Ch2 reglementation cryptographie

of 61/61
Pr. Radouane Mrabet ENSIAS, Université Mohammed V de Rabat Année Universitaire 2016-2017 [email protected] ma.linkedin.com/in/radouanemrabet
  • date post

    10-Jan-2017
  • Category

    Law

  • view

    44
  • download

    0

Embed Size (px)

Transcript of Ch2 reglementation cryptographie

  • Pr. Radouane MrabetENSIAS, Universit Mohammed V de Rabat

    Anne Universitaire 2016-2017

    [email protected]

    ma.linkedin.com/in/radouanemrabet

  • Pr. Radouane MrabetENSIAS, Universit Mohammed V de Rabat

    Anne Universitaire 2016-2017

    [email protected]

    ma.linkedin.com/in/radouanemrabet

  • 3

    1. Introduction2. Arrangement de Wassenaar 3. Rglementation de la cryptographie au

    Maroc4. Rglementation de la cryptographie aux

    USA, dans lUE et en chine5. Impacts de la rglementation de la

    cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

    amricaines

  • Pr. Radouane Mrabet4

    } La cryptographie est rglemente dans la majorit des pays.

    } La cryptographie est rglemente cause de sa double utilisation ("dual-use). Elle est utilise dans les domaines militaires et civils.

    } Elle est rgule pour dautres raisons : Comptition technologique au niveau international viter que les criminels et les terroristes ne lutilisent

    pour menacer la scurit nationale Dans certains pays, ce sont les raisons politiques qui

    priment (e.g. droits de lhomme).

  • Pr. Radouane Mrabet5

    } Les rglementations des diffrents pays ne sont pas identiques et parfois non prcises ou inexistantes.

    } Certains pays restreignent limport et/ou lexport des technologies cryptographiques, dautres restreignent limport de donnes chiffres, ou radicalement interdisent lutilisation de la cryptographie au sein de leurs territoires.

    } Pr. Bert-Jaap Koops de lUniversit de Tilburg, Pays-Bas, a ralis en 2010, une tude sur lusage et limport/export des technologies cryptographiques

  • Pr. Radouane MrabetSource : http://www.cryptolaw.org/cls-sum.htm

  • Pr. Radouane MrabetSource : http://www.cryptolaw.org/cls-sum.htm

  • Pr. Radouane MrabetSource : http://www.cryptolaw.org/cls-sum.htm

  • Pr. Radouane Mrabet9

    1. Introduction2. Arrangement de Wassenaar 3. Rglementation de la cryptographie au

    Maroc4. Rglementation de la cryptographie aux

    USA, dans lUE et en chine5. Impacts de la rglementation de la

    cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

    amricaines

  • Pr. Radouane Mrabet10

    } Dans un effort dharmonisation des rglementations concernant l'exportation et l'importation de technologies double usage, de nombreux pays ont convenu d'une srie de principes connus sous le nom dArrangement de Wassenaar (1996).

    } L'objectif principal de lArrangement de Wassenaar est de contribuer la scurit et la stabilit rgionale et internationale en favorisant la transparence et une plus grande responsabilit dans les transferts d'armes conventionnelles et biens double usage et de technologies...." La cryptographie est classe comme un double usage.

  • Pr. Radouane Mrabet11

    } Argentine, Australie, Autriche, Belgique, Bulgarie, Canada, Croatie, Rpublique tchque, Danemark, Estonie, Finlande, France, Allemagne, Grce, Hongrie, Irlande, Italie, Japon, Lettonie, Lituanie, Luxembourg, Malte, Mexique, Pays-Bas, Nouvelle-Zlande, Norvge, Pologne, Portugal, Rpublique de Core, Roumanie, Fdration de Russie, Slovaquie, Slovnie, Afrique du Sud, Espagne, Sude, Suisse, Turquie, Ukraine, Royaume-Uni, tats-Unis.

    } Source : http://www.wassenaar.org/participating-states/

  • Pr. Radouane Mrabet12

    } L'Arrangement de Wassenaar permet aux produits de cryptographie symtrique davoir des longueurs de cls allant jusqu' 56 bits et les produits de cryptographie asymtrique davoir des longueurs de cls allant jusqu' 512 bits (pas de restriction l'exportation).

    } L'Arrangement de Wassenaar comprend aussi une exemption usage personnel, permettant ainsi aux individus qui voyagent l'tranger damener avec eux des dispositifs cryptographiques pour leur usage personnel.

