Ch2 reglementation cryptographie

61
Pr. Radouane Mrabet ENSIAS, Université Mohammed V de Rabat Année Universitaire 2016-2017 [email protected] ma.linkedin.com/in/radouanemrabet

Transcript of Ch2 reglementation cryptographie

Page 1: Ch2 reglementation cryptographie

Pr. Radouane MrabetENSIAS, Université Mohammed V de Rabat

Année Universitaire 2016-2017

[email protected]

ma.linkedin.com/in/radouanemrabet

Page 2: Ch2 reglementation cryptographie

Pr. Radouane MrabetENSIAS, Université Mohammed V de Rabat

Année Universitaire 2016-2017

[email protected]

ma.linkedin.com/in/radouanemrabet

Page 3: Ch2 reglementation cryptographie

3

1. Introduction2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au

Maroc4. Réglementation de la cryptographie aux

USA, dans l’UE et en chine5. Impacts de la réglementation de la

cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

américaines

Page 4: Ch2 reglementation cryptographie

Pr. Radouane Mrabet4

} La cryptographie est réglementée dans la majorité des pays.

} La cryptographie est réglementée à cause de sa double utilisation ("dual-use“). Elle est utilisée dans les domaines militaires et civils.

} Elle est régulée pour d’autres raisons :◦ Compétition technologique au niveau international ◦ Éviter que les criminels et les terroristes ne l’utilisent

pour menacer la sécurité nationale◦ Dans certains pays, ce sont les raisons politiques qui

priment (e.g. droits de l’homme).

Page 5: Ch2 reglementation cryptographie

Pr. Radouane Mrabet5

} Les réglementations des différents pays ne sont pas identiques et parfois non précises ou inexistantes.

} Certains pays restreignent l’import et/ou l’export des technologies cryptographiques, d’autres restreignent l’import de données chiffrées, ou radicalement interdisent l’utilisation de la cryptographie au sein de leurs territoires.

} Pr. Bert-Jaap Koops de l’Université de Tilburg, Pays-Bas, a réalisé en 2010, une étude sur l’usage et l’import/export des technologies cryptographiques

Page 6: Ch2 reglementation cryptographie

Pr. Radouane MrabetSource : http://www.cryptolaw.org/cls-sum.htm

Page 7: Ch2 reglementation cryptographie

Pr. Radouane MrabetSource : http://www.cryptolaw.org/cls-sum.htm

Page 8: Ch2 reglementation cryptographie

Pr. Radouane MrabetSource : http://www.cryptolaw.org/cls-sum.htm

Page 9: Ch2 reglementation cryptographie

Pr. Radouane Mrabet9

1. Introduction2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au

Maroc4. Réglementation de la cryptographie aux

USA, dans l’UE et en chine5. Impacts de la réglementation de la

cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

américaines

Page 10: Ch2 reglementation cryptographie

Pr. Radouane Mrabet10

} Dans un effort d’harmonisation des règlementations concernant l'exportation et l'importation de technologies à double usage, de nombreux pays ont convenu d'une série de principes connus sous le nom d’Arrangement de Wassenaar (1996).

} L'objectif principal de l’Arrangement de Wassenaar est de « contribuer à la sécurité et à la stabilité régionale et internationale en favorisant la transparence et une plus grande responsabilité dans les transferts d'armes conventionnelles et biens à double usage et de technologies...." ◦ La cryptographie est classée comme un double usage.

Page 11: Ch2 reglementation cryptographie

Pr. Radouane Mrabet11

} Argentine, Australie, Autriche, Belgique, Bulgarie, Canada, Croatie, République tchèque, Danemark, Estonie, Finlande, France, Allemagne, Grèce, Hongrie, Irlande, Italie, Japon, Lettonie, Lituanie, Luxembourg, Malte, Mexique, Pays-Bas, Nouvelle-Zélande, Norvège, Pologne, Portugal, République de Corée, Roumanie, Fédération de Russie, Slovaquie, Slovénie, Afrique du Sud, Espagne, Suède, Suisse, Turquie, Ukraine, Royaume-Uni, États-Unis.

