Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Ch2 reglementation cryptographie

779 visualizaciones

Publicado el

Ce chapitre est une introduction aux aspects juridiques et réglementaires de l’utilisation, l’importation et l’exportation des technologies cryptographiques, considérées comme des technologies double utilisation (utilisées aussi bien dans le domaine civil que militaire). L’impact de la réglementation de la cryptographie sur les entreprises est aussi expliqué ainsi que la présentation de quelques bonnes pratiques à suivre pour respecter la réglementation en vigueur.

Publicado en: Derecho
  • Sé el primero en comentar

Ch2 reglementation cryptographie

  1. 1. Pr. Radouane Mrabet ENSIAS, Université Mohammed V de Rabat Année Universitaire 2016-2017 mrabet@um5s.net.ma ma.linkedin.com/in/radouanemrabet
  2. 2. Pr. Radouane Mrabet ENSIAS, Université Mohammed V de Rabat Année Universitaire 2016-2017 mrabet.radouane@yahoo.com ma.linkedin.com/in/radouanemrabet
  3. 3. 3 1. Introduction 2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au Maroc 4. Réglementation de la cryptographie aux USA, dans l’UE et en chine 5. Impacts de la réglementation de la cryptographie sur les entreprises 6. Meilleures pratiques, cas des entreprises américaines
  4. 4. Pr. Radouane Mrabet4 } La cryptographie est réglementée dans la majorité des pays. } La cryptographie est réglementée à cause de sa double utilisation ("dual-use“). Elle est utilisée dans les domaines militaires et civils. } Elle est régulée pour d’autres raisons : ◦ Compétition technologique au niveau international ◦ Éviter que les criminels et les terroristes ne l’utilisent pour menacer la sécurité nationale ◦ Dans certains pays, ce sont les raisons politiques qui priment (e.g. droits de l’homme).
  5. 5. Pr. Radouane Mrabet5 } Les réglementations des différents pays ne sont pas identiques et parfois non précises ou inexistantes. } Certains pays restreignent l’import et/ou l’export des technologies cryptographiques, d’autres restreignent l’import de données chiffrées, ou radicalement interdisent l’utilisation de la cryptographie au sein de leurs territoires. } Pr. Bert-Jaap Koops de l’Université de Tilburg, Pays-Bas, a réalisé en 2010, une étude sur l’usage et l’import/export des technologies cryptographiques
  6. 6. Pr. Radouane Mrabet Source : http://www.cryptolaw.org/cls-sum.htm
  7. 7. Pr. Radouane Mrabet Source : http://www.cryptolaw.org/cls-sum.htm
  8. 8. Pr. Radouane Mrabet Source : http://www.cryptolaw.org/cls-sum.htm
  9. 9. Pr. Radouane Mrabet9 1. Introduction 2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au Maroc 4. Réglementation de la cryptographie aux USA, dans l’UE et en chine 5. Impacts de la réglementation de la cryptographie sur les entreprises 6. Meilleures pratiques, cas des entreprises américaines
  10. 10. Pr. Radouane Mrabet10 } Dans un effort d’harmonisation des règlementations concernant l'exportation et l'importation de technologies à double usage, de nombreux pays ont convenu d'une série de principes connus sous le nom d’Arrangement de Wassenaar (1996). } L'objectif principal de l’Arrangement de Wassenaar est de « contribuer à la sécurité et à la stabilité régionale et internationale en favorisant la transparence et une plus grande responsabilité dans les transferts d'armes conventionnelles et biens à double usage et de technologies...." ◦ La cryptographie est classée comme un double usage.
