Professional Documents
Culture Documents
09/06/2010
Rapport daudit
ralis la demande de Monsieur A.J.M. POUCHELON,
Prsident de la Confrence des Btonniers
RPVA
Rapport daudit Version 1.1 09/06/2010
SOMMAIRE
1
1.2
1.3
Lanalyse .............................................................................................................................13
2.1
2.2
2.3
2.4
2.5
3.2
Scurit informatique............................................................................................................ 34
3.3
Intgration dans les cabinets, prise en compte par les prestataires informatiques ............. 36
3.4
Conclusion ...........................................................................................................................41
4.1
4.2
4.3
Synthse ................................................................................................................................ 48
Annexes...............................................................................................................................50
5.1
5.2
5.3
5.4
2/66
RPVA
Rapport daudit Version 1.1 09/06/2010
1
1.1
Linformatique et lInternet sont parties intgrantes de la vie quotidienne des avocats et les
professionnels que nous sommes ne peuvent, titre individuel, qutre tous impliqus terme dans
ces nouvelles technologies.
La mission de nos instances reprsentatives, au premier rang desquelles se place le Conseil National
des Barreaux, est de promouvoir laccs dun maximum, sinon de la totalit de nos confrres, aux
nouvelle technologies, et ce en raison de la ncessit dviter en ce domaine une sorte de fracture
sociale qui serait une fracture technologique.
La nature de nos activits, la confidentialit des lments qui nous sont confis par les clients, nos
principes dontologiques devraient cependant appeler une vigilance extrme.
Le Conseil National des Barreaux entend insister pour que les avocats obtiennent de leurs prestataires
des assurances techniques afin de protger efficacement le flux dinformations sensibles que
vhiculent leurs messageries lectroniques.
Il rflchit, par ailleurs, avec tous les acteurs de la profession, aux solutions utiles notre
communaut professionnelle .
3/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Dans le droit fil de cette premire dlibration, le Conseil National des Barreaux a dcid, loccasion
de son assemble gnrale des 10 et 11 dcembre 2004, de doter la profession dun vritable
intranet, de faon pouvoir rpondre collectivement lensemble des besoins (connus ou
susceptibles de se rvler) lis lexercice de la profession,
Les consquences techniques de ces choix politiques ont galement t prises en considration,
comme le montre lextrait du procs-verbal :
Option 1 : Un accs scuris aux donnes disponibles sur le serveur Web du Conseil National
[extranet cnb.fr en https + certificats]. Cette solution rpond de manire restreinte (accs
Web uniquement) au cahier des charges de la Chancellerie. Les autres types dchanges
lectroniques relevant de chaque avocat
Option 2 : Un internet professionnel et scuris [rseau RPVA + extranet cnb.fr + certificats].
Cette solution repose sur une infrastructure de scurit collective et globale pour tous les
changes Internet professionnels (emails, Web, accs nomades, changes inter-applications).
L'assemble gnrale du Conseil a adopt la majorit des voix larchitecture technique du RPVA
option 2.
Les engagements contractuels pris par le Conseil National des Barreaux vis vis du Ministre de la
Justice pour l'interconnexion avec le RPVJ, imposent de respecter un haut niveau de scurit et un
interlocuteur unique garant/responsable de l'ensemble des accs "avocat".
Cest en fonction des orientations rappels ci-dessus et en adquation avec les diffrents besoins de
services exprims par la profession que le Conseil National des Barreaux a labor la solution
propose aux avocats.
Cette solution est matrialise dans une plateforme e-Barreau qui permet un avocat de consulter
ltat de ses dossiers, et de raliser des actes de procdure de faon lectronique.
Pour scuriser lauthentification de lavocat aux services de-Barreau, le CNB a mis en place une
authentification forte assure par un certificat protg par un code Pin et stock sur un
cryptoprocesseur.
Le transport est scuris par un cryptage point point via Https authentifi par le certificat. Un
deuxime niveau de scurit est mis en uvre puisque le flux Https est encapsul dans des tunnels
VPN reliant le rseau local du cabinet davocat au frontal de-Barreau.
Pour la mise en uvre de ces tunnels VPN, le CNB a pris loption de dployer des boitiers firewallVPN mis au point par la socit NAVISTA.
1.1.3 3 SOLUTIONS MISES EN AVANT POUR LA SECURISATION DE LACCES
Remarquant que la solution du CNB induit un cot pour la collectivit des avocats de plusieurs
millions dEuros, le Barreau de Paris a propos une architecture plus lgre, maintenant un niveau de
scurit lev, mais rpondant principalement la fonction accs au service e-Barreau.
Lutilisation du VPN comme surcouche de scurit na donc pas t adopte par le Barreau de Paris.
4/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Le Barreau de Marseille a adopt une dmarche comparable celle du CNB, tout en sappuyant sur la
mutualisation du boitier firewall-VPN NAVISTA.
CNB.COM DEPLOYER LE RESEAU NAVISTA DANS TOUS LES CABINETS
CNB a pris loption de dployer un rseau priv virtuel au sein de tous les cabinets davocats. Le
rseau est ralis par des boitiers NAVISTA. Outre le chiffrement, les boitiers ont aussi vocation
assurer la scurisation des rseaux locaux des cabinets et ouvrir laccs des tl-services adapts
aux exigences de scurit des avocats.
PARIS LA CONVENTION NIMPOSE QUE LE HTTPS ET LE CERTIFICAT
Le Barreau de Paris estime que la scurisation par HTTPS et authentifi par un dispositif
cryptoprocesseur est largement suffisante. Cest le dispositif historique qui est exploit au sein du
Barreau avec le greffe du TGI de Paris.
Le Barreau de Paris a obtenu un accs spcifique e-Barreau pour les avocats parisiens, quil a
intgr son bouquet de services.
MARSEILLE UNE ALTERNATIVE ECONOMIQUE A LA SECURISATION PAR NAVISTA
Le Barreau de Marseille a point en 2009 le cot important de loption prise par le CNB et ses
limitations en termes de mobilit. Elle a dvelopp une plateforme daccs e-Barreau scurisant
laccs par des technologies Cisco. Le principe mme de laccs permet laccs nomade.
Compte tenu des exigences du CNB en matire de connexion e-Barreau, Marseille a connect son
concentrateur CISCO au RPVA en passant par un boitier RSA quelle a ainsi mutualis.
1.2
Le Prsident a demand lauditeur de prendre en compte dans ses questionnaires, les lments
quil estime utile de retenir de la grille dvaluation technique du CNB.
Cette grille porte notamment sur :
-
5/66
RPVA
Rapport daudit Version 1.1 09/06/2010
6/66
RPVA
Rapport daudit Version 1.1 09/06/2010
1.3
o Aspects conomiques
o Scurit informatique
o Intgration dans les cabinets, prise en compte par les prestataires informatiques
o Maitrise contractuelle
Conclusions
LES ACTEURS
7/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Lobjectif annonc par la Chancellerie est quipement de tous les TGI au 1er janvier 2008 au rythme
de trois juridictions par jour compter du 1er octobre prochain.
()
Il sagit donc dun challenge monumental pour la profession qui dispose de trois mois pour finaliser ce
projet et quiper les barreaux.
Le Conseil National a travaill pour se faire sur une modification de loffre technique de-barreau. Il a
ainsi fait choix de la socit NAVISTA qui propose un boitier lectronique sans obligation pour le
cabinet de changer doprateur et de nom de domaine. Cette solution technique qui se greffe sur le
rseau informatique du cabinet, avec le mme niveau de scurit, permet de connecter autant de
poste que lon veut et nimpose aucun changement dadresse de messagerie.
Le CNB a alors confi lassociation vocation nationale, CNB.COM, la charge de
Dployer larchitecture NAVISTA (frontal Rennes et boitiers RSA dans les cabinets davocats)
pour laccs au service e-Barreau,
Assurer le support utilisateur pour les cls e-Barreau et les boitiers RSA (niveau 0 seulement),
CNB.COM a opt pour une fiscalit qui permette aux avocats de se faire rembourser la TVA sur les
prestations refactures par CNB.COM, et notamment celles de NAVISTA et de CertEurope.
CNB.COM a sign en 2007 avec la socit NAVISTA une convention qui dfinit un modle
conomique bti sur
la location mensuelle des botiers RSA par NAVISTA CNB.COM, organisme national,
Un accord a t trouv en 2009 pour autoriser la sortie du Barreau de Paris du dispositif et revoir les
engagements prix-volumes pour la location NAVISTA des boitiers RSA.
NAVISTA
NAVISTA est une socit dune dizaine de personnes implante PERPIGNAN. Elle conoit, dploie et
administre des solutions rseaux scurises. Elle est certifie ISO 9001 depuis mars 2006 et elle est
compose de :
-
un service de recherche et dveloppement qui dfinit les boitiers, dveloppe les logiciels
embarqus dans les boitiers et les solutions de contrle centralis (NCC),
8/66
RPVA
Rapport daudit Version 1.1 09/06/2010
un service support avec trois niveaux, le premier niveau rgle les questions simples, le
second permet de rpondre aux questions techniques en particulier des installateurs de
boitiers, le troisime prend en charge les corrections dapplicatif et est port par le service
recherche et dveloppement,
un service de montage, de paramtrage, de tests et vrification, et dexpdition des botiers
RSA vers les cabinets davocats
une salle de serveurs comportant les serveurs de tests et de dveloppement ainsi que le
serveur qui hberge lapplication de contrle centralis des boitiers.
Outre le Rseau Priv Virtuel des Avocats, NAVISTA a deux autres rfrences dans le monde de la
Justice, les cabinets de notaires dIle de France pour lesquels elle dploie un rseau priv virtuel, et
ladministration pnitentiaire laquelle elle propose des terminaux client lger destination des
dtenus en fin de peine.
NAVISTA est consciente de limpact potentiel de son organisation sur la scurit du RPVA et des
cabinets davocats qui y sont connects, la fois par la qualit de ses dveloppements et par la
capacit que lui donne son centre de contrle NCC. Elle envisage dengager une certification ISO
27001. Son site est dailleurs en voie de scurisation renforce puisque outre le site de badge de
contrle daccs, elle fait clturer le primtre immdiat de son immeuble dont elle est la seule
occupante.
