demandeur d'autorisationA.1. SociétéNom : ....................Raison sociale : ....................Nationalité : ....................Numéroté SIRET : ....................Adresse : ........................................Numéro de téléphone : ....................Numéro de télécopie : ....................Adresse du courrier électronique : ....................Personne chargée du dossier administratifNom et prénoms : ....................Adresse : ........................................Numéro de téléphone : ....................Adresse du courrier électronique : ....................A.2. ParticulierNom et prénoms : ....................Nationalité : ....................Adresse : ........................................Numéro de téléphone : ....................Adresse du courrier électronique : ....................B. - A renseigner selon les cas suivantsB.1. Demande d'autorisation de fourniture d'un moyen ou d'une prestation qui utilise des conventions secrètes gérées par un organisme agrééRéférences de(s) organisme(s) agréé(s) : ................................................................................B.2. Demande d'autorisation de fournitureen vue de l'utilisation collectiveCatégories éventuelles d'utilisateurs auxquels le moyen ou la prestation est destiné :Administrations (à préciser) : ....................Grandes entreprises (préciser secteur d'activités) :....................Etablissements de crédit : ....................PME (préciser secteur d'activités) : ....................Autres (à préciser avec secteur d'activités) : ....................B.3. Demande d'autorisation d'utilisation personnelleBesoins justifiant la demande : ................................................................................Lieux d'utilisation du moyen de cryptologie : ................................................................................Le cas échéant, réseaux de télécommunications employés : ................................................................................C. - Moyen ou prestation auquel s'appliquela déclaration ou la demande d'autorisationC.1. Moyen ou prestation de cryptologieRéférence commerciale : ....................Référence constructeur : ....................Version : ....................Description succincte : ....................................................................................................Référence de l'agrément du moyen s'il a été soumis au ministère chargé des télécommunications : ....................C.2. Fabricant du moyen ou fournisseur de la prestationNom : ....................Raison sociale : ....................Adresse : ........................................Numéro de téléphone : ....................Numéro de télécopie : ....................Adresse du courrier électronique : ....................C.3. Personne chargée du dossier techniqueNom et prénoms : ....................Adresse : ........................................Numéro de téléphone : ....................Numéro de télécopie : ....................Adresse du courrier électronique : ....................C.4. DiversSi le moyen ou la prestation utilise des moyens ou prestations préalablement déclarés ou autorisés, préciser, pour chacun d'eux, leur identification, référence et date de notification de déclaration ou d'autorisation : ........................................C.5. Services de cryptologie fournisAuthentification (*) : ....................Contrôle d'accès (*) : ....................Signature (*) : ....................Intégrité (*) : ....................Confidentialité (*) : ....................Téléphone télécopie messagerie transmissions de données (préciser le(s) type(s) de données chiffrées, par exemple données à caractère financier, médical, de gestion,...) : ....................Autre(s) à préciser : ....................Autre(s) à préciser (*) : ....................C.6. Installation des algorithmesLogiciel.Matériel (à préciser) : ....................(*) Préciser le(s) nom(s) de(s) algorithme(s) utilisé(s).D. - AttestationJe soussigné (nom, prénoms) .................... ,agissant en qualité de .................... ,représentant le fournisseur, exportateur, importateur, utilisateur (*), certifie que les renseignements figurant sur cette déclaration/ demande d'autorisation (*) sont exacts et ont été établis de bonne foi, toute fausse déclaration ou tout manquement aux engagements souscrits m'exposant aux sanctions prévues par l'article 28 de la loi no 90-1170 du 29 décembre 1990 modifiée et par le décret no 98-101 du 24 février 1998.Date : ....................Signature(*) Rayer les mentions inutiles.Partie techniqueA joindre au dossier de déclaration ou de demande d'autorisationconcernant les moyens et prestations de cryptologieLa partie technique comporte les informations suivantes :- la référence commerciale du produit :- nom ;- numéro de la version ;- la description générale du produit, le manuel utilisateur ;- la description des services offerts par le produit ;- la description des fonctions de cryptologie offertes par le produit (chiffrement, signature, gestion de clés,...) ;- soit la description complète des procédés de cryptologie employés, sous la forme d'une description mathématique et d'une simulation dans un langage de haut niveau, C ou Pascal ou tout autre après accord préalable du service central de la sécurité des systèmes d'information, soit la référence à un dossier préalablement déposé pour un produit usant du même procédé de chiffrement ;- une sortie de référence du produit effectuée à partir d'un texte clair et d'une clé délivrés sur simple demande faite au service central de la sécurité des systèmes d'information dans le but de vérifier la conformité de la mise en oeuvre du produit à la description de celui-ci ;- une sortie de référence du procédé de chiffrement effectuée à partir d'un texte clair et d'une clé délivrés sur simple demande faite au service central de la sécurité des systèmes d'information, dans le but de vérifier la conformité de la mise en oeuvre du procédé par rapport à la description de celui-ci : cette sortie de référence est obtenue par la simple action du procédé de chiffrement sur le texte clair, paramétré par la clé fournie, sans mise en oeuvre d'aucun prétraitement sur le texte clair ou post-traitement sur le texte chiffré ;- la description complète de la gestion des clés mises en oeuvre par le moyen incluant au moins :- le mode de distribution ;- l'intégration au procédé de chiffrement ;- l'architecture des clés employées ;- le procédé de génération des clés ;- la fréquence de changement des clés ;- le format de conservation s'il y a lieu ;- la description du dispositif de dépôt et de récupération de clés inclus, dans le cas où la gestion de clés du moyen ou de la prestation est effectuée par un organisme agréé ;- la description des mesures techniques mises en oeuvre pour empêcher l'altération du procédé de chiffrement ou de la gestion de clés associée ;- la description des prétraitements subis par les données claires avant leur chiffrement (compression, formatage, ajout d'un en-tête, etc.) ;- la description des post-traitements des données chiffrées, après leur chiffrement (ajout d'un en-tête, formatage, mise en paquet, etc.).