} Source : http://www.wassenaar.org/participating-states/

Page 12: Ch2 reglementation cryptographie

Pr. Radouane Mrabet12

} L'Arrangement de Wassenaar permet aux produits de cryptographie symétrique d’avoir des longueurs de clés allant jusqu'à 56 bits et les produits de cryptographie asymétrique d’avoir des longueurs de clés allant jusqu'à 512 bits (pas de restriction à l'exportation).

} L'Arrangement de Wassenaar comprend aussi une exemption à usage personnel, permettant ainsi aux individus qui voyagent à l'étranger d’amener avec eux des dispositifs cryptographiques pour leur usage personnel.

Page 13: Ch2 reglementation cryptographie

Pr. Radouane Mrabet13

} Cependant, les produits de cryptographie qui ne tombent pas dans ces exemptions sont toujours admissibles à restriction.

} L'Arrangement de Wassenaar n’est pas contraignants pour les États membres et ses clauses sont mises en œuvre à la discrétion des gouvernements membres.

Page 14: Ch2 reglementation cryptographie

Pr. Radouane Mrabet14

1. Introduction2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au

Maroc4. Réglementation de la cryptographie aux

USA, dans l’UE et en chine5. Impacts de la réglementation de la

cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

américaines

Page 15: Ch2 reglementation cryptographie

Pr. Radouane Mrabet15

} Article 12 :Les moyens de cryptographie ont notamment pour objet de garantir la sécurité de l’échange et/ou du stockage de données juridiques par voie électronique, de manière qui permet d’assurer leur confidentialité, leur authentification et le contrôle de leur intégrité.On entend par moyen de cryptographie tout matériel et/ou logiciel conçu(s) ou modifié(s) pour transformer des données, qu’il s’agisse d’informations, de signaux ou de symboles, à l’aide de conventions secrètes ou pour réaliser l’opération inverse, avec ou sans convention secrète.On entend par prestation de cryptographie toute opération visant l’utilisation, pour le compte d’autrui, de moyens de cryptographie.

Page 16: Ch2 reglementation cryptographie

Pr. Radouane Mrabet16

} Article 13 :

Afin de prévenir l’usage à des fins illégales et pour préserver les intérêts de la défense nationale et de la sécurité intérieure ou extérieure de I’Etat, l’importation, l’exportation, la fourniture, l’exploitation ou l’utilisation de moyens ou de prestations de cryptographie sont soumises :a) à déclaration préalable, lorsque ce moyen ou cette prestation a pour unique objet d’authentifier une transmission ou d’assurer l’intégrité des données transmises par voie électronique ;b) à autorisation préalable de l’administration, lorsqu’il s’agit d’un autre objet que celui visé au paragraphe a) ci-dessus.

Page 17: Ch2 reglementation cryptographie

Pr. Radouane Mrabet17

} Article 13 (suite) :

Le gouvernement fixe :1. les moyens ou prestations répondant aux critères visés au paragraphe a) ci-dessus.2. les modalités selon lesquelles est souscrite la déclaration et délivrée l’autorisation, visées à l’alinéa précédent.Le gouvernement peut prévoir un régime simplifié de déclaration ou d’autorisation ou la dispense de la déclaration ou de l’autorisation pour certains types de moyens ou de prestations de cryptographie ou pour certaines catégories d’utilisateurs.

Page 18: Ch2 reglementation cryptographie

Pr. Radouane Mrabet18

} Article 14 :La fourniture de moyens ou de prestations de cryptographie soumises à autorisation est réservée aux prestataires de services de certification électronique, agréés à cette fin conformément aux dispositions de l’article 21 de la présente loi. A défaut, les personnes qui entendent fournir des prestations de cryptographie soumises à autorisation, doivent être agréées à cette fin par l’administration.

Page 19: Ch2 reglementation cryptographie

Pr. Radouane Mrabet19

} Article 32 :Est puni d’un an d’emprisonnement et d’une amende de 100.000 DH, quiconque aura importé, exporté, fourni, exploité ou utilisé l’un des moyens ou une prestation de cryptographie sans la déclaration ou l’autorisation exigée aux articles 13 et 14 ci-dessus.Le tribunal pourra, en outre, prononcer la confiscation des moyens de cryptographie concernés.