9/66
RPVA
Rapport daudit Version 1.1 09/06/2010
10/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Pour le reste, elle ne ncessite pas dautre adaptation, ni de lordinateur, ni du rseau local. HTTPS et
les certificats tant pris en charge par lensemble des navigateurs du march.
Le Barreau de Paris nenvisage pas dautres dispositions. Il considre que pour la messagerie relative
aux changes des avocats avec les tiers, le niveau de scurisation des services internet grand public
est suffisant. Si ncessaire, des offres dhbergement ddies de type Exchange ou autre
foisonnent.
Sagissant de la scurisation du rseau local des cabinets et des travailleurs nomades :
Les gros cabinets davocats ont dj scuris leur rseau local avec des couches de parefeu et savent se procurer des services de filtrage sils lestiment ncessaires
La scurit des petits cabinets par les box Internet est suffisante.
Quant louverture de services scuriss, le Barreau de Paris rappelle que le march est trs
dynamique et propose dj des tl-services avec un niveau de scurit suffisant pour les avocats. Il
estime que la dfinition dune offre ddie aux avocats par le CNB naura pour effet que de crer des
monopoles, donc de rduire le rapport qualit/prix offert lutilisateur. Si ces services peuvent avoir
un intrt parce quils facilitent leur appropriation pour lavocat, ils ne doivent pas tre imposs.
11/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Une premire authentification par la cl USB dlivre par le CNB sur le frontal CISCO,
Un cryptage du flux passant par Internet au sein dun tunnel VPN Cisco puis dun tunnel VPN
NAVISTA,
Marseille rappelle que les accs ADSL grand public sont fournis par les FAI (Fournisseurs dAccs
Internet) avec des routeurs-firewall intgrs et que les postes de travail depuis Windows XP SP2
(2004) sont maintenant scuriss par des firewalls locaux.
Lavocat nest donc pas dpendant du bon fonctionnement de son boitier RSA et de son accs
internet cabinet, lorsquil est en mobilit.
Rappelant que la scurit est avant tout une affaire de dispositions organisationnelles et compte
tenu du niveau lev de scurisation dj apport au grand public, elle estime ainsi que la
scurisation du rseau local apporte par le RSA est superflue, sinon redondante avec les dispositifs
dj en place au sein de quelques groupements.
Quant louverture de services scuriss, le march propose des solutions scurises sur des
architectures plus lgres que celle de CNB NAVISTA
12/66
RPVA
Rapport daudit Version 1.1 09/06/2010
2
2.1
LANALYSE
LA SECURITE DE LA LIAISON ET DE LAUTHENTIFICATION
13/66
RPVA
Rapport daudit Version 1.1 09/06/2010
La limite reconnue des communications HTTPS est leur exposition aux attaques de type Men in the
middle , dans lesquelles un attaquant arrive sintercaler dans la communication pour fonctionner
comme rpteur et ainsi accder lensemble des flux.
Lutilisation de lauthentification par certificat permet de se protger contre cette attaque et
complique la tche de lattaquant qui doit aussi sinsrer dans la liaison avec lautorit de
certification.
Aussi, si lautorit de certification surveille correctement ses logs, elle est capable de dtecter des
intrusions et de ragir pour renouveler les cls concernes et alerter la vigilance des administrateurs
concerns.
LE VPN APPORTE UNE SECURITE SUPPLEMENTAIRE PARCE QUIL INTRODUIT UN DEUXIEME
NIVEAU DAUTHENTIFICATION
Le VPN apporte une deuxime faon de mettre en place la squence de chiffrement et un deuxime
dispositif de supervision de la liaison.
Dans ce contexte, le VPN apporte effectivement un plus en scurit, parce quil donne une deuxime
opportunit de djouer ou dtecter une attaque.
Le VPN mis en place par Marseille na quun intrt rduit parce quil utilise la mme authentification
que le HTTPS et que lalgorithme de chiffrement (SSL) est similaire.
ANSSI : Agence Nationale de la Scurit des Systmes dInformation publie notamment Rgles et
recommandations concernant la gestion des cls utilises dans des mcanismes cryptographiques
14/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Lutilisation des cls NAVISTA, si elles sont bien gres, renforcent effectivement la scurit,
puisquelle impose au pirate de tromper un systme qui est bien indpendant.
15/66
RPVA
Rapport daudit Version 1.1 09/06/2010
2.2
2.2.1 CNB
Le CNB considre que lobligation des avocats de protger la confidentialit des dossiers confis par
leurs clients devrait les conduire disposer :
des mails stocks sur des serveurs scuriss, soit en interne, soit chez un prestataire de
confiance.
Le serveur avocat-conseil.fr rpond ces deux proccupations, mme si cette adresse courriel
nest pas impose. Laccs partir du cabinet se fait par le VPN NAVISTA et les mails sont conservs
sur un serveur qui est contrl par la profession. En cas dinjonction communiquer des documents,
le Btonnier concern sera inform.
2.2.2 PARIS
80% des changes de mails des avocats sont faits avec les clients et les confrres, et ne sont pas
couverts par la messagerie avocat-conseil.fr
La messagerie avocat-conseil .fr court-circuite les noms de domaine des cabinets davocats qui en
ont un (80% du chiffre daffaires de la profession).
Les accs depuis des PDA la messagerie avocat-conseil.fr restent non chiffrs.
Le Barreau de Paris considre aussi que les solutions gratuites comme Gmail et les Google Apps
offrent des niveaux de scurit suffisants :
-
Obligation de conformit la loi amricaine et sanction du march, sont plus efficaces quun
monopole
La question de savoir si les socits franaises doivent ou non utiliser des services fournis par des
socits amricaines nest pas dactualit pour le Barreau de Paris.
Finalement, quelque soit lhbergeur, la protection des correspondances davocats sapplique.
2.2.3 MARSEILLE
Pour la scurit des changes lectroniques par un cabinet d'Avocat, le Barreau de Marseille estime
que la scurit de sa liaison et l'authentification de l'avocat par la cl USB dlivre par le CNB sont
conformes aux textes en vigueur.
S'agissant de la sensibilisation des Avocats pour une meilleure rflexion sur ce que devrait tre la
scurit globale d'un cabinet informatis, le Barreau de Marseille estime que l'action doit tre
16/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Les politiques de marque des cabinets, les font communiquer par des adresses attaches aux
cabinets, et le serveur avocat-conseil.fr ne prend en compte quune partie des mails,
Les courriers des avocats concernent un ou plusieurs acteurs qui sont en dehors du RPVA et
en dehors du domaine avocat-conseil.fr,
Les accs par PDA et Smartphone se gnralisent et ne sont pas pris en charge par le RPVA
(pas de client NAVISTA sur les iPhones, Blackberry, et autres) et sont contraints de passer par
des protocoles non scuriss,
Les cabinets davocats parisiens nont pas adopts les boitiers NAVISTA,
Compte tenu de la diversit des acteurs concerns et de leur parc informatique, seul un standard de
march semble raliste et, pour les changes de courriels scuriss, il ny en a pas qui se dgage.
LES CABINETS DAVOCATS PEUVENT DEJA DISPOSER DEJA DUNE SECURITE EQUIVALENTE A
AVOCAT-CONSEIL.FR
Lanalyse des niveaux de scurit qui simposent aux courriers des avocats na pas t faite au
pralable par la profession.
A minima, un cabinet doit sassurer que les mails quil stocke sont conservs dans de bonnes
conditions de scurisation. Cette scurit passe par des dispositions organisationnelles et pour la
partie technique par :
-
Les cabinets qui sont suivis par un prestataire informatique ont pour la plupart des serveurs de mails
hbergs au cabinet ou sur une plateforme contrle par leur prestataire. Les autres passent par des
services grand-publics, affichs sous leur nom de domaine, ou sous la marque du prestataire.
17/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Les hbergeurs publics (wanadoo, free.fr, gmail, hotmail, yahoo, etc.) ou mutualiss (OVH, etc.)
proposent tous des accs chiffrs. Ils intgrent des services dantivirus et dantispam plus ou moins
performants, et assurent une surveillance troite de la scurit de leurs installations. De plus ces
services ayant une grande audience, les anomalies sont vite remontes et prises en compte (ex.
dbat rcent sur les procdures de rcuprations de mot de passe).
Ces services ont des niveaux de scurit quivalents ce que propose le CNB. Ils ne sont pas tous
hbergs en Europe et peuvent soulever des difficults relevant de lintelligence conomique et de la
protection des donnes personnelles. Les avocats qui sestiment concerns par cette problmatique
devront la prendre en compte dans le choix de leur hbergement.
Compte tenu des observations prcdemment faites sur les accs avocat-conseil.fr, il convient de
souligner que cette messagerie est en marge de larchitecture RPVA puisquelle est galement
accessible depuis Internet. Il sagit dune solution Sun iplanet hberge par Orange BS.
2.3
2.3.1 CNB
La convention entre le Ministre de la Justice et le Conseil National du Barreau de 2007, et les
ngociations en cours pour sa refonte, font apparatre des obligations en la matire pour la
profession des avocats.
18/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Compte tenu du nombre des avocats individuels et des difficults quils rencontrent pour rgler cette
question, le CNB a vis une solution RPVA base sur un boitier RSA qui apporte une offre accessible
tous pour un haut niveau de scurit.
Dautre part, le CNB responsable de la scurit des accs e-Barreau, considre quelle doit passer
par des dispositifs de chiffrement pour les changes et la scurisation des points daccs au RPVA. A
ce titre, il est indispensable que ces points daccs au RPVA soient situs derrire des firewalls.
Le dploiement de boitiers RSA au sein de chaque cabinet est la seule faon qu le CNB de sassurer
que les points daccs sont bien scuriss.
2.3.2 PARIS
La question de la scurit des cabinets davocats doit tre aborde globalement en termes
dorganisation et de dontologie, et non pas seulement en matire doutil et de technique.
