[cmNOG] Règlementation sur l'utilisation des certificats PKI et TLS

[Augustine CHII Ngek]

Beautiful explanation there. Thanks Brice for sharing!

CHII

On Sun, 12 Apr 2020, 09:12 Ndanga brice, <ndangabrice at gmail.com> wrote:

> *J’aimerai à travers ce mail apporter une réponse sur la règlementation en
> matière de certification électronique au Cameroun.*
>
> *1.      **Qui peut émettre ou produire les certificats électronique ?*
>
> Les certificats sont émis à l’aide d’une PKI (Public Key Infrastructure)
> — ou IGC (infrastructure de gestion de clés) en français. Alors toute
> entreprise disposant de la logistique nécessaire peut produire ses
> certificats et l’utilisé sans problème. Et même faire des signatures
> électroniques.* Mais seulement l'activité de certification électronique
> est soumise à autorisation préalable (Chapitre 3, article 10, al 1 de la
> loi 2010 sur la cybersécurité). Le rôle de l’état est de donner les
> accréditations ou autorisations aux entreprises désirant exercer dans ce
> domaine en se rassurant que ces dernies respectent les normes et standard.*
>
> Le Cameroun ne fonctionne pas en vase clos, c’est le même principe
> partout, y compris la France qu’on aime cité pour modèle qui se charge à
> travers ANSSI de donner les autorisations aux entreprises.
> https://www.ssi.gouv.fr/administration/produits-certifies/
>
> Au Cameroun on distingues :
>
> ü  *Root CA* : qui est l’autorité de certification racine ( C-a-d se
> charge de signer tous les certificats emis au Cameroun y compris ceux du
> gouvernement et autres)
>
> ü  *GovCA* : qui est l’autorité de certification du gouvernement (C-a-d
> se charge de signer uniquement les certificats du gouvernement )
>
> ü  *ACA* : qui est l’autorité de certification accréditée pour le secteur
> privé.
>
> Je tiens à préciser que beaucoup  d’entreprise au Cameroun qui dispose des
> PKI privés pour les certifications et signatures, en terme de sécurité il
> n’y pas de commentaire à faire car ils respectent pour la plupart les
> normes et standards. Je peux citer les banques, telecom…
>
> *2.     **Concrètement quel le rôle de l’accréditation pour les
> certificats et signatures du secteur privé ?*
>
> L’accréditation permet aux certificats de mon entreprise d’avoir la
> signature de l’autorité de certification racine du Cameroun. *Cela veut
> dire que en cas de litige les opérations ou transaction qui ont été faites
> avec ce certificat pourront faire office de preuve numérique devant la
> justice camerounaise*. En revanche celui qui a un contentieux en justice
> pour une opération faite avec un certificat non signé par l’autorité racine
> du Cameroun, toutes les preuves numériques sur ces opérations seront
> simplement rejetés.
>
> En plus je dois savoir que si j’exerce des activités de certifications et
> signatures électronique sans accréditations je m’expose à des sanctions.
>
>
>
> *3.     **Comment faire pour permettre aux certificats d’une entreprise X
> basé à l’étranger d’être reconnus aux Cameroun en respectant la
> réglementation ?*
> Je prendre des exemples :ü  La Bicec banque dispose du PKI au sein de son
> infrastructure siège basé en France, émet des certificats pour ces filiales
> au Cameroun, Guinée, Gabon…ü  Afrinic dispose d’une RPKI au sein de son
> infrastructure siège basé en Maurice,  permettant la sécurisation du
> routage. Ces certificats sont émis afin d’assurer la sécurisation et la
> signature des routeurs qui sont basés dans le cyberespace du Cameroun.Les
> certificats de la Bicec et Afrinic pour etre reconnu au Cameroun doivent
> avoir des accords de reconnaissance mutuelle.Techniquement cela veut dire
> que :-          Le certificat racine de la Bicec doit porter la signature
> du certificat racine du Cameroun et vice versa -          Le certificat
> racine de la Afrinic doit porter la signature du certificat racine du
> Cameroun et vice versa L’accord de reconnaissance mutuelle
> <https://www.ssi.gouv.fr/administration/produits-certifies/cc/les-accords-de-reconnaissance-mutuelle/#sogis-v3>
> permet la reconnaissance entre les États/entités signataires de l’accord,
> des certificats délivrés par leur autorité de certification. Cela veut le
> dire le Cameroun reconnait dans son cyberespace les opérations de
> signatures électronique qui sont faites soit par la Bicec et Afrinic.Je
> tiens encore à préciser que sur le plan fonctionnel RPKI de Afrinic peut
> être intégrer dans les routeurs du Cameroun sans problème et garantir la
> sécurité qu’il faut. Mais seulement si les opérateurs le font sans se
> rassurer qu’il existe un accord de reconnaissance mutuelle entre les deux
> parties, l’operateur qui le fait ne respecte pas la réglementation. Ce le
> meme cas pour les certificats de la Bicec.Pour ce qui des accord mutuelle
> de reconnaissance, cela existe partout. Exemple en Europe : L’accord
> européen de reconnaissance mutuelle du SOG-IS de 2010
> https://www.ssi.gouv.fr/administration/produits-certifies/cc/les-accords-de-reconnaissance-mutuelle
>
>
>
>
>
>
>
>
>
>
>
> *Security Engineer Information SystemsTél : +237 699088538 /
> 678381047Skype : ndanga.briceMy Public Key : PGPKeyMy Fingerprint : 29BD
> ADD6 6527 91FF E531 CA4E 8684 D44C 2A81 6F4E*
>
>
> _______________________________________________
> cmNOG mailing list
> cmNOG at lists.cmnog.cm
> https://lists.cmnog.cm/mailman/listinfo/cmnog
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <https://lists.cmnog.cm/pipermail/cmnog/attachments/20200412/786de902/attachment-0001.htm>
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: image003.jpg
Type: image/jpeg
Taille: 10318 octets
Desc: non disponible
URL: <https://lists.cmnog.cm/pipermail/cmnog/attachments/20200412/786de902/attachment-0002.jpg>
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: image003.jpg
Type: image/jpeg
Taille: 10318 octets
Desc: non disponible
URL: <https://lists.cmnog.cm/pipermail/cmnog/attachments/20200412/786de902/attachment-0003.jpg>