Page 20: Ch2 reglementation cryptographie

Pr. Radouane Mrabet20

} Article 33 :Lorsqu’un moyen de cryptographie, au sens de l’article 14 ci-dessus, a été utilisé pour préparer ou commettre un crime ou un délit ou pour en faciliter la préparation ou la commission, le maximum de la peine privative de liberté encourue est relevé ainsi qu’il suit :– il est porté à la réclusion criminelle à perpétuité, lorsque l’infraction est punie de trente ans de réclusion criminelle ;– il est porté à trente ans de réclusion criminelle, lorsque l’infraction est punie de vingt ans de réclusion criminelle ;– il est porté à vingt ans de réclusion criminelle, lorsque l’infraction est punie de quinze ans de réclusion criminelle ;

Page 21: Ch2 reglementation cryptographie

Pr. Radouane Mrabet21

} Article 33 (suite) :– il est porté à quinze ans de réclusion criminelle, lorsque l’infraction est punie de dix ans de réclusion criminelle ;– il est porté à dix ans de réclusion criminelle, lorsque l’infraction est punie de cinq ans de réclusion criminelle ;– il est porté au double, lorsque l’infraction est punie de trois ans d’emprisonnement au plus.Toutefois, les dispositions du présent article ne sont pas applicables à l’auteur ou au complice de l’infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés, ainsi que les conventions secrètes nécessaires au déchiffrement.

Page 22: Ch2 reglementation cryptographie

Pr. Radouane Mrabet22

} Article 34 :Sauf à démontrer qu’elles n’ont commis aucune faute intentionnelle ou négligence, les personnes fournissant des prestations de cryptographie à des fins de confidentialité sont responsables, au titre de ces prestations, du préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d’atteintes à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions.

Page 23: Ch2 reglementation cryptographie

Pr. Radouane Mrabet23

} C’est le texte d’application des articles 13, 14, 15, 21 et 23 de la loi n° 53-05.

} Chapitre premier : Dispositions généralesArticles 1 et 2

} Chapitre II : Dispositions relatives aux déclarations préalables d'importation, d'exportation, de fourniture, d'exploitation ou d'utilisation de moyens ou de prestations de cryptographieArticles 3, 4, 5, 6 et 7

} Chapitre III : Modalités de délivrance des autorisations préalables d'importation, d'exportation, de fourniture, d'exploitation ou d'utilisation de moyens ou de prestations de cryptographieArticles 8, 9, 10, 11, 12, 13, 14 et 15

} Chapitre IV : Dispositions relatives à l'agrément des personnes qui entendent fournir des prestations de cryptographie soumises à autorisationArticles 16, 17, 18, 19 et 20

Page 24: Ch2 reglementation cryptographie

Pr. Radouane Mrabet

Réglementation au MarocRéglementation au MarocDécret 2Décret 2--0808--518518

Page 25: Ch2 reglementation cryptographie

Pr. Radouane Mrabet

Réglementation au MarocRéglementation au MarocDécret 2Décret 2--0808--518518

Page 26: Ch2 reglementation cryptographie

Pr. Radouane Mrabet

Réglementation au MarocRéglementation au MarocDécret 2Décret 2--0808--518518 Wassenaar

Page 27: Ch2 reglementation cryptographie

Pr. Radouane Mrabet

Réglementation au MarocRéglementation au MarocDécret 2Décret 2--0808--518518

Page 28: Ch2 reglementation cryptographie

Pr. Radouane Mrabet28

} La gestion de la cryptographie n’est plus assurée par l’ANRT suite à la promulgation de la loi 93-12 modifiant la loi n° 24-96 relative à la poste et aux télécommunications.

} Cette nouvelle loi retire les missions, objet des tirets 6,12 et 13 du 3ème alinéa de l'article 29 de la loi 24-96 à l’ANRT.

} Ces missions seront assurées par la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) relevant de l'administration de la défense nationale (décret n° 2-13-881 du 20 janvier 2015).