  11. 11. Pr. Radouane Mrabet11 } Argentine, Australie, Autriche, Belgique, Bulgarie, Canada, Croatie, République tchèque, Danemark, Estonie, Finlande, France, Allemagne, Grèce, Hongrie, Irlande, Italie, Japon, Lettonie, Lituanie, Luxembourg, Malte, Mexique, Pays-Bas, Nouvelle- Zélande, Norvège, Pologne, Portugal, République de Corée, Roumanie, Fédération de Russie, Slovaquie, Slovénie, Afrique du Sud, Espagne, Suède, Suisse, Turquie, Ukraine, Royaume-Uni, États-Unis. } Source : http://www.wassenaar.org/participating- states/
  12. 12. Pr. Radouane Mrabet12 } L'Arrangement de Wassenaar permet aux produits de cryptographie symétrique d’avoir des longueurs de clés allant jusqu'à 56 bits et les produits de cryptographie asymétrique d’avoir des longueurs de clés allant jusqu'à 512 bits (pas de restriction à l'exportation). } L'Arrangement de Wassenaar comprend aussi une exemption à usage personnel, permettant ainsi aux individus qui voyagent à l'étranger d’amener avec eux des dispositifs cryptographiques pour leur usage personnel.
  13. 13. Pr. Radouane Mrabet13 } Cependant, les produits de cryptographie qui ne tombent pas dans ces exemptions sont toujours admissibles à restriction. } L'Arrangement de Wassenaar n’est pas contraignants pour les États membres et ses clauses sont mises en œuvre à la discrétion des gouvernements membres.
  14. 14. Pr. Radouane Mrabet14 1. Introduction 2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au Maroc 4. Réglementation de la cryptographie aux USA, dans l’UE et en chine 5. Impacts de la réglementation de la cryptographie sur les entreprises 6. Meilleures pratiques, cas des entreprises américaines
  15. 15. Pr. Radouane Mrabet15 } Article 12 : Les moyens de cryptographie ont notamment pour objet de garantir la sécurité de l’échange et/ou du stockage de données juridiques par voie électronique, de manière qui permet d’assurer leur confidentialité, leur authentification et le contrôle de leur intégrité. On entend par moyen de cryptographie tout matériel et/ou logiciel conçu(s) ou modifié(s) pour transformer des données, qu’il s’agisse d’informations, de signaux ou de symboles, à l’aide de conventions secrètes ou pour réaliser l’opération inverse, avec ou sans convention secrète. On entend par prestation de cryptographie toute opération visant l’utilisation, pour le compte d’autrui, de moyens de cryptographie.
  16. 16. Pr. Radouane Mrabet16 } Article 13 : Afin de prévenir l’usage à des fins illégales et pour préserver les intérêts de la défense nationale et de la sécurité intérieure ou extérieure de I’Etat, l’importation, l’exportation, la fourniture, l’exploitation ou l’utilisation de moyens ou de prestations de cryptographie sont soumises : a) à déclaration préalable, lorsque ce moyen ou cette prestation a pour unique objet d’authentifier une transmission ou d’assurer l’intégrité des données transmises par voie électronique ; b) à autorisation préalable de l’administration, lorsqu’il s’agit d’un autre objet que celui visé au paragraphe a) ci-dessus.
  17. 17. Pr. Radouane Mrabet17 } Article 13 (suite) : Le gouvernement fixe : 1. les moyens ou prestations répondant aux critères visés au paragraphe a) ci-dessus. 2. les modalités selon lesquelles est souscrite la déclaration et délivrée l’autorisation, visées à l’alinéa précédent. Le gouvernement peut prévoir un régime simplifié de déclaration ou d’autorisation ou la dispense de la déclaration ou de l’autorisation pour certains types de moyens ou de prestations de cryptographie ou pour certaines catégories d’utilisateurs.
  18. 18. Pr. Radouane Mrabet18 } Article 14 : La fourniture de moyens ou de prestations de cryptographie soumises à autorisation est réservée aux prestataires de services de certification électronique, agréés à cette fin conformément aux dispositions de l’article 21 de la présente loi. A défaut, les personnes qui entendent fournir des prestations de cryptographie soumises à autorisation, doivent être agréées à cette fin par l’administration.