2.3.3 MARSEILLE
Le Barreau de Marseille considre que les systmes grand public (Freebox, Livebox, etc.) intgrent
dj un firewall et que, si un niveau supplmentaire devait tre impos, les prestataires infogrants
des cabinets davocats savent mettre en place des solutions incluant pare-feu et VPN avec des
quipements du commerce (Fortinet, Netasq ; Harpoon, Cisco,) dont le cot est sans comparaison
avec celui du boitier NAVISTA.
De plus, depuis Windows XP, toutes les versions de Windows intgrent un firewall et rappellent la
ncessit dun antivirus.
2.3.4 ECLAIRAGE DES AUDITE URS
LE FIREWALL PROTEGE DES ATTAQUES FRONTALES, LUTILISATION DU VPN RENFORCE LA
SECURITE APPORTEE PAR LE FIREWALL
Le firewall limite lexposition du rseau local Internet. Il nexpose aux requtes provenant
dInternet que les machines qui ont t prvues cette fin (serveur mail, serveur collaboratif,
serveur Citrix, serveur TSE par exemple). Il est ncessaire que la scurit des machines exposes
Internet soit adapte et tenue jour.
Lorsque les accs passent par un VPN, le firewall introduit une tape dauthentification pralable
laccs au rseau local et ajoute une couche de protection ces services. Le paramtrage de ce mode
daccs doit saccompagner dun ajustement de la gestion des droits sur le rseau local. Cest une
opration dlicate qui ncessite lintervention dun professionnel.
19/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Lutilisation de cl 3G est une alternative pour laccs scuris. Lisolation faite par loprateur assure
lutilisateur dtre dans un environnement amical.
les gains apports par la technique seule sont dj mis en uvre par les technologies grand
public et les gains rsiduels sont rechercher dans lducation des acteurs et lapplication de
rgles organisationnelles,
les pirates dveloppent des techniques qui court-circuitent les dispositifs de contrle par
firewall et antivirus.
Les techniques actuelles dattaque passent par lintgration de contenu malveillant dans les
documents (en ce moment, 50% des attaques relayes par document le sont par les PDF) et
lintgration de contenu malveillant dans des sites internet malveillants ou parfois mme dans des
sites bienveillants mais faiblement scuriss.
Les contenus malveillants intgrent des mcanismes de diffusion et sont complts par des
campagnes dapptage (phishing, scams, etc.).
Le firewall NAVISTA offre, dans sa configuration actuelle, une protection limite contre ces attaques,
qui exploitent lutilisateur comme moyen daccs aux failles. Lorsque le filtrage de contenu sera mis
en place, il aura la possibilit dagir sur ce risque. Ces fonctions et leur tarification ne sont pas encore
connues et ne peuvent pas tre values.
LA SECURITE EST UNE PREOCCUPATION ORGANISATIONNELLE
Ainsi le cabinet qui souhaiterait optimiser sa scurit aurait mettre en place des rgles
organisationnelles sur laccs aux mails, sur limportation de contenu provenant dinternet et sur une
surveillance de ses installations. Il aurait intrt se rapprocher dun prestataire informatique qui
20/66
RPVA
Rapport daudit Version 1.1 09/06/2010
RPVA
Rapport daudit Version 1.1 09/06/2010
cabinets ne disposent pas de comptence pour raliser ces oprations. Sils adoptaient une telle
solution, il faudrait prvoir un budget de 200 par an ou lachat dun boitier avec une solution de
mise jour automatique.
2.4
2.4.1 CNB
Le CNB envisage dutiliser les boitiers RSA pour donner aux avocats laccs un certain nombre de
tl-services avec lesquels elle aurait des partenariats. Les partenariats auraient pour objectifs
dadapter les tl-services aux exigences de la profession, voire dorganiser un point de facturation
unique centralis par CNB.COM
Les services envisags sont :
- Coffre-fort lectronique,
- Tl-sauvegarde,
- Contrle des accs internet et du contenu,
- Espace collaborative.
En parallle, le CNB insiste sur la possibilit daccder au cabinet distance grce aux capacits VPN
du RSA. Elle appelle cette possibilit tltravail dont le mode daccs est dcrit en annexe 1 du
prsent rapport. Le collaborateur du cabinet peut ainsi travailler depuis chez lui en prenant la main
sur son poste rest connect dans le cabinet. Cette solution peut aussi tre utilise par les
connexions nomades de type clef 3G depuis nimporte o, tout en garantissant un niveau de scurit
gnral. Ce systme permet aussi tablir une session sur e-Barreau depuis son ordinateur personnel
tout en gardant un niveau de scurit lev de bout en bout, condition de disposer de la cl
dauthentification.
2.4.2 PARIS
Ces tl-services ne font pas partie de la convention que la profession a passe avec la chancellerie.
Le terme Tltravail nest pas la bonne appellation parce quelle suppose un cadre lgal (travail
distance) et organisationnel (contrle des horaires), ce qui nest pas le cas. Il sagit plutt daccs
distance.
Laccs distance scuris est dj mis en uvre par les gros cabinets (80% du CA de la profession)
et se fait trs bien avec des solutions simples sur tagre. La scurisation des accs distance
ncessite aussi la scurisation du rseau local qui nest pas couverte par NAVISTA.
La tl sauvegarde scurise existe sur le march avec des accs scuriss. La couche VPN de
NAVISTA napporte rien de plus. Le service tl-sauvegarde CNB.COM nexiste pas encore.
22/66
RPVA
Rapport daudit Version 1.1 09/06/2010
2.4.3 MARSEILLE
Le Barreau de Marseille constate que la convention avec la Chancellerie ne porte pas sur les services
annexes proposs (et pas encore dvelopps) par NAVISTA. Le CNB ne peut pas imposer aujourd'hui
de futurs services des avocats qui n'en auront pas l'utilit.
Il est difficile de se prononcer sur des dispositifs qui ne sont pas encore connus, et dont les modalits
techniques et conomiques de dploiement restent dfinir.
LES INFOGERANTS OFFRENT DEJA CE TYPE DE SERVICES
Il faut noter que les services identifis (coffre fort, sauvegarde, contrle de contenu, ) existent dj
sous forme de tl-services sur le march et ont t conus pour sintgrer facilement aux rseaux
des cabinets et aux postes de travail.
Ces services sont assurs par les prestataires infogrants des cabinets davocats et par des
oprateurs grand public.
Par exemple pour la tl-sauvegarde, plusieurs acteurs sont dj prsents :
-
Les infogrants sur leurs serveurs ou via des tl-services en OEM (Oodrive, OVH,)
Les diteurs de logiciel de gestion de cabinet intgrent des dispositifs de tl-sauvegarde
leur offre commerciale
Tous ne mettent pas en uvre des tunnels VPN mais certains scurisent la connexion par Https.
DES OFFRES DE TELESAUVEGARDE EXISTENT AUSSI
Le march Internet propose plusieurs solutions de tl-sauvegarde accessibles par SSL et, pour
certaines assurant le cryptage avant envoi des donnes sauvegardes.
Par exemple, Dropbox, box.net, Live.com, Me.com, OVH.com en grand public, et avec des stockages
hors Europe.
23/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Certaines solutions logicielles permettent dutiliser un rpertoire FTP distant comme support de
backup chiffr.
QUELLES SOLUTIONS POUR QUELLES DONNEES
Diffrents cadres rglementaires sappliquent aux donnes traites par les cabinets davocats. Ces
cadres peuvent tre trs restrictifs et contraignants et en particulier en matire pnale o le secret
professionnel est opposable. Dautre part, lavocat qui traite de la prservation des donnes
personnelles ou celui qui est confront de lintelligence conomique ont probablement des
exigences diffrentes.
Une revue des cadres et des niveaux de scurit qui en dcoulent devrait tre effectue pour
apprcier les diffrents cas de figure qui sappliquent aux donnes des cabinets davocat. A chacun
de ces cas de figure, les dispositions organisationnelles et techniques associes seraient identifies,
de faon apprcier le cadre demploi des diffrents services du march.
2.5
LA DPENDANCE NAVISTA
2.5.1 CNB
Le CNB met en avant les avantages du choix du prestataire NAVISTA par :
-
Au lancement du RPVA, le Conseil National des Barreaux a contract avec France Telecom
(ORANGE).
24/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Dans toutes les configurations valides, les flux issus des sites ou utilisateurs quips daccs
IP VPN ADSL monoposte et light sont dirigs vers un site dsign appel aussi site de
concentration, savoir la plateforme RPVA.
Les offres proposs lpoque sarticulaient autour des dbits et technologies suivants :
ADSL 512Ko, ADSL 8 Mo et SDSL 1 Mo (pour un cot minimal de 70 HT/mois.
Lhbergement prochain des services NCC sur les plateformes du CNB Rennes.
En parallle, NAVISTA rassure aussi sur ses changements de statuts en les justifiant par une conomie
sur les cots de structure.
2.5.2 MARSEILLE
Le choix dun partenaire unique expose de faon draisonne la profession une petite structure
juridique faible capital social.
La technologie propritaire (par botier individuel) est injustifie alors que des protocoles quivalents
(logiciels, sans boitier individuel) existent avec des implmentations standards, supportes par des
grands fournisseurs et des grands comptes, et avec un haut niveau de portabilit (cas CISCO et VPN
over SSL).
Le systme NCC permet quelques acteurs, dont NAVISTA, de contrler lensemble des boitiers de la
profession et de sintroduire dans les rseaux locaux de tous les cabinets davocats.
Que devient le RPVA, et la scurit des cabinets davocats si une prise de contrle hostile de
NAVISTA se produit ?
Le service de base rendu par la formule de NAVISTA savoir le transport de donnes entre les
cabinets davocats et les greffes des juridictions peut parfaitement tre rendu avec des
technologies standards pour un cot bien moindre. Les services valeur ajoute ne sont pas couverts
par le prix actuel, jug dj lev, et les prix venir ne sont pas arrts et donc inconnus.