Page 29: Ch2 reglementation cryptographie

Pr. Radouane Mrabet

Page 30: Ch2 reglementation cryptographie

Pr. Radouane Mrabet

Page 31: Ch2 reglementation cryptographie

Pr. Radouane Mrabet

http://www.dgssi.gov.ma/

Page 32: Ch2 reglementation cryptographie

Pr. Radouane Mrabet32

1. Introduction2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au

Maroc4. Réglementation de la cryptographie aux

USA, dans l’UE et en chine5. Impacts de la réglementation de la

cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

américaines

Page 33: Ch2 reglementation cryptographie

Pr. Radouane Mrabet33

} Les États-Unis ne placent aucune restriction sur l’utilisation, la création ou la vente de produits de chiffrement au sein de leur marché intérieur.

} Il n'y a aucune restriction sur l'importation de systèmes de cryptographie.

} L'exportation de produits de chiffrement est restreinte. Ce qui oblige les entreprises américaines à beaucoup de vigilance lorsqu’elles veulent travailler au niveau international, car elles risquent d’être fortement pénalisées, si elles sont jugées défaillantes par les autorités de régulations US.

Page 34: Ch2 reglementation cryptographie

Pr. Radouane Mrabet34

} Règlement sur l'utilisation : Les États-Unis ne limitent pas l'utilisation domestique de la cryptographie.

} Jurisprudence : ◦ Un tribunal fédéral a jugé qu’il n'y a pas obligation

de révéler sa clé de chiffrement ou mot de passe dans le cadre d'une enquête criminelle.

◦ Un autre tribunal a jugé que, pendant qu'un accusé ne peut être contraint à fournir sa clé de décryptage ou mot de passe, il peut être contraint à fournir des copies non chiffrées des fichiers ou des documents en question sous certaines circonstances.

Page 35: Ch2 reglementation cryptographie

Pr. Radouane Mrabet35

} Règlement sur l'exportation : L'exportation de produits de chiffrement des États-Unis est régi par une variété d'organismes gouvernementaux.

} Le principal organisme de réglementation des exportations de chiffrement est le « Bureau of Industry and Security (BIS) » appartenant au département du commerce.

} Le BIS régule l'exportation de toutes marchandises à double usage, y compris les systèmes de cryptage.

Page 36: Ch2 reglementation cryptographie

Pr. Radouane Mrabet36

} En règle générale, si un article, à exporter, utilise ou contient de la cryptographie, n’est pas conçu pour une utilisation finale médicale, et ne limite pas l'utilisation de la cryptographie à des fonctions de protection de la propriété intellectuelle ou le droit d'auteur (comme avec un DVD), alors l'élément est régi par la réglementation en vigueur.

} Le BIS exige des exportateurs de déterminer eux-mêmes les licences et autres documents nécessaires à leurs exportations de logiciels contenant de la cryptographie.

Page 37: Ch2 reglementation cryptographie

Pr. Radouane Mrabet37

} Le premier facteur que les exportateurs doivent considérer est les attributs du logiciel à être exporté.

} L’attribut principal est la longueur de clé : la réglementation précise que les systèmes de cryptage avec des longueurs de clé de 56 bits ou moins pour les systèmes symétriques ou 512 bits ou moins pour les systèmes asymétriques, peuvent être exportés sans restriction.

} Les systèmes de cryptage fort, qui doivent utiliser des clés plus longues, sont soumises à restrictions à l'exportation.

Page 38: Ch2 reglementation cryptographie

Pr. Radouane Mrabet38

} Il ya une exemption pour les produits de chiffrement destinés au grand public «mass market» : si un produit de chiffrement est destiné au public (la maison, usage personnel) sans un support technique continu par le fournisseur (par exemple, un programme personnel de sécurité de messagerie), son exportation n’est pas limité par la réglementation.

} Une dernière exemption importante est pour les produits "qui accompagnent leur utilisateur pour son usage personnel ou comme outils du commerce...", Ce qui permet aux utilisateurs de, par exemple, se déplacer à l’étranger avec leurs ordinateurs ou leurs téléphones portables qui contiennent des fonctions de chiffrement.