  19. 19. Pr. Radouane Mrabet19 } Article 32 : Est puni d’un an d’emprisonnement et d’une amende de 100.000 DH, quiconque aura importé, exporté, fourni, exploité ou utilisé l’un des moyens ou une prestation de cryptographie sans la déclaration ou l’autorisation exigée aux articles 13 et 14 ci- dessus. Le tribunal pourra, en outre, prononcer la confiscation des moyens de cryptographie concernés.
  20. 20. Pr. Radouane Mrabet20 } Article 33 : Lorsqu’un moyen de cryptographie, au sens de l’article 14 ci-dessus, a été utilisé pour préparer ou commettre un crime ou un délit ou pour en faciliter la préparation ou la commission, le maximum de la peine privative de liberté encourue est relevé ainsi qu’il suit : – il est porté à la réclusion criminelle à perpétuité, lorsque l’infraction est punie de trente ans de réclusion criminelle ; – il est porté à trente ans de réclusion criminelle, lorsque l’infraction est punie de vingt ans de réclusion criminelle ; – il est porté à vingt ans de réclusion criminelle, lorsque l’infraction est punie de quinze ans de réclusion criminelle ;
  21. 21. Pr. Radouane Mrabet21 } Article 33 (suite) : – il est porté à quinze ans de réclusion criminelle, lorsque l’infraction est punie de dix ans de réclusion criminelle ; – il est porté à dix ans de réclusion criminelle, lorsque l’infraction est punie de cinq ans de réclusion criminelle ; – il est porté au double, lorsque l’infraction est punie de trois ans d’emprisonnement au plus. Toutefois, les dispositions du présent article ne sont pas applicables à l’auteur ou au complice de l’infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés, ainsi que les conventions secrètes nécessaires au déchiffrement.
  22. 22. Pr. Radouane Mrabet22 } Article 34 : Sauf à démontrer qu’elles n’ont commis aucune faute intentionnelle ou négligence, les personnes fournissant des prestations de cryptographie à des fins de confidentialité sont responsables, au titre de ces prestations, du préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d’atteintes à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions.
  23. 23. Pr. Radouane Mrabet23 } C’est le texte d’application des articles 13, 14, 15, 21 et 23 de la loi n° 53-05. } Chapitre premier : Dispositions générales Articles 1 et 2 } Chapitre II : Dispositions relatives aux déclarations préalables d'importation, d'exportation, de fourniture, d'exploitation ou d'utilisation de moyens ou de prestations de cryptographie Articles 3, 4, 5, 6 et 7 } Chapitre III : Modalités de délivrance des autorisations préalables d'importation, d'exportation, de fourniture, d'exploitation ou d'utilisation de moyens ou de prestations de cryptographie Articles 8, 9, 10, 11, 12, 13, 14 et 15 } Chapitre IV : Dispositions relatives à l'agrément des personnes qui entendent fournir des prestations de cryptographie soumises à autorisation Articles 16, 17, 18, 19 et 20
  24. 24. Pr. Radouane Mrabet Réglementation au MarocRéglementation au Maroc Décret 2Décret 2--0808--518518
  25. 25. Pr. Radouane Mrabet Réglementation au MarocRéglementation au Maroc Décret 2Décret 2--0808--518518
  26. 26. Pr. Radouane Mrabet Réglementation au MarocRéglementation au Maroc Décret 2Décret 2--0808--518518 Wassenaar
  27. 27. Pr. Radouane Mrabet Réglementation au MarocRéglementation au Maroc Décret 2Décret 2--0808--518518
  28. 28. Pr. Radouane Mrabet28 } La gestion de la cryptographie n’est plus assurée par l’ANRT suite à la promulgation de la loi 93-12 modifiant la loi n° 24-96 relative à la poste et aux télécommunications. } Cette nouvelle loi retire les missions, objet des tirets 6,12 et 13 du 3ème alinéa de l'article 29 de la loi 24-96 à l’ANRT. } Ces missions seront assurées par la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) relevant de l'administration de la défense nationale (décret n° 2-13-881 du 20 janvier 2015).