2.5.3 ECLAIRAGE DES AUDITE URS
LA MAITRISE CONTRACTUELLE EST A AMELIORER
La capacit du CNB grer la reprise et la rversibilit du RPVA, en cas de dfaillance de NAVISTA,
n'est pas dmontre avec les moyens techniques et humains aujourdhui en place. Ce point est
dvelopp dans la partie du rapport relative la maitrise contractuelle du CNB.
25/66
RPVA
Rapport daudit Version 1.1 09/06/2010
26/66
RPVA
Rapport daudit Version 1.1 09/06/2010
3.1
3
4
5
Parmi ces 47.765 avocats, le Barreau de Paris en compte 19.250, soit 40,3%. La rgion PACA en
compte 4462 avocats, soit 9,3%.
Le Barreau de Marseille compte en avril 2010, 1675 avocats actifs.
Pour lanne 2006, le revenu moyen des avocats est de 72.352 et le revenu mdian 42.536 .
LIle-de-France dtient avec 90.440 , le revenu moyen le plus lev.
Pour les cabinets davocats, les cots induits par le RVPA se rpartissent en :
-
Cot de location
Cot de maintenance
2 Lavocat individuel exerce sa profession de faon totalement indpendante. Il est impos au rgime de lIR et est responsable indfiniment sur ses biens
propres.
3 Lavocat associ est une personne physique dtenant des parts dans une socit davocats, ses revenus se composant dhonoraires et de dividendes.
4 Lavocat collaborateur travaille de faon autonome sur les dossiers qui lui sont confis. Sa rmunration seffectue sous forme de rtrocession dhonoraires.
5 Lavocat salari est une personne travaillant sous contrat de travail avec son employeur moyennant le versement rgulier dun salaire. Il na pas de clientle
personnelle.
27/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Le prix pay par le CNB NAVISTA pour la location des boitiers dpend du nombre de boitiers dj
dploys, par exemple les 4000 premiers boitiers ont un prix, les 1000 suivants un autre, etc.
Dautre part, pour stimuler le projet de dploiement des RSA au sein des cabinets, le CNB a rduit le
prix pay par le cabinet davocat, la fois en :
-
Subventionnant une part du prix du boitier, pour que lavocat nait payer que 25 HT,
Engageant la profession sur un nombre de boitiers minimum, et selon le CNB, pour que le
prix de location soit lui aussi rduit.
En complment des prix mensuels, le cabinet doit aussi rgler un forfait de prise en charge par
NAVISTA de 39 HT, dans laccompagnement du cabinet ou de son prestataire, pour le paramtrage
du RSA au sein du rseau local.
NAVISTA propose aussi une prise en charge de linstallation pour 169 HT, qui correspond ce quun
prestataire informatique facturerait pour intgrer le RSA dans le rseau local du cabinet.
Il faut ainsi ajouter de lordre de 200 HT par installation du RSA dans les cabinets.
Pour la location / maintenance des botiers RSA, la premire mensualit verse CNB.COM, par les
cabinets davocats sest leve au dpart 55 HT, dont 5 pour la cl dauthentification et 2
ladresse de messagerie. Elle est passe 25 HT partir davril 2010.
Depuis avril 2010, un nouvel accord a permis de rduire le montant pay par CNB.COM NAVISTA. La
redevance mensuelle du boitier RSA est ainsi passe de 45 35 HT et passera 30 HT partir du
janvier 2011. La diffrence entre le montant pay NAVISTA et celui pay par le cabinet davocats
est pris en charge par le CNB. Les 7 HT pour la cl et ladresse mail sappliquent encore.
Ainsi sur la base de ces nouveaux tarifs, le cot annuel payer par les cabinets davocats svalue :
-
Pour 2.010, le changement de tarif en avril 2010 et le passage de 2700 4000 cabinets
conduit un montant de lordre de 1.000.000 HT
Pour 4.000 boitiers 25 par mois en 2011, le montant sera au moins de 1.200.000 HT
28/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Le CNB ayant concd NAVISTA le monopole des accs XDSL pour la France hors Paris, jusquen
2014, le cot global de lquipement des cabinets davocats en botiers RSA de 2010 2014 est
suprieur 9,3 M.
Nous faisons la simulation suivante pour dterminer les ordres de grandeur :
2008
2009
2010
2011
2012
2013
2014
Total
Nb cabinets
NC
NC
2 700
4 000
5 000
7 000
7 000
Cot cabinet ()
45
45
45/25
25
25
25
25
NC
NC
1,00
1,2
1,5
2,1
2,1
7,90
0,3
0,24
0,28
0,3
0,3
1,42
Nb davocats
NC
NC
7000
11000
16000
22000
22000
Cot avocat/mois
14
NC = Non Connu
Ce montant couvre la seule part de laccs e-Barreau. Le cot des cls et du support assur en
direct par le CNB nest pas pris en compte.
En toute rigueur, il faudrait aussi ajouter les 200 par cabinet pour linstallation du botier RSA, ce
qui slve 1,4 M pour 7 000 cabinets.
Ainsi sur la priode 2010 2014, le dploiement du RPVA avec la solution NAVISTA aura cot de
lordre 10,7 M, dont 1,42 M pris en charge par le CNB.
Par avocat et par mois, le cot moyen est de 14 en 2010 et de 8 partir de 2012.
3.1.3 DONNEES ECONOMIQUES PARIS
A Paris, les avocats reoivent les cls dauthentification, gratuitement pour linstant et ne payent
aucune redevance pour accder e-Barreau.
Il ny a pas de cot dinstallation ni de cot de maintenance pour les avocats.
Le Barreau de Paris utilise sa plateforme daccs aux services e-Carpa et anciennement e-Greffe quil
a fait voluer pour quelle puisse relayer lauthentification faite par Paris sur le serveur de-Barreau.
La migration e-greffe vers e-barreau, a ncessit l'adaptation de la plateforme d'authentification afin
de rediriger les flux des avocats authentifis vers le RPVA, ainsi que ladaptation de la plateforme ebarreau afin que celle ci soit en mesure de grer les flux en provenance du rseau parisien. Cette
volution a cout 24 000 HT.
Le Barreau de Paris a aussi mis en place une liaison scurise et redonde pour accder e-Barreau :
-
Il a achet et mis en place en 2008 des quipements rseaux pour un montant de 66.000
(dont les 24.000 dadaptation des plates-formes) amortir sur 5 ans, soit 13.200 par an.
29/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Il sagit de deux clusters de deux Fortinet Fortigate 200A possdant les fonctions de
pare-feu et de rseaux privs virtuels associs un moteur IPS (Intrusion Prevention
System). Un analyseur Fortinet Fortianalyser 800B a t install par CertEurope pour
concentrer et traiter les logs et les alertes de scurit.
-
Il sest dot dune ligne prive haut dbit Orange business 10 Mb/s, secourue par un lien
priv SDSL 4 Mb/s pour un montant annuel de 57.328 . Il finance la maintenance du
Firewall pour 7176 par an ainsi quune surveillance et une exploitation pour 12.228 par
an.
Le budget annuel pour assurer la fonction transport jusqu e-Barreau est de 89.932 par an.
Le prix de revient par avocat et par an, sera fonction du nombre davocats utilisant la liaison :
-
Pour 4.000 avocats, il revient 1,87 par avocat et par mois, soit 22,48 par an
Pour 5.000 avocats, il revient 1,5 par avocat et par mois, soit 18 par an
Pour 20.000 avocats, il serait de 0,38 par avocat et par mois, soit 4,50 par an
2008
2010
2011
2012
2013
2014
Nb cabinets
2 700
9360
9360
9360
9360
Cot cabinet
0,00
0,09
0,1
0,1
0,1
0,1
0,58
2009
0,09
Total
Le support consiste essentiellement au support du certificat sur cl. Nous ne lavons pas pris en
compte comme nous ne lavons pas pris en compte pour le CNB et pour Marseille.
Au global, le cot de la solution parisienne est de lordre de 0,6 M dont 0,5 M de liaison avec la
plateforme e-Barreau.
A titre de comparaison, le Barreau de Paris a recens en 2008, le nombre de sites qui auraient
ncessit un botier NAVISTA. Il a recens 9360 sites. Au moment du choix par Paris de sa solution,
pour une redevance mensuelle de 55 par mois (dont 48 pour le botier NAVISTA) et par avocat, le
cot induit par NAVISTA aurait t de 4 492 800 HT/an.
Cette analyse mriterait dtre affine parce que le CNB estime que la couverture nationale hors
Paris est de lordre de 7300 boitiers, alors que le nombre de cabinets couverts est suprieur au
nombre de cabinets davocats parisiens (1/3 de plus davocats en province qu Paris et des cabinets
plus petits en province qu Paris).
30/66
RPVA
Rapport daudit Version 1.1 09/06/2010
En projection sur 2011, avec les nouveaux tarifs 25 par boitier et par mois, la redevance annuelle
avocat et hors subvention CNB pour les 9.360 botiers serait passe pour les avocats parisiens
2.808.000 HT/an.
3.1.4 DONNEES ECONOMIQUES MARSEILLE
La solution du Barreau de Marseille a t mise en place VENISSIEUX par un infogrant ICT-Flowline.
Elle a ncessit lacquisition dquipements rseaux et implique des cots de fonctionnement
annuels et rcurrents.
Lacquisition porte sur un frontal CISCO ASA 5550 dot dun firewall de 100 licences Premium pour
un montant de 23.000 HT. Un Routeur 3845 et un Switch 2960 pour grer si ncessaire plusieurs
botiers RSA NAVISTA mutualiss pour 17.000 HT, et 1950 HT pour les installations successives. Le
montant des acquisitions initiales est de 47.800 HT, amortir sur 5 ans, soit 9.560 HT par an.
Si le nombre dutilisateurs simultans devait dpasser les 100, le Barreau de Marseille envisage
dacheter un pack de licences Cisco supplmentaires qui coterait de lordre de quelques milliers
deuros.
Les cots rcurrents concernent 4 botiers RSA, une liaison de bande passante de 1 Mo/s, et un
hbergement, pour 770 HT par mois, soit 5.875 HT par an.
