[cmNOG] Règlementation sur l'utilisation des certificats PKI et TLS

Ndanga brice ndangabrice at gmail.com
Dim 12 Avr 08:11:58 UTC 2020 

J’aimerai à travers ce mail apporter une réponse sur la règlementation en
matière de certification électronique au Cameroun.

1.      Qui peut émettre ou produire les certificats électronique ?

Les certificats sont émis à l’aide d’une PKI (Public Key Infrastructure) —
ou IGC (infrastructure de gestion de clés) en français. Alors toute
entreprise disposant de la logistique nécessaire peut produire ses
certificats et l’utilisé sans problème. Et même faire des signatures
électroniques. Mais seulement l'activité de certification électronique est
soumise à autorisation préalable (Chapitre 3, article 10, al 1 de la loi
2010 sur la cybersécurité). Le rôle de l’état est de donner les
accréditations ou autorisations aux entreprises désirant exercer dans ce
domaine en se rassurant que ces dernies respectent les normes et standard.

Le Cameroun ne fonctionne pas en vase clos, c’est le même principe partout,
y compris la France qu’on aime cité pour modèle qui se charge à travers
ANSSI de donner les autorisations aux entreprises.
https://www.ssi.gouv.fr/administration/produits-certifies/



Au Cameroun on distingues :

*  Root CA : qui est l’autorité de certification racine ( C-a-d se charge de
signer tous les certificats emis au Cameroun y compris ceux du gouvernement
et autres)

*  GovCA : qui est l’autorité de certification du gouvernement (C-a-d se
charge de signer uniquement les certificats du gouvernement )

*  ACA : qui est l’autorité de certification accréditée pour le secteur
privé.

Je tiens à préciser que beaucoup  d’entreprise au Cameroun qui dispose des
PKI privés pour les certifications et signatures, en terme de sécurité il
n’y pas de commentaire à faire car ils respectent pour la plupart les normes
et standards. Je peux citer les banques, telecom…

2.     Concrètement quel le rôle de l’accréditation pour les certificats et
signatures du secteur privé ?

L’accréditation permet aux certificats de mon entreprise d’avoir la
signature de l’autorité de certification racine du Cameroun. Cela veut dire
que en cas de litige les opérations ou transaction qui ont été faites avec
ce certificat pourront faire office de preuve numérique devant la justice
camerounaise. En revanche celui qui a un contentieux en justice pour une
opération faite avec un certificat non signé par l’autorité racine du
Cameroun, toutes les preuves numériques sur ces opérations seront simplement
rejetés.

En plus je dois savoir que si j’exerce des activités de certifications et
signatures électronique sans accréditations je m’expose à des sanctions.

 

3.     Comment faire pour permettre aux certificats d’une entreprise X basé
à l’étranger d’être reconnus aux Cameroun en respectant la réglementation ?


Je prendre des exemples :


*  La Bicec banque dispose du PKI au sein de son infrastructure siège basé
en France, émet des certificats pour ces filiales au Cameroun, Guinée,
Gabon…


*  Afrinic dispose d’une RPKI au sein de son infrastructure siège basé en
Maurice,  permettant la sécurisation du routage. Ces certificats sont émis
afin d’assurer la sécurisation et la signature des routeurs qui sont basés
dans le cyberespace du Cameroun.


Les certificats de la Bicec et Afrinic pour etre reconnu au Cameroun doivent
avoir des accords de reconnaissance mutuelle.


Techniquement cela veut dire que :


-          Le certificat racine de la Bicec doit porter la signature du
certificat racine du Cameroun et vice versa 


-          Le certificat racine de la Afrinic doit porter la signature du
certificat racine du Cameroun et vice versa 


L’
<https://www.ssi.gouv.fr/administration/produits-certifies/cc/les-accords-de
-reconnaissance-mutuelle/#sogis-v3> accord de reconnaissance mutuelle permet
la reconnaissance entre les États/entités signataires de l’accord, des
certificats délivrés par leur autorité de certification. Cela veut le dire
le Cameroun reconnait dans son cyberespace les opérations de signatures
électronique qui sont faites soit par la Bicec et Afrinic.


Je tiens encore à préciser que sur le plan fonctionnel RPKI de Afrinic peut
être intégrer dans les routeurs du Cameroun sans problème et garantir la
sécurité qu’il faut. Mais seulement si les opérateurs le font sans se
rassurer qu’il existe un accord de reconnaissance mutuelle entre les deux
parties, l’operateur qui le fait ne respecte pas la réglementation. Ce le
meme cas pour les certificats de la Bicec.


Pour ce qui des accord mutuelle de reconnaissance, cela existe partout.
Exemple en Europe : L’accord européen de reconnaissance mutuelle du SOG-IS
de 2010
https://www.ssi.gouv.fr/administration/produits-certifies/cc/les-accords-de-
reconnaissance-mutuelle


 

 

 

Security Engineer Information Systems
Tél : +237 699088538 / 678381047
Skype : ndanga.brice
My Public Key : PGPKey
My Fingerprint : 29BD ADD6 6527 91FF E531 CA4E 8684 D44C 2A81 6F4E

 

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <https://lists.cmnog.cm/pipermail/cmnog/attachments/20200412/4bfd03d7/attachment-0001.htm>
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: image003.jpg
Type: image/jpeg
Taille: 10318 octets
Desc: non disponible
URL: <https://lists.cmnog.cm/pipermail/cmnog/attachments/20200412/4bfd03d7/attachment-0001.jpg>

Plus d'informations sur la liste de diffusion cmNOG