Comment vérifier qu’un prestataire a bien répondu en temps et en heure à un appel d’offre ? Comment élaborer une datation de créations intellectuelles ou encore favoriser la traçabilité d’échanges électroniques entre divers organismes ? C’est ce que cherchent de plus en plus d’organisations à mettre en place par le biais d’outils d’horodatage. Mais quel type de plateforme choisir, On premise ou SaaS, avec quelle architecture, quels sont leurs avantages et inconvénients, etc … Réponse dans l’article !
Les principes de l’horodatage avec sa norme RFC 3161
L’horodatage de manière générale, est un procédé qui consiste à associer une date et une heure à un événement, une information ou une donnée informatique.
Dans un cadre professionnel, l’horodatage est un ensemble de techniques consistant à associer de manière sûre une date et une heure de référence , et ce, dans le but de prouver l’existence comme de ces données à un certain moment. Pour se faire, l’entreprise se base généralement sur l’utilisation de services d’un tiers horodateur de confiance, ou sur une autorité d’horodatage.
Ce mécanisme, décrit par la norme RFC 3161 est d’ailleurs souvent utilisé conjointement avec la signature numérique (les jetons sont inclus dans la signature numérique) afin de la renforcer.
La norme 3161 définit la manière de produire des contremarques de temps, ou jetons d’horodatage, par un tiers qui agit en tant qu’Autorité d’Horodatage (AH ou TSA en anglais).
Quel type de solution d’horodatage choisir : On premise vs. SaaS
Que faut-il faire pour installer en interne sa solution d’horodatage (On premise)
L’horodatage comme l’ensemble des services de confiance numérique, repose fortement sur la cryptographie asymétrique. En effet, horodater un document nécessite l’emploi d’une clé privée et d’un certificat numérique associé.
Par ailleurs, les services d’horodatage sont encadrés légalement par la réglementation française RGS pour les autorités administratives et par la réglementation européenne eIDAS. Sans conformité à ces standards, les jetons d’horodatage n’auraient aucune valeur légale.
Une solution d’horodatage qualifiée eIDAS se base sur les éléments techniques ci-dessous :
- Un serveur d’horodatage certifié prenant en charge le format décrit par la norme RFC 3161 ;
- un certificat d’horodatage qualifié ;
- le stockage de la clé dans un boitier cryptographique ;
- une synchronisation de la date et de l’heure avec une source temps externe reconnue.
A noter qu’il ne faut pas oublier les volets documentaires (liste des documents exhaustifs : politique d’horodatage, procédures de continuité, de reprise d’activité, documents de gestion des rôles et des habilitations, plan d’audit interne, charte sécurité des personnels, procédures de classification et de protection de l’information, procédures en cas de cessation de l’activité, documents de description globale de l’architecture physique et logique, procédures de sauvegarde et d’archivage, documents de gestion de la capacité, procédures de journalisation des événements, procédures de gestion des secrets, procédures de gestion des incidents de sécurité et les procédures de gestion des vulnérabilités) et organisationnels (Les rôles des acteurs doivent obligatoirement être définis et attribués afin d’éviter le cumul des pouvoirs pour les administrateurs, les opérateurs, l’officier de sécurité… Les processus et la gestion du cycle de vie des objets cryptographiques doivent être bien décrits, effectuer des cérémonies de clés, mise en production…) qui sont très importants pour la conformité eIDAS.
Ne pas sous-estimer les avantages d’une solution SaaS d’horodatage
Une solution qualifiée On-Premise peut s’avérer être très couteuse en termes d’intégration, sans évoquer les risques engendrés par un éventuel changement de la norme. Certes, une telle solution garantit la non-divulgation des données voire la mutualisation de ce service à d’autres besoins ou même la revente, mais dans la plupart des cas où la volumétrie n’est pas très élevée, il est plus sage de se diriger vers un prestataire de services d’horodatage (PSHE) car moins couteux (Coût par transactions, complexité de mise en œuvre masqué).
Paraissant simple aux premiers abords, la mise en place d’une solution d’horodatage peut s’avérer complexe en particulier pour émettre des jetons d’horodatage qualifiés. En outre, les différents choix d’architecture ne rendent pas la tâche plus facile. Grâce à son expertise et à son réseau de partenaires, Digitalberry vous accompagne et vous conseille afin de mettre en place une solution d’horodatage adaptée à vos besoins et à vos contraintes. N’hésitez pas à prendre contact avec nous !
DSI : anticipez la réduction de la durée de vie des certