Déclaration des Pratiques de Certification
- 1. INTRODUCTION
- 2. RESPONSABILITÉS
- 3. IDENTIFICATION...
- 4. EXIGENCES...
- 5. MESURES...NON TECHNIQUES
- 6. MESURES...TECHNIQUES
- 7. PROFILS...
- 8. AUDITS...
- 9. AUTRES...
1. INTRODUCTION
INTRODUCTION
1.1 Présentation générale
Une Infrastructure à Clé Publique (PKI) est un ensemble des politiques, des moyens techniques, humains, documentaires et contractuels mis à la disposition d'utilisateurs pour assurer, avec des systèmes de cryptographie asymétrique, un environnement sécurisé aux échanges électroniques.
La mise en place d’une telle infrastructure est nécessaire à la sécurité et à la confiance, et ouvre une palette de services à valeur ajoutée pour les transactions électroniques. Les principales fonctions d'une PKI sont d'assurer :
- l’intégrité des messages ;
- l’identification et l'authentification de la source ;
- la non-répudiation de l’origine ;
- la confidentialité.
La Déclaration des Pratiques de Certification (DPC) définie dans le présent document est destinée à être appliquée dans le cadre de la fourniture des services de l'Autorité de Certification Gouvernementale camerounaise (CamGovCA). Elle couvre la gestion et l’utilisation des certificats, pour les fonctions de vérification, d’authentification, d’intégrité, de concordance des clés, et de confidentialité.
La CamGovCA est soumise aux lois et règlements en vigueur sur le territoire de la République du Cameroun, ainsi qu'aux normes et directives en vigueur édictées pour les États de la CEMAC et aux conventions internationales ratifiées par le Cameroun, et qui touchent l'application, l'élaboration, l'interprétation et la validité des politiques de certification en conformité avec la présente DPC.
La loi n° 2010/012 du 21 décembre 2010 relative à la cybersécurité et à la cybercriminalité au Cameroun, en son article 8, alinéa 2, définit l'ANTIC comme l'autorité de certification de l'administration publique. Les activités de certification électronique des institutions publiques sont donc rigoureusement et exclusivement réservées à la CamGovCA. D'autre part, l'autorité de certification de l'administration publique ne se reconnaît pas le droit d'exercer dans le domaine privé.
1.2 Intitulé de la DPC
Ce document porte le titre suivant : « Déclaration despratiques de certification de l'Agence Nationale des Technologies de l'Information et de la Communication, Autorité de Certification Gouvernementale ».
La désignation du numéro d’identification d’objet (OID) pour la présente Déclaration des pratiques de certification est : 2.16.120.200001.4.2.1.
1.3 Responsabilité des acteurs concernés
1.3.1 Autorités de certification
Une Autorité de certification est une entité de confiance chargée de créer et d'attribuer des clés publiques et privées ainsi que des certificats électroniques. C'est une entité autonome désignée en conformité avec la réglementation pour mener de manière fiable et sécurisée les activités d'autorité de certification accréditée.
L'entité pouvant être accréditée comme autorité de certification devra être une administration centrale, une agence de collectivité locale ou une personne morale. Elle devra posséder les capacités techniques et financières, ainsi que les exigences prescrites par le décret N° 2012/1318/PM.- du 22 mai 2012 fixant les conditions et les modalités d’octroi de l’autorisation d’exercice de l’activité de certification électronique au Cameroun.
Les fonctions d'une Autorité de certification sont les suivantes :
Une autorité de certification doit fournir à l’autorité de certification racine des informations correctes relatives notamment à la création des certificats, leurs suspensions, révocations et renouvellements. Une autorité de certification doit immédiatement tenir informés les abonnés et les parties prenantes du processus de certification des informations pouvant avoir une incidence sur la fiabilité ou la validité d'un certificat. Il s'agit des informations liées aux aspects suivants :
Une autorité de certification doit créer ses propres clés de signature électronique de manière sécurisée à l'aide d'un logiciel ou d'un matériel fiable. Ensuite, elle se doit de gérer lesdites clés en toute sécurité en utilisant un module de sécurité répondant aux normes techniques requis en la matière, afin d'éviter toute perte, endommagement, ou même vol desdites clés. La création d'une clé de signature électronique pour un abonné par une autorité de certification devra se faire par le biais d'une méthode sécurisée en utilisant un logiciel ou un matériel fiable. En outre, l'autorité de certification devra coder la clé de signature électronique de l'abonné et la stocker dans un dispositif sécurisé en conformité avec les spécifications de l'algorithme de mot de passe. Pour assurer l'intégrité des clés de création de signature électronique, ladite autorité devra également stocker les autres informations qui seront directement fournies à l'abonné, en l’occurrence le code d'authentification de messages.
Pour la fourniture des services de certification, une autorité de certification devra utiliser sa clé de création de signature électronique certifiée par l’autorité de certification racine. Si les clés de création de signature électronique d'une autorité de certification sont perdues, endommagées, ou même volées, l'autorité concernée en avise immédiatement l’autorité de certification racine et examine les mesures à prendre pour assurer la sécurité et la fiabilité de ses pratiques de certification. Si une autorité de certification reconnaît que ses clés de création de signature électronique ne sont pas sécurisées, elle devra aviser promptement l’autorité de certification racine du fait, puis examiner les contre-mesures pour assurer la sécurité et la fiabilité de ses pratiques de certification. Si une autorité de certification reconnaît que son algorithme de signature électronique n'est pas sécurisé, elle devra immédiatement aviser l’autorité de certification racine de cette situation, et examiner les mesures à prendre pour assurer la sécurité et la fiabilité de ses pratiques de certification. 1.3.1.1 Fourniture et notification des informations correctes
1.3.1.2 Protection des clés de création de signature électronique
1.3.1.3 Utilisation des clés électroniques certifiées de création de signature
1.3.1.4 Notification sur les clés de création perdues, endommagées, volées et mesures a prendre
1.3.1.5 Notification sur la vulnérabilité des clés électroniques de création de signature et mesures a prendre
1.3.1.6 Notification de vulnérabilité de l’algorithme de signature électronique et mesures a prendre
1.3.2 Autorités d'enregistrement
Une autorité d'enregistrement (AE) est une entité qui identifie et authentifie les demandeurs de certificats. Suivant le contexte, elle peut également initier ou transmettre les demandes de révocation de certificats et des demandes de réémission et le renouvellement des certificats.
