J.O. Numéro 63 du 15 Mars 1998       J.O. disponibles       Alerte par mail       Lois,décrets       codes       AdmiNet

Texte paru au JORF/LD page 03888

Ce document peut également être consulté sur le site officiel Legifrance


Arrêté du 13 mars 1998 fixant la forme et le contenu du dossier de demande d'agrément des organismes gérant pour le compte d'autrui des conventions secrètes

NOR : PRMX9802731A


Le Premier ministre,
   Vu la loi no 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications, notamment son article 28 ;
   Vu le décret no 98-102 du 24 février 1998 définissant les conditions dans lesquelles sont agréés les organismes gérant pour le compte d'autrui des conventions secrètes de cryptologie en application de la loi no 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, notamment son article 2,
   Arrête :

   Art. 1er. - Le dossier de demande d'agrément présenté par les organismes qui envisagent de gérer pour le compte d'autrui des conventions secrètes de cryptologie comporte :
1o L'ensemble des pièces attestant de l'identité et de la structure juridique de l'organisme demandeur :
a) Si l'organisme est une société anonyme ou une société de capitaux :
- nom, raison sociale ;
- adresse du siège social et numéro de téléphone ;
- numéro SIRET ;
- extrait du registre du commerce et des sociétés ;
- répartition du capital de la société ;
b) Si l'organisme est une société de personnes :
- nom, dénomination ;
- adresse et numéro de téléphone ;
- numéro SIRET ;
- extrait du registre du commerce et des sociétés ;
- fiche individuelle d'état civil et de nationalité de chaque associé ;
- répartition des parts sociales de la société ;
c) Si l'organisme est une entreprise individuelle :
- nom, dénomination ;
- adresse et numéro de téléphone ;
- fiche individuelle d'état civil et de nationalité de l'entrepreneur ;
- numéro SIRET ;
- extrait du registre du commerce et des sociétés ;
d) Si l'organisme est une personne de droit public :
- nom ;
- adresse et numéro de téléphone ;
- copie des textes portant création de l'organisme ;
2o Un document décrivant la politique de sécurité de l'organisme ;
3o Le contrat type que l'organisme propose à ses clients ;
4o Un exemplaire signé du cahier des charges proposé par le demandeur à partir du modèle annexé au présent arrêté.
   Art. 2. - La secrétaire générale de la défense nationale est chargée de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.
   Fait à Paris, le 13 mars 1998.
Lionel Jospin
A N N E X EMODELE DE CAHIER DES CHARGES D'UN ORGANISME AGREE ASSURANT LA GESTION DE CONVENTIONS SECRETES POUR LE COMPTE D'AUTRUIPréambuleArticle 1erDéfinitionsDans le présent cahier des charges, il est fait usage de termes qui sont entendus de la manière suivante :- « le gestionnaire » : l'organisme agréé auquel est confiée la gestion, pour le compte d'autrui, des conventions secrètes de cryptologie permettant d'assurer des fonctions de confidentialité, au sens du II de l'article 28 de la loi no 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications ;- « le client » ou « l'utilisateur » : personne morale ou physique ayant passé un contrat avec le gestionnaire ;- « les autorités habilitées » : autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi du 29 décembre 1990 précitée ;- « la gestion de conventions secrètes » : prestation consistant en la détention, la certification, la distribution ainsi que, éventuellement, la génération des clés dans les conditions définies au présent cahier des charges ;- « la remise des conventions secrètes » : opération de délivrance des conventions secrètes d'un utilisateur à une autorité habilitée qui le requiert ;- « la mise en oeuvre des conventions secrètes » : opération de restitution des données claires d'un utilisateur, effectuée à la demande d'une autorité habilitée après fourniture par cette autorité des données chiffrées.Article 2Identification du gestionnaire(A compléter par le gestionnaire, en précisant le nomet la qualité du représentant de celui-ci)Chapitre 1erConditions générales d'exerciceArticle 3Moyens et prestations de cryptologie proposés aux clientsLe gestionnaire s'engage à ne fournir à ses clients des conventions secrètes que pour les seuls moyens ou prestations de chiffrement énumérés ci-dessous, à l'exception de tout autre :(A compléter par le gestionnaire, en précisant pour chaque moyen ou prestation :- le nom du moyen ou de la prestation ;- le nom ou la dénomination sociale du fournisseur ;- le numéro d'autorisation de fourniture ou le numéro du récépissé de déclaration délivré par le service central de la sécurité des systèmes d'information.)Article 4Sécurité des prestationsLe gestionnaire s'engage à définir et à appliquer des procédures administratives et techniques visant à garantir la sécurité et la disponibilité des conventions secrètes et à prévenir tout manquement de la part de ses agents.Pour ce faire, le gestionnaire élabore et tient à jour un document décrivant