Le cot annuel de la solution du Barreau de Marseille est ds lors de 15.435 HT.
Il faut remarquer ici que si la solution Marseille devait tre valide par le CNB comme un mode
daccs autoris e-Barreau, le concentrateur Cisco ASA devrait tre localis dans le centre
dexploitation du CNB. Le transport et les 4 boitiers RSA seraient vits et la liaison serait fiabilise.
Lavocat dispose dune documentation qui lui explique la dmarche suivre pour installer sur son
ordinateur les logiciels tlcharger et les paramtres initialiser. Un support est assur par un
technicien du Barreau de Marseille. Linstallation de ce logiciel est concomitante celle des pilotes
de la cl Gemalto, aussi il nest pas pris en compte.
Dimensionne pour 1000 avocats dots de la cl e-Barreau, la solution revient 1,29 HT par
avocat et par mois.
2008
2009
2010
2011
2012
2013
2014
Nb avocats
1000
1200
1200
1200
1200
Cot avocat ()
0,00
0,015
0,015
0,015
0,015
0,015
0,08
31/66
Total
RPVA
Rapport daudit Version 1.1 09/06/2010
32/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Larchitecture NAVISTA prsente effectivement toutes ces proprits, mais compte tenu de la
diversit des situations rencontres sur le terrain, il est difficile de se prononcer sur leur intrt
effectif pour les cabinets davocats. En effet :
La liaison est dj fortement scurise avec un chiffrement HTTPS et une authentification par
cryptoprocesseur sur cl USB. En cas dintrusion, les logs serveurs permettent dapprcier la
pertinence dune contestation. Le transport au sein dun VPN prouv apporte une scurit
supplmentaire sur la liaison. Il ny a pas dvaluation qui justifie le gain apport ;
La scurit du poste de travail de lavocat et du cabinet davocat dpend pour lessentiel des
facteurs organisationnels et des dispositions techniques relevant du rseau local du cabinet.
Ces dispositions ne sont pas couvertes par le RSA qui se limite mettre en place un (bon)
firewall contrlant les accs Internet ;
La scurisation des changes de mails entre avocats par ladresse avocat-conseil.fr, accde
travers le VPN NAVISTA, est confronte de multiples obstacles : cabinet utilisant leur
propre nom de domaine, avocats prfrant la richesse fonctionnelle des webmails
commerciaux (Gmail,Hotmail,), inexistence de client VPN NAVISTA pour les terminaux
mobiles (PDA, Smartphone), non prise en compte des tiers (clients, magistrats sur adresses
personnelles) ;
L'extension de nouveaux services passera par laccs scuris par VPN des tl-services.
La scurisation par VPN est un plus par rapport la scurisation HTTPS sans certificat des
offres grand public. Cependant, les services retenus par le CNB ne sont pas encore connus et
ainsi nont pas pu tre valus. Ils ne seront pas gratuits (20% de plus la location du RSA
pour le transport jusqu'au nouveau service, plus cot du service lui mme) et leur intrt
technique et conomique devra tre dmontr ;
Pour la simplicit de laccs e-Barreau, le boitier RSA nvacue pas la ncessit dinstaller
les pilotes Gemalto sur les postes de travail qui simpose aussi aux deux autres solutions. La
solution du Barreau de Marseille impose dinstaller un autre logiciel loccasion de
linstallation des pilotes. Cette tche supplmentaire est bien assiste et reste du mme
niveau de complexit que la cration dun compte daccs distant sur le RSA ;
La maintenance centralise par NAVISTA du firewall-VPN est un rel service apport par la
solution du CNB. Elle permet au cabinet davocat davoir son matriel suivi par une hotline
spcialise et mis jour des derniers correctifs de scurit. Il intresse les petits cabinets qui
souhaitent accder distance leur cabinet et qui souhaitent conomiser le suivi par un
prestataire informatique. La maintenance NAVISTA lui assure les dernires mises jour et le
service support lui reparamtre le routeur si sa configuration tait amene voluer.
Mme si cest le critre de la scurit des changes avec e-Barreau qui a t mis en avant par le CNB
pour prescrire le botier RSA, cest langle du service pour les petits cabinets qui merge comme la
vritable valeur ajoute potentielle du RSA.
33/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Cette valeur ajoute, qui pouvait faire sens au dmarrage du projet en 2007, est aussi remise en
question par la nouvelle configuration de march qui voit des acteurs trs dynamiques se positionner
en offrant mobilit, souplesse daccs et scurit.
3.2
SCURIT INFORMATIQUE
Il ne nous a pas t communiqu danalyse de scurit ni de rfrentiel de scurit pour les cabinets
davocats, ni par le CNB ni par aucun des autres acteurs de laudit.
Nous prsentons ici les principes de base qui ont guid notre analyse scuritaire.
3.2.1 LES DIFFERENTES ATTAQUES
Pour rcuprer la copie des donnes accdes par un internaute sur un serveur internet, diffrentes
attaques sont possibles :
.
7
6
2
5
3
Internet
Routeur Pare-feu
eB
9
8
ar
re
au
e
- bLa liaison internet
e
B
4
Pare-feu
Serveur
eBarr
eaue
beB
34/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Le serveur
o 3 - Le firewall pour avoir un accs au serveur,
o 4 - Le serveur travers les accs quil offre travers le pare-feu ou firewall,
Le rseau local
o 5 - En attaquant le firewall pour avoir accs au rseau local,
o 6 - En attaquant le serveur sil est expos directement Internet (cas des serveurs
TSE branchs en direct) et avoir accs soit aux documents stocks, soit par rebond
aux autres machines du rseau local,
o 7 En attaquant le rseau Wifi si on est proximit,
Lorganisation
o 8 - En attaquant lutilisateur concern ou un autre utilisateur du rseau en incitant
son utilisateur activer une charge offensive (pice jointe, site web exploitant des
failles navigateur) ,
o 9 - En manipulant une personne ayant accs au rseau pour quil/elle cre une
brche de scurit dans le rseau (divulgation de mot de passe par exemple, envoi
de document, activation dune procdure de rcupration, etc.)
Cette diversit dattaques rappelle que la scurit est une affaire globale et impliquent de multiples
mises niveau. Elle ncessite une approche mthodique au sein dun projet la fois technique et
organisationnel.
35/66
RPVA
Rapport daudit Version 1.1 09/06/2010
3.3
Configurer les accs internet, notamment les liaisons intersites, les accs distants
36/66
RPVA
Rapport daudit Version 1.1 09/06/2010
37/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Pour les grands cabinets tels que FIDAL, la rponse est dj donne. Le CNB a admis que ces cabinets
nutiliseront le RPVA que pour sa fonction transport e-Barreau .
A ce jour, seuls les petits cabinets pourraient rentrer compltement dans le schma CNB.
3.4
MAITRISE CONTRACTUELLE
Dployer larchitecture NAVISTA (frontal Rennes et boitiers RSA dans les cabinets davocats)
pour laccs au service e-Barreau,
Assurer le support utilisateur pour les cls e-Barreau et les boitiers RSA (niveau 0 seulement)
NAVISTA loue CNB.COM des botiers RSA qui quiperont les cabinets davocats et en assure la
maintenance et la tl-administration.
NAVISTA sengage dans cette convention assurer ladministration et la maintenance du service de
liaison scuris. Elle sengage raliser un tldiagnostic dans un dlai indicatif de 4 heures et
adresser labonn un quipement de remplacement dans un dlai de 48 heures aprs lexpiration
du dlai de tldiagnostic.
A larticle 10 de la convention du 10 septembre 2010, intitul Proprit Industrielle
Consquences de la dfaillance de la socit NAVISTA , il est prcis que :
En cas de dfaillance de la socit NAVISTA, dans la fourniture du service de liaison scurise
suprieur SOIXANTE DOUZE HEURES (72), lAssociation CNB.COM peut lui substituer un tiers
SEPT (7) JOURS aprs la rception dune mise en demeure reste sans effet faite par lettre
recommande avec avis de rception
Dans ce mme article, ile est prcis que :
La socit NAVISTA soblige dposer les sources des logiciels daccs, leurs mises jour
ainsi que leur documentation auprs de lAgence Pour la Protection des Programmes (APP)
En octobre 2009, un nouvel accord a t trouv avec NAVISTA, pour autoriser le Barreau de Paris
sortir du dispositif. A cette occasion, les prix ont t revus la baisse, et des engagements sur des
quantits de botiers RSA installer au 31 dcembre 2010 ont t pris par CNB.COM.
38/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Dveloppement dune suite Accs distant (paramtrage depuis e-Barreau, client VPN
tlchargeable, etc.),
Renforcement de la fiabilit des boitiers par un test avant montage des cartes et une
meilleure gestion de la mmoire flash,
39/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Dans lensemble NAVISTA apparait comme un partenaire proactif du CNB. Il est intress au succs
de son offre auprs des avocats et met en uvre un effort global.
En revanche, il est proccupant que lensemble de ce bon fonctionnement ne soit pas encadr par un
contrat prcis entre le CNB et NAVISTA et ne repose que sur lintrt commun peru par les deux
parties.
Nous relevons au passage que la slection de NAVISTA na pas rsult dun appel doffre.
Le CNB explique cette situation par le contexte historique du RPVA et les difficults rencontres avec
la premire solution retenue et toujours disponible, base dun accs Internet haut dbit.
40/66
RPVA
Rapport daudit Version 1.1 09/06/2010
CONCLUSION
4.1
Le dploiement du RPVA soulve de nombreuses questions parmi lesquelles nous relevons les
thmatiques suivantes :
Quel est le niveau de scurisation atteindre sur les changes avec les juridictions et contre
quels scnarios protge-t-il ?
Quel est, au-del de la mise en uvre dune solution de chiffrement, le primtre scuriser
pour assurer la scurit de liaison ?
Au-del de la liaison, quel est le niveau dexigences de scurit auquel doivent se soumettre
les cabinets davocats ?
Quel est le niveau de services dinformatisation que devront mettre en uvre les cabinets
davocats ?