L'AE doit se conformer à toutes les exigences de la politique de certification et de la déclaration des pratiques de certification de l'autorité de certification à laquelle elle est liée contractuellement. Par ailleurs, les autorités d'enregistrement peuvent mettre en œuvre des pratiques de vérification plus restrictives si leur politique interne le recommande.
Une autorité d'enregistrement interagit avec l'abonné afin de lui fournir des services de gestion des certificats. Dans ce cadre, l'autorité d'enregistrement effectue les opérations ci-après :
- accepte, évalue, approuve ou rejette l'enregistrement des demandes de certificats ;
- enregistre les abonnés aux services de l'autorité de certification ;
- assiste à toutes les étapes de l'identification des abonnés qui lui sont confiées par l'autorité de certification ;
- au besoin, utilise des documents officiels, des actes notariés ou judiciaires pour évaluer une demande de l'abonné ;
- suite à l'approbation de la demande, notifie l'autorité de certification pour l'émission d'un certificat ;
- lance le processus de réémission, de renouvellement, de suspension, de réactivation, de révocation d'un certificat.
1.3.3 Les abonnés
L'abonné est une personne physique ou morale qui a souscrit avec succès un certificat. Il est garant de la véracité des informations relatives au Client contenues dans le dossier, au(x) gestionnaire(s) de certificats et au(x) porteur(s), ainsi que de la mise à jour régulière desdites informations. L'autorité de certification racine et l'autorité de certification accréditée n’assument aucune responsabilité à l'égard de l'abonné quant à la forme, l’exactitude, l’authenticité ou l’effet juridique des pièces justificatives remises par l'abonné, le(s) gestionnaire(s) de certificats et le(s) porteur(s).
1.3.3.1 Conditions d'utilisation des certificats
L'abonné s'engage à utiliser les certificats pour les applications répondant aux critères définis dans la section 1.4.1 de la présente déclaration des pratiques de certification. Il reconnaît que ces critères pourront être modifiés.
1.3.3.2 Obligation d'information
L'abonné garantit que le(s) gestionnaire(s) de certificats et le(s) porteur(s) ont été pleinement informés des dispositions contenues dans le contrat d’abonnement.
1.3.3.3 Respect des obligations par le(s) gestionnaire(s) des certificats et le(s) porteur(s)
L'abonné s’engage en outre à faire respecter les dispositions du contrat d’abonnement aux(x) gestionnaire(s) de certificats ainsi qu'au(x) porteur(s).
1.3.3.4 Publication
Les Client(s), le(s) gestionnaire(s) des certificats et le(s) porteur(s) s'engagent à consulter :
- la Liste des Certificats Révoqués (LCR), qui est actualisée toutes les 24 heures ;
- la Déclaration des Pratiques de Certification de l'autorité de certification qui est responsable de la gestion du cycle de vie du(des) certificat(s) utilisé(s).
Ces documents sont mis à la disposition de l'abonné sur le site internet de l'autorité de certification.
1.3.4 Parties de confiance
Les parties utilisatrices sont les parties qui font confiance aux certificats signés par l’autorité de certification racine, il s'agit de :
- Les autorités de certification y compris les autorités de certification étrangères ayant conclu un accord de reconnaissance mutuelle avec les autorités camerounaises, conformément à l'article 7 alinéa 2 de la loi relative à la cybersécurité et la cybercriminalité au Cameroun ;
- Les abonnés à des autorités de certification y compris les abonnés aux autorités de certification étrangères ayant passé un accord de reconnaissance mutuelle conformément à l'article 7, alinéa 2 de la loi relative à la cybersécurité et la cybercriminalité ;
Les devoirs des parties utilisatrices sont les suivantes :
1.3.4.1 Comprendre l'objet de l'usage de certificats
Le tiers de confiance doit comprendre le bien fondé d'utiliser un certificat délivré par la CamGovCA, concernant le champ d'application et d'utilisation des certificats.
1.3.4.2 Vérification du certificat
Avant d'utiliser un certificat, le tiers de confiance devra vérifier les informations y relatives, notamment sa période de validité, sa portée, son utilisation, son authenticité, etc.
1.3.5 Autres Participants
Agence Nationale des Technologies de l'Information et de la Communication (ANTIC)
Aux termes de l'article 7 de la loi n° 2010/012, l'ANTIC assure pour le compte de l'État la régulation, le contrôle et le suivi des activités liées à la sécurité des systèmes d'information et des réseaux de communications électroniques, et à la certification électronique.
À ce titre, elle a notamment pour missions de :
- instruire les demandes d'accréditation et de préparer les cahiers des charges des autorités de certification et de les soumettre à la signature du Ministre chargé des Télécommunications ;
- contrôler la conformité des signatures électroniques émises ;
- participer à l'élaboration de la politique nationale de sécurité des réseaux de communications électroniques et de certification ;
- émettre un avis consultatif sur les textes touchant à son domaine de compétence ;
- contrôler les activités de sécurité des réseaux de communications électroniques, des systèmes information et de certification ;
- instruire les demandes d'homologation des moyens de cryptographie et de délivrer les certificats d'homologation des équipements de sécurité ;
- préparer les conventions de reconnaissance mutuelles avec les parties étrangères et de les soumettre à la signature de Ministre chargé des Télécommunications ;
- participer aux activités de recherche, de formation et d'études afférentes à la sécurité des réseaux de communications électroniques, des systèmes d'information et de certification.
En qualité d'Autorité de Certification de l’Administration Publique, l'ANTIC a le devoir d'assurer les fonctions ci-après :
1. Gestion du cycle de vie des certificats
L’ANTIC, en sa qualité d’Autorité de Certification de l’Administration Publique, a le devoir d’émettre, de réémettre, de renouveler, de réactiver, de modifier les informations, de suspendre et de révoquer les certificats électroniques de ses abonnés.
2. Sécurisation des applications
L’ANTIC, en sa qualité d’Autorité de Certification de l’Administration Publique, doit sécuriser les applications de l’Administration Publique.
Dans le cadre de la sécurisation du cyberespace national, elle a également le devoir de sécuriser les applications de l’Administration privée en attendant l’accréditation des Autorités de Certification qui exerceront dans le domaine privé.