sa politique de sécurité. Ce document est connu de tous les employés du gestionnaire ayant une responsabilité en ce domaine. Ce document est approuvé personnellement par le plus haut responsable du gestionnaire. Il contient au minimum :- une définition des objectifs de sécurité du gestionnaire, en particulier ceux concernant son activité principale, la gestion des conventions secrètes ;- les règles de sécurité et le rappel des sanctions disciplinaires et pénales applicables en cas de manquement à ces règles ;- la présentation de l'organisation de sécurité interne, en particulier les procédures d'information et de responsabilisation du personnel, de contrôle de l'application des règles de signalement et de traitement des incidents.Le gestionnaire nomme au sein de son entreprise un responsable de la sécurité. Ce responsable est chargé de l'application pratique de la politique de sécurité, qui recouvre :- l'élaboration d'un guide pratique de sécurité à l'intention du personnel ;- le contrôle de son application ;- l'organisation d'audits internes ;- le traitement des incidents signalés.Article 5Sécurité des personnelsLe gestionnaire s'engage à fournir au service central de la sécurité des systèmes d'information la liste des personnels qu'il emploie dans le cadre de l'activité agréée. Cette liste contient les informations suivantes : nom, prénom, adresse, nationalité, type de contrat de travail, poste occupé. Elle est adressée, après mise à jour, au service central de la sécurité des systèmes d'information dès qu'un élément d'information est modifié.Le gestionnaire s'engage à disposer au sein de son entreprise de personnel ayant une compétence technique dans le domaine de la sécurité des systèmes d'information.Le gestionnaire s'engage à porter à la connaissance de son personnel les obligations et peines encourues au titre des dispositions du code pénal, et notamment au titre des articles 226-13, 226-15 et 423-9. Le gestionnaire s'engage à faire signer à tous les membres concernés de son personnel un document où ceux-ci reconnaissent avoir connaissance de la politique de sécurité du gestionnaire, des guides et manuels de sécurité et de leurs responsabilités en cas de manquement à leurs obligations.De plus, les personnels mentionnés à l'article 4 du décret no 98-102 du 24 février 1998, qui sont appelés à remettre ou à mettre en oeuvre des conventions secrètes, font l'objet d'une habilitation au niveau secret défense, au sens du décret no 81-514 du 12 mai 1981.Article 6Sécurité des locauxLe gestionnaire s'engage à disposer d'au moins une zone à accès contrôlé pour abriter les activités de gestion, de mise en oeuvre ou de remise des conventions secrètes.Cette zone à accès contrôlé est physiquement protégée contre un accès extérieur non autorisé. La liste des personnels autorisés à y accéder est limitée au strict besoin du bon fonctionnement du service. L'accès des personnels autorisés est contrôlé par un moyen physique et enregistré.En dehors des heures ouvrables, la sécurité de cette zone est renforcée par la mise en oeuvre de moyens de détection d'intrusion physique.Le gestionnaire s'engage à communiquer au service central de la sécurité des systèmes d'information la localisation de cette zone, la description des dispositifs de sécurité mis en place et la liste des personnels autorisés.Toute intrusion ou toute tentative d'intrusion visant à pénétrer dans cette zone donne lieu au dépôt d'une plainte dans les vingt-quatre heures suivant sa découverte. De plus, le gestionnaire s'engage alors à remettre les dispositifs de sécurité de cette zone en état de bon fonctionnement dans les meilleurs délais.Article 7Sécurité informatiqueSi le gestionnaire, pour accomplir les fonctions de détention, de mise en oeuvre ou de remise des conventions secrètes, emploie un système informatique, il s'engage à :- ne l'utiliser pour aucune autre application ;- s'assurer que le système comporte les fonctions de sécurité décrites ci-après et à mettre celles-ci en oeuvre.a) Identification/authentificationLes moyens de sécurité permettent d'identifier, puis d'authentifier les utilisateurs. Le mécanisme d'authentification nécessite la présentation d'un support matériel associé à un code personnel.Le système reconnaît, sur la base de cette Identification/Authentification, les trois rôles suivants :- ingénieur système ;- administrateur de sécurité ;- opérateur.L'ingénieur système est chargé de la mise en route et de la maintenance technique du système, l'administrateur est chargé de la gestion de sa sécurité et l'opérateur de son exploitation.Il n'est pas souhaitable que l'administrateur et l'ingénieur système soient une seule et même personne.b) Contrôle d'accèsSur la base de l'identification/authentification, les moyens de sécurité assurent le respect du droit d'accès aux ressources du système. Ces droits sont définis par l'administrateur et limités au strict besoin du service.Nul ne doit avoir directement