PROJET DE MISE EN OEUVRE DUNE SOLUTION DAUTHENTIFICATION FORTE

1
PROJET DE MISE EN OEUVRE DUNE SOLUTION
DAUTHENTIFICATION FORTE

• Réunion de lancement
• 17/03/2005

2
PLAN

• Contexte et Objectifs du projet
• Concept et fonctionnement dune PKI
• Management du projet
• Perspectives

1
2
3
4
3
Contexte et Objectifs de projet
1
4
Cadre général

• Étude technique BADR
• NOG 2005

Extrait de la NOG 2005
5
Contexte

• SADOC
• La protection des mots de passe est insuffisante
  
• Pas de durée de validité des mots de passe
• BADR
• Palier 1 lancé en Janvier 2004
• Mot de passe généré sans intervention
  administrateur
• Palier 4 lancé en Octobre 2004
• Palier 2 programmé pour Juillet 2005
• Augmentation de la sensibilité des données,
• Plus en plus de vulnérabilités de la sécurité
  dans les systèmes.

6
Objectif

• Renforcer la sécurité daccès à BADR pour les
  différents canaux
• Internet,
• Intranet,
• EDI (Échange des Données Informatisé)

7
Solution PKI (IGC)

• La PKI est une réponse à ces problématiques
• Pas de mot de passe qui circule sur le réseau,
• Flux de session chiffré.
• Dispositif de connexion matériel personnel,
• Pas de gestion de mots de passe au niveau ADII.
• Non répudiation des actions (signature
  électronique)

8
MAIS.

• Une PKI reste une technique
• Il faut responsabiliser lutilisateur (internes
  externe)
• Départ des déclarants ? retirer les dispositifs
  daccès,
• Mise en place dun cadre contractuel fixant les
  conditions dusage et les responsabilités.

9
Fonctionnement dune PKI
2
10
Infrastructure de Gestion des Clés Définition

• Définition
• PKI Public Key Infrastructure
• IGC Infrastructure de Gestion des Clés
• Ensemble des moyens et ressources nécessaires à
  la gestion du cycle de vie et à lexploitation
  des certificats
• Support dutilisation des certificats de clé
  publique des utilisateurs

11
Quest-ce quun certificat électronique ?

• Un certificat est une structure signée (par
  lAutorité de Certification) garantissant une
  association entre un identifiant et une clé
  publique, pour une durée limitée et un usage
  donné.
• Cest lidentité numérique de lutilisateur.
• Composé de
• Numéro de série
• Version du certificat X509v
• Algorithmes de signature utilisés
• Dates de validité
• Informations relatives au propriétaire du
  certificat
• Clé publique du propriétaire
• Informations du tiers de confiance

12
Stockage des clés et du certificats

• Soft token
• Clés USB
• Cartes à puce

13
Infrastructure de Gestion des Clés Organisation

• Autorité de Certification AC (ou CA)
• Génère les certificats
• Signe les certificats
• Autorités dEnregistrement AE (ou RA)
• Enregistre les demandes de certificat
• Valide les demandes de certificat
• Une publication
• Stocke les certificats
• Stocke les listes de révocation des certificats

14
Schéma fonctionnel simplifié dune PKI
Dépot
Recherche et lecture de certificats
Demande de certificat Authentification Remise du
certificat Demande de révocation
Certificats
Autorité dEnregistrement
Clé publique à certifier Certificat
Autorité de Certification
Publication des certificats Publication des CRLs
CRL
15
Création dun certificat

• Fonctionnalités sous responsabilité RA
• Enregistrement de lutilisateur
• Authentification
• Validation des attributs
• Remise du certificat et clé privée
• Fonctionnalités sous responsabilité CA
• Génération des certificats
• Avec clé publique fournie
• Génération du bi-clé
• Publication des certificats
• Personnalisation des supports de certificats

16
Renouvellement et révocation des certificats

• Renouvellement
• Expiration de validité dutilisation du
  certificat
• Révocation
• Suspicion/compromission de la clé privée
• Modification des informations
• Dysfonctionnement du support du certificat
• Suspension

17
Cycle de vie du certificat
Demande de certificat
Authentification
Génération du certificat
Renouvellement du certificat
Remise au demandeur
Exploitation du certificat
Révocation du certificat
Expiration du certificat
18
Politique de Certification

• la Politique de Certification indique les
  garanties offertes par les certificats émis par
  lInfrastructure de Confiance, ainsi que les
  conditions dutilisation de ces certificats.
• Procédure dauthentification et didentification
  des utilisateurs.
• Procédure de génération des certificats et leurs
  conditions dattribution.
• Procédure de révocation et de renouvellement des
  certificats.
• Procédures de journalisation, darchivage, de
  reprise sur incident, de changement de la clé de
  lAC.
• Gestion du stockage et de lutilisation des
  bi-clés.

19
Schéma fonctionnel simplifié d'une PKI
Infrastructure à clés publiques
Service dePublication(certificats, CRL)
Autorité(s)de Certification
Autorité(s)d'Enregistrement
Autorité(s)de Validation
Enregistrer les demandesRetirer les
certificats RenouvelerRévoquer
Utilisateurs internes
Internet / Intranet
Serveur(s) applicatif(s)
Utilisateur externe
20
Management du Projet
3
21
Les multiples volets dun projet PKI
Juridique
Marketing et communication
Exploitation et support
Organisation et processus
Direction de projetPlanification SécuritéQuali
té...
Intégration des applications
Infrastructure technique
22
Principales phases

• Spécifications
• Spécifications Techniques
• Politique de Certification
• Formations Cursus Projet
• Réalisation et Intégration
• Génération PKI
• Adaptations WEB
• Adaptations EDI
• Rédaction Pratiques de Certification
• Formations Cursus technique
• Installation et intégration de la solution PKI
• Formations cursus utilisateurs
• Recettes et Cérémonies des clés à blanc
• Cérémonie en réel et démarrage

23
Facteurs clés pour la réussite dun projet PKI

• Une PKI ne se limite pas uniquement à des briques
  techniques.
• Elle se compose également de règles de sécurité
  et de processus organisationnels, régissant la
  fabrication et lutilisation des certificats.
• Ces processus et ces règles sont dune importance
  cruciale pour mesurer la confiance que lon peut
  accorder aux certificats qui seront délivrés par
  la PKI.

24
PERSPECTIVES
4
25
Vers une infrastructure globale de sécurité

• Messagerie électronique
• Intranet
• RIAD, SAAD
• Réseau
• Échange de données avec des tiers (OMPIC...etc)

26
Autres Fonctions

• Signature électronique des documents
• Horodatage
• Chiffrement des documents

27
Offrir le service aux autres départements
PC, DPC
PC, DPC
Référencementde lAC
PC, DPC
Référencementde lAC
Référencementde lAC
Direction (DGI, TGR..ou autre)
Autorité de Certification
ACRéférencée
Demandede Certificat
Validationdes Certificats
Serveur delapplication
Remise deCertificat
Accès
28
PERIMETRE CIBLE
Partenaires
Autres Applications
BADR
PKI
ADII
Ministère
29
En résumé

• Une PKI est un projet dinfrastructure utilisé
  par plusieurs applications.
• Une PKI est plus un projet dorganisation et
  procédure que des briques techniques.
• La réussite du projet dépend de
• Limplication de tout les acteurs
• La conduite de changement
• La communication et marketing du produit

30
PROJET DE MISE EN OEUVRE DUNE SOLUTION
DAUTHENTIFICATION FORTE
MERCI

• Réunion de Coordination
• 17/03/2005