3. Fourniture et notification d'informations crédibles
L'ANTIC devra notifier les Autorités d’Enregistrement, les clients, les abonnés ainsi que toutes les parties prenantes des informations ayant un impact sur la fiabilité et la validité d'un certificat, qui sont vérifiables. Il s'agit :
- des informations sur les certificats de la CamGovCA, des AE, des clients et des abonnés. Il s’agit notamment du numéro, de la validité ;
- de la liste des certificats révoqués ;
- d'autres informations liées à l'exécution de la pratique de certification.
2. Mise sur pied des mesures applicables à la création des signatures électroniques illicites
Si l'Agence, en sa qualité d'Autorité de certification de l’Administration Publique, se rendait compte que son système de création de clés électroniques était corrompu, elle devra révoquer immédiatement tous les certificats issus dudit système ainsi que leurs clés, et régénérer les certificats en créant de nouvelles clés de signature électroniques. Après ces opérations, l'Agence devra signifier à ses clients, abonnés les faits sus-évoqués, vérifiables par quiconque afin d'en tenir compte pour assurer la fiabilité et la sécurité des pratiques de certification.
Également, si l'ANTIC est notifiée par une Autorité d’Enregistrement, un client, un abonné, un mandataire, de la perte, de l’endommagement, du vol ou des faiblesses de sa clé de création des signatures électroniques, l'Agence devra révoquer le certificat délivré à ce dernier et l'annoncer de telle sorte que quiconque puisse le vérifier.
Par ailleurs, si la notification reçue par l'ANTIC a été émise par une autorité d’enregistrement sous la direction d'un organisme national ou d'une entité locale autonome, de la perte, de l’endommagement, du vol ou de la faiblesse des clés de création de signature électronique, l'Agence avisera diligemment le président du Comité chargé de la gestion des différends.
3. Mise sur pied des mesures applicables à la vulnérabilité de l’algorithme de signature électronique
En cas de fait avéré de non sécurisation de l'algorithme de signature électronique utilisé dans la pratique de certification, l'ANTIC révoquera tous les certificats ayant été émis à l'aide dudit algorithme. La vérification de cet acte pourra s'effectuer au besoin par quiconque dans le système de gestion de certification, ceci dans l'optique d'assurer la sécurité et la fiabilité des pratiques de certification.
Si l'ANTIC est informée par une AE, un client, un abonné, un mandataire, d'une faille dans l'algorithme de signature électronique, l'Agence révoquera le certificat qui lui a été délivré, puis diffusera sans délai cet acte, afin que cela puisse être confirmé par quiconque dans la gestion du système de certification.
Par ailleurs, si l'Agence est informée par une AE, un client, un abonné, un mandataire, sous la direction d'un organisme national ou une entité locale autonome de la vulnérabilité dans l'algorithme de signature électronique, elle devra aviser immédiatement le Comité en charge de la gestion des différends.
1.3.6 Comité chargé de gérer les différends entre les autorités de certification accréditées, les auditeurs de sécurité, les éditeurs de logiciels de sécurité et les autres prestataires de sécurité agréés
Un texte particulier du Conseil d'Administration de l'Agence fixe l'organisation et les modalités de fonctionnement de ce Comité.
1.4 Usage des certificats
1.4.1 Domaines d'utilisation applicables
Les certificats signés et délivrés par la CamGovCA doivent être utilisés pour vérifier la concordance des clés de signature électronique lui appartenant.
Les certificats émis en vertu de la présente DPC sont appropriés pour établir le lien qui existe entre une identité et une clé publique.
La CamRootCA signe le certificat de l'autorité de certification gouvernementale (CamGovCA).
La CamGovCA signe les certificats des AE, des clients, des abonnés, des mandataires et signe aussi la liste des certificats révoqués.
Les bi-clés et certificats de la CamGovCA sont utilisés à des fins de signature de certificats, et de CRL. Ils peuvent aussi être utilisés à des fins de confidentialité ou à des fins d'authentification.
1.4.2 Domaines d'utilisation interdits
Aucune utilisation autre que celle définie dans le paragraphe 1.4.1 n'est couverte par la présente DPC. Un abonné ou une AE dont le certificat est émis par la CamGovCA n’est pas autorisé à :
- émettre ou utiliser des certificats non compatibles X.509 ;
- fournir des fonctions non couvertes dans la présente DPC ;
- utiliser son certificat pour accréditer une ACA, une AE ou un autre abonné ;
- fournir des services non déclarés par la politique de certification au moment de la signature de son certificat par la CamGovCA.
1.5 Gestion de la Déclaration des Pratiques de Certification
1.5.1 Entité en charge de la gestion de la DPC
La présente DPC est sous la responsabilité de l'ANTIC.
1.5.2 Point de contact
Le Directeur Général de l’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC), Yaoundé, République du Cameroun.
- Téléphone : (+237) 22 08 64 97 - (+237) 22 08 64 98 ;
- Télécopieur : (+237) 22 20 39 31 ;
- Courrier électronique : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser..
1.5.3 Entité déterminant la conformité de cette DPC avec la PC
La Direction Générale de l’Agence valide la conformité de cette Déclaration des Pratiques de Certification avec la politique de certification édictée par la CamRootCA.
1.5.4 Procédures d'approbation de la conformité de la DPC
La CamGovCA est garante de l'application de la présente DPC avec la Politique de Certification. Elle est également responsable de sa gestion et ses mises à jour. Toute demande de mise à jour de la DPC suit le processus d’approbation mis en place par l'ANTIC. Toute nouvelle version de la DPC est publiée sans délai, conformément aux exigences du paragraphe 2.2.
La DPC sera déclarée conforme à l'issue d'un processus d'approbation établi par l'Agence qui rend compte au Ministre des Postes et Télécommunications de l'établissement ou de la révision de ladite DPC, et avise individuellement l'autorité de certification racine et les autorités d’enregistrement placées sous son contrôle, de ce fait.
L'attestation de pratique établie ou révisée entre en vigueur dès la date de validation de la DPC.
1.6 Définitions et abréviations
1.6.1 Définitions
Abonné : entité à qui un certificat a été émis.
Abonné au certificat : personne physique habileté par un client de la CamGovCA pour demander un certificat au nom d’un ou de plusieurs titulaires, personnes physiques, fonctions ou applications.
