Atelier 4 : sensibiliser à la loi du 15 AOUT 2012
Atelier 1 : mise en pratique de la fonction de conseiller en sécurité de l’information
Atelier 2 : les tâches du conseiller en sécurité de l’information
Atelier 3 : les bonnes pratiques (NL)
Atelier 4 : sensibiliser à la loi du 15 AOUT 2012
Le séminaire a comme objectif de sensibiliser les fonctionnaires des différentes administrations à la loi du 15 AOUT 2012. — loi relative à la création et à l’organisation d’intégrateur de services fédéral.
Contexte L’objectif de la séance de travail, organisée conjointement par la Solvay Business School et la société Bull, est de déterminer quelles sont les exigences légales sur les échanges dématérialisés entre différentes administrations (fédéraux, régionaux ou locaux) et ceci dans le cadre de la mise en application d’un article spécifique de la loi relatif à la traçabilité des échanges dématérialisés :
Article 14: Le comité de concertation des intégrateurs de services, visé à l’article 30, détermine pour chaque échange de données par l’intermédiaire de l’intégrateur de services fédéral :
1. qui effectue quelle authentification de l’identité, les vérifications et les contrôles, à l’aide de quels moyens, et qui en assume la responsabilité;
2. la manière dont les résultats des authentifications de l’identité effectuées, les vérifications et les contrôles font l’objet d’un échange et d’une conservation électroniques sûrs entre les instances concernées;
3. qui tient à jour quel enregistrement d’accès, quelle tentative d’accès aux services des intégrateurs de services ou tout autre traitement de données par le biais d’un intégrateur de services;
4. la manière dont on veille à ce qu’une reconstruction complète puisse avoir lieu en cas d’examen, à l’initiative d’une instance ou d’un organe de contrôle concerné ou à la suite d’une plainte, de quelle personne physique a utilisé quel service relatif à quelle personne, quand et à quelles fins;
5. le délai de conservation des informations enregistrées, qui doit s’élever à au moins dix ans, ainsi que le mode de consultation, par un ayant droit, de ces informations.
Méthode de travail La discussion est illustrée par un cas d’utilisation anonymisé (et quelque peu modifié) : la demande d’une entité fédérée à disposer d’information relatives à l’impôt sur les personnes physiques.
La solution proposée est basée sur les méthodes et techniques suivantes :
· Échange au travers de services web signés
· Chaque requête contient:
o L’identifiant de l’organisme demandeur (demandeur ID),
o L’identifiant de requête (correlation ID).
· Logging au MINIMUM pour chaque requête de l’identité du demandeur et correlation ID
· Responsabilité de chaque intervenant:
o D’avoir un identifiant unique par transaction,
o De « logger » les informations nécessaires afin d’identifier la personne qui effectue la requête.
Le fil conducteur de la discussion est axé sur les questions suivantes :
Comment traduire les exigences légales ?
Les méthodes et techniques mises en place dans le cadre du cas d’utilisation sont-elles conformes, sont-elle suffisantes ?
Quelles seraient les méthodes et techniques manquantes ?
Quel impact sur l’organisation ?
Quelles seraient les recommandations à faires dans le cadre de cet article ?
Cadrage - exigences de l’article 14 Cet article (notre discussion était principalement axée sur les paragraphes 3 et 4 de l’article) met en évidence l’obligation pour chaque échange de données de :
· Tracer les différents événements,
· Assurer la force probante de la trace,
· Déterminer la responsabilité de la traçabilité des échanges,
· Identifier les méthodes, techniques à mettre en place pour assurer la traçabilité.
L’administration a donc un devoir d’identifier (et de conserver) les informations relatives à tout échange électronique:
Le groupe de travail a résumé l’exigence par la phrase suivante :
« Qui fait quoi, quand, sur quoi et à quelle fin ? »
Quelques Rappels Les échanges dématérialisés entre administrations sont donc des échanges d’information sous format électronique qui contiennent souvent des données privées et donc doivent être considérés comme des échanges à valeur légale.
