<div dir="auto">Beautiful explanation there. Thanks Brice for sharing!<div dir="auto"><br></div><div dir="auto">CHII</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, 12 Apr 2020, 09:12 Ndanga brice, <<a href="mailto:ndangabrice@gmail.com">ndangabrice@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="FR" link="#0563C1" vlink="#954F72"><div><p class="MsoNormal"><b><span style="font-size:12.0pt">J’aimerai à travers ce mail apporter une réponse sur la règlementation en matière de certification électronique au Cameroun.<u></u><u></u></span></b></p><p><u></u><b><span style="font-size:12.0pt"><span>1.<span style="font:7.0pt "Times New Roman""> </span></span></span></b><u></u><b><span style="font-size:12.0pt">Qui peut émettre ou produire les certificats électronique ?<u></u><u></u></span></b></p><p class="MsoNormal">Les certificats sont émis à l’aide d’une PKI (Public Key Infrastructure) — ou IGC (infrastructure de gestion de clés) en français. Alors toute entreprise disposant de la logistique nécessaire peut produire ses certificats et l’utilisé sans problème. Et même faire des signatures électroniques.<b> Mais seulement l'activité de certification électronique est soumise à autorisation préalable (Chapitre 3, article 10, al 1 de la loi 2010 sur la cybersécurité). Le rôle de l’état est de donner les accréditations ou autorisations aux entreprises désirant exercer dans ce domaine en se rassurant que ces dernies respectent les normes et standard.<u></u><u></u></b></p><p class="MsoNormal">Le Cameroun ne fonctionne pas en vase clos, c’est le même principe partout, y compris la France qu’on aime cité pour modèle qui se charge à travers ANSSI de donner les autorisations aux entreprises. <a href="https://www.ssi.gouv.fr/administration/produits-certifies/" target="_blank" rel="noreferrer">https://www.ssi.gouv.fr/administration/produits-certifies/</a><u></u><u></u></p><p class="MsoNormal"><span><img border="0" width="436" height="117" id="m_-8638082870541247900Image_x0020_1" src="cid:image003.jpg@01D610AA.6AECB1F0"></span><u></u><u></u></p><p class="MsoNormal">Au Cameroun on distingues :<u></u><u></u></p><p><u></u><span style="font-family:Wingdings"><span>ü<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><b>Root CA</b> : qui est l’autorité de certification racine ( C-a-d se charge de signer tous les certificats emis au Cameroun y compris ceux du gouvernement et autres)<u></u><u></u></p><p><u></u><span style="font-family:Wingdings"><span>ü<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><b>GovCA</b> : qui est l’autorité de certification du gouvernement (C-a-d se charge de signer uniquement les certificats du gouvernement )<u></u><u></u></p><p><u></u><span style="font-family:Wingdings"><span>ü<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><b>ACA</b> : qui est l’autorité de certification accréditée pour le secteur privé.<u></u><u></u></p><p class="MsoNormal">Je tiens à préciser que beaucoup d’entreprise au Cameroun qui dispose des PKI privés pour les certifications et signatures, en terme de sécurité il n’y pas de commentaire à faire car ils respectent pour la plupart les normes et standards. Je peux citer les banques, telecom…<u></u><u></u></p><p><u></u><b><span style="font-size:14.0pt"><span>2.<span style="font:7.0pt "Times New Roman""> </span></span></span></b><u></u><b><span style="font-size:14.0pt">Concrètement quel le rôle de l’accréditation pour les certificats et signatures du secteur privé ?<u></u><u></u></span></b></p><p class="MsoNormal">L’accréditation permet aux certificats de mon entreprise d’avoir la signature de l’autorité de certification racine du Cameroun. <b>Cela veut dire que en cas de litige les opérations ou transaction qui ont été faites avec ce certificat pourront faire office de preuve numérique devant la justice camerounaise</b>. En revanche celui qui a un contentieux en justice pour une opération faite avec un certificat non signé par l’autorité racine du Cameroun, toutes les preuves numériques sur ces opérations seront simplement rejetés.<u></u><u></u></p><p class="MsoNormal">En plus je dois savoir que si j’exerce des activités de certifications et signatures électronique sans accréditations je m’expose à des sanctions.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p><u></u><b><span style="font-size:13.5pt;font-family:"Times New Roman","serif""><span>3.