Autorité de certification (AC) : autorité de confiance chargée de créer et d'attribuer les clés publiques et privées ainsi que les certificats électroniques ;
Autorité d'Enregistrement (AE) : entité chargée d'identifier et d'authentifier les demandeurs de certificats, ainsi que d'initier ou de transmettre les demandes de révocation de certificats, de réémission et le renouvellement des certificats.
Certification : acte de contrôler que les clés électroniques de vérification de signature sont conformes au dispositif de création des signatures électroniques appartenant à une personne physique ou morale.
Certificat électronique : document électronique sécurisé par la signature électronique de la personne qui l'a émis et qui atteste après constat la vérification de son contenu.
Clé de création de signature électronique : ensemble constitué de données électroniques qui sont utilisées pour la création de la signature électronique.
Clé de signature électronique : dispositif de création de signature électronique ainsi que des correspondances en vue de la vérification desdites signatures.
Clé de vérification de signature électronique : ensemble constitué de données électroniques qui sont utilisés pour la vérification de la signature électronique.
Client : organisme, application, personne morale ou physique, qui a signé un contrat avec la CamGovCA pour disposer des certificats électroniques.
Contrôle d'identité : acte de vérification de l'authenticité des informations sur le demandeur ou sur une autorité de certification, afin d'assurer la fiabilité du certificat à la création, la suspension, la révocation et le renouvellement.
Données électroniques : informations générées, envoyées et reçues ou stockées sous forme électronique par l'utilisation de dispositifs de traitement de données, tel qu'un ordinateur.
Mandataire : personne ayant, directement par la loi ou par délégation le pouvoir d’autoriser une demande de certificat portant le nom de l’organisation. Il peut aussi avoir d’autres pouvoirs au nom de l’organisation comme celui de révocation. À défaut de désignation, le représentant légal est l’unique mandataire de certification.
Nom distinctif (DN) : nom utilisé pour identifier l'autorité qui a délivré le certificat et le propriétaire d'un certificat. Il doit respecter les normes techniques concernant l'installation des autorités de certification et des périphériques.
Pratiques de certification : pratique consistant à fournir des services tels que la certification, la délivrance des certificats, et la gestion des données relatives à la certification électronique.
Signature électronique : signature obtenue par un algorithme de chiffrement asymétrique permettant d'authentifier l'émetteur d'un message et d'en vérifier l'intégrité.
Tiers de confiance : personne ou entité qui utilise le certificat reçu de l'ANTIC, en s'appuyant sur la confiance qu'il a pour celui-ci.
1.6.2 Abréviations
AC : Autorité de certification ;
ACA : Autorité de certification Accréditée ;
AH : Autorité d'Horodatage ;
ACR : Autorité de Certification Racine ;
ANTIC : Agence Nationale des Technologies de l'Information et de la Communication ;
CamGovCA : Cameroon Governmental Certification Authority ;
CamRootCA : Cameroon Root Certification Authority ;
CRL : Certificate Revocation List ;
DPC : Déclaration des pratiques de Certification ;
HSM : Harware Security Module
PKI : Public Key Infrastructure (Infrastructure à Clé Publique).
LAR : Liste des Certificats d'AC Révoqués ;
LCR : Liste des Certificats Révoqués ;
LDAP : Lightweight Directory Access Protocol ;
OCSP : Online Certificate Status Protocol.
2. RESPONSABILITÉS
RESPONSABILITÉS CONCERNANT LA MISE À DISPOSITION DES INFORMATIONS DEVANT ÊTRE PUBLIÉES
2.1 Entités chargées de la mise a disposition des informations
À travers un protocole d'accès reposant sur des normes appropriées, la CamGovCA publie les informations sur l'état des certificats à destination des autorités d’enregistrement, des clients, des abonnés, des tiers de confiance.
La fonction de publication de la CamGovCA met à disposition l’information sur l'état des certificats par le biais de fichier « LCR ». La LCR de la CamGovCA est publiée et téléchargeable sur son site Internet « www.camgovca.cm ».
2.2 Informations devant être publiées
La CamGovCA a pour obligation de publier au minimum les informations suivantes à destination des autorités de certifications accréditées :
- la politique de certification utilisée, c'est-à-dire celle édictée par la CamRootCA, ;
- la liste des certificats révoqués ;
- le certificat de la CamGovCA ;
- la liste des autorités d'enregistrement et leurs certificats respectifs ;
- les formulaires de demande de certificat.
2.3 Délais et fréquence de publication
La CamGovCA publie immédiatement les certificats après leur signature. Les informations relevant des services délivrés par la CamGovCA et des engagements des AE sont également publiées dès que nécessaire.
Les services assurant la publication de ces informations sont disponibles 24h/24. Les délais et fréquences de publication des informations relatives à l'état des certificats ainsi que les exigences de disponibilité des systèmes les publiant sont décrites aux points 4.9 et 4.10.
2.4 Contrôle d'accès aux informations publiées
L'ensemble des informations publiées par la CamGovCA est libre d'accès en lecture. L'accès en modification aux systèmes de publication (ajout, suppression, modification des informations publiées) est strictement limité aux fonctions internes habilitées à travers un contrôle d'accès fort conformément à la charte de sécurité du Centre PKI
3. IDENTIFICATION...
IDENTIFICATION ET AUTHENTIFICATION
3.1 Nommage
Les conventions de nommage sont respectées et appliquées via un processus formel qui nécessite l'approbation de la CamRootCA (Autorité de délivrance) pour la dénomination utilisée dans tous les certificats.
3.1.1 Types de noms
Les conventions de nommage sont exploitées en conformité avec la présente DPC. Les noms utilisés sont conformes aux spécifications de la norme [X.500]. Dans chaque certificat conforme à la norme [X.509] v3 la CamGovCA (issuer) et l’abonné ou l'AE (subject) sont identifiés par un "Distinguished Name" (DN) de type [X.501]. Des règles sur la construction du DN de ces champs sont précisées dans la présente DPC.
3.1.2 Nécessité d'utilisation de noms explicites
Les conventions de nommage sont exploitées en conformité avec la présente DPC. Le contenu des champs de nom Subject doit avoir un lien explicite avec l’abonné ou l'AE.
Un nom distinctif doit contenir de manière obligatoire les champs suivants :
- le champ Country C ;
- le champ Organisation (O) ;
- le champ Organisation Unit (OU) ;
- le champ Common Name (CN).