Face ces questions, nous navons pas trouv de rflexion globale, ni danalyse dtaille sur le plan
organisationnel, mais une rponse construite autour de ladoption de moyens techniques.
Ce manque est dautant plus frappant que le projet engage la profession jusquen 2014 dans un
financement valu prs de 10,7 M HT.
Nous retenons que lengagement de la profession vis--vis de la chancellerie est dorganiser une
communication et une authentification scurise avec les services du greffe.
Ce contrat minimum est assur par lutilisation de certificats sur cryptoprocesseurs, qui garantissent
lauthentification sur les services du greffe et scurisent la mise en place du canal scuris avec la
plateforme relais quest e-Barreau.
Ce dispositif fait consensus et les trois solutions, dans les grandes lignes satisfaisantes, en assurent la
prise en charge.
Le CNB va plus loin en imposant une architecture qui a pour objectif damliorer :
-
La scurisation de la liaison
Nous passons en revue les gains attendus et ladquation des moyens mis en uvre.
41/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Les cls dauthentification, le processus de dlivrance de ces cls, leur utilisation au sein du
cabinet,
Le poste de travail qui se connecte, mais aussi tous les postes du rseau local sur lequel il se
trouve, et tous les serveurs qui sont ouverts Internet,
Lorganisation qui gre ces quipements, qui les approvisionne, qui les maintient, ainsi que
les comportements de ceux qui utilisent ces quipements.
Cest la mise niveau simultane de ces dispositifs qui permet damliorer la scurit du
dispositif Https avec certificat du point de vue de lauthentification et de laccs au serveur eBarreau pour le faire passer de fortement scuris inviolable .
Une telle dmarche ncessite de coordonner tous les acteurs qui interviennent autour dobjectifs
concrets.
Nous observons un certain nombre de lacunes dans ce dispositif :
-
Le manque de contrle sur les routeurs utiliss par les cabinets davocats (entre 30 et 50%
court-circuitent le routeur de rfrence du CNB),
42/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Labsence de politique centrale sur la manire dont les cabinets devraient aborder la scurit
au quotidien.
Sans une coordination globale de ces diffrents lments du dispositif, il nous semble que le
dploiement des boitiers RSA ne suffira pas amliorer la scurit gnrale de laccs et de
lauthentification.
4.1.2 LA SECURITE DES DONNEES ECHANGEES AVEC LES GREFFES AU SEIN DES
CABINETS
Ce point nest pas explicitement couvert par la convention avec le Ministre de la Justice, mais il peut
rsulter des engagements de confidentialit de la profession, auquel cas il faudrait ltendre
lensemble des documents grs par le cabinet.
-
Quels sont les documents sensibles ? Quel est le niveau de protection quil faut leur assurer ?
Quels sont les scnarios critiques ? Quelles sont les consquences dune dfaillance ?
Comment les documents sont rfrencs ? reprs ? stocks ? Comment leur accs est-il
contrl ? Quels sont les outils de stockage et de diffusion de donnes ? Quels sont les
usages associs ?
Quels sont les moyens mis en uvre pour scuriser ces documents ? Quels sont les rgles
organisationnelles associes ? Quelles sont les mtriques ?
A qui les documents sont-ils communiqus ? Par quels moyens ? Quels engagements de
scurit prend le correspondant ?
43/66
RPVA
Rapport daudit Version 1.1 09/06/2010
4.2
Nous intgrons dans cette comparaison en ordre de grandeur une installation initiale simplifie ralise par
un installateur agr.
44/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Aux recommandations prs qui suivent sur la qualification de loffre NAVISTA et du projet RPVA, le
boitier NAVISTA peut reprsenter une solution viable pour les cabinets qui souhaiteraient amliorer
leur scurit, en utilisant un tiers pour la gestion du routeur, et tout en grant eux-mmes la scurit
de leur rseau local.
Le profil du cabinet intress est ainsi un petit cabinet, possdant quelques postes avec un serveur
de fichier, connects Internet par la box livre par le Fournisseur dAccs Internet. Il aurait dj
mis sous contrle sa scurit informatique, avec des principes organisationnels, la gestion des
documents lectroniques, la gestion des installations de supports et de logiciels, la gestion des
profils, la gestion des mots de passe, la gestion des mises jour, le paramtrage de la box ,
lutilisation de tl-services (dont tl-sauvegarde et courrier lectronique) de qualit, etc.
Pour amliorer sa scurit, il prendrait loption de ne pas transformer son rseau local parce que son
informatique locale ne change par significativement et quil passe de plus en plus par de tlservices. Ainsi, il pourrait se dispenser de passer par un prestataire informatique pour le rseau local
et mettrait laccent de lamlioration de la scurit sur le niveau de sa connexion Internet et des tlservices quil utilise.
Dans ce scnario, le choix de passer par le routeur NAVISTA et les tl-services quenvisage de
dvelopper CNB.COM peut avoir une justification technique et conomique. La proximit de
CNB.COM avec la profession faciliterait la dmarche et rduirait le cot de transaction pour le
cabinet.
Lintrt pour les cabinets plus consistants est moindre parce que ces cabinets doivent passer par un
prestataire informatique. Cet intrt dpendra aussi de la capacit du RSA NAVISTA tre adopt par
les prestataires informatiques qui devront utiliser alors le routeur NAVISTA plein potentiel et non
plus en marge de solutions de scurit reconnues par le march et quils maitrisent.
Si la profession choisit dengager une politique volontariste sur la mise niveau de la scurit des
cabinets davocats, il nous semble que dici deux ans le scnario que nous avons dcrit ci-dessus
pourrait concerner lensemble des cabinets de 1 4 personnes (soit 1 ou 2 avocats).
RECOMMANDATIONS :
Le CNB devrait sassurer dun certain nombre de mises niveau :
-
Validation de la scurit effective apporte par le boitier par un tiers indpendant, par
exemple via un certificat de scurit de premier niveau (CSPN) de lANSSI.
Validation par un tiers que lorganisation que NAVISTA et CNB.COM dveloppent autour du
boitier est aux bonnes pratiques de scurit,
Contour fonctionnel et conomique des services qui seront attachs au boitier,
Intgration dune technologie standard et scurise comme IPSEC dans les services offerts
par le boitier, au minimum pour la prise en charge des terminaux mobiles, au mieux pour
garantir louverture de la solution adopte par le cabinet,
Politique dagrment des prestataires informatiques, validant que les prestataires maitrisent
les diffrentes options techniques du boitier et disposent des moyens daccder au
paramtrage du boitier en conformit avec les bonnes pratiques de scurit.
45/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Pour une bonne part, ces boitiers sont en doublons des routeurs-NAT dj en place et sont
utiliss minima pour le seul accs e-Barreau par le VPN propritaire de NAVISTA,
Le montant est justifi pour le renforcement de la scurit de routeurs en place, alors que
leurs insuffisances ventuelles nont t ni explicites ni dmontres, et pour ouvrir la
possibilit dintgrer des solutions de scurit et de tl-services dont le contour et le prix ne
sont pas connus,
La solution NAVISTA est une solution qui est en constante amlioration depuis 2007 et ses
volutions se font en dehors de tout cahier des charges formalis par le CNB, et au sein dun
dispositif contractuel peu maitris.
Les plus scuritaires apports par lutilisation de tunnels VPN et de pare-feu pour protger les points
daccs ce VPN, pour tre effectifs, ncessitent que la scurit de ces VPN et pare-feu soit atteste.
Ils impliquent aussi une srie de mises niveau concomitantes, portant sur la scurit des rseaux
locaux, des serveurs, des postes de travail et de lorganisation en gnral, qui ne sont pas prises en
compte par le projet technique de dploiement des boitiers RSA.
Dans ces conditions de double emploi, de valeur ajoute scuritaire conditionne des mises
niveau des cabinets hors du primtre du projet RPVA et dabsence de maitrise contractuelle, la
justification conomique du rseau virtuel base de boitiers RSA dans tous les cabinets nous semble
problmatique.
RECOMMANDATIONS :
Il nous parait important
-
de mettre en place une conduite du projet RPVA qui prcise les objectifs viss, en termes
fonctionnels, techniques, conomiques et de dploiement engageant les partenaires au sein
dun calendrier.
de procder la formalisation de la reprise en main et de la rversibilit en cas de dfaillance
de NAVISTA,
dorganiser conjointement la mise niveau des points daccs Internet et la mise niveau de
la scurit au sein des cabinets. Une approche globale type ISO 27001 aborderait lensemble
de ces points. Compte tenu de laspect service public de la profession dans sa dimension
judiciaire, il nous paraitrait judicieux dadopter les prconisations de lANSSI et son approche
de lISO 27001 par la mthodologie eBIOS.
46/66
RPVA
Rapport daudit Version 1.1 09/06/2010
47/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Si la solution Marseillaise devait servir de base la gnralisation dun accs drogatoire, elle
serait rexaminer par le CNB qui pourrait sen inspirer pour permettre laccs hors boitier NAVISTA.
Si les dlais de mise en uvre au sein de la plateforme du CNB devaient tre trop longs, et ainsi
ncessiter une solution transitoire, alors la solution Paris ou en deuxime intention une solution
inspire de la solution Marseillaise pourraient tre utilises.
La baisse de scurit induite par les accs drogatoires, doit tre compense par une mise niveau
de la scurit des ordinateurs, des rseaux, des pratiques des organisations utilisant ce mode
daccs. Le CNB pourrait formuler les principes lmentaires quauraient respecter les cabinets
davocats candidats ces accs drogatoires.
4.3
SYNTHESE
En terme de scurit du transport, Paris et Marseille mettent en place des solutions thoriquement
plus faibles que le celle du CNB qui napporte un gain effectif que pour les cabinets qui ont intgr la
scurit informatique aux pratiques de leurs cabinets.
Si la scurit informatique des cabinets est une proccupation pour lensemble des acteurs que nous
avons rencontrs, nous navons relev aucune dmarche au niveau de la profession pour clarifier ce
que seraient des objectifs et des pratiques de scurit au niveau des cabinets.