Page 39: Ch2 reglementation cryptographie

Pr. Radouane Mrabet39

} Un 2ème attribut important pour les exportateurs US à envisager, et qui est beaucoup plus difficile pour les exportateurs de contrôler, est à qui le logiciel est vendu. Cela inclut les attributs spécifiques du client et son emplacement.

} Le BIS ne fait aucune distinction entre la livraison physique ou électronique du produit pour déterminer si une entreprise a fait une exportation illégale.

Page 40: Ch2 reglementation cryptographie

Pr. Radouane Mrabet40

} La cryptographie dans l'Union européenne (UE) est libre d'utilisation au sein du marché intérieur européen, mais fait face à des restrictions pour les exportations.

} L'exportation de biens à double usage suit l'Arrangement de Wassenaar :◦ L’export au sein de l'Union européenne est entièrement

libéralisé. ◦ Les exportations vers un groupe restreint de pays non

membres de l'UE sont peu réglementées, et les exportations vers les pays restants sont plus fortement réglementées.

◦ Les pays pour lesquels les règles applicables sont plus légères sont : États-Unis, Canada, Japon, Nouvelle-Zélande, Suisse et Norvège.

} Source : http://ec.europa.eu/trade/import-and-export-rules/export-from-eu/dual-use-controls/index_en.htm

Page 41: Ch2 reglementation cryptographie

Pr. Radouane Mrabet41

} En Chine, l’importation et l’exportation de produits de cryptographie sont réglementés.

} L’importation et l’exportation de produits de chiffrement nécessitent un permis de la «State Encryption Management Commission».

} Le chiffrement est essentiellement régi par la «National Commission on Encryption Code Regulations (NCECR). »

} Les produits de chiffrement ne peuvent pas être vendus ou importés en Chine sans l'approbation préalable de la NCECR.

Page 42: Ch2 reglementation cryptographie

Pr. Radouane Mrabet42

} Les particuliers et les entreprises en Chine ne peuvent utiliser que les produits de cryptographie approuvés par le NCECR.

} Cela vaut également pour les individus et les entreprises étrangères opérant en Chine, qui doivent déclarer les détails de leurs systèmes de cryptage pour recevoir l'autorisation d'utiliser ces produits de la NCECR.

} Le gouvernement chinois poursuit une politique qui favorise le développement de systèmes nationaux de cryptographie.◦ Exemple : création d'une nouvelle norme chinoise pour la

sécurité-authentification et de confidentialité de l'infrastructure WLAN (WAPI). Normalement, les systèmes Wi-Fi vendus en Chine devraient se conformer à la norme WAPI.

Page 43: Ch2 reglementation cryptographie

Pr. Radouane Mrabet43

1. Introduction2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au

Maroc4. Réglementation de la cryptographie aux

USA, dans l’UE et en chine5. Impacts de la réglementation de la

cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

américaines

Page 44: Ch2 reglementation cryptographie

Pr. Radouane Mrabet44

} Les restrictions sur la cryptographie ont des effets délétères sur au moins trois groupes:(1) Les sociétés spécialisées dans la sécurité TIC et qui souhaitent participer à des marchés internationaux ;(2) Les entreprises opérant à l'étranger qui désirent utiliser la cryptographie pour protéger leurs données et leurs communications ; (3) Les individus et/ou des groupes qui voudraient protéger leurs données contre l'ingérence externe.

Page 45: Ch2 reglementation cryptographie

Pr. Radouane Mrabet45

} L'utilisation civile de la cryptographie n'est pas sans inquiéter les gouvernements. En favorisant les communications secrètes entre des individus malintentionnés, elle représente un risque potentiel pour la sécurité intérieure. Mais, en voulant garder le contrôle sur les procédés cryptographiques, les gouvernements se heurtent alors aux principes consacrés de la protection de la vie privée et de la liberté d'expression.

} En outre, la promotion du e-commerce exige que de tels procédés puissent être librement utilisés par le secteur privé.

} C'est à ces enjeux politiques, juridiques et économiques que font face les nations. Dès lors, elles doivent composer entre les exigences de la sécurité nationale et celles des intérêts privés, sans ignorer les impératifs du e-commerce.

