Cet article sera bientôt actualisé
L'article suivant est une reprise de notre précédente FAQ et n'a pas été mis à jour depuis longtemps.
Nous travaillons à la refonte des anciens articles afin de les maintenir à jour. Les données présentes ci-après sont peut être obsolètes à ce jour. Merci pour votre compréhension
Plateforme Acte d’Avocat : Aspects sécurité
Pour mettre en place et gérer la plateforme eAA, le CNB s’appuie sur le savoir-faire d’un Tiers de Confiance pour la gestion de la plateforme de l’acte d’avocat : almerys.
Afin d’assurer un niveau de sécurité optimum, almerys a mis en place un Système de Management de la Sécurité de l’Information (SMSI) permettant d’assurer la confidentialité, l’intégrité, la disponibilité et la traçabilité des informations du patrimoine informationnel conformément à leur sensibilité en termes de sécurité.
La gestion de la sécurité de l’information impose le respect des deux principes :
Une organisation adaptée
- Une Cellule Sécurité Opérationnelle
- une sensibilisation régulière du personnel
- des accords de confidentialité individuels du personnel
Une utilisation de méthodologies et outils adaptés
- le management de la sécurité basé sur la série de normes ISO 2700x
- la gestion des risques basée principalement sur EBIOS et l’ISO 27005
- une gestion documentaire rigoureuse
La sécurité physique
Les Datacenters Almerys sont hébergés sur le sol français et répondent aux exigences les plus hautes en terme de sûreté selon le référentiel IGI N°1300.
Au niveau des services essentiels, almerys s'appuie sur la norme Tier de l'Uptime Institute. Le niveau ainsi déployé pour répondre à la gestion de risque est Tier4.
La référence Tier4 fixe à 99.995% les exigences en termes de disponibilité que doit atteindre un Datacenter en s'appuyant sur ses propres ressources de production électrique notamment.
Les bâtiments sont :
- sous vidéosurveillance,
- soumis à un contrôle d’accès par badge sans contact,
- soumis à un contrôle d’accès biométrique pour les zones sensibles.
Des systèmes lasers, infrarouges, thermiques (et autres technologies) viennent renforcer et confirmer les points de détection et assurer un suivi en profondeur de tout mouvement non autorisé.
Les zones sensibles sont organisées afin de s’assurer que seuls les personnels ayant le « besoin d’en connaître » puissent y accéder : découpage en zones, de la zone de sécurité la plus « faible » vers la zone de plus forte sécurité.
Chaque accès vers un niveau supérieur se fait au moyen d’un SAS. L’accès aux locaux des zones sensibles se fait par des portes sécurisées ou blindées conformes au niveau 5B des normes NFP 20311/20551/20320.
Des mesures de sécurité spécifiques sont ajoutées afin de détecter toutes actions malveillantes.
En particulier, les salles ne contiennent ni faux plafond ni faux plancher, et tous les chemins de câbles sont apparents afin de permettre un contrôle visuel de toutes actions malveillantes.
Les zones de sécurité les plus fortes sont constituées d’une architecture béton spécifique.
La structure des bâtis des zones sensibles prend en compte la catégorie sismique de la région d’implantation remontée d’un niveau.
Protection incendie : L’ensemble des bâtiments est sous système de détection incendie, extinction incendie, le tout piloté par un CMSI (Concentrateur Mise en Sécurité Incendie).
Protection inondation : Les zones sensibles, sont à une altitude supérieure à 1 mètre par rapport au fil d’eau et sont toutes deux équipées de sondes d’inondation, également relié au système de gestion technique du bâtiment et à la télésurveillance.
La sécurité logique
La sécurité logique s’appuie sur la gestion des accès, la sécurité du réseau et la sécurité du système.
La gestion des accès est réalisée selon la politique des moindres privilèges. Les droits et habilitations ne permettent d’accéder qu’aux informations nécessaires : les actes le concernant pour un avocat et un acte pour une partie à cet acte.
L’accès à la plateforme eAA n’est possible que par authentification forte :
- pour les parties à l’acte par email / OTP SMS
- pour les avocats par clé
La sécurité du réseau, décrite dans la politique de sécurité du réseau et du SI, s’inscrit dans une protection périmétrique :
- Cloisonnement physique et virtuel des réseaux
- Architecture DMZ
- Hétérogénéité des technologies de sécurité
L’ensemble du système est protégé par une solution antivirale régulièrement mise à jour. Le système suit une application régulière des patches de sécurité.
De plus, une veille sécurité s’appuyant en particulier sur le CERT (Computer Emergency Response Team) permet de réagir rapidement aux éventuelles vulnérabilités.
Les documents confiés à la plateforme sont chiffrés à l’aide d’équipements certifiés FIPS level 3 selon l’algorithme AES128 avec une clé propre à la plateforme eAA.
Les documents sont conservés en double exemplaire selon les conditions de sécurité physique et logique précédemment décrite. Les procédés cryptographiques permettent d’en garantir l’intégrité à tout moment. Ainsi une garantie de conservation est assurée dans le temps conformément à la norme d’archivage probatoire Z-42013.
Les procédés cryptographiques utilisés sont certifiés selon le référentiel ETSI 102-042 et 102-023 en particulier concernant l’horodatage.