  • Pr. Radouane Mrabet13

    } Cependant, les produits de cryptographie qui ne tombent pas dans ces exemptions sont toujours admissibles restriction.

    } L'Arrangement de Wassenaar nest pas contraignants pour les tats membres et ses clauses sont mises en uvre la discrtion des gouvernements membres.

  • Pr. Radouane Mrabet14

    1. Introduction2. Arrangement de Wassenaar 3. Rglementation de la cryptographie au

    Maroc4. Rglementation de la cryptographie aux

    USA, dans lUE et en chine5. Impacts de la rglementation de la

    cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

    amricaines

  • Pr. Radouane Mrabet15

    } Article 12 :Les moyens de cryptographie ont notamment pour objet de garantir la scurit de lchange et/ou du stockage de donnes juridiques par voie lectronique, de manire qui permet dassurer leur confidentialit, leur authentification et le contrle de leur intgrit.On entend par moyen de cryptographie tout matriel et/ou logiciel conu(s) ou modifi(s) pour transformer des donnes, quil sagisse dinformations, de signaux ou de symboles, laide de conventions secrtes ou pour raliser lopration inverse, avec ou sans convention secrte.On entend par prestation de cryptographie toute opration visant lutilisation, pour le compte dautrui, de moyens de cryptographie.

  • Pr. Radouane Mrabet16

    } Article 13 :

    Afin de prvenir lusage des fins illgales et pour prserver les intrts de la dfense nationale et de la scurit intrieure ou extrieure de IEtat, limportation, lexportation, la fourniture, lexploitation ou lutilisation de moyens ou de prestations de cryptographie sont soumises :a) dclaration pralable, lorsque ce moyen ou cette prestation a pour unique objet dauthentifier une transmission ou dassurer lintgrit des donnes transmises par voie lectronique ;b) autorisation pralable de ladministration, lorsquil sagit dun autre objet que celui vis au paragraphe a) ci-dessus.

  • Pr. Radouane Mrabet17

    } Article 13 (suite) :

    Le gouvernement fixe :1. les moyens ou prestations rpondant aux critres viss au paragraphe a) ci-dessus.2. les modalits selon lesquelles est souscrite la dclaration et dlivre lautorisation, vises lalina prcdent.Le gouvernement peut prvoir un rgime simplifi de dclaration ou dautorisation ou la dispense de la dclaration ou de lautorisation pour certains types de moyens ou de prestations de cryptographie ou pour certaines catgories dutilisateurs.

  • Pr. Radouane Mrabet18

    } Article 14 :La fourniture de moyens ou de prestations de cryptographie soumises autorisation est rserve aux prestataires de services de certification lectronique, agrs cette fin conformment aux dispositions de larticle 21 de la prsente loi. A dfaut, les personnes qui entendent fournir des prestations de cryptographie soumises autorisation, doivent tre agres cette fin par ladministration.

  • Pr. Radouane Mrabet19

    } Article 32 :Est puni dun an demprisonnement et dune amende de 100.000 DH, quiconque aura import, export, fourni, exploit ou utilis lun des moyens ou une prestation de cryptographie sans la dclaration ou lautorisation exige aux articles 13 et 14 ci-dessus.Le tribunal pourra, en outre, prononcer la confiscation des moyens de cryptographie concerns.

  • Pr. Radouane Mrabet20

    } Article 33 :Lorsquun moyen de cryptographie, au sens de larticle 14 ci-dessus, a t utilis pour prparer ou commettre un crime ou un dlit ou pour en faciliter la prparation ou la commission, le maximum de la peine privative de libert encourue est relev ainsi quil suit : il est port la rclusion criminelle perptuit, lorsque linfraction est punie de trente ans de rclusion criminelle ; il est port trente ans de rclusion criminelle, lorsque linfraction est punie de vingt ans de rclusion criminelle ; il est port vingt ans de rclusion criminelle, lorsque linfraction est punie de quinze ans de rclusion criminelle ;

  • Pr. Radouane Mrabet21

    } Article 33 (suite) : il est port quinze ans de rclusion criminelle, lorsque linfraction est punie de dix ans de rclusion criminelle ; il est port dix ans de rclusion criminelle, lorsque linfraction est punie de cinq ans de rclusion criminelle ; il est port au double, lorsque linfraction est punie de trois ans demprisonnement au plus.Toutefois, les dispositions du prsent article ne sont pas applicables lauteur ou au complice de linfraction qui, la demande des autorits judiciaires ou administratives, leur a remis la version en clair des messages chiffrs, ainsi que les conventions secrtes ncessaires au dchiffrement.