Le boitier NAVISTA peut contribuer cette scurit au mme titre que toute la gamme des services
de scurit offerts par le march. Il offre lavantage de venir dans un package combinant la
plateforme technique, une organisation de support et la caution de la profession. Il peut avoir du
sens pour les petits cabinets (1 ou 2 avocats) qui seraient autonomes sur la gestion de leurs
ordinateurs et auraient ainsi un prestataire pour laccs rseau.
A ce jour, NAVISTA na prsent aucun lment de certification, tant sur le protocole que sur
lintgration des composants informatiques ou lorganisation de gestion des boitiers quelle met en
place. Cela nous semble plus une affaire de priorit dans lagenda de NAVISTA quune faille
structurelle de NAVISTA.
Le CNB sest engag se doter des moyens ncessaires la maitrise du RPVA, notamment en cas de
dfaillance de son fournisseur, avec un plan de reprise de main et des dispositions de rversibilit.
Sur ces deux points, certification NAVISTA et maitrise du fournisseur, NAVISTA et le CNB
annoncent rvaluer leurs priorits.
Le principe du boitier dploy et tl-administr par le CNB.COM dans tous les cabinets, offre la
possibilit de dployer rapidement des tl-services auprs des cabinets davocats. Le principe est
sduisant, notamment dans la perspective de lacte davocat qui imposera de dployer une fonction
de coffre-fort lectronique auprs des cabinets. Cependant, nous navons vu aucun plan projet
dcrivant ce que seraient ces dploiements, aussi bien sur les plans fonctionnels, techniques,
conomiques et calendaires.
48/66
RPVA
Rapport daudit Version 1.1 09/06/2010
La question de la possibilit pour les barreaux de province dutiliser dautres solutions que celle du
CNB, est lorigine de cet audit.
Nous ne pouvons pas faire de prconisations, dans la mesure o les enjeux dpassent largement la
question technique.
Sur un plan purement technique, et si les objectifs politiques devaient voluer, il nous semble que les
solutions parisiennes et marseillaises ne montrent pas de carences qui les empcheraient dtre
ouvertes plus largement.
La solution marseillaise est plus voir comme une dmonstration de capacit et si elle tait
tendue, doit tre reprise sa charge par le CNB.
Finalement, ltat du systme tant sur le plan de la scurit que sur celui de la conduite du projet
RPVA, nous semble justifier que dans le cadre dune remise plat, soient dvelopps les aspects
scurit, organisation et lien avec les prestataires informatiques.
Nathan HATTAB
Philippe AYMAR
49/66
RPVA
Rapport daudit Version 1.1 09/06/2010
5
5.1
ANNEXES
ANNEXE 1 LARCHITECTURE DES TROIS SOLUTIONS
CNB.COM
Gestion centralise
des boitiers RSA
NAVISTA
Serveur NCC
rrrz
RSA
eBarr
eaue
beB
e-
Internet
Frontal
partenaire
Tl-Service
partenaire
eBarr
eaue
beB
Serveur
avocat-conseil.fr
Serveur
Barr
Frontal Routeur
e-Barreau
eaue
RPVA interne
beB
eFrontal
RPVJ
Barr
pour e-Barreau
eaue
beB
Serveur
des greffes
eee- Barr Barr
50/66
Barr eaueeaue
eaue beB beB
beB
RPVA
Rapport daudit Version 1.1 09/06/2010
Un annuaire ou base de gestion administrative des boitiers RSA qui recense les boitiers, leurs
paramtres en cours, labonn dtenteur ainsi quune base de donnes des vnements
(tickets) associs aux botiers (problmes rencontrs, demandes de support des prestataires,
Un outil de contrle des boitiers permettant le paramtrage et la mise jour des boitiers RSA
connects.
Un outil de gestion daccs aux diffrentes fonctions du NCC,
Il existe aussi un outil de production et de dploiement des matriels daccs, qui recense les
botiers en production et qui nont pas encore t affects.
NCC permet notamment de visualiser ltat dun boitier RSA, de grer ses mises jour, de configurer
ses services, notamment firewall et VPN.
Il permet de dlguer un tiers de confiance (CNB.COM voire les infogrants des cabinets), la
possibilit daccder de faon temporaire ou permanente au paramtrage dun ou plusieurs boitiers.
51/66
RPVA
Rapport daudit Version 1.1 09/06/2010
linterconnexion par VPN des rseaux de deux filiales, voire de deux cabinets,
rrrz
Routeur
RSA
Montage en cascade
Dans le montage en toile, le boitier RSA ne reoit quun cble rseau, qui est branch sur le rseau
du cabinet.
Routeur
Montage en toile
rrrz
RSA
52/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Le rseau du cabinet est paramtr pour rediriger tout ou partie de ses flux vers le botier RSA qui
fonctionne en passerelle.
Ce montage permet aux administrateurs de conserver le rseau en tat de marche si le boitier RSA
venait tomber en panne.
Il nest disponible que depuis peu.
LACTIVATION DU FIREWALL DU BOITIER NAVISTA (DHCP, DU ROUTAGE NAT)
Dans la plupart des rseaux informatiques, il y a plusieurs composants qui sont capables dassurer la
scurit du rseau. La box Internet , le routeur NAT du cabinet sil en avait dj un, le contrleur
de domaine si le cabinet a organis son rseau.
Le botier RSA peut tre paramtr pour assurer ces fonctions de scurit ou laisser un autre
composant les raliser.
pour tous les postes (paramtrage global rseau) ou pour seul les postes concernes par eBarreau (paramtrage au niveau des postes),
Routeur
rrrz
RSA
BILAN
53/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Le boitier RSA est ainsi polyvalent et peut sadapter toutes les configurations rseau rencontres
par les installateurs.
Actuellement, les configurations types sont :
-
Petit cabinet avec une box ADSL installant le RSA lui-mme, sans passer par un
installateur.
Le boitier est mont en cascade et configur comme firewall et passerelle.
Gros cabinet
Le boitier est mont en toile, le RSA est cloisonn, et nest utilis comme passerelle que
pour les flux RPVA,
En cascade
Flux seuls
65%
Flux seuls
35%
NAVISTA na pas apport plus de prcision sur les statistiques de lactivation DHCP. Toutefois on a
relev que parmi les cabinets davocats visits, ceux qui avaient un prestataire infogrant nont pas
activ les fonctions DHCP/NAT du botier RSA. Le prestataire a prfr utiliser les couches de scurit
sur lesquelles il avait la pleine maitrise.
54/66
RPVA
Rapport daudit Version 1.1 09/06/2010
La connexion e-Barreau est scurise par le protocole HTTPS avec certificat sur support physique.
Ce protocole utilise des mcanismes disponibles sur tous les navigateurs Internet.
En cas daccs hors du bureau, le travailleur nomade qui souhaite se connecter e-Barreau, doit se
connecter au routeur NAVISTA du cabinet. Cest possible par la solution de tltravail dploye par
NAVISTA qui lui permet de se connecter par VPN son cabinet.
La connexion au cabinet est scurise par un identifiant/mot de passe propre au travailleur nomade.
La gestion des accs nomades reste uniquement accessible par lutilisation de la cl USB
cryptographique.
LACCES DEPUIS LE BUREAU SELON LE CNB EN MODE TRAVERSANT
Dans ce mode tous les flux passent par le boitier RSA NAVISTA, que ce soit pour accder e-Barreau
ou dautres services Internet.
rrrz
RSA
eBarr
eaue
beB
Internet
Services
internet
Serveur
ee-Barreau
Barr
eaue
La flche en vert dsigne le tunnel VPN. Le flux en bleu est en HTPPS. Le
beBflux en rouge nest pas
forcment en HTPPS.
Frontal
RPVA
Le modem routeur du bureau nest pas reprsent sur le schma ci-dessus (entre le RSA et Internet)
pour allger la prsentation.
55/66
RPVA
Rapport daudit Version 1.1 09/06/2010
rrrz
RSA
Routeur
cabinet
eBarr
eaue
beB
Internet
Services
internet
Serveur
ee-Barreau
Barr
eaue
Une partie du flux ne bnficie pas des fonctions de routage et de scurit beB
du RSA.
Frontal
RPVA
Services
internet
rrrz
RSA
Rseau local du
cabinet
eBarr
eaue
beB Internet
Frontal
RPVA
Serveur
ee-Barreau
Barr
eaue
beB
Il faut remarquer que dans ce mode daccs au service e-Barreau, le rseau local du cabinet nest pas
ncessaire. Pour fonctionner, laccs distant na besoin davoir que le boitier RSA et le modem en
tat de fonctionnement. Il nest pas ncessaire que le poste de lavocat au bureau soit allum pour
accder e-Barreau.
56/66
RPVA
Rapport daudit Version 1.1 09/06/2010
La connexion la plateforme relais nest possible que si lavocat dispose dune cl Paris et de son
code Pin. La connexion est crypte par SSL 128bits.
La cl Paris sert ainsi une fois, pour authentifier lutilisateur sur la plateforme relais.
La plateforme parisienne relaie lauthentification sur e-Barreau (qui a t adapt cette fin), aussi
lavocat qui se connecte e-Barreau depuis la plateforme parisienne na saisir son code pin quune
seule fois.
Les autres services internet sont routs par les infrastructures habituelles du cabinet
En cas daccs hors du bureau, la configuration ne change pas. Laccs est permis grce la cl eBarreau et les autres services internet (mail et Google par exemple) sont accds par linfrastructure
locale.
LACCES DEPUIS LE BUREAU SELON PARIS
Les changes vers e-Barreau peuvent se faire partir du cabinet de lavocat. Les systmes de routage
et de scurit en place ou la simple Box Internet font office de pare-feu et de routeur.