La CamGovCA définit sa politique de nommage et se réserve le droit de prendre toutes décisions concernant les noms des organisations, qu'elles soient de droit public ou de droit privé, et de toutes autres entités identifiées dans le cadre des certificats signés. Un abonné ou une AE demandant un certificat doit avoir le droit d'utiliser le nom qu'elle souhaite y voir figurer, mais doit être en mesure de prouver qu'elle a le droit d'utiliser un nom en particulier.
Aucun client, abonné et aucune AE ne sont autorisés d’utiliser un nom déjà utilisé par la CamGovCA, une AE rattachée à la CamGovCA ou réservée par un client ou un abonné.
En cas de différend au sujet d'un nom dans un dépôt de documents dont un abonné, un client ou une AE n'a pas le contrôle, la CamGovCA s'assure qu'il existe, dans le contrat associé à ce dépôt, une procédure de règlement des différends au sujet des noms.
3.1.3 Pseudonymisation des porteurs
La présente DPC n’autorise pas l’utilisation de pseudonymes dans ses certificats.
3.1.4 Règles d'interprétation des différentes formes de noms
Les formes de noms seront interprétées en conformité avec la présente DPC.
3.1.5 Unicité des noms
L'unicité des noms sera interprétée en conformité avec la présente DPC. L’anonymat ou le pseudonyme des AE, des clients, des abonnés ne sont pas supportés par la présente DPC.
3.2 Validation initiale de l'identité
3.2.1 Méthode pour prouver la possession de la clé privée
La CamGovCA vérifie que le demandeur est véritablement en possession de la clé privée associée à la clé publique qui sera inscrite dans son certificat. Cette vérification peut être réalisée à partir d’un paquet de demande de certificat au standard PKCS#10 par vérification de la preuve de possession.
3.2.2 Validation de l'identité d'un organisme
La CamGovCA vérifie le nom, le registre de commerce, le numéro de contribuable de l’organisme, l’identité de son représentant légal et/ou de toute personne désignée par ce dernier, directement ou indirectement, pour le représenter.
Lors de l'enregistrement, l’organisme doit apporter la preuve de son existence légale, la preuve de l’identité de son représentant légal ainsi que la chaîne des autorisations conférant leur pouvoir aux mandataires de certification. La CamGovCA archive toutes les informations pertinentes relatives à cet enregistrement.
3.2.3 Validation de l'identité d'une personne physique
La CamGovCA procède à la vérification de l'identité d'une personne physique à la suite de l'entretien avec lui d'après les procédés suivants :
- vérification de ses pièces d'identités et/ou celles de son mandataire ;
- contrôle des pièces attestant que le demandeur et/ou son mandataire a qualité pour représenter une structure.
Dans le cas d'utilisation d'un système d'information pour authentifier une personne physique, la CamGovCA s'assure que la procédure offre un niveau de garantie équivalent à une authentification physique.
3.3 Identification et validation d'une demande de renouvellement de clés
Le renouvellement de la paire de clés d'un certificat entraîne automatiquement la génération et la fourniture d'un nouveau certificat.
Pour des raisons de sécurité, un nouveau certificat ne peut pas être fourni à un abonné, un client ou une AE sans renouvellement de la paire de clés correspondante (cf. titre 5.6).
3.3.1 Identification et validation pour un renouvellement courant
Le renouvellement courant ne peut être demandé que par l’entité ayant initialement formulé une demande de certificat.
3.3.2 Identification et validation pour une réactivation après suspension
Suite à la suspension d'un certificat, quelle qu'en soit la cause, la réactivation peut être effectuée tant que la date d’expiration du certificat n’est pas encore arrivée. La réactivation, dans ce cas, ne peut être demandée que par l’entité ayant initialement formulé une demande de suspension du certificat.
3.3.3 Identification et validation pour un renouvellement après révocation
Suite à la révocation d'un certificat, quelle qu'en soit la cause, le renouvellement ne peut plus être effectué.
Si l’entité souhaite solliciter un nouveau certificat, il doit simplement régénérer sa paire de clés et soumettre sa demande à la signature de la CamGovCA.
3.4 Identification et validation d'une demande de suspension
La suspension ne peut être demandée que par l’entité ayant demandée initialement le certificat.
4. EXIGENCES...
EXIGENCES OPÉRATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS
4.1 Demande de certificat
4.1.1 Origine d'une demande de certificat
Un certificat ne peut être demandé que par l'abonné, son représentant légal ou son mandataire.
Les pièces suivantes sont exigées dans le cadre de l'identification des demandeurs de certificats :
- Pour un individu
. carte d'identité du demandeur ou
. passeport ou
. carte de séjour ou
. permis de conduire.
- Pour un fonctionnaire de l'administration publique
. carte nationale d'identité de l'utilisateur ;
. carte nationale d'identité du demandeur ou du mandataire ;
. carte de contribuable de l'administration.
- Pour un employé d'une entreprise de l'État :
. carte nationale d'identité de l'utilisateur ;
. carte nationale d'identité du demandeur ou du mandataire ;
. carte de contribuable de l'entreprise ;
. registre du commerce de l'entreprise.
- Pour une autorité d'enregistrement
. carte nationale d'identité de l'opérateur ;
. carte nationale d'identité du demandeur ou du mandataire ;
. carte nationale d'identité du représentant légal ;
. carte de contribuable de l'entreprise ;
. registre du commerce de l'entreprise.
4.1.2 Processus d'établissement d'une demande de certificat
La personne qui désire obtenir un certificat peut retirer le formulaire de demande de certificat auprès de son AE de rattachement ou le télécharger. Le demandeur de certificat est invité à servir tous les champs de la demande afin de la remettre à l'opérateur de l'AE.
L'opérateur de l'AE remettra au demandeur du certificat les informations suivantes :
- un numéro de code PIN ;
- le lien permettant au demandeur d'achever le processus de délivrance du certificat par lui-même.
4.2 Traitement d'une demande de certificat
4.2.1 Exécution des processus d'identification et de validation de la demande
L'émission d'un certificat par la CamGovCA signifie que celle-ci a définitivement et complètement approuvé la demande de certificat d'une entité finale selon les procédures décrites dans la présente DPC. La CamGovCA conserve ensuite une trace des justificatifs d'identité présentés sous la forme d'une photocopie signée à la fois par l'entité concernée et par la CamGovCA. Ces signatures étant précédées de la mention "copie certifiée conforme à l'original".