  29. 29. Pr. Radouane Mrabet
  30. 30. Pr. Radouane Mrabet
  31. 31. Pr. Radouane Mrabet http://www.dgssi.gov.ma/
  32. 32. Pr. Radouane Mrabet32 1. Introduction 2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au Maroc 4. Réglementation de la cryptographie aux USA, dans l’UE et en chine 5. Impacts de la réglementation de la cryptographie sur les entreprises 6. Meilleures pratiques, cas des entreprises américaines
  33. 33. Pr. Radouane Mrabet33 } Les États-Unis ne placent aucune restriction sur l’utilisation, la création ou la vente de produits de chiffrement au sein de leur marché intérieur. } Il n'y a aucune restriction sur l'importation de systèmes de cryptographie. } L'exportation de produits de chiffrement est restreinte. Ce qui oblige les entreprises américaines à beaucoup de vigilance lorsqu’elles veulent travailler au niveau international, car elles risquent d’être fortement pénalisées, si elles sont jugées défaillantes par les autorités de régulations US.
  34. 34. Pr. Radouane Mrabet34 } Règlement sur l'utilisation : Les États-Unis ne limitent pas l'utilisation domestique de la cryptographie. } Jurisprudence : ◦ Un tribunal fédéral a jugé qu’il n'y a pas obligation de révéler sa clé de chiffrement ou mot de passe dans le cadre d'une enquête criminelle. ◦ Un autre tribunal a jugé que, pendant qu'un accusé ne peut être contraint à fournir sa clé de décryptage ou mot de passe, il peut être contraint à fournir des copies non chiffrées des fichiers ou des documents en question sous certaines circonstances.
  35. 35. Pr. Radouane Mrabet35 } Règlement sur l'exportation : L'exportation de produits de chiffrement des États-Unis est régi par une variété d'organismes gouvernementaux. } Le principal organisme de réglementation des exportations de chiffrement est le « Bureau of Industry and Security (BIS) » appartenant au département du commerce. } Le BIS régule l'exportation de toutes marchandises à double usage, y compris les systèmes de cryptage.
  36. 36. Pr. Radouane Mrabet36 } En règle générale, si un article, à exporter, utilise ou contient de la cryptographie, n’est pas conçu pour une utilisation finale médicale, et ne limite pas l'utilisation de la cryptographie à des fonctions de protection de la propriété intellectuelle ou le droit d'auteur (comme avec un DVD), alors l'élément est régi par la réglementation en vigueur. } Le BIS exige des exportateurs de déterminer eux- mêmes les licences et autres documents nécessaires à leurs exportations de logiciels contenant de la cryptographie.
  37. 37. Pr. Radouane Mrabet37 } Le premier facteur que les exportateurs doivent considérer est les attributs du logiciel à être exporté. } L’attribut principal est la longueur de clé : la réglementation précise que les systèmes de cryptage avec des longueurs de clé de 56 bits ou moins pour les systèmes symétriques ou 512 bits ou moins pour les systèmes asymétriques, peuvent être exportés sans restriction. } Les systèmes de cryptage fort, qui doivent utiliser des clés plus longues, sont soumises à restrictions à l'exportation.
  38. 38. Pr. Radouane Mrabet38 } Il ya une exemption pour les produits de chiffrement destinés au grand public «mass market» : si un produit de chiffrement est destiné au public (la maison, usage personnel) sans un support technique continu par le fournisseur (par exemple, un programme personnel de sécurité de messagerie), son exportation n’est pas limité par la réglementation. } Une dernière exemption importante est pour les produits "qui accompagnent leur utilisateur pour son usage personnel ou comme outils du commerce...", Ce qui permet aux utilisateurs de, par exemple, se déplacer à l’étranger avec leurs ordinateurs ou leurs téléphones portables qui contiennent des fonctions de chiffrement.