accès à la clé permettant de certifier les conventions secrètes des clients. L'utilisation d'un processeur de sécurité interfacé avec le système est indispensable.Pendant toute la durée de leur détention, les conventions secrètes sont chiffrées. Elles ne sont déchiffrées que pour la mise en oeuvre ou la remise. Il est souhaitable que le déchiffrement s'opère à l'intérieur d'un processeur de sécurité, ou que les paramètres utilisés pour le déchiffrement soient partagés entre deux dispositifs détenus par des opérateurs différents dont seule la présence simultanée permet d'accéder aux conventions secrètes en clair. Dans ce dernier cas, un poste de travail isolé, dont la configuration sera régulièrement vérifiée, sera utilisé.De même, seule la présence simultanée d'au moins deux opérateurs doit permettre de mettre en oeuvre la convention secrète d'un client.c) ImputabilitéToute opération permettant l'accès aux conventions secrètes ou autres ressources de sécurité du système est imputable à son auteur.d) AuditSur la base de cette imputation, un enregistrement est généré pour toute opération permettant l'accès aux conventions secrètes ou autres ressources de sécurité du système. Cet enregistrement comporte les informations suivantes :- le nom de l'opérateur ;- l'opération effectuée ;- la date et l'heure de l'opération.Tous les enregistrements sont retracés dans un fichier d'audit. Celui-ci n'est consultable que par l'administrateur. Une sauvegarde régulière en est faite et archivée.e) Réutilisation d'objetsTous les objets de stockage ayant contenu une ressource sensible du système sont mis à zéro avant une utilisation ultérieure. Lorsqu'il n'est plus utilisé, le dispositif contenant la clé de certification est détruit et sa destruction fait l'objet d'un compte rendu. Les dispositifs servant à déchiffrer les conventions secrètes sont conservés dans une armoire forte.Article 8Répertoire des clientsLe gestionnaire s'engage à tenir à jour et à communiquer au service central de la sécurité des systèmes d'information, au moins une fois par semestre, la liste de ses clients, faisant apparaître au moins les informations suivantes :- le nom, le prénom ou la dénomination sociale ;- l'adresse ;- le moyen dont les conventions secrètes sont gérées ;- la valeur des identifiants prévus à l'article 18 du présent cahier des charges.Si ce répertoire prend la forme d'un traitement informatique, le gestionnaire s'engage à fournir au service central de la sécurité des systèmes d'information la copie de la déclaration effectuée auprès de la Commission nationale de l'Informatique et des Libertés.Article 9Informations à communiquer au client par le gestionnaireLe gestionnaire s'engage à mentionner dans le contrat qu'il passe avec son client les informations sur les conditions légales et réglementaires s'appliquant au service offert, en particulier :- les règles d'emploi du moyen et des conventions secrètes distribuées ;- les sanctions encourues par le client en cas de mauvais usage ou de détournement du moyen dont le gestionnaire gère les conventions secrètes ;- les sanctions encourues par le gestionnaire en cas de perte, vol ou altération des conventions secrètes d'un client.Article 10Cessation d'activitéEn cas de cessation d'activité ou de retrait d'agrément, le gestionnaire s'engage à communiquer à ses clients la liste des organismes agréés offrant les mêmes services. Le gestionnaire s'engage à confier, sur un support électronique standardisé, à l'organisme agréé désigné en application de l'article 13 du décret no 98-102 du 24 février 1998, les conventions secrètes qu'il détenait sous la forme décrite en ASN 1 (Abstract Syntax Notation) :Identification : chaîne de caractères ;Numéro d'utilisateur : entier ;Numéro d'organisme : entier ;Valeur de la clé : chaîne de bits ;Date de validité de la clé : date.Chapitre 2Conditions de gestion des conventions secrètesArticle 11Lieu de gestion des conventions secrètesLe gestionnaire s'engage à effectuer la gestion des conventions secrètes, objet de l'agrément dans les locaux suivants :(A compléter par le gestionnaire pour chaque type d'activité :détention, certification, distribution ou génération)Article 12Moyens de cryptologie utiliséspour la gestion des conventions secrètesPour l'exercice de ses activités de gestion au profit de ses clients, le gestionnaire détient et utilise les moyens cités ci-dessous :(A compléter par le gestionnaire, en précisant pour chaque moyen ou prestation :- le nom du moyen ;- le nom ou la dénomination sociale du fournisseur ;- s'il y a lieu, le numéro d'autorisation de fourniture ou le numéro du récépissé de déclaration délivré par le service central de la sécurité des systèmes d'information.)Chapitre 3Conditions de mise en oeuvreou de remise des conventions secrètesArticle 13Personnels responsables de la mise en oeuvre ou de la remiseLe gestionnaire s'engage à prévoir et à communiquer au service central de la sécurité des systèmes