Un échange à valeur légale est caractérisé par :
Une authentification de l’émetteur et du destinataire ;
Une preuve de livraison : fournir un accusé d'envoi et de réception pour assurer la non répudiation de l’échange;
Une garantie d’intégrité du contenu et leurs pièces jointes et en droit de la preuve établir la preuve de contenu;
Un TIMESTAMP, c’est-à-dire, un lien vers une source de temps fiable et objective afin de fournir des preuves essentielles et crédible dans d’éventuels litiges (pouvoir démontrer quand une information a été demandée et/ou reçue, disposer de l’équivalence au courrier recommandé);
Un archivage de l’ensemble des échanges et des preuves associées ;
Il est également important de préciser que : la signature électronique a une valeur juridique et elle est recevable comme preuve en justice. Il faut toutefois qu'elle réponde à certains critères de sécurité technique afin d'être reconnue comme équivalente à la signature manuscrite. Lorsque ces critères de sécurité technique sont rencontrés, on parlera, de signature électronique qualifiée.
Une signature qualifiée répond à 2 critères (source SPF Economie):
1. elle doit être liée uniquement au signataire, permettre l’identification du signataire, être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectée.
2. elle est réalisée sur la base d'un certificat qualifié, et conçue au moyen d’un dispositif sécurisé de création de signature électronique.
Les recommandations émises par le groupe de travail Les recommandations fonctionnelles:
o Utilisation du Timestamp (certifié ou non): les exigences en matière de traçabilité sont exigeantes. Il faut veiller à reconstituer « quelle personne physique a utilisé quel service relatif à quelle personne, quand et à quelles fins ». Cette information pourrait être exigée suite à une plainte et donc avoir force probante. Les fonctions de « logging » ne sont par conséquent pas suffisantes. Dans l’état actuel de la législation belge, les échanges à force probante requière un horodatage, la certification du timestamp n’est actuellement pas exigée mais cette exigence est reprise dans les directives européennes (Directive 98/34/CE du 22 juin 1998 du Parlement européen). Le groupe de travail a donc proposé d’utiliser l’horodatage certifié pour toutes les transactions.
o Compatibilité dans le temps des fichiers trace : la loi du 15 AOUT 2012 exige la reconstitution des traces mais ne fournit aucune précision quant à la structure et au contenu de ces traces. Le groupe de travail propose une uniformisation des fichiers traces au sein des différentes administrations. Cette définition tant du format que du contenu) devrait être pris en charge par le FEDICT.
o Archivage des fichiers trace : Il est également exigé que les traces soient conservées au moins 10 ans. Le groupe de travail fait donc remarquer que le processus d’archivage (nous sommes dans un processus d’archivage long terme à force probante) s’applique également aux fichiers trace.
o Traçabilité des accès au fichier trace (dans le sens de la loi) : il est hautement recommandé de mettre en place un processus (auditable) d’autorisation d’accès au fichier trace - ces même accès (et bien sûr toute tentative d’accès) doivent faire l’objet d’un système de surveillance produisant les traces nécessaires.
o Non répudiation des échanges comporte 2 volets:
- la non-répudiation à l'origine des données, qui fournit au récepteur une preuve ou attestation empêchant l'émetteur de contester l'envoi ou le contenu d'un message effectivement reçu.
- la non-répudiation de la remise qui fournit à l'émetteur une preuve empêchant le récepteur de contester la réception ou le contenu d'un message effectivement remis.
Considérant la valeur probante des échanges, il est important de conserver trace des éléments nécessaires à prouver la non répudiation : tant du point de vue de l’émetteur que du destinataire. L’utilisation de certificats (signature de l’émetteur et du destinataire) garantit la non répudiation de l’échange.
Recommandations organisationnelles
o Rôle fédérateur pour définir les best practices : la loi définit un cadre générale, cela reste insuffisant et laisse à chaque administration une marge relativement importante à l’interprétation. Le groupe de travail souhaiterait que le FEDICT se charge de définir les guidances en termes d’implémentation.
o Rôle de « Certification Authority » : l’utilisation de certificats (signature, horodatage, …) nécessite la mise en place d’une autorité de certification qui pourrait être commune aux différentes administrations, de nouveau le FEDICT pourrait prendre en charge cette fonction.
o La directive devrait au moins contenir la définition du socle minimum pour assurer une traçabilité à force probante dans le cadre d’échange entre administration.
o Importance de la gestion du changement : la multiplication des échanges nécessite au sein des administrations une gestion stricte et rigoureuse du changement.