  39. 39. Pr. Radouane Mrabet39 } Un 2ème attribut important pour les exportateurs US à envisager, et qui est beaucoup plus difficile pour les exportateurs de contrôler, est à qui le logiciel est vendu. Cela inclut les attributs spécifiques du client et son emplacement. } Le BIS ne fait aucune distinction entre la livraison physique ou électronique du produit pour déterminer si une entreprise a fait une exportation illégale.
  40. 40. Pr. Radouane Mrabet40 } La cryptographie dans l'Union européenne (UE) est libre d'utilisation au sein du marché intérieur européen, mais fait face à des restrictions pour les exportations. } L'exportation de biens à double usage suit l'Arrangement de Wassenaar : ◦ L’export au sein de l'Union européenne est entièrement libéralisé. ◦ Les exportations vers un groupe restreint de pays non membres de l'UE sont peu réglementées, et les exportations vers les pays restants sont plus fortement réglementées. ◦ Les pays pour lesquels les règles applicables sont plus légères sont : États-Unis, Canada, Japon, Nouvelle-Zélande, Suisse et Norvège. } Source : http://ec.europa.eu/trade/import-and- export-rules/export-from-eu/dual-use- controls/index_en.htm
  41. 41. Pr. Radouane Mrabet41 } En Chine, l’importation et l’exportation de produits de cryptographie sont réglementés. } L’importation et l’exportation de produits de chiffrement nécessitent un permis de la «State Encryption Management Commission». } Le chiffrement est essentiellement régi par la «National Commission on Encryption Code Regulations (NCECR). » } Les produits de chiffrement ne peuvent pas être vendus ou importés en Chine sans l'approbation préalable de la NCECR.
  42. 42. Pr. Radouane Mrabet42 } Les particuliers et les entreprises en Chine ne peuvent utiliser que les produits de cryptographie approuvés par le NCECR. } Cela vaut également pour les individus et les entreprises étrangères opérant en Chine, qui doivent déclarer les détails de leurs systèmes de cryptage pour recevoir l'autorisation d'utiliser ces produits de la NCECR. } Le gouvernement chinois poursuit une politique qui favorise le développement de systèmes nationaux de cryptographie. ◦ Exemple : création d'une nouvelle norme chinoise pour la sécurité-authentification et de confidentialité de l'infrastructure WLAN (WAPI). Normalement, les systèmes Wi-Fi vendus en Chine devraient se conformer à la norme WAPI.
  43. 43. Pr. Radouane Mrabet43 1. Introduction 2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au Maroc 4. Réglementation de la cryptographie aux USA, dans l’UE et en chine 5. Impacts de la réglementation de la cryptographie sur les entreprises 6. Meilleures pratiques, cas des entreprises américaines
  44. 44. Pr. Radouane Mrabet44 } Les restrictions sur la cryptographie ont des effets délétères sur au moins trois groupes: (1) Les sociétés spécialisées dans la sécurité TIC et qui souhaitent participer à des marchés internationaux ; (2) Les entreprises opérant à l'étranger qui désirent utiliser la cryptographie pour protéger leurs données et leurs communications ; (3) Les individus et/ou des groupes qui voudraient protéger leurs données contre l'ingérence externe.
  45. 45. Pr. Radouane Mrabet45 } L'utilisation civile de la cryptographie n'est pas sans inquiéter les gouvernements. En favorisant les communications secrètes entre des individus malintentionnés, elle représente un risque potentiel pour la sécurité intérieure. Mais, en voulant garder le contrôle sur les procédés cryptographiques, les gouvernements se heurtent alors aux principes consacrés de la protection de la vie privée et de la liberté d'expression. } En outre, la promotion du e-commerce exige que de tels procédés puissent être librement utilisés par le secteur privé. } C'est à ces enjeux politiques, juridiques et économiques que font face les nations. Dès lors, elles doivent composer entre les exigences de la sécurité nationale et celles des intérêts privés, sans ignorer les impératifs du e-commerce. } Source : Lionel Thoumyre, les enjeux de la cryptographie : Une analyse comparée des enjeux de la cryptographie au Canada et aux Etats-Unis.