  • Pr. Radouane Mrabet22

    } Article 34 :Sauf dmontrer quelles nont commis aucune faute intentionnelle ou ngligence, les personnes fournissant des prestations de cryptographie des fins de confidentialit sont responsables, au titre de ces prestations, du prjudice caus aux personnes leur confiant la gestion de leurs conventions secrtes en cas datteintes lintgrit, la confidentialit ou la disponibilit des donnes transformes laide de ces conventions.

  • Pr. Radouane Mrabet23

    } Cest le texte dapplication des articles 13, 14, 15, 21 et 23 de la loi n 53-05.

    } Chapitre premier : Dispositions gnralesArticles 1 et 2

    } Chapitre II : Dispositions relatives aux dclarations pralables d'importation, d'exportation, de fourniture, d'exploitation ou d'utilisation de moyens ou de prestations de cryptographieArticles 3, 4, 5, 6 et 7

    } Chapitre III : Modalits de dlivrance des autorisations pralables d'importation, d'exportation, de fourniture, d'exploitation ou d'utilisation de moyens ou de prestations de cryptographieArticles 8, 9, 10, 11, 12, 13, 14 et 15

    } Chapitre IV : Dispositions relatives l'agrment des personnes qui entendent fournir des prestations de cryptographie soumises autorisationArticles 16, 17, 18, 19 et 20

  • Pr. Radouane Mrabet

    Rglementation au MarocRglementation au MarocDcret 2Dcret 2--0808--518518

  • Pr. Radouane Mrabet

    Rglementation au MarocRglementation au MarocDcret 2Dcret 2--0808--518518

  • Pr. Radouane Mrabet

    Rglementation au MarocRglementation au MarocDcret 2Dcret 2--0808--518518 Wassenaar

  • Pr. Radouane Mrabet

    Rglementation au MarocRglementation au MarocDcret 2Dcret 2--0808--518518

  • Pr. Radouane Mrabet28

    } La gestion de la cryptographie nest plus assure par lANRT suite la promulgation de la loi 93-12 modifiant la loi n 24-96 relative la poste et aux tlcommunications.

    } Cette nouvelle loi retire les missions, objet des tirets 6,12 et 13 du 3me alina de l'article 29 de la loi 24-96 lANRT.

    } Ces missions seront assures par la Direction Gnrale de la Scurit des Systmes dInformation (DGSSI) relevant de l'administration de la dfense nationale (dcret n 2-13-881 du 20 janvier 2015).

  • Pr. Radouane Mrabet

  • Pr. Radouane Mrabet

  • Pr. Radouane Mrabet

    http://www.dgssi.gov.ma/

  • Pr. Radouane Mrabet32

    1. Introduction2. Arrangement de Wassenaar 3. Rglementation de la cryptographie au

    Maroc4. Rglementation de la cryptographie aux

    USA, dans lUE et en chine5. Impacts de la rglementation de la

    cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

    amricaines

  • Pr. Radouane Mrabet33

    } Les tats-Unis ne placent aucune restriction sur lutilisation, la cration ou la vente de produits de chiffrement au sein de leur march intrieur.

    } Il n'y a aucune restriction sur l'importation de systmes de cryptographie.

    } L'exportation de produits de chiffrement est restreinte. Ce qui oblige les entreprises amricaines beaucoup de vigilance lorsquelles veulent travailler au niveau international, car elles risquent dtre fortement pnalises, si elles sont juges dfaillantes par les autorits de rgulations US.

  • Pr. Radouane Mrabet34

    } Rglement sur l'utilisation : Les tats-Unis ne limitent pas l'utilisation domestique de la cryptographie.

    } Jurisprudence : Un tribunal fdral a jug quil n'y a pas obligation

    de rvler sa cl de chiffrement ou mot de passe dans le cadre d'une enqute criminelle.

    Un autre tribunal a jug que, pendant qu'un accus ne peut tre contraint fournir sa cl de dcryptage ou mot de passe, il peut tre contraint fournir des copies non chiffres des fichiers ou des documents en question sous certaines circonstances.

  • Pr. Radouane Mrabet35

    } Rglement sur l'exportation : L'exportation de produits de chiffrement des tats-Unis est rgi par une varit d'organismes gouvernementaux.

    } Le principal organisme de rglementation des exportations de chiffrement est le Bureau of Industry and Security (BIS) appartenant au dpartement du commerce.