Remarques :
1. Opérateur réseau hors scope : le groupe de travail a supposé que l’opérateur réseau, du moins sur les aspects de traçabilité, est transparent.
2. Le groupe de travail a émis des doutes sur la possibilité de tracer « à quelles fins » la requête a été émise. Lors de la session plénière, il a été précisé que :
2.1. Chaque échange est régit par un contrat (accord) définissant le cadre dans lequel les informations sont utilisées.
2.2. Chaque utilisateur est supposé utiliser les informations uniquement dans le cadre défini.
Conclusions La notion de traçabilité est très importante dans les échanges entre administrations. Elle permet de vérifier la conformité des différentes transactions aux accords définis entre l’administration émettrice (détentrice de la source authentique) et l’administration destinatrice, au respect de la vie privée et permet en cas de litige de fournir les évidences.
Accessoirement, la traçabilité offre également des indicateurs quant à l’utilisation du ou des services l’analyse de comportement, … .
Au regard de ce qui précède, les traces relatives au cas d’utilisation repris dans le paragraphe contexte devraient au moins contenir :
L’identifiant de l’organisme demandeur et du demandeur, le correlation ID afin de permettre la traçabilité complète de la chaîne, mais également :
· Un horodatage, horodatage certifié pour anticiper l’évolution de la législation, des différents événements tracés ;
· Une trace de l’authentification : les web services sont des webservices signés, les traces devraient également reprendre la validation du certificat utilisé (identification de l’émetteur et non répudiation) ;
· L’accusé de réception de la requête et de la réponse signé par le destinataire et l’émetteur
· Un processus d’archivage à force probante.
Pour tracer « à quelles fins » la requête a été émise, la requête pourrait contenir une référence au contrat (l’accord) entre l’administration émettrice et l’administration destinatrice.
Atelier 2 : les tâches du conseiller en sécurité de l’information
Atelier 3 : les bonnes pratiques (NL)
Atelier 4 : sensibiliser à la loi du 15 AOUT 2012
Le séminaire a comme objectif de sensibiliser les fonctionnaires des différentes administrations à la loi du 15 AOUT 2012. — loi relative à la création et à l’organisation d’intégrateur de services fédéral.
Contexte L’objectif de la séance de travail, organisée conjointement par la Solvay Business School et la société Bull, est de déterminer quelles sont les exigences légales sur les échanges dématérialisés entre différentes administrations (fédéraux, régionaux ou locaux) et ceci dans le cadre de la mise en application d’un article spécifique de la loi relatif à la traçabilité des échanges dématérialisés :
Article 14: Le comité de concertation des intégrateurs de services, visé à l’article 30, détermine pour chaque échange de données par l’intermédiaire de l’intégrateur de services fédéral :
1. qui effectue quelle authentification de l’identité, les vérifications et les contrôles, à l’aide de quels moyens, et qui en assume la responsabilité;
2. la manière dont les résultats des authentifications de l’identité effectuées, les vérifications et les contrôles font l’objet d’un échange et d’une conservation électroniques sûrs entre les instances concernées;
3. qui tient à jour quel enregistrement d’accès, quelle tentative d’accès aux services des intégrateurs de services ou tout autre traitement de données par le biais d’un intégrateur de services;
4. la manière dont on veille à ce qu’une reconstruction complète puisse avoir lieu en cas d’examen, à l’initiative d’une instance ou d’un organe de contrôle concerné ou à la suite d’une plainte, de quelle personne physique a utilisé quel service relatif à quelle personne, quand et à quelles fins;
5. le délai de conservation des informations enregistrées, qui doit s’élever à au moins dix ans, ainsi que le mode de consultation, par un ayant droit, de ces informations.