  46. 46. Pr. Radouane Mrabet46 } De nombreux analystes estiment que les contrôles à l'exportation d’un pays placent les entreprises TIC de ce pays dans une situation de désavantage concurrentiel vis-à-vis des concurrents d’autres pays. } En outre, les entreprises TIC vont devoir payer des coûts supplémentaires soit pour être conformes à la législation de leur pays et/ou aux législations des pays importateurs. } Les effets de la réglementation dépassent le marché des logiciels. Beaucoup de produits de technologie de l'information, des services, et les entreprises dépendent de la cryptographie.
  47. 47. Pr. Radouane Mrabet47 } Par exemple, l'e-commerce n’aurait pas prospéré si les clients craindraient qu’à chaque fois qu’ils feraient un achat en ligne, ils placeraient leurs informations de carte de crédit devant des risques de compromission. } En limitant l'utilisation de la cryptographie, les pays entravent le développement de leurs marchés informatiques et le e-commerce en général.
  48. 48. Pr. Radouane Mrabet48 1. Introduction 2. Arrangement de Wassenaar 3. Réglementation de la cryptographie au Maroc 4. Réglementation de la cryptographie aux USA, dans l’UE et en chine 5. Impacts de la réglementation de la cryptographie sur les entreprises 6. Meilleures pratiques, cas des entreprises américaines
  49. 49. Pr. Radouane Mrabet49 } Meilleures pratiques pour les entreprises américaines opérant à l'étranger englobent deux aspects: (1) la conformité aux règlements d'exportations américaines, (2) le respect des règlements d'importation et d'utilisation à l'étranger.
  50. 50. Pr. Radouane Mrabet50 } En raison de la nature complexe des règlements d'exportation des États-Unis, et les sanctions sévères en cas de violation de ces règlements, toute société américaine opérant à l'étranger qui, soit vend des produits qui contient de la cryptographie, ou utilise la cryptographie dans ses secteurs d'activité, devrait instituer des programmes de conformité internes.
  51. 51. Pr. Radouane Mrabet51 } Le BIS encourage la mise en place des programmes de conformité internes et d’y intégrer les composants suivants: (1) une déclaration écrite de politique générale qui montre l'importance que donne l’entreprise à la conformité avec toutes les réglementations de contrôle des exportations (2) les procédures internes pour classer correctement tous les produits en fonction de leurs classifications réglementaires applicables, et de veiller à ce que ces classifications soient communiquées aux employés, notamment les commerciaux.
  52. 52. Pr. Radouane Mrabet52 (3) les procédures de contrôle des clients par rapport à deux listes : - liste de pays interdits ou restreints - liste de personnes et entités interdites (4) programmes de surveillance des activités du personnel et les filiales de l'entreprise à l'étranger, ainsi que les activités des filiales étrangères de l'entreprise
  53. 53. Pr. Radouane Mrabet53 (5) la tenue des registres de toutes les étapes de la procédure de dédouanement qui sont prises pour chaque livraison d’un produit à exporter (6) la formation et l'audit pour le personnel (7) la diligence raisonnable dans les transactions d'entreprises, y compris les fusions et acquisitions à l'étranger (8) les procédures de notification en cas de violations ou d’infractions présumées;
  54. 54. Pr. Radouane Mrabet54 } En plus de veiller à ce qui précède, l’entreprise doit également prendre des mesures pour empêcher que les systèmes informatiques internes ne violent de façon involontaire la réglementation à l'exportation. } Pour la réglementation US, le terme «exportation» comprend: (1) la transmission de données et de logiciels par courrier électronique ou à travers un réseau informatique qui a des points d'accès depuis l’étranger; (2) stocker des informations sur un ordinateur connecté à un réseau informatique se trouvant en dehors des États-Unis. (3) l'accès des ressortissants étrangers à la fois de l'étranger, et sur place aux États-Unis, à des données et à des logiciels.