57/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Services
internet
Routeur
du
Cabinet
Liaisons
prives
eBarr
Internet
eaue
beB
Cluster
Pare-feu
CertEurope
Cluster
Pare-feu
Rennes
Serveur
ee-Barreau
Barr
eaue
beB
Services
internet
Routeur
public
Liaisons
prives
eBarr
eaue
Internet
beB
Cluster
Pare-feu
CertEurope
Cluster
Pare-feu
Rennes
Serveur
ee-Barreau
Barr
eaue
beB
RPVA
Rapport daudit Version 1.1 09/06/2010
Le routeur CISCO ne relaie pas lauthentification sur e-Barreau, aussi lavocat qui passe par la solution
marseillaise saisira deux fois son code pin.
Les autres services internet sont routs par les infrastructures habituelles du cabinet
En cas daccs hors du bureau, la configuration ne change pas. Le travailleur nomade tablit
directement un VPN scuris avec le frontal de Marseille depuis tout ordinateur connect Intenet.
Les autres services internet sont accds par linfrastructure locale.
Services
internet
Internet
eBarr
eaue
beB
Routeur
du
Cabinet
Frontal
CISCO
Marseille
59/66
Internet
Boitier
RSA NAVISTA
mutualis
Frontal
RPVA
NAVISTA
Serveur
ee-Barreau
Barr
eaue
beB
RPVA
Rapport daudit Version 1.1 09/06/2010
eBarr
eaue
beB
Routeur
Public
Frontal
CISCO
Marseille
Internet
Boitier
RSA NAVISTA
mutualis
Frontal
RPVA
NAVISTA
Serveur
ee-Barreau
Barr
eaue
beB
Services
internet
Internet
Routeur
du
Cabinet
eBarr
eaue
beB
Frontal
RPVA
NAVISTA
Frontal
Cluster
Paris
60/66
Frontal
Marseille
CISCO
Serveur
ee-Barreau
Barr
eaue
beB
RPVA
Rapport daudit Version 1.1 09/06/2010
5.2
La socit NAVISTA a communiqu diffrents lments relatifs son boitier RSA et notamment :
la scurit du firewall
Il sagit de la certification CSPN de la technologie, Netfilter sur un noyau Linux v2.6.27
Iptables v1.4.2 que NAVISTA utilise dans son firewall. Navista ne justifie pas que son
intgration respecte les conditions dutilisation de ce noyau,
La capacit des solutions techniques retenues basculer dun Datacenter vers un autre
en cas de problme
Il ny a aucun lment tabli par un tiers indpendant qui justifie de la qualit du boitier, notamment
sur ses performances en termes de scurit.
-
61/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Il conviendrait au minimum que NAVISTA prsente un Certificat de scurit de premier niveau (CSPN)
sur ces lments. Le respect des certifications Critres Commun serait souhaitable.
Les choix darchitecture pris par NAVISTA sont classiques. La dmonstration de scurit semble tre
une affaire de priorit plutt quune carence structurelle. Elle est nanmoins indispensable parce que
la solution est propritaire, dploye en petite srie au sein de communauts restreintes et ouvertes
sur internet. Ainsi, elle ne dispose pas dun grand retour dexprience qui permettrait dapprcier et
damliorer sa scurit.
62/66
RPVA
Rapport daudit Version 1.1 09/06/2010
5.3
63/66
RPVA
Rapport daudit Version 1.1 09/06/2010
5.4
ANNEXE 4 - GLOSSAIRE
Adresse IP : Les ordinateurs connects au rseau Internet, possdent tous une adresse IP numrique.
Dans la version actuelle IPv4, ces adresses prennent la forme xxx.yyy.zzz.aaa, o xxx, yyy, zzz et aaa
sont quatre nombres variant entre 0 et 255. Aujourdhui, ladressage IPv4 est satur. Dans la version
IPv6, les adresses sont de la forme aaaa:bbbb:cccc:dddd:eeee:ffff:gggg:hhhh, o a, b, c, d, e, f, g et h
sont des caractres au format hexadcimal.
Pour faciliter laccs un serveur Internet, on a substitu son adresse IP un nom plus simple
retenir, appel nom de domaine.
Assistant numrique personnel est un appareil numrique portable, souvent appel par son sigle
anglais PDA (Personal Digital Assistant) (Exemple : Iphone, Balckberry, )
Certificat dauthentification a pour objet d'identifier une entit physique ou non-physique. Il fait le
lien entre l'entit physique et une entit numrique. Il est attribu par une autorit de certification
qui atteste de ce lien entre l'identit physique et l'entit numrique.
Un certificat dauthentification est un bloc de donnes comportant diffrentes informations dont un
numro de srie, l'identification de l'algorithme de signature, la dsignation de l'autorit de
certification mettrice du certificat, la priode de validit au-del de laquelle il sera suspendu ou
rvoqu, le nom du titulaire de la cl publique, l'identification de l'algorithme de chiffrement et la
valeur de la cl publique constitus d'une paire de cls asymtriques , Lorsque le certificat est
plac sur une cl USB, il est dit de classe 3+.
CNB.COM : Association loi 1901 mandate par le Conseil Nationale du Barreau pour la mise en
uvre auprs des cabinets davocats du dploiement de laccs rseau, notamment pour la
centralisation des commandes dabonnement des avocats au service RPVA.
DHCP (Dynamic Host Configuration Protocol) : A la fois protocole et serveur, dont le rle est
d'assurer la configuration automatique des paramtres IP d'une station. Il associe ladresse
physique MAC de la station une adresse IP dynamique. Ds lors, seuls les ordinateurs en service
utilisent une adresse de l'espace d'adressage et toute modification des paramtres du rseau est
rpercute sur les stations lors du redmarrage.
DNS (Domain Name System) (ou systme de noms de domaine) est un service permettant d'tablir
une correspondance entre une adresse IP et un nom de domaine.
HHTP (HyperText Transfer Protocol) est le protocole invent par lorganisme WWW (World Wide
Web) pour assurer les changes sur lInternet entre des clients et des serveurs.
Les clients HHTP les plus courants sont les navigateurs tels quInternet Explorer, ou Mozilla FireFox.
Ils permettent notamment un utilisateur d'accder un serveur Web distant.
64/66
RPVA
Rapport daudit Version 1.1 09/06/2010
HHTPS (HyperText Transfer Protocol Secured) est la version scurise du protocole HTTP. Il sagit de
la simple combinaison de HTTP avec une couche de chiffrement telle que SSL. HTTPS permet au
visiteur de vrifier l'identit du site auquel il accde grce un certificat d'authentification. Il
garantit la confidentialit et l'intgrit des donnes envoyes par l'utilisateur et reues du serveur.
Il est gnralement utilis pour les transactions financires en ligne : commerce lectronique,
banque en ligne, courtage en ligne, etc.
IPsec (Internet Protocol Security) est un cadre de standards ouverts pour assurer des
communications prives et protges sur des rseaux IP, par l'utilisation des services de scurit
cryptographiques. Il se diffrencie des standards de scurit antrieurs en n'tant pas limit une
seule mthode d'authentification ou d'algorithme.
Routeur est un lment intermdiaire dans un rseau informatique qui assure le routage des
paquets de donnes binaires d'une interface rseau vers une autre, selon un ensemble de rgles.
Routeur NAT (Network Adress Translation) ou Routeur (Traducteur dadresse rseau) a pour rle de
traduire des adresses internes au rseau local en adresses externes, et vis-versa. Ce mcanisme
permet de pallier la carence d'adressage de lIPv4 d'Internet en faisant correspondre une seule
adresse externe publique visible sur Internet plusieurs adresses internes un rseau priv. Le NAT
dynamique utilise un numro du port source de la machine interne pour lidentifier.
RPVA (Rseau Priv Virtuel des Avocats) : Rseau indpendant usage priv de communications
lectroniques rserves aux avocats inscrit un tableau de lOrdre dun Barreau franais.
RSA (Routeur Scuris Avocat ) est le nom du boitier NAVISTA spcialement mis au point pour le
rseau RPVA.
Pare-feu (firewall en anglais), dans le contexte dun rseau informatique, dsigne un logiciel et/ou un
matriel, qui a pour fonction de faire respecter la politique de scurit du rseau, en autorisant ou
en interdisant certains types de communication.
Il a pour principale tche de contrler le trafic entre diffrentes zones de confiance, en filtrant les
flux de donnes qui y transitent, et notamment celles qui proviennent dInternet.
Le filtrage se fait selon divers critres, dont les plus courants sont l'origine ou la destination des
paquets (adresse IP, ports, etc.), les donnes elles-mmes (taille, correspondance un motif, etc.),
les utilisateurs, ...
Proxy (ou serveur mandataire) est un serveur informatique qui a pour fonction de relayer des
requtes entre un poste client et un serveur. Les serveurs proxy sont notamment utiliss pour
assurer les fonctions de journalisation des requtes ( logging ), de scurit du rseau local ou de
filtrage.
SaaS (Software as a Service) est un concept consistant proposer un abonnement un logiciel
plutt que l'achat d'une licence. De plus en plus d'offres SaaS se font au travers du Web. Il n'y a alors
plus besoin d'installer une application de bureau ou un logiciel client.
65/66
RPVA
Rapport daudit Version 1.1 09/06/2010
Serveur informatique est un ensemble compos de logiciels et de l'ordinateur qui les hberge. Son
rle est de rpondre de manire automatique par des services des requtes ou demandes
envoyes par des clients.
SNMP (Simple Network Management Protocol) est un protocole de communication qui permet aux
administrateurs rseau de grer les quipements du rseau, de superviser et de diagnostiquer des
problmes rseaux, matriels distance.
SMTP (Simple Mail Transfer Protocol) est un protocole de communication utilis pour transfrer le
courrier lectronique (courriel) vers les serveurs de messagerie lectronique.
SSL (Secure Socket Layer) : ancien nom du protocole Transport Layer Security (TLS). Il sagit dun
protocole de scurisation des changes sur Internet, dvelopp l'origine par Netscape et dans
lequel l'utilisateur authentifie le serveur sur lequel il se connecte.
Cette authentification est ralise par l'utilisation d'un certificat numrique dlivr par une autorit
de certification.
Le certificat de lutilisateur peut tre stock au format numrique sur le poste client ou sur un
support matriel (carte puce, token USB).
66/66