d'information les procédures qui permettent, le cas échéant, la mise en oeuvre ou la remise des conventions secrètes.Il s'engage à organiser l'unicité du point d'entrée et la disponibilité permanente de ces procédures.Article 14Lieu de remise des conventions secrètesLe gestionnaire s'engage à maintenir un service permanent de remise des conventions secrètes dans les locaux suivants :(A compléter par le gestionnaire si le lieu est différentdu lieu de gestion des conventions secrètes)Article 15Lieu de mise en oeuvre des conventions secrètes(A compléter par le gestionnaire si le lieu est différentdu lieu de gestion et du lieu de remise des conventions secrètes)Article 16Moyens de cryptologie utilisés pour la mise en oeuvre des clésLe gestionnaire détient et utilise aux fins exclusives de mise en oeuvre au profit des autorités habilitées les moyens cités ci-dessous :(A compléter par le gestionnaire, en précisant pour chaque moyen ou prestation :- le nom du moyen ;- le nom ou la dénomination sociale du fournisseur.)Article 17Registre des demandes de remiseou de mise en oeuvre des conventions secrètesLe gestionnaire tiendra deux registres distincts, l'un pour les demandes effectuées par les autorités judiciaires, l'autre pour les demandes effectuées dans le cadre du titre II de la loi du 10 juillet 1991.Ce dernier registre est classifié secret défense. Son accès est limité au Premier ministre et à la Commission nationale de contrôle des interceptions de sécurité ainsi qu'aux agents spécialement désignés par l'une ou l'autre de ces autorités.Ces registres sont enfermés dans une armoire forte placée dans la zone à accès contrôlé.Ces registres se présentent sous forme de cahiers reliés, aux pages numérotées par imprimerie dont aucune page ne doit être supprimée. En cas d'erreur, la page suivante doit être utilisée et la page erronée doit être simplement barrée à la main et complétée du nom de l'opérateur avec mention de la date de l'erreur et de sa signature.Sur ces registres doivent être consignées les informations suivantes :a) Pour le registre mentionnant les demandes présentées par les autorités judiciaires :- la date et l'heure de la demande ;- l'identité des personnels ayant reçu la demande ;- les références de la commission rogatoire ou de la réquisition judiciaire ;- la durée de l'autorisation avec éventuellement la prolongation afférente ;b) Pour le registre mentionnant les demandes effectuées dans le cadre du titre II de la loi du 10 juillet 1991, exclusivement :- la date et l'heure de la demande ;- la durée de l'autorisation ;- la référence de l'ordre de communication des conventions secrètes.Le gestionnaire s'engage à remettre les conventions secrètes ou le résultat de la mise en oeuvre aux seules autorités habilitées correspondant au document officiel présenté à l'appui de cette demande.Article 18Conditions techniques de la mise en oeuvreLe gestionnaire met en oeuvre les conventions secrètes sur les moyens dont la liste est donnée à l'article 16 du présent cahier des charges et les dispositifs permettant son identification et celle de son client.Pour ce faire, il attribue et remet à ses clients un identifiant. Ceux-ci l'utilisent pour remplir les champs prévus, aux fins d'identification, dans les moyens de cryptologie décrits à l'article 3 du présent cahier des charges. Cette opération peut aussi être réalisée par le gestionnaire.De plus, le gestionnaire met en oeuvre les dispositifs permettant de contrôler l'intégrité de ces identifiants et données associées. Il conserve ces identifiants dans le répertoire de ses clients prévu à l'article 8 du présent cahier des charges.La mise en oeuvre s'effectue à la demande expresse de l'autorité requérante. Celle-ci fournit les données à déchiffrer sous la forme d'un fichier sur support informatique courant. Ce fichier contient :- l'ensemble des données à déchiffrer sous leur forme brute, telles qu'obtenues juste après l'opération de chiffrement, avant tout éventuel post-traitement, ou insertion d'éléments de protocoles de communication, sans erreur ou omission ;- les données contenues dans la communication permettant d'identifier l'utilisateur, le moyen, le gestionnaire, les éléments cryptologiques complémentaires et les moyens d'en vérifier l'authenticité.Avant d'effectuer tout déchiffrement, le gestionnaire s'engage à vérifier l'authenticité de ces dernières données et à noter tout échec.La procédure de mise en oeuvre a pour seul objet le déchiffrement des données et exclut tout formatage ou interprétation de celles-ci. Les données après déchiffrement sont remises à l'autorité requérante sur un support informatique courant.Le gestionnaire s'engage à ne conserver aucune copie des informations remises aux autorités requérantes.Fait à .................... , le .................... ....................Le gestionnaire : .................... ,(dénomination sociale)représenté par : ....................(nom et qualité du représentant)Signature