  55. 55. Pr. Radouane Mrabet55 } Il est recommandé un programme de conformité en quatre parties pour gérer de tels cas : (1) identifier toutes les données et tous les logiciels qui pourrait être soumis à des contrôles à l'exportation (2) séparer les données et les logiciels qui sont soumis à un contrôle (par exemple, en les plaçant sur un réseau séparé) (3) restreindre les personnes et les entités non américaines de l'accès à ces zones de séparation (4) désigner des gestionnaires de conformité internes.
  56. 56. Pr. Radouane Mrabet56 } Bien que la conformité avec les règlements d'exportation des États-Unis soit assez compliquée, la conformité aux règlements de cryptage étrangers présente beaucoup plus de difficultés. } Beaucoup de pays ne disposent pas de règlements ou de lignes directrices claires pour l'importation, l'exportation et l'utilisation du chiffrement, et même les pays qui ont des lignes directrices claires souffrent souvent d'une application incohérente. } Il est donc extrêmement important de développer des politiques spécifiques qui traitent des environnements réglementaires dans les pays étrangers, des besoins particuliers de l'entreprise dans ces pays, et les risques juridiques associés.
  57. 57. Pr. Radouane Mrabet57 } Si une entreprise décide de ne pas utiliser la cryptographie dans un pays donné, il faut prendre des mesures supplémentaires pour protéger ses données et la propriété intellectuelle de ses produits. } Une des considérations les plus importantes est la sélection de l’opérateur télécoms. Lorsque l’entreprise peut utiliser la cryptographie pour protéger ses communications, la fiabilité du fournisseur de réseau est moins pertinente. Toutefois, lorsque les données, y compris par courrier électronique et les communications vocales doivent être envoyées en clair sur le réseau, le choix d'un opérateur qui est à la fois digne de confiance, et possède des systèmes et procédures de sécurité solides, est d'une importance primordiale.
  58. 58. Pr. Radouane Mrabet58 } Lorsqu'une entreprise choisit de ne pas utiliser le cryptage, il devrait minimiser la quantité et de la sensibilité des données accessibles à partir de l'intérieur du pays. } Elle devrait déterminer quelles sont les données qui n’ont pas besoin d'être accessible au personnel dans le pays. Ces données devraient être déplacées vers des endroits sûrs (par exemple, un centre de données dans le pays de l'entreprise) et rendue inaccessible aux employés travaillant dans le pays concerné (afin que les données ne voyagent pas sur des liaisons de réseaux non sécurisées).
  59. 59. Pr. Radouane Mrabet59 } Les données qui doivent être accessibles aux employés dans le pays concerné devraient être répartis entre 1) les données qui ne sont nécessaires que pour ces employés 2) les données nécessaires à toute l’entreprise quel que soit le territoire d’implantation. } Les premières doivent être stockées localement, sur site, de sorte que les données ne soient pas diffusées sur des liens de communication non sécurisés. } Lorsque l'entreprise a plusieurs endroits dans le pays, certaines données seraient probablement partagées entre ses endroits, mais il faut veiller autant que possible à stocker les données hors réseau.
  60. 60. Pr. Radouane Mrabet60 } Si une entreprise est présente dans un pays qui peut exiger l'accès à des clés de décryptage, ces clés ne doivent jamais être utilisées pour protéger, ou pour accorder l'accès à des informations sensibles de l'entreprise. } Les clés de chiffrement pour les utilisateurs dans le pays étranger doivent être changées régulièrement, et les anciennes clés doivent expirer à un rythme plus rapide que ceux utilisés sur le territoire US.
  61. 61. Merci pour votre écoute Pr. Radouane Mrabet ENSIAS, Université Mohammed V de Rabat @radouane_mrabetmrabet.radouane@yahoo.com

×