} Source : Lionel Thoumyre, les enjeux de la cryptographie : Une analyse comparée des enjeux de la cryptographie au Canada et aux Etats-Unis.

Page 46: Ch2 reglementation cryptographie

Pr. Radouane Mrabet46

} De nombreux analystes estiment que les contrôles à l'exportation d’un pays placent les entreprises TIC de ce pays dans une situation de désavantage concurrentiel vis-à-vis des concurrents d’autres pays.

} En outre, les entreprises TIC vont devoir payer des coûts supplémentaires soit pour être conformes à la législation de leur pays et/ou aux législations des pays importateurs.

} Les effets de la réglementation dépassent le marché des logiciels. Beaucoup de produits de technologie de l'information, des services, et les entreprises dépendent de la cryptographie.

Page 47: Ch2 reglementation cryptographie

Pr. Radouane Mrabet47

} Par exemple, l'e-commerce n’aurait pas prospéré si les clients craindraient qu’à chaque fois qu’ils feraient un achat en ligne, ils placeraient leurs informations de carte de crédit devant des risques de compromission.

} En limitant l'utilisation de la cryptographie, les pays entravent le développement de leurs marchés informatiques et le e-commerce en général.

Page 48: Ch2 reglementation cryptographie

Pr. Radouane Mrabet48

1. Introduction2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au

Maroc4. Réglementation de la cryptographie aux

USA, dans l’UE et en chine5. Impacts de la réglementation de la

cryptographie sur les entreprises6. Meilleures pratiques, cas des entreprises

américaines

Page 49: Ch2 reglementation cryptographie

Pr. Radouane Mrabet49

} Meilleures pratiques pour les entreprises américaines opérant à l'étranger englobent deux aspects:(1) la conformité aux règlements d'exportations américaines,(2) le respect des règlements d'importation et d'utilisation à l'étranger.

Page 50: Ch2 reglementation cryptographie

Pr. Radouane Mrabet50

} En raison de la nature complexe des règlements d'exportation des États-Unis, et les sanctions sévères en cas de violation de ces règlements, toute société américaine opérant à l'étranger qui, soit vend des produits qui contient de la cryptographie, ou utilise la cryptographie dans ses secteurs d'activité, devrait instituer des programmes de conformité internes.

Page 51: Ch2 reglementation cryptographie

Pr. Radouane Mrabet51

} Le BIS encourage la mise en place des programmes de conformité internes et d’y intégrer les composants suivants:(1) une déclaration écrite de politique générale qui montre l'importance que donne l’entreprise à la conformité avec toutes les réglementations de contrôle des exportations(2) les procédures internes pour classer correctement tous les produits en fonction de leurs classifications réglementaires applicables, et de veiller à ce que ces classifications soient communiquées aux employés, notamment les commerciaux.

Page 52: Ch2 reglementation cryptographie

Pr. Radouane Mrabet52

(3) les procédures de contrôle des clients par rapport à deux listes :- liste de pays interdits ou restreints- liste de personnes et entités interdites(4) programmes de surveillance des activités du personnel et les filiales de l'entreprise à l'étranger, ainsi que les activités des filiales étrangères de l'entreprise

Page 53: Ch2 reglementation cryptographie

Pr. Radouane Mrabet53

(5) la tenue des registres de toutes les étapes de la procédure de dédouanement qui sont prises pour chaque livraison d’un produit à exporter(6) la formation et l'audit pour le personnel(7) la diligence raisonnable dans les transactions d'entreprises, y compris les fusions et acquisitions à l'étranger(8) les procédures de notification en cas de violations ou d’infractions présumées;

Page 54: Ch2 reglementation cryptographie

Pr. Radouane Mrabet54

} En plus de veiller à ce qui précède, l’entreprise doit également prendre des mesures pour empêcher que les systèmes informatiques internes ne violent de façon involontaire la réglementation à l'exportation.

} Pour la réglementation US, le terme «exportation» comprend:(1) la transmission de données et de logiciels par courrier électronique ou à travers un réseau informatique qui a des points d'accès depuis l’étranger;(2) stocker des informations sur un ordinateur connecté à un réseau informatique se trouvant en dehors des États-Unis.(3) l'accès des ressortissants étrangers à la fois de l'étranger, et sur place aux États-Unis, à des données et à des logiciels.

