Passer au contenu

La signature électronique aiguise l’appétit des organismes certificateurs

Les Centres d’évaluation de la sécurité des technologies de l’information (Cesti) ont pour mission d’expertiser la sécurité des composants logiciels et matériels.

La signature électronique est une application phare des infrastructures à clés publiques. Sa réussite dépend d’une sécurité fiable et reconnue. Ainsi, la DCSSI (Direction centrale de la sécurité des systèmes d’information) élabore des arrêtés qui fixeront ces garanties. Fondées sur les critères communs de sécurité et graduées de 1 à 7 sur l’échelle EAL (Evaluation Assurance Level), elles sont mises en ?”uvre par les Cesti. Les trois prestataires agréés à ce jour se frottent les mains. “Nous pouvons évaluer tout ou partie des dispositifs de sécurité pour la signature électronique, affirme Benoît Jeannin, directeur général d’AQL (Assurance Qualité et Logiciel). Certains pourront être purement logiciels. AQL peut alors les évaluer intégralement.“Spécialiste de l’évaluation des matériels, le Leti (Laboratoire d’électronique, de technologie de l’information du CEA) bénéficie d’un agrément provisoire. Il exploite l’un des deux laboratoires européens reconnus de recherche en microélectronique. Pour le marché bancaire, il a déjà évalué plusieurs microcircuits pour cartes à puce. “Nous savons faire des évaluations jusqu’au niveau maximum EAL 7”, souligne Alain Merle, son responsable technique.

Multiplication des profils

Outre la carte à puce, la signature électronique fait appel à d’autres dispositifs ?” équipements cryptographiques, logiciels d’horodatage, etc. Leur évaluation s’appuie sur un profil de protection. Le CEN (Comité européen de normalisation) planche sur leur définition. Pour la signature dite avancée, il a ainsi établi le profil SSCD (Secure Signature Creation Device). Les autorités de certification sont aussi candidates à l’évaluation. Leur qualification est une autre piste envisagée ?” notamment par l’entité “eLabel” du cabinet Ernst & Young. En cours d’agrément, il fonde sa démarche sur la norme ISO 17779, poussée par le gouvernement britannique. Contrairement aux Etats-Unis, l’Europe prône un cadre de sécurité strict pour la signature électronique. “La difficulté est de trouver un compromis entre le besoin de sécurité ?” en fonction des enjeux légaux ?”, la faisabilité industrielle et la facilité d’utilisation”, remarque Benoît Jeannin. La balle est maintenant dans le camp de la DCSSI.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Samuel Cadogan