Arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publ

[Naydje]

Une petite lecture des liens s'impose, Naydje, quand tu auras le temps 

effectivement tu as raison, j'avais pas vu la différence à la fin des liens

je te soupçonne de l'avoir fait exprès 

[mighty]

Donc après lecture que je comprenne bien ! J'aime bien être synthétique : 

A présent tous les certificats sont admis par le Pouvoir Adjudicateur.

Pour les marchés avant le 1er octobre. On fait rien !

Pour ceux après, il faut s'assurer auprès de notre fournisseur que la plate forme ouvre bien l'accès à tous les types de certificats.

Mettre en place une clause type dans nos RC.

Ce que je comprends pas c'est quoi la différence entre norme RGS et PRIS v1 ? Désormais ce sera du RGS la norme ?

[Michel]

Allez donc chercher le fichier en pièce jointe "Formation Sign CFSSI" de ce fils de discussion (message à 9h 55' 39") : http://agorapublix.com/forum3/index.php?topic=21814.msg233494#msg233494

[Naydje]

Donc après lecture que je comprenne bien ! J'aime bien être synthétique : 

A présent tous les certificats sont admis par le Pouvoir Adjudicateur.

Pour les marchés avant le 1er octobre. On fait rien !

Pour ceux après, il faut s'assurer auprès de notre fournisseur que la plate forme ouvre bien l'accès à tous les types de certificats.

Mettre en place une clause type dans nos RC.

Ce que je comprends pas c'est quoi la différence entre norme RGS et PRIS v1 ? Désormais ce sera du RGS la norme ?

La liste des catégories de certificats de signature électronique ainsi référencées est publiée sur le site internet du ministre chargé de la réforme de l'Etat à l'adresse suivante : « http://www.entreprises.minefi.gouv.fr/certificats/ ». Cette liste est évolutive, elle est en effet actualisée au fur et à mesure des référencements.
Tout prestataire de services de certification électronique peut faire reconnaître, par le ministre chargé de la réforme de l'Etat, la conformité de sa catégorie de certificats de signature électronique au référentiel intersectoriel de sécurité. A cette fin, il lui en demande l'inscription sur la liste des catégories de certificats précitée.

Le Référentiel Général de Sécurité (RGS) définit un ensemble de règles de sécurité qui s'imposent aux autorités administratives dans la sécurisation de leurs systèmes d'information. Il propose également des bonnes pratiques en matière de sécurité des systèmes d'information que les autorités administratives sont libres d'appliquer.

PRIS
Politique de Référencement Intersectorielle de Sécurité. Il s'agit du référentiel documentaire qui définit des exigences pour différentes fonctions de sécurité. Il concerne les produits de sécurité et les prestataires de services de confiance utilisés dans le cadre des échanges dématérialisés entre usagers et autorités administratives ainsi qu'entre autorités administra- tives. Les spécifications techniques retenues dans la PRIS sont regroupées sous la forme de niveaux de sécurité d'exigences croissantes de * à ***.

Jusqu'au 1er octobre tu acceptes les certificats qui sont des certificats PRIS v1, à partir du 1er octobre tu acceptes les PRIS et les certificats qui respectent le RGS, et enfin à partir du 1! mai 2013 seulement les certificats respectant le RGS seront acceptés, voilà ce que tu dois mettre dans ton rc comme information.

[shorty]

Je complète par la liste des RGS :
http://references.modernisation.gouv.fr/liste-des-offres-r%C3%A9f%C3%A9renc%C3%A9es

[mighty]

merci Naydje pour ces précisions. Par contre vous vérifiez ça ou c le travail du prestataire qui s'occupe de votre plate forme de demat ?

[Naydje]

pour la mienne qui est celle de l'État j'ai demandé à mon correspondant démat ce qu'il en était, j'attends toujours la réponse...

[galdamas]

.

pour la mienne qui est celle de l'État j'ai demandé à mon correspondant démat ce qu'il en était, j'attends toujours la réponse...

Comme on a le même prestataire, je viens de recevoir ses préconisations (datée du 20 juillet, reçu hier, avec un retour qui sera fait le 13 août).