Méthode de travail La discussion est illustrée par un cas d’utilisation anonymisé (et quelque peu modifié) : la demande d’une entité fédérée à disposer d’information relatives à l’impôt sur les personnes physiques.
La solution proposée est basée sur les méthodes et techniques suivantes :
· Échange au travers de services web signés
· Chaque requête contient:
o L’identifiant de l’organisme demandeur (demandeur ID),
o L’identifiant de requête (correlation ID).
· Logging au MINIMUM pour chaque requête de l’identité du demandeur et correlation ID
· Responsabilité de chaque intervenant:
o D’avoir un identifiant unique par transaction,
o De « logger » les informations nécessaires afin d’identifier la personne qui effectue la requête.
Le fil conducteur de la discussion est axé sur les questions suivantes :
Comment traduire les exigences légales ?
Les méthodes et techniques mises en place dans le cadre du cas d’utilisation sont-elles conformes, sont-elle suffisantes ?
Quelles seraient les méthodes et techniques manquantes ?
Quel impact sur l’organisation ?
Quelles seraient les recommandations à faires dans le cadre de cet article ?
Cadrage - exigences de l’article 14 Cet article (notre discussion était principalement axée sur les paragraphes 3 et 4 de l’article) met en évidence l’obligation pour chaque échange de données de :
· Tracer les différents événements,
· Assurer la force probante de la trace,
· Déterminer la responsabilité de la traçabilité des échanges,
· Identifier les méthodes, techniques à mettre en place pour assurer la traçabilité.
L’administration a donc un devoir d’identifier (et de conserver) les informations relatives à tout échange électronique:
Le groupe de travail a résumé l’exigence par la phrase suivante :
« Qui fait quoi, quand, sur quoi et à quelle fin ? »
Quelques Rappels Les échanges dématérialisés entre administrations sont donc des échanges d’information sous format électronique qui contiennent souvent des données privées et donc doivent être considérés comme des échanges à valeur légale.
Un échange à valeur légale est caractérisé par :
Une authentification de l’émetteur et du destinataire ;
Une preuve de livraison : fournir un accusé d'envoi et de réception pour assurer la non répudiation de l’échange;
Une garantie d’intégrité du contenu et leurs pièces jointes et en droit de la preuve établir la preuve de contenu;
Un TIMESTAMP, c’est-à-dire, un lien vers une source de temps fiable et objective afin de fournir des preuves essentielles et crédible dans d’éventuels litiges (pouvoir démontrer quand une information a été demandée et/ou reçue, disposer de l’équivalence au courrier recommandé);
Un archivage de l’ensemble des échanges et des preuves associées ;
Il est également important de préciser que : la signature électronique a une valeur juridique et elle est recevable comme preuve en justice. Il faut toutefois qu'elle réponde à certains critères de sécurité technique afin d'être reconnue comme équivalente à la signature manuscrite. Lorsque ces critères de sécurité technique sont rencontrés, on parlera, de signature électronique qualifiée.
Une signature qualifiée répond à 2 critères (source SPF Economie):
1. elle doit être liée uniquement au signataire, permettre l’identification du signataire, être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectée.
2. elle est réalisée sur la base d'un certificat qualifié, et conçue au moyen d’un dispositif sécurisé de création de signature électronique.
Les recommandations émises par le groupe de travail Les recommandations fonctionnelles:
o Utilisation du Timestamp (certifié ou non): les exigences en matière de traçabilité sont exigeantes. Il faut veiller à reconstituer « quelle personne physique a utilisé quel service relatif à quelle personne, quand et à quelles fins ». Cette information pourrait être exigée suite à une plainte et donc avoir force probante. Les fonctions de « logging » ne sont par conséquent pas suffisantes. Dans l’état actuel de la législation belge, les échanges à force probante requière un horodatage, la certification du timestamp n’est actuellement pas exigée mais cette exigence est reprise dans les directives européennes (Directive 98/34/CE du 22 juin 1998 du Parlement européen). Le groupe de travail a donc proposé d’utiliser l’horodatage certifié pour toutes les transactions.
