Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’IRSN utilise les certificats électroniques de ChamberSign pour sécuriser la transmission de données nucléaires

février 2009 par Marc Jacob

L’Institut de radioprotection et de sûreté nucléaire, IRSN, est un établissement public à caractère industriel et commercial. Il est l’expert public en matière de recherche et d’expertise sur les risques nucléaires et radiologiques. Ses activités couvrent un large champ qui s’étend de la sûreté des réacteurs, des usines, des laboratoires, des transports et des déchets à la radioprotection de l’homme et à l’environnement. L’établissement rassemble environ 1 700 salariés parmi lesquels de nombreux spécialistes, ingénieurs, chercheurs, médecins, agronomes, vétérinaires et techniciens, experts compétents en sûreté nucléaire et en radioprotection ainsi que dans le domaine du contrôle des matières nucléaires et sensibles.

problématique

L’objectif de départ était de faire évoluer le fonctionnement du service d’application des contrôles internationaux (SACI) en améliorant l’échange d’information entre l’IRSN et les exploitants français tout en prenant en compte les contraintes de sécurité. Ce service est chargé d’apporter un appui technique aux autorités françaises compétentes quant à l’application des accords internationaux et des engagements bilatéraux conclus par la France dans le domaine nucléaire. Jusque-là, le transfert d’information se faisait par notifications papier transmises par télécopie. Le service s’est tourné vers l’utilisation d’un portail internet dénommé PIMENT (Portail Internet pour la transMision et l’Enregistrement des Notifications de Transfert) pour l’échange d’informations électroniques sécurisées plutôt que de conserver la traditionnelle télécopie papier. Compte tenu du caractère sensible des informations transitant entre les interlocuteurs, l’IRSN devait pouvoir effectuer des échanges électroniques sécurisés, en ayant la certitude de l’identité des émetteurs de l’information.

choix de la solution

Plusieurs questions se sont posées : « comment transférer des informations de manière sécurisée ? Comment s’assurer de l’identité des personnes qui adressent ces informations dès lors qu’il n’y a plus de papier ? ». Le projet est lancé début 2007, après une étude de fonctionnement préalable sur le principe d’authentification forte. Les trois premiers mois sont consacrés à l’investigation, et c’est au détour d’une recherche sur Google qu’ils établissent leur premier contact sous forme de chat avec Verisign.

« C’est ce chat qui nous a réellement permis de comprendre comment nous pouvions fonctionner de manière sécurisée. Nous avions bien des idées, une authentification, un cryptage de données, une signature, mais nous ne savions pas du tout comment nous pouvions lier toutes ces informations et ces éléments entre eux, » précise Anne Junquet, chargée d’affaires à l’IRSN.

Cet échange d’informations leur a permis de prendre conscience de la nécessité de coupler les certificats utilisateurs au certificat du portail internet PIMENT pour que le principe fonctionne.

L’offre Verisign est finalement écartée au profit de celle de ChamberSign (Identio 2 sur clé USB) dans la mesure où l’IRSN devait répondre à des obligations spécifiques. D’une part, la solution ne nécessitait qu’un petit nombre de certificats (30 maximum), et d’autre part les certificats devaient être adressés aux exploitants externes chargés des déclarations vers l’IRSN, tout en permettant à l’Institut d’en assurer lui-même la gestion (ChamberSign gère la délivrance du certificat, et l’IRSN gère directement les personnes). Enfin, l’offre tarifaire proposée a terminé de marquer la différence entre les deux solutions, ChamberSign proposant une solution très économique dont le tarif, dégressif selon la quantité, est de 40€ HT par an.

En décembre 2007, l’IRSN met en place un premier test, pendant un trimestre, en proposant à son exploitant le plus actif d’utiliser le certificat électronique ChamberSign couplé au portail PIMENT. « Pour le premier certificat, nous avons choisi de le mettre en test chez un exploitant qui adresse quotidiennement des notifications à notre service, il fallait que nous soyons sûrs que ce système puisse fonctionner avec lui avant de l’étendre, » précise Anne Junquet. Le test se déroule avec succès, et le certificat ChamberSign est proposé à l’ensemble des exploitants qui, petit à petit, passent à ce mode de fonctionnement sans problème.

Après s’être connecté au portail PIMENT et authentifié grâce au certificat électronique, l’exploitant accède à un espace sécurisé où il doit saisir ses données. De cette façon, l’IRSN est assuré de l’identité de la personne qui a saisi les informations et il est possible de tracer tout ce que cette personne a fait, et ses différents accès. Il faut aussi préciser qu’au moment où la personne va envoyer les informations, elle va à nouveau « signer » cet envoi grâce au certificat ChamberSign. Les derniers exploitants devraient adopter ce schéma au cours de ce premier semestre 2009.

bénéfices de l’offre de chambersign

Il faut raisonner en termes de temps gagné et d’efficacité. Les avantages sont valables à la fois pour les exploitants et pour l’IRSN. D’une part, pour la simplicité d’utilisation du certificat pour les exploitants ; et le portail de l’IRSN leur donne accès à plus d’informations et plus de possibilités pour gérer leurs dossiers. Du côté de l’IRSN, les informations provenant des exploitants sont analysées et traitées, permettant ainsi d’émettre les informations requises vers les autorités françaises et internationales. « Avant l’utilisation des certificats d’authentification, il fallait systématiquement ressaisir les informations papier reçues dans notre outil. Grâce à l’association de notre portail PIMENT et des certificats ChamberSign, la saisie se fait directement, éliminant ainsi toute erreur de saisie, augmentant notre rendement et ce en toute sécurité, » indique Maxime Morin, chargé d’affaires à l’IRSN.




Voir les articles précédents

    

Voir les articles suivants