    } Le BIS rgule l'exportation de toutes marchandises double usage, y compris les systmes de cryptage.

  • Pr. Radouane Mrabet36

    } En rgle gnrale, si un article, exporter, utilise ou contient de la cryptographie, nest pas conu pour une utilisation finale mdicale, et ne limite pas l'utilisation de la cryptographie des fonctions de protection de la proprit intellectuelle ou le droit d'auteur (comme avec un DVD), alors l'lment est rgi par la rglementation en vigueur.

    } Le BIS exige des exportateurs de dterminer eux-mmes les licences et autres documents ncessaires leurs exportations de logiciels contenant de la cryptographie.

  • Pr. Radouane Mrabet37

    } Le premier facteur que les exportateurs doivent considrer est les attributs du logiciel tre export.

    } Lattribut principal est la longueur de cl : la rglementation prcise que les systmes de cryptage avec des longueurs de cl de 56 bits ou moins pour les systmes symtriques ou 512 bits ou moins pour les systmes asymtriques, peuvent tre exports sans restriction.

    } Les systmes de cryptage fort, qui doivent utiliser des cls plus longues, sont soumises restrictions l'exportation.

  • Pr. Radouane Mrabet38

    } Il ya une exemption pour les produits de chiffrement destins au grand public mass market : si un produit de chiffrement est destin au public (la maison, usage personnel) sans un support technique continu par le fournisseur (par exemple, un programme personnel de scurit de messagerie), son exportation nest pas limit par la rglementation.

    } Une dernire exemption importante est pour les produits "qui accompagnent leur utilisateur pour son usage personnel ou comme outils du commerce...", Ce qui permet aux utilisateurs de, par exemple, se dplacer ltranger avec leurs ordinateurs ou leurs tlphones portables qui contiennent des fonctions de chiffrement.

  • Pr. Radouane Mrabet39

    } Un 2me attribut important pour les exportateurs US envisager, et qui est beaucoup plus difficile pour les exportateurs de contrler, est qui le logiciel est vendu. Cela inclut les attributs spcifiques du client et son emplacement.

    } Le BIS ne fait aucune distinction entre la livraison physique ou lectronique du produit pour dterminer si une entreprise a fait une exportation illgale.

  • Pr. Radouane Mrabet40

    } La cryptographie dans l'Union europenne (UE) est libre d'utilisation au sein du march intrieur europen, mais fait face des restrictions pour les exportations.

    } L'exportation de biens double usage suit l'Arrangement de Wassenaar : Lexport au sein de l'Union europenne est entirement

    libralis. Les exportations vers un groupe restreint de pays non

    membres de l'UE sont peu rglementes, et les exportations vers les pays restants sont plus fortement rglementes.

    Les pays pour lesquels les rgles applicables sont plus lgres sont : tats-Unis, Canada, Japon, Nouvelle-Zlande, Suisse et Norvge.

    } Source : http://ec.europa.eu/trade/import-and-export-rules/export-from-eu/dual-use-controls/index_en.htm

  • Pr. Radouane Mrabet41

    } En Chine, limportation et lexportation de produits de cryptographie sont rglements.

    } Limportation et lexportation de produits de chiffrement ncessitent un permis de la State Encryption Management Commission.

    } Le chiffrement est essentiellement rgi par la National Commission on Encryption Code Regulations (NCECR).

    } Les produits de chiffrement ne peuvent pas tre vendus ou imports en Chine sans l'approbation pralable de la NCECR.

  • Pr. Radouane Mrabet42

    } Les particuliers et les entreprises en Chine ne peuvent utiliser que les produits de cryptographie approuvs par le NCECR.

    } Cela vaut galement pour les individus et les entreprises trangres oprant en Chine, qui doivent dclarer les dtails de leurs systmes de cryptage pour recevoir l'autorisation d'utiliser ces produits de la NCECR.

    } Le gouvernement chinois poursuit une politique qui favorise le dveloppement de systmes nationaux de cryptographie. Exemple : cration d'une nouvelle norme chinoise pour la

    scurit-authentification et de confidentialit de l'infrastructure WLAN (WAPI). Normalement, les systmes Wi-Fi vendus en Chine devraient se conformer la norme WAPI.