o Compatibilité dans le temps des fichiers trace : la loi du 15 AOUT 2012 exige la reconstitution des traces mais ne fournit aucune précision quant à la structure et au contenu de ces traces. Le groupe de travail propose une uniformisation des fichiers traces au sein des différentes administrations. Cette définition tant du format que du contenu) devrait être pris en charge par le FEDICT.
o Archivage des fichiers trace : Il est également exigé que les traces soient conservées au moins 10 ans. Le groupe de travail fait donc remarquer que le processus d’archivage (nous sommes dans un processus d’archivage long terme à force probante) s’applique également aux fichiers trace.
o Traçabilité des accès au fichier trace (dans le sens de la loi) : il est hautement recommandé de mettre en place un processus (auditable) d’autorisation d’accès au fichier trace - ces même accès (et bien sûr toute tentative d’accès) doivent faire l’objet d’un système de surveillance produisant les traces nécessaires.
o Non répudiation des échanges comporte 2 volets:
- la non-répudiation à l'origine des données, qui fournit au récepteur une preuve ou attestation empêchant l'émetteur de contester l'envoi ou le contenu d'un message effectivement reçu.
- la non-répudiation de la remise qui fournit à l'émetteur une preuve empêchant le récepteur de contester la réception ou le contenu d'un message effectivement remis.
Considérant la valeur probante des échanges, il est important de conserver trace des éléments nécessaires à prouver la non répudiation : tant du point de vue de l’émetteur que du destinataire. L’utilisation de certificats (signature de l’émetteur et du destinataire) garantit la non répudiation de l’échange.
Recommandations organisationnelles
o Rôle fédérateur pour définir les best practices : la loi définit un cadre générale, cela reste insuffisant et laisse à chaque administration une marge relativement importante à l’interprétation. Le groupe de travail souhaiterait que le FEDICT se charge de définir les guidances en termes d’implémentation.
o Rôle de « Certification Authority » : l’utilisation de certificats (signature, horodatage, …) nécessite la mise en place d’une autorité de certification qui pourrait être commune aux différentes administrations, de nouveau le FEDICT pourrait prendre en charge cette fonction.
o La directive devrait au moins contenir la définition du socle minimum pour assurer une traçabilité à force probante dans le cadre d’échange entre administration.
o Importance de la gestion du changement : la multiplication des échanges nécessite au sein des administrations une gestion stricte et rigoureuse du changement.
Remarques :
1. Opérateur réseau hors scope : le groupe de travail a supposé que l’opérateur réseau, du moins sur les aspects de traçabilité, est transparent.
2. Le groupe de travail a émis des doutes sur la possibilité de tracer « à quelles fins » la requête a été émise. Lors de la session plénière, il a été précisé que :
2.1. Chaque échange est régit par un contrat (accord) définissant le cadre dans lequel les informations sont utilisées.
2.2. Chaque utilisateur est supposé utiliser les informations uniquement dans le cadre défini.
Conclusions La notion de traçabilité est très importante dans les échanges entre administrations. Elle permet de vérifier la conformité des différentes transactions aux accords définis entre l’administration émettrice (détentrice de la source authentique) et l’administration destinatrice, au respect de la vie privée et permet en cas de litige de fournir les évidences.
Accessoirement, la traçabilité offre également des indicateurs quant à l’utilisation du ou des services l’analyse de comportement, … .
Au regard de ce qui précède, les traces relatives au cas d’utilisation repris dans le paragraphe contexte devraient au moins contenir :
L’identifiant de l’organisme demandeur et du demandeur, le correlation ID afin de permettre la traçabilité complète de la chaîne, mais également :
· Un horodatage, horodatage certifié pour anticiper l’évolution de la législation, des différents événements tracés ;
· Une trace de l’authentification : les web services sont des webservices signés, les traces devraient également reprendre la validation du certificat utilisé (identification de l’émetteur et non répudiation) ;
· L’accusé de réception de la requête et de la réponse signé par le destinataire et l’émetteur
· Un processus d’archivage à force probante.
Pour tracer « à quelles fins » la requête a été émise, la requête pourrait contenir une référence au contrat (l’accord) entre l’administration émettrice et l’administration destinatrice.