Déclaration des pratiques d`enregistrement (Délégation d`autorité d

Déclaration des pratiques d’enregistrement
(Délégation d’autorité d’enregistrement pour les certificats de
personne standards TCS TERENA / GIP RENATER
1 Introduction
L’Université Paris-Sud 11, ci-après notée UPS souhaite qu’une partie de son personnel
dispose de certificats électroniques.
Le GIP RENATER permet la délivrance des Certificats de personne standards TCS, en
déléguant la fonction d’Autorité d’Enregistrement (AE) à l’établissement pour
l’enregistrement des demandes de certificats.
Du fait de la sensibilité de cette fonction, la délégation d’AE se fait sous des conditions
précises détaillées dans le document intitulé Lettre d’engagement pour les certificats de
personne standards TCS, document qui doit être approuvé par le GIP RENATER et UPS.
UPS s’engage entre autre à définir sa Déclaration des Pratiques d’Enregistrement (DPE),
objet du présent document, en détaillant les points suivants :
 Population susceptible de demander un certificat,
 Usage des certificats délivrés,
 Procédure de validation des demandes et de révocations de certificats,
 Disponibilité des services d’enregistrement de demande et de révocation.
2 Population susceptible de demander un certificat
Les certificats personnels émis par l’Autorité de Certification TCS TERENA sont destinés
aux personnels remplissant au moins une des conditions suivantes :
 Personne physique (l’Autorité de Certification ne délivre pas de certificats de
fonction), en activité, personnel de l’Université Paris-Sud 11.
 Personne physique étudiant de l’Université Paris-Sud 11.
 Ou personne autorisée au cas par cas par le Président de l’Université Paris-Sud 11
ou son représentant désigné.
Dans la suite du document, une personne remplissant les conditions énumérées ci-dessus sera
appelée « personnel UPS ».
3 Usage des certificats délivrés
Les informations utiles contenues dans un certificat personnel émis par l’Autorité de
Certification TCS TERENA pour l’UPS sont les suivants :
 Organisme d’appartenance, toujours égal à UNIVERSITE DE PARIS XI PARIS
SUD,
 Nom et prénom de la personne,
 Adresse électronique de la personne de la forme [email protected],
 Donnée cryptographique dite clef publique permettant de mettre en place des
mécanismes de chiffrement et d’authentification quand elle est utilisée de concert


avec une deuxième clef dite clef privée que le propriétaire du certificat est le seul à
détenir,
Données permettant de reconstituer la chaîne de confiance assurant qu’une autorité
administrative a validé les informations précédentes,
Période de validité correspondant à une durée maximale de 3 ans.
Les certificats de personne standards ne peuvent pas être utilisés pour sécuriser des
transactions de cartes bancaires, des paiements en ligne ou autres transactions financières. Ils
ne peuvent pas être utilisés pour chiffrer des données ou des e-mails sauf si l’établissement en
organise le recouvrement. Par défaut, ces certificats autorisent uniquement
l’authentification et la signature.
3.1 Utilisation pour l’authentification de l’utilisateur
L’identité ainsi vérifiée pourra servir de base à un contrôle d’accès aux ressources (accès à un
réseau, à une application, à une fonction particulière d’une application,….). Concrètement, ce
point nécessite d’établir des listes de correspondances entre les certificats et des privilèges ou
droits d’accès aux ressources.
La sécurisation des flux réseaux en assurant leur intégrité, l’authentification de l’origine des
messages, et leur confidentialité. Dans ce cadre les clés liées aux certificats interviennent dans
la sécurisation des échanges de paramètres et de clés de sessions protégeant les flux.
3.2 Utilisation pour la signature
Les certificats générés pourront aussi servir à leur propriétaire dans le cadre de la messagerie
(ou de la vérification d’intégrité d’un document) afin :
 D’assurer l’authentification de l’émetteur d’un courrier électronique,
 D’assurer l’intégrité d’un courrier électronique (toute modification du courrier
électronique entre son émission et sa réception est détectée), ou d’un document.
Toutefois cette signature n’a pas de valeur juridique. Les certificats émis :
 Ne pourront pas être utilisés pour des applications de signature dans le cadre de la
dématérialisation d’actes,
 Ne pourront pas être utilisés pour des applications de sécurisation de moyens de
paiement ou d’applications financières.
4 Procédures de gestion des certificats
4.1 Procédure de validation des demandes de certificat
Tout demandeur de certificat de personne standard TCS doit être accrédité par l’AE UPS. Un
rendez-vous de visu avec l’utilisateur est planifié et le demandeur est informé qu’il devra
présenter une pièce d’identité (carte nationale d’identité ou passeport en cours de validité).
Lors du rendez-vous :
 Vérification de l’appartenance de la personne au référentiel du personnel UPS
indiqué au chapitre 2.
 L’identité est vérifiée (vérification que la photo de la pièce d’identité correspond à
la personne qui se présente).
4.2 La demande de certificat
La demande de certificat est réalisée par l’utilisateur. Cette phase permet notamment de
vérifier que l’utilisateur appartient à la population susceptible de demander un certificat.
Les modalités techniques de cette phase de demande de certificat peuvent être amenées à
changer (l’interface est celle mise à disposition par TCS) sans remettre en cause la présente
DPE.
4.3 Procédure de révocation des certificats
Dans quels cas demander la révocation d’un certificat ?




Le propriétaire du certificat change de statut (changement d’établissement,
d’adresse électronique),
Le propriétaire du certificat ne respecte pas les usages prévus pour les
certificats comme décrits dans la DPE de UPS,
Le propriétaire du certificat perd sa clé privée (panne du disque dur,…) ou
bien oublie son mot de passe d’accès à cette clé,
Une compromission ou un vol de la clé privée est soupçonnée.
Qui peut demander la révocation d’un certificat ?





Le chef de l’établissement concerné,
Le titulaire du certificat dont la révocation est demandée,
Un des contacts administratifs (personnes désignées par l’établissement pour
gérer les certificats),
RENATER,
TERENA.
Comment révoquer un certificat ?
Les demandes de révocation de certification doivent être opérées par un des contacts
administratifs de l’établissement ou le titulaire du certificat.
Les demandes se font directement dans l’interface de gestion des certificats.
5 Disponibilité des services d’enregistrement de demande et de révocation
5.1 Coordonnées
Le service de gestion de l’Autorité d’Enregistrement déléguée est assuré par les personnes de
UPS identifiées comme « opérateur d’enregistrement », « correspondant technique »,
« support utilisateur » pour le GIP RENATER.
Direction Informatique – Bât. 210
15 rue Georges Clemenceau
91405 Orsay cedex
Tél : + 33 [0]1 69 15 56 33
Fax : +33 [0]1 69 15 56 34
Les noms et les coordonnées de ces personnes nommées spécifiquement sont renvoyés en
annexe de la convention de délégation.
5.2 Disponibilité
Les contacts de visu se feront selon les disponibilités des Opérateurs d’Enregistrement,
toujours en faisant de leur mieux pour traiter au plus vite la demande.
Les demandes de révocation peuvent utiliser l’adresse électronique à disposition.
6 Support utilisateur
Il est assuré en premier lieu par courrier électronique à l’adresse [email protected] et
par téléphone auprès des personnes identifiées comme support utilisateur auprès de
RENATER.