  • Pr. Radouane Mrabet43

    1. Introduction2. Arrangement de Wassenaar 3. Rglementation de la cryptographie au

    Maroc4. Rglementation de la cryptographie aux

    USA, dans lUE et en chine5. Impacts de la rglementation de la

    cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

    amricaines

  • Pr. Radouane Mrabet44

    } Les restrictions sur la cryptographie ont des effets dltres sur au moins trois groupes:(1) Les socits spcialises dans la scurit TIC et qui souhaitent participer des marchs internationaux ;(2) Les entreprises oprant l'tranger qui dsirent utiliser la cryptographie pour protger leurs donnes et leurs communications ; (3) Les individus et/ou des groupes qui voudraient protger leurs donnes contre l'ingrence externe.

  • Pr. Radouane Mrabet45

    } L'utilisation civile de la cryptographie n'est pas sans inquiter les gouvernements. En favorisant les communications secrtes entre des individus malintentionns, elle reprsente un risque potentiel pour la scurit intrieure. Mais, en voulant garder le contrle sur les procds cryptographiques, les gouvernements se heurtent alors aux principes consacrs de la protection de la vie prive et de la libert d'expression.

    } En outre, la promotion du e-commerce exige que de tels procds puissent tre librement utiliss par le secteur priv.

    } C'est ces enjeux politiques, juridiques et conomiques que font face les nations. Ds lors, elles doivent composer entre les exigences de la scurit nationale et celles des intrts privs, sans ignorer les impratifs du e-commerce.

    } Source : Lionel Thoumyre, les enjeux de la cryptographie : Une analyse compare des enjeux de la cryptographie au Canada et aux Etats-Unis.

  • Pr. Radouane Mrabet46

    } De nombreux analystes estiment que les contrles l'exportation dun pays placent les entreprises TIC de ce pays dans une situation de dsavantage concurrentiel vis--vis des concurrents dautres pays.

    } En outre, les entreprises TIC vont devoir payer des cots supplmentaires soit pour tre conformes la lgislation de leur pays et/ou aux lgislations des pays importateurs.

    } Les effets de la rglementation dpassent le march des logiciels. Beaucoup de produits de technologie de l'information, des services, et les entreprises dpendent de la cryptographie.

  • Pr. Radouane Mrabet47

    } Par exemple, l'e-commerce naurait pas prospr si les clients craindraient qu chaque fois quils feraient un achat en ligne, ils placeraient leurs informations de carte de crdit devant des risques de compromission.

    } En limitant l'utilisation de la cryptographie, les pays entravent le dveloppement de leurs marchs informatiques et le e-commerce en gnral.

  • Pr. Radouane Mrabet48

    1. Introduction2. Arrangement de Wassenaar 3. Rglementation de la cryptographie au

    Maroc4. Rglementation de la cryptographie aux

    USA, dans lUE et en chine5. Impacts de la rglementation de la

    cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

    amricaines

  • Pr. Radouane Mrabet49

    } Meilleures pratiques pour les entreprises amricaines oprant l'tranger englobent deux aspects:(1) la conformit aux rglements d'exportations amricaines,(2) le respect des rglements d'importation et d'utilisation l'tranger.

  • Pr. Radouane Mrabet50

    } En raison de la nature complexe des rglements d'exportation des tats-Unis, et les sanctions svres en cas de violation de ces rglements, toute socit amricaine oprant l'tranger qui, soit vend des produits qui contient de la cryptographie, ou utilise la cryptographie dans ses secteurs d'activit, devrait instituer des programmes de conformit internes.

  • Pr. Radouane Mrabet51

    } Le BIS encourage la mise en place des programmes de conformit internes et dy intgrer les composants suivants:(1) une dclaration crite de politique gnrale qui montre l'importance que donne lentreprise la conformit avec toutes les rglementations de contrle des exportations(2) les procdures internes pour classer correctement tous les produits en fonction de leurs classifications rglementaires applicables, et de veiller ce que ces classifications soient communiques aux employs, notamment les commerciaux.

  • Pr. Radouane Mrabet52

    (3) les procdures de contrle des clients par rapport deux listes :- liste de pays interdits ou restreints- liste de personnes et entits interdites(4) programmes de surveillance des activits du personnel et les filiales de l'entreprise l'tranger, ainsi que les activits des filiales trangres de l'entreprise

  • Pr. Radouane Mrabet53

    (5) la tenue des registres de toutes les tapes de la procdure de ddouanement qui sont prises pour chaque livraison dun produit exporter(6) la formation et l'audit pour le personnel(7) la diligence raisonnable dans les transactions d'entreprises, y compris les fusions et acquisitions l'tranger(8) les procdures de notification en cas de violations ou dinfractions prsumes;

  • Pr. Radouane Mrabet54

    } En plus de veiller ce qui prcde, lentreprise doit galement prendre des mesures pour empcher que les systmes informatiques internes ne violent de faon involontaire la rglementation l'exportation.