Je ne suis pas d'accord sur certains points... à étudier..

Si cela intéresse Naydje, j'envoie.

[Michel]

Si cela intéresse Naydje, j'envoie.

Je veux bien également.
Peux tu nous mettre cela en pièce jointe ?

[galdamas]

Ouf, j'ai failli faire ma blonde en demandant : c'est comment pour joindre un fichier... 

J'espère que vous avez le fichier...

[Naydje]

Ouf, j'ai failli faire ma blonde en demandant : c'est comment pour joindre un fichier... 

J'espère que vous avez le fichier...

merci bcp galdamas car mon correspondant ne me répondra pas comme d'habitude 

[Naydje]

.
Comme on a le même prestataire, je viens de recevoir ses préconisations (datée du 20 juillet, reçu hier, avec un retour qui sera fait le 13 août).

Je ne suis pas d'accord sur certains points... à étudier..

Si cela intéresse Naydje, j'envoie.

je viens de le lire, tu n'es pas d'accord sur quoi?

[galdamas]

Ce qui me fait particulièrement réagir c'est :
" Il est donc recommandé d'insérer dans les Règlements de consultation des clauses très précises destinées à orienter le soumissionnaire à utiliser les outils proposés par la plate-forme (applet de signature, certificat émis par une AC reconnue)

ou, dans le cas contraire, à fournir de façon très précise les moyens de contrôle nécessaire, ce contrôle incombant à l'acheteur, sous forme d'une procédure manuelle."

L'arrêté ouvre la possibilité d'autres certificats pour des entreprises hors UE. Je ne vais pas mettre des clauses incitatives parce que cela arrange le gestionnaire de la plate forme. on décrit ce qui doit être fourni : et c'est tout.

De plus, le timing dans la note n'est pas terrible car je leur ai demandé au moins trois fois les mesures envisagées (et je ne parle même pas quand l'arrêté était en concertation).
La réponse arrive le 1er août, d'autres réponses seront fournies au 13 août, et des propositions seulement la 1ère semaine d'octobre.... Il ne faut pas être en vacances de l'été : dommage.

Et en plus, les marchés pour une remise d'offres au mois d'octobre sont déjà en cours de rédaction... Donc, on va devoir préconiser des éléments un peu à l'arrache et rajouter une bonne demie page à nos RC.

[Naydje]

Ce qui me fait particulièrement réagir c'est :
" Il est donc recommandé d'insérer dans les Règlements de consultation des clauses très précises destinées à orienter le soumissionnaire à utiliser les outils proposés par la plate-forme (applet de signature, certificat émis par une AC reconnue)

ou, dans le cas contraire, à fournir de façon très précise les moyens de contrôle nécessaire, ce contrôle incombant à l'acheteur, sous forme d'une procédure manuelle."

L'arrêté ouvre la possibilité d'autres certificats pour des entreprises hors UE. Je ne vais pas mettre des clauses incitatives parce que cela arrange le gestionnaire de la plate forme. on décrit ce qui doit être fourni : et c'est tout.

De plus, le timing dans la note n'est pas terrible car je leur ai demandé au moins trois fois les mesures envisagées (et je ne parle même pas quand l'arrêté était en concertation).
La réponse arrive le 1er août, d'autres réponses seront fournies au 13 août, et des propositions seulement la 1ère semaine d'octobre.... Il ne faut pas être en vacances de l'été : dommage.

Et en plus, les marchés pour une remise d'offres au mois d'octobre sont déjà en cours de rédaction... Donc, on va devoir préconiser des éléments un peu à l'arrache et rajouter une bonne demie page à nos RC.

bienvenue au club : perso je vais me baser sur le RGS et le règlement (CE) No 460/2004, car cette recommandation n'ouvre qu'aux formats CAdES et XAdES en oubliant le format PAdES qui est de plus en plus répandu. Pour les entreprises hors UE il faudra s'assurer que les certificats de signature électronique respectent les éléments suivants, conformément à :