Page 55: Ch2 reglementation cryptographie

Pr. Radouane Mrabet55

} Il est recommandé un programme de conformité en quatre parties pour gérer de tels cas : (1) identifier toutes les données et tous les logiciels qui pourrait être soumis à des contrôles à l'exportation(2) séparer les données et les logiciels qui sont soumis à un contrôle (par exemple, en les plaçant sur un réseau séparé)(3) restreindre les personnes et les entités non américaines de l'accès à ces zones de séparation (4) désigner des gestionnaires de conformité internes.

Page 56: Ch2 reglementation cryptographie

Pr. Radouane Mrabet56

} Bien que la conformité avec les règlements d'exportation des États-Unis soit assez compliquée, la conformité aux règlements de cryptage étrangers présente beaucoup plus de difficultés.

} Beaucoup de pays ne disposent pas de règlements ou de lignes directrices claires pour l'importation, l'exportation et l'utilisation du chiffrement, et même les pays qui ont des lignes directrices claires souffrent souvent d'une application incohérente.

} Il est donc extrêmement important de développer des politiques spécifiques qui traitent des environnements réglementaires dans les pays étrangers, des besoins particuliers de l'entreprise dans ces pays, et les risques juridiques associés.

Page 57: Ch2 reglementation cryptographie

Pr. Radouane Mrabet57

} Si une entreprise décide de ne pas utiliser la cryptographie dans un pays donné, il faut prendre des mesures supplémentaires pour protéger ses données et la propriété intellectuelle de ses produits.

} Une des considérations les plus importantes est la sélection de l’opérateur télécoms. Lorsque l’entreprise peut utiliser la cryptographie pour protéger ses communications, la fiabilité du fournisseur de réseau est moins pertinente. Toutefois, lorsque les données, y compris par courrier électronique et les communications vocales doivent être envoyées en clair sur le réseau, le choix d'un opérateur qui est à la fois digne de confiance, et possède des systèmes et procédures de sécurité solides, est d'une importance primordiale.

Page 58: Ch2 reglementation cryptographie

Pr. Radouane Mrabet58

} Lorsqu'une entreprise choisit de ne pas utiliser le cryptage, il devrait minimiser la quantité et de la sensibilité des données accessibles à partir de l'intérieur du pays.

} Elle devrait déterminer quelles sont les données qui n’ont pas besoin d'être accessible au personnel dans le pays. Ces données devraient être déplacées vers des endroits sûrs (par exemple, un centre de données dans le pays de l'entreprise) et rendue inaccessible aux employés travaillant dans le pays concerné (afin que les données ne voyagent pas sur des liaisons de réseaux non sécurisées).

Page 59: Ch2 reglementation cryptographie

Pr. Radouane Mrabet59

} Les données qui doivent être accessibles aux employés dans le pays concerné devraient être répartis entre 1) les données qui ne sont nécessaires que pour ces employés2) les données nécessaires à toute l’entreprise quel que soit le territoire d’implantation.

} Les premières doivent être stockées localement, sur site, de sorte que les données ne soient pas diffusées sur des liens de communication non sécurisés.

} Lorsque l'entreprise a plusieurs endroits dans le pays, certaines données seraient probablement partagées entre ses endroits, mais il faut veiller autant que possible à stocker les données hors réseau.

Page 60: Ch2 reglementation cryptographie

Pr. Radouane Mrabet60

} Si une entreprise est présente dans un pays qui peut exiger l'accès à des clés de décryptage, ces clés ne doivent jamais être utilisées pour protéger, ou pour accorder l'accès à des informations sensibles de l'entreprise.

} Les clés de chiffrement pour les utilisateurs dans le pays étranger doivent être changées régulièrement, et les anciennes clés doivent expirer à un rythme plus rapide que ceux utilisés sur le territoire US.

Page 61: Ch2 reglementation cryptographie

Merci pour votre écoutePr. Radouane MrabetENSIAS, Université Mohammed V de Rabat

@[email protected]