    } Pour la rglementation US, le terme exportation comprend:(1) la transmission de donnes et de logiciels par courrier lectronique ou travers un rseau informatique qui a des points d'accs depuis ltranger;(2) stocker des informations sur un ordinateur connect un rseau informatique se trouvant en dehors des tats-Unis.(3) l'accs des ressortissants trangers la fois de l'tranger, et sur place aux tats-Unis, des donnes et des logiciels.

  • Pr. Radouane Mrabet55

    } Il est recommand un programme de conformit en quatre parties pour grer de tels cas : (1) identifier toutes les donnes et tous les logiciels qui pourrait tre soumis des contrles l'exportation(2) sparer les donnes et les logiciels qui sont soumis un contrle (par exemple, en les plaant sur un rseau spar)(3) restreindre les personnes et les entits non amricaines de l'accs ces zones de sparation (4) dsigner des gestionnaires de conformit internes.

  • Pr. Radouane Mrabet56

    } Bien que la conformit avec les rglements d'exportation des tats-Unis soit assez complique, la conformit aux rglements de cryptage trangers prsente beaucoup plus de difficults.

    } Beaucoup de pays ne disposent pas de rglements ou de lignes directrices claires pour l'importation, l'exportation et l'utilisation du chiffrement, et mme les pays qui ont des lignes directrices claires souffrent souvent d'une application incohrente.

    } Il est donc extrmement important de dvelopper des politiques spcifiques qui traitent des environnements rglementaires dans les pays trangers, des besoins particuliers de l'entreprise dans ces pays, et les risques juridiques associs.

  • Pr. Radouane Mrabet57

    } Si une entreprise dcide de ne pas utiliser la cryptographie dans un pays donn, il faut prendre des mesures supplmentaires pour protger ses donnes et la proprit intellectuelle de ses produits.

    } Une des considrations les plus importantes est la slection de loprateur tlcoms. Lorsque lentreprise peut utiliser la cryptographie pour protger ses communications, la fiabilit du fournisseur de rseau est moins pertinente. Toutefois, lorsque les donnes, y compris par courrier lectronique et les communications vocales doivent tre envoyes en clair sur le rseau, le choix d'un oprateur qui est la fois digne de confiance, et possde des systmes et procdures de scurit solides, est d'une importance primordiale.

  • Pr. Radouane Mrabet58

    } Lorsqu'une entreprise choisit de ne pas utiliser le cryptage, il devrait minimiser la quantit et de la sensibilit des donnes accessibles partir de l'intrieur du pays.

    } Elle devrait dterminer quelles sont les donnes qui nont pas besoin d'tre accessible au personnel dans le pays. Ces donnes devraient tre dplaces vers des endroits srs (par exemple, un centre de donnes dans le pays de l'entreprise) et rendue inaccessible aux employs travaillant dans le pays concern (afin que les donnes ne voyagent pas sur des liaisons de rseaux non scurises).

  • Pr. Radouane Mrabet59

    } Les donnes qui doivent tre accessibles aux employs dans le pays concern devraient tre rpartis entre 1) les donnes qui ne sont ncessaires que pour ces employs2) les donnes ncessaires toute lentreprise quel que soit le territoire dimplantation.

    } Les premires doivent tre stockes localement, sur site, de sorte que les donnes ne soient pas diffuses sur des liens de communication non scuriss.

    } Lorsque l'entreprise a plusieurs endroits dans le pays, certaines donnes seraient probablement partages entre ses endroits, mais il faut veiller autant que possible stocker les donnes hors rseau.

  • Pr. Radouane Mrabet60

    } Si une entreprise est prsente dans un pays qui peut exiger l'accs des cls de dcryptage, ces cls ne doivent jamais tre utilises pour protger, ou pour accorder l'accs des informations sensibles de l'entreprise.

    } Les cls de chiffrement pour les utilisateurs dans le pays tranger doivent tre changes rgulirement, et les anciennes cls doivent expirer un rythme plus rapide que ceux utiliss sur le territoire US.

  • Merci pour votre coutePr. Radouane MrabetENSIAS, Universit Mohammed V de Rabat

    @[email protected]