24
août
2016

Un audit eIDAS c’est quoi ?

Faten Zerelli
0 commentaires
Avis d’expert

Le règlement eIDAS est entré en vigueur depuis le 1er juillet 2016, amenant avec lui son lot de changements pour les prestataires de services de confiance, dont la réalisation d’une nouvelle étude de conformité.
Ainsi, chaque prestataire de services de confiance (PSCo) qualifiés se doit, à partir du 1er juillet 2016, de faire ce que l’on appelle « un audit de conformité eIDAS », réalisés par des organismes d’évaluation de la conformité, accrédités conformément au règlement n°765/2008 du 9 juillet 2008.

Ceci dans le but d’obtenir le « saint-graal » : la certification de ses services. Cette certification atteste de la conformité aux différents standards relatifs aux services de confiance (certificats, horodatage) selon le règlement eIDAS.
Avec le règlement eIDAS, le contrôle est à priori, c’est-à-dire que chaque prestataire de service de confiance doit d’abord obtenir la qualification de ses services via un audit avant de pouvoir les présenter comme tels.
Cette qualification à priori offre l’avantage de permettre le basculement de la preuve de la charge de responsabilité au PSCo en cas de litige.

 En pratique, comment se passe un audit de conformité eIDAS ?

Les auditeurs de l’organisme officiel (LSTI) contrôlent que les politiques de certification respectent les règles définies dans les standards :

universign-conformité-eidas

Ils s’assurent de la concordance entre :

  • les exigences des standards européens et nationaux et nos politiques de certification et d’horodatage
  • ce qui est écrit dans les politiques et les actions effectives.

Cela passe, entre autres, par les contrôles suivants :

  • Contrôle de procédures des dossiers d’enregistrements
  • Gestion des habilitations (qui fait quoi, comment sont gérés les départs, …) et suivi des secrets (i.e. cartes)
  • Architecture de la plateforme (visite des data centers, contrôles des mesures de sécurité, du réseau, …)
  • Sécurité physique (du siège et des data centers)
  • Gestion opérationnelle de la plateforme (suivi des évolutions, monitoring, gestion de crise, PCA, sauvegardes, …)

A la suite de cet audit, un rapport est établi et est remis au Psco sur la base de ce rapport l’organe de contrôle prononce alors sa décision de certification.

Un nouveau cadre légale depuis juillet 2016

Pour favoriser l’adoption de la signature électronique et accélérer la dématérialisation des processus, la Commission européenne a mis en place le règlement eIDAS, applicable depuis le 1er juillet 2016.
Ce nouveau règlement transnational pose les bases d’un marché unique de la confiance numérique, en favorisant l’harmonisation de la signature électronique, l’interopérabilité entre les pays et les acteurs, et en homogénéisant les processus de création de la signature électronique.

À quel rythme ?

Tous les 2 ans à partir du mois de juillet 2016. L’entrée en vigueur du règlement eIDAS a modifié la fréquence des audits de conformité qui était annuelle auparavant.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Testez Universign