4.2.2 Acceptation ou rejet des demandes de certificat
À la réception d’une demande de certificat, l'opérateur de l'AE vérifie la véracité des informations contenues sur la demande de certificat.
Une trace écrite de cette demande de certificat devra rester au niveau de l'AE. Ce n'est qu'après cette opération que l'AE peut permettre au demandeur de poursuivre la procédure d'obtention du certificat électronique.
Toutefois, une demande de certificat peut être rejetée par l'AE aux motifs suivants :
- informations incomplètes ;
- informations erronées.
4.6 Renouvellement d'un certificat
4.6.1 Cause possible de renouvellement d'un certificat
Cause possible de renouvellement d'un certificat
4.6.2 Origine d'une demande de renouvellement d'un certificat
Origine d'une demande de renouvellement d'un certificat
4.6.3 Procédure de traitement d'une demande de renouvellement d'un certificat
Procédure de traitement d'une demande de renouvellement d'un certificat
4.6.4 Notification au bénéficiaire de l'établissement d'un nouveau certificat
Notification au bénéficiaire de l'établissement d'un nouveau certificat
4.7 Délivrance d'un nouveau certificat suite a un changement de la paire de clé
4.7.1 Causes possibles de changement de la paire de clé
Liste des raisons susceptibles de justifier un changement de la paire de clés
4.7.2 Origine d'une demande d'un nouveau Certificat
Vérification de l’initiateur d’une demande d’un nouveau certificat
4.7.3 Procédure de traitement d'une demande d'un nouveau Certificat
Traitement d’une demande de renouvellement de certificat
4.7.4 Notification au bénéficiaire de l'établissement d'un nouveau Certificat
Méthode de notification de délivrance du certificat
4.7.5 Démarche d'acceptation du nouveau Certificat
Processus d’acceptation par le demandeur du certificat délivré
4.8 Modification du Certificat
Politique de modification de certificat
4.9 Révocation et suspension des Certificats
4.9.1 Causes possibles d'une révocation
4.9.2 Origines de la demande de révocation
4.9.4 Délai accordé pour formuler une demande de révocation
Délai nécessaire au lancement de la procédure de révocation
4.9.5 Délai de traitement d'une demande de révocation
4.9.6 Exigences de la vérification de révocation par les utilisateurs de certificat
Vérifications à faire par les utilisateurs de certificat avant utilisation
4.9.9 Disponibilité d'un système de vérification en ligne de l'état des certificats
Méthode de vérification en ligne de l’état de certificats
4.9.10 Exigences de la vérification en ligne de la révocation des certificats par les utilisateurs
Vérifications à faire par les utilisateurs de certificat avant utilisation
4.9.11 Autres moyens disponibles d'information sur les révocations
Autres méthodes de notification de la révocation d’un certificat
4.9.12 Exigences spécifiques en cas de compromission de la clé privée
Actions à mettre en œuvre en cas de compromission de la clé privée de l’autorité de certification gouvernementale
4.9.13 Causes possibles d'une suspension
Liste des raisons susceptibles de justifier la suspension du certificat de la CamGovCA
4.9.14 Origine d'une demande de suspension
Liste des potentiels initiateurs d’une demande de suspension du certificat de la CamGovCA
4.9.15 Procédures de traitement d'une demande de suspension
Traitement d’une demande de suspension de certificat
4.10 Fonction d'information sur l'état des Certificats
4.10.1 Caractéristiques opérationnelles
Informations nécessaires à la CamGovCA concernant les certificats
4.11 Fin de la relation entre la CamRootCA et la CamGovCA
Processus de révocation du certificat de la CamGovCA en cas de fin de relation avec l’autorité racine
5. MESURES...NON TECHNIQUES
MESURES DE SÉCURITÉ NON TECHNIQUES
5.1 Mesures de sécurité physiques
5.1.1 Situation géographique et construction des sites
Mesures de sécurité dans la localisation et la construction du (des) site(s) pour assurer un environnement de travail sécurisé
5.1.3 Alimentation électrique et climatisation
- Source auxiliaire d’énergie électrique
- Mesures prises pour assurer une bonne ventilation dans les salles d’équipement
5.1.6 Conservation des supports
Procédures et outils de conservation des supports de stockage des informations nécessaires au bon déroulement des activités de la PKI
5.1.7 Mise hors service des supports
Procédures et outils de mise hors service des supports de stockage des informations nécessaires au bon déroulement des activités de la PKI
5.2 Mesures de sécurité procédurales
5.2.2 Nombre de personnes requises par tâche
Nombre minimum de personnels pour chaque tâche sensible
5.2.3 Identification et authentification pour chaque rôle
Méthodes de vérification de l’identité du personnel avant d’accorder l’accès au système
5.3 Mesures de sécurité vis a vis du personnel
5.3.1 Qualifications, compétences et habilitations requises
Minimum exigé pour chaque personnel en fonction du poste occupé
5.3.3 Exigences en matière de formation initiale
Minimum exigé pour chaque personnel concernant leur formation
5.3.4 Exigences et fréquence en matière de formation continue
Contenu et fréquence de formation continue des personnels
5.3.5 Fréquence et séquence de rotation entre les différentes attributions
Fréquence et séquence de rotation entre les différentes attributions
5.3.6 Sanctions en cas d'accès non autorisés
Politique de sanctions en cas de violation de la politique de sécurité
5.4 Procédures de constitution des données d'audit
5.4.2 Fréquences de traitement des journaux d’événements
Fréquence de consultation, de vérification et d’interprétation des journaux d’événements conservés
5.4.3 Période de conservation des journaux d’événements
Temps pendant lequel les journaux d’événements sont conservés
5.4.4 Protection des journaux d’événements
Méthodes de protection des journaux d’événements enregistrés
5.4.5 Procédure de sauvegarde des journaux d’événements
Moyens et méthodes de sauvegarde des journaux d’événements
5.4.6 Système de collecte des journaux d’événements
Moyens utilisés pour la collecte des journaux d’événements
5.4.7 Notification de l'enregistrement d’un événement au responsable de l’événement
Processus de notification de l’enregistrement d’un événement
5.5 Archivage des données
5.7 Reprise a la suite d'une compromission ou d'un sinistre
5.7.1 Procédures de traitement des incidents et des compromissions