Une mention indiquant que ce certificat est délivré à titre de certificat électronique qualifié ;
L'identité du prestataire de services de certification électronique ainsi que l'Etat dans lequel il est établi ;
Le nom du signataire ou un pseudonyme, celui-ci devant alors être identifié comme tel ;
Le cas échéant, l'indication de la qualité du signataire en fonction de l'usage auquel le certificat électronique est destiné ;
Les données de vérification de signature électronique qui correspondent aux données de création de signature électronique ;
L'indication du début et de la fin de la période de validité du certificat électronique ;
Le code d'identité du certificat électronique ;
La signature électronique sécurisée du prestataire de services de certification électronique qui délivre le certificat électronique ;
Le cas échéant, les conditions d'utilisation du certificat électronique, notamment le montant maximum des transactions pour  lesquelles ce certificat peut être utilisé.

Il faudra également s'assurer que les prestataires de certifications hors UE répondent aux exigences suivantes :

Faire preuve de la fiabilité des services de certification électronique qu'il fournit ;
Assurer le fonctionnement, au profit des personnes auxquelles le certificat électronique est délivré, d'un service d'annuaire recensant les certificats électroniques des personnes qui en font la demande ;
Assurer le fonctionnement d'un service permettant à la personne à qui le certificat électronique a été délivré de révoquer sans délai et avec certitude ce certificat ;
Veiller à ce que la date et l'heure de délivrance et de révocation d'un certificat électronique puissent être déterminées avec précision ;
Employer du personnel ayant les connaissances, l'expérience et les qualifications nécessaires à la fourniture de services de certification électronique ;
Appliquer des procédures de sécurité appropriées ;
Utiliser des systèmes et des produits garantissant la sécurité technique et cryptographique des fonctions qu'ils assurent ;
Prendre toute disposition propre à prévenir la falsification des certificats électroniques ;
Dans le cas où il fournit au signataire des données de création de signature électronique, garantir la confidentialité de ces données lors de leur création et s'abstenir de conserver ou de reproduire ces données ;
Veiller, dans le cas où sont fournies à la fois des données de création et des données de vérification de la signature électronique, à ce que les données de création correspondent aux données de vérification ;
Conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s'avérer nécessaires pour faire la preuve en justice de la certification électronique.
Utiliser des systèmes de conservation des certificats électroniques garantissant que :
•   l'introduction et la modification des données sont réservées aux seules personnes autorisées à cet effet par le prestataire ;
•   l'accès du public à un certificat électronique ne peut avoir lieu sans le consentement préalable du titulaire du certificat ;
•   toute modification de nature à compromettre la sécurité du système peut être détectée ;
Vérifier, d'une part, l'identité de la personne à laquelle un certificat électronique est délivré, en exigeant d'elle la présentation d'un document officiel d'identité, d'autre part, la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette identité et de cette qualité ;
S'assurer au moment de la délivrance du certificat électronique :
•   que les informations qu'il contient sont exactes ;
•   que le signataire qui y est identifié détient les données de création de signature électronique correspondant aux données de vérification de signature électronique contenues dans le certificat ;
Avant la conclusion d'un contrat de prestation de services de certification électronique, informer par écrit la personne demandant la délivrance d'un certificat électronique :
•   des modalités et des conditions d'utilisation du certificat ;
•   du fait qu'il s'est soumis ou non au processus de qualification volontaire des prestataires de services de certification électronique
•   des modalités de contestation et de règlement des litiges ;
Fournir aux personnes qui se fondent sur un certificat électronique les éléments de l'information nécessaires..

tout ça conformément à l'article 6 du décret no 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique.

bref, ça risque d'être chiant, c'est pour cela que dans mes futurs RC je mentionnerai le PAdES et tout autre format respectant les exigences ci-dessus, la preuve de ces exigences sera possible par tout moyen et basta

[galdamas]

Certes...

Bon, on avait déjà un article intitulé poétiquement annexe placé à la fin du RC sur la démat....

Il va un peu augmenter pour effectivement intégrer tout ce qui tu mentionne  ou équivalent..

Le plus dur va être d'expliquer à mes petits camarades que cela va aller... J'ai l'impression de m'occuper plus de démat, que de marchés publics...