<span style="font:7.0pt "Times New Roman""> </span></span></span></b><u></u><b><span style="font-size:13.5pt;font-family:"Times New Roman","serif"">Comment faire pour permettre aux certificats d’une entreprise X basé à l’étranger d’être reconnus aux Cameroun en respectant la réglementation ?<u></u><u></u></span></b></p><h3><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal">Je prendre des exemples :<u></u><u></u></span></h3><h3 style="margin-left:36.0pt"><u></u><span style="font-size:11.0pt;font-family:Wingdings;font-weight:normal"><span>ü<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal">La Bicec banque dispose du PKI au sein de son infrastructure siège basé en France, émet des certificats pour ces filiales au Cameroun, Guinée, Gabon…<u></u><u></u></span></h3><h3 style="margin-left:36.0pt"><u></u><span style="font-size:11.0pt;font-family:Wingdings;font-weight:normal"><span>ü<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal">Afrinic dispose d’une RPKI au sein de son infrastructure siège basé en Maurice, permettant la sécurisation du routage. Ces certificats sont émis afin d’assurer la sécurisation et la signature des routeurs qui sont basés dans le cyberespace du Cameroun.<u></u><u></u></span></h3><h3><span style="font-size:12.0pt;font-family:"Calibri","sans-serif"">Les certificats de la Bicec et Afrinic pour etre reconnu au Cameroun doivent avoir des accords de reconnaissance mutuelle.<u></u><u></u></span></h3><h3><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal">Techniquement cela veut dire que :<u></u><u></u></span></h3><h3 style="margin-left:36.0pt"><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal"><span>-<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal">Le certificat racine de la Bicec doit porter la signature du certificat racine du Cameroun et vice versa <u></u><u></u></span></h3><h3 style="margin-left:36.0pt"><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal"><span>-<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal">Le certificat racine de la Afrinic doit porter la signature du certificat racine du Cameroun et vice versa <u></u><u></u></span></h3><h3>L’<a href="https://www.ssi.gouv.fr/administration/produits-certifies/cc/les-accords-de-reconnaissance-mutuelle/#sogis-v3" target="_blank" rel="noreferrer"><span style="color:windowtext;text-decoration:none">accord de reconnaissance mutuelle</span></a> permet la reconnaissance entre les États/entités signataires de l’accord, des certificats délivrés par leur autorité de certification. Cela veut le dire le Cameroun reconnait dans son cyberespace les opérations de signatures électronique qui sont faites soit par la Bicec et Afrinic.<span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal"><u></u><u></u></span></h3><h3><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal">Je tiens encore à préciser que sur le plan fonctionnel RPKI de Afrinic peut être intégrer dans les routeurs du Cameroun sans problème et garantir la sécurité qu’il faut. Mais seulement si les opérateurs le font sans se rassurer qu’il existe un accord de reconnaissance mutuelle entre les deux parties, l’operateur qui le fait ne respecte pas la réglementation. Ce le meme cas pour les certificats de la Bicec.<u></u><u></u></span></h3><h3><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal">Pour ce qui des accord mutuelle de reconnaissance, cela existe partout. Exemple en Europe : L’accord européen de reconnaissance mutuelle du SOG-IS de 2010</span> <a href="https://www.ssi.gouv.fr/administration/produits-certifies/cc/les-accords-de-reconnaissance-mutuelle" target="_blank" rel="noreferrer">https://www.ssi.gouv.fr/administration/produits-certifies/cc/les-accords-de-reconnaissance-mutuelle</a><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";font-weight:normal"><u></u><u></u></span></h3><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><i><span lang="EN-US">Security Engineer Information Systems<br>Tél : +237 699088538 / 678381047<br>Skype : ndanga.brice<br>My Public Key : PGPKey<br>My Fingerprint : 29BD ADD6 6527 91FF E531 CA4E 8684 D44C 2A81 6F4E</span></i><span lang="EN-US"><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p></div></div>_______________________________________________<br>
cmNOG mailing list<br>
<a href="mailto:cmNOG@lists.cmnog.cm" target="_blank" rel="noreferrer">cmNOG@lists.cmnog.cm</a><br>
<a href="https://lists.cmnog.cm/mailman/listinfo/cmnog" rel="noreferrer noreferrer" target="_blank">https://lists.cmnog.cm/mailman/listinfo/cmnog</a><br>
</blockquote></div>