Actions mises en œuvre en cas de détection ou de suspicion d’intrusion
5.7.2 Procédures de reprise en cas de corruption des ressources informatiques
Actions mises en œuvre en cas de corruption des ressources informatiques
5.7.3 Procédures de reprises en cas de compromission de la clé privée d'une composante de la PKI
Actions mises en œuvre en cas de détection ou de suspicion de compromission de la clé privée d’une composante de la PKI
6. MESURES...TECHNIQUES
MESURES DE SÉCURITÉ TECHNIQUES
6.1 Génération et installation des paires de clé
6.1.1 Génération des paires de clé
6.1.1.1 Clés de la CamGovCA
Procédure de génération des clés de l’autorité de certification gouvernementale
6.1.1.2 Clés générées par la CamRootCA pour la CamGovCA
Procédure de génération des clés de la CamGovCA
6.1.2 Transmission de la clé privée a la CamGovCA
Procédure de transmission de la clé privée à la CamGovCA
6.1.3 Transmission de la clé publique a la CamGovCA
Procédure de transmission de la clé publique à la CamGovCA
6.1.4 Transmission de la clé publique de la CamRootCA
Procédure de transmission de la clé publique de l’autorité de certification racine
6.1.5 Taille des clés
Taille retenue pour les clés de l’autorité de certification racine et de l’autorité de certification gouvernementale
6.1.6 Vérification de la génération des paramètres des paires de clés et de leur qualité
Méthodes de vérification du processus de génération des paires de clés
6.2 Mesures de sécurité pour la protection des clés privées et pour les modules cryptographiques
6.2.1 Standards et mesures de sécurité pour les modules cryptographiques
6.2.2 Contrôle de la clé privée par plusieurs personnes
Répartition de la responsabilité du contrôle de la génération des clés privées
6.2.3 Séquestre de la clé privée
Politique adoptée concernant le séquestre des clés privées de l’autorité gouvernementale
6.2.4 Copie de secours de la clé privée
Mesures de conservation d’une copie de secours des clés privées de l’autorité gouvernementale
6.2.5 Archivage de la clé privée
Politique adoptée concernant l’archivage des clés privées de l’autorité gouvernementale
6.2.6 Transfert de la clé privée vers/depuis le module cryptographique
Mesures de transfert et de conservation des clés privées de l’autorité gouvernementale
6.2.7 Méthode d'activation de la clé privée
Processus d’activation des clés privées de l’autorité gouvernementale
6.2.8 Méthode de désactivation de la clé privée
Processus de désactivation des clés privées de l’autorité gouvernementale
6.2.9 Méthode de destruction de la clé privée
Processus de destruction des clés privées de l’autorité gouvernementale
6.4 Données d'activation
6.4.1 Génération et installation des donnés d'activation
6.4.1.1 Génération et installation des données d'activation pour la clé privée de la CamGovCA
Processus de génération et l'installation des données d'activation d'un module cryptographique de la PKI
6.4.1.2 Génération et installation des données d'activation pour la clé privée des abonnés et des AE
Processus de génération et l'installation des données d'activation d'un module cryptographique des abonnés et des AE
6.5 Mesures de sécurité des systèmes informatiques
6.6 Mesures de sécurité des systèmes durant leur cycle de vie
6.6.1 Mesures de sécurité liées au déploiement des systèmes
Dispositions prises pour assurer un déploiement sécurisé des systèmes
6.6.2 Mesures liées a la gestion de la sécurité
Dispositions prises pour assurer la sécurité du cœur cryptographique de l’autorité gouvernementale
7. PROFILS...
PROFILS DES CERTIFICATS, OCSP et LCR
8. AUDITS...
AUDITS DE CONFORMITÉ ET AUTRES ÉVALUATIONS
Les audits et les évaluations concernent ceux que doit réaliser, ou faire réaliser, l'ANTIC dans le cadre des audits de sécurité annuels auxquels sont soumis les AE.
Le présent chapitre ne concerne que les audits et autres évaluations relevant de la responsabilité de la CamGovCA afin de s'assurer du bon fonctionnement de son système, et du contrôle de conformité ainsi que du respect des engagements pris par les AE dans le cadre de leur activité.
8.1 Fréquences et/ou circonstances des évaluations
Avant la première mise en service d'une composante de son système ou suite à toute modification significative au sein d'une composante, la CamGovCA procède à un contrôle de conformité de cette composante.
La CamGovCA procède également à un contrôle de conformité de l'ensemble de son système, suivant la fréquence d'une fois par an par la CamRootCA.
Des audits de sécurité internes sont aussi effectués pour s’assurer du bon fonctionnement du système une fois tous les six (06) mois.
En ce qui concerne les AE, la CamGovCA participe d'une part, à l'évaluation technique des demandes d'installation, et d'autre part aux missions semestrielles d'audit de sécurité.
8.2 Identités/qualifications des évaluateurs
Le contrôle d'une composante est assigné par la CamGovCA à une équipe d'auditeurs compétents en sécurité des systèmes d'infrastructures à clé publique (PKI).
8.3 Relation entre les évaluateurs et les entités évaluées
L'équipe d'audit ne doit pas appartenir à l'entité opérant la composante contrôlée, quelle qu'elle soit.
8.4 Sujets couverts par les évaluations
Les contrôles de conformité portent sur une composante de la PKI (contrôles ponctuels) ou sur l’ensemble de son architecture (contrôles périodiques) et visent à vérifier le respect des engagements et pratiques définis dans la présente DPC qui y répond ainsi que des éléments qui en découlent (procédures opérationnelles, ressources mises en œuvre, etc.).
Les évaluations seront axées sur les points ci-après :
- toute la documentation et les enregistrements ;
- les termes des contrats et les prestations ;
- la conformité avec les lois et règlements applicables ;
- le contrôle physique et logique des installations abritant le système ;
- les ressources humaines et leur organisation ;
- le contrôle des équipements et des logiciels qui y sont installés ;
- le contrôle de conformité des clés, des certificats, du chiffrement et de la signature électronique.
8.5 Actions prises suite aux conclusions des évaluations
8.5.1 Audits internes
À l’issue d'un contrôle de conformité, l'équipe d'audit de sécurité interne rend à la CamGovCA, l'un des avis suivants:
- "réussite",
- "échec",
- "à confirmer".
Selon l’avis rendu, les conséquences du contrôle sont les suivantes :
- En cas d’échec, et selon l’importance des non-conformités, l'équipe d'audit de sécurité interne émet des recommandations à la CamGovCA pour corriger les défaillances observées. Le choix de la mesure à appliquer est effectué par l'équipe d'auditeurs et doit respecter la politique de sécurité et la politique de certification appliquées par la CamGovCA. Puis, un contrôle de « confirmation » permettra de vérifier que tous les points critiques ont bien été résolus.
- En cas de réussite, l'équipe d'audit de sécurité interne confirme au Chef de Centre PKI la conformité aux exigences de la présente DPC et la PC associée.
- En cas de l’avis « à confirmer », l'équipe d'audit de sécurité interne remet à la CamGovCA un avis précisant sous quel délai les non-conformités doivent être réparées et émet des recommandations à la CamGovCA pour respecter la politique de sécurité et la politique de certification appliquées par la CamGovCA. Puis, un contrôle de « confirmation » permettra de vérifier que tous les points critiques ont bien été résolus.
8.5.2 Audits externes
À l’issue d'un contrôle de conformité, la CamRootCA rend à la CamGovCA, l'un des avis suivants:
- "réussite",
- "échec",
- "à confirmer".
Selon l’avis rendu, les conséquences du contrôle sont les suivantes :
- En cas d’échec, et selon l’importance des non-conformités, la CamRootCA émet des recommandations à la CamGovCA qui peuvent être la cessation (temporaire ou définitive) d'activités, la révocation du certificat de la composante, la révocation de l’ensemble des certificats émis depuis le dernier contrôle positif, etc. Le choix de la mesure à appliquer est effectué par la CamRootCA et doit respecter la politique de sécurité et la politique de certification appliquées par la CamGovCA.
- En cas de résultat "À confirmer", la CamRootCA remet à la CamGovCA un avis précisant sous quel délai les non-conformités doivent être réparées. Puis, un contrôle de « confirmation » permettra de vérifier que tous les points critiques ont bien été résolus.
- En cas de réussite, la CamRootCA confirme à la CamGovCA la conformité aux exigences de la présente DPC et la PC associée.
8.5.3 Audits semestriels des AE
À l’issue d'un contrôle de conformité, la CamGovCA rend à l'AE, l'un des avis suivants:
- "réussite",
- "échec",
- "à confirmer".
Selon l’avis rendu, les conséquences du contrôle sont les suivantes :
- En cas d’échec, et selon l’importance des non-conformités, l'équipe d'auditeurs de la CamGovCA émet des recommandations à l'AE auditée qui peuvent être la cessation (temporaire ou définitive) d'activités, la révocation du certificat de la composante, la révocation de l’ensemble des certificats émis depuis le dernier contrôle positif, etc. Le choix de la mesure à appliquer est effectué par la CamGovCA et doit permettre à l'AE de respecter la DPC édictée par la CamGovCA.
- En cas de résultat "À confirmer", l'équipe d'auditeurs de la CamGovCA remet à l'AE auditée un avis précisant sous quel délai les non-conformités doivent être réparées. Puis, un contrôle de « confirmation » permettra de vérifier que tous les points critiques ont bien été résolus.
- En cas de réussite, la CamGovCA confirme à l'AE la conformité aux exigences de la présente DPC et la PC associée.
En tant que de besoin, des contrôles inopinés ou avertis peuvent être entrepris par la CamGovCA.
9. AUTRES...
AUTRES PROBLÉMATIQUES MÉTIERS ET LÉGALES
9.1 Tarifs
9.1.1 Tarifs pour la fourniture et le renouvellement des certificats
Les tarifs pratiqués par la CamGovCA respectent les dispositions de l'arrêté conjoint N°00000013/ MINPOSTEL/MINFI du 10 mai 2013 fixant les montants et les modalités des frais perçus par l'Agence Nationale des Technologies de l'Information et de la Communication.
9.1.4 Politique de remboursement
Les frais versés pour la fourniture et la gestion des certificats électroniques peuvent être remboursés au demandeur du certificat dans les quinze (15) jours qui suivent la délivrance du certificat si les conditions suivantes sont remplies :
- le demandeur n'est pas satisfait du service offert par la CamGovCA ;
- il est prouvé que le certificat n'a été utilisé qu'à des fins non commerciales ;
- il est prouvé qu'une erreur a été commise par la CamGovCA lors de la délivrance du certificat ;
- l'arrêt des activités de certification par la CamGovCA.
9.2 Responsabilité financière
9.2.1 Couverture par les assurances
La CamGovCA assume les risques liés aux problèmes pouvant résulter de l’utilisation des certificats électroniques, dans le cadre de la gouvernance électronique, survenus lors des transactions faites entre l’abonné et les tiers, s’il est prouvé que la faute revient à la CamGovCA ou à une de ses AE. La CamGovCA compense également les pertes pouvant découler de la mauvaise qualité du processus de certification, conformément aux clauses contenues dans la police d'assurance dûment contractée ou dans la présente DPC.
9.2.2 Autres ressources
La CamGovCA dispose d'un compte au trésor public camerounais capable de subvenir aux frais relatifs au remboursement des dommages causés aux tiers.
9.3 Confidentialité des données professionnelles
9.3.1 Périmètre des informations confidentielles
Les informations sur les abonnés ne nécessitant pas de protection peuvent, à la discrétion de la CamGovCA être mis à la disposition du public. Toute information sur un abonné liée à la demande et à la délivrance des certificats est considérée comme confidentielle et ne sera pas publié sans le consentement préalable du détenteur concerné, sauf dérogation spéciale des autorités judiciaires.
Les informations considérées comme confidentielles sont les suivantes :
- la partie non-publique de la DPC de la CamGovCA ;
- les clés privées de la CamGovCA ;
- les journaux d’événements de la CamGovCA ;
- les informations d'audit de la CamGovCA ;
- les raisons de révocation du certificat d'une de ses AE.
9.3.3 Responsabilité en termes de protection des informations confidentielles
La CamGovCA applique des procédures de sécurité pour garantir la confidentialité des informations identifiées au titre 9.3.1, en particulier en ce qui concerne l’effacement définitif ou la destruction des supports ayant servi à leur stockage. Lors d’échange de ces données, l’intégrité est garantie par un moyen adapté au type d’information (chiffrement, signature, enveloppe sécurisée…). La CamGovCA ne peut mettre à la disposition des tiers, les dossiers de demande de certificats des abonnés que dans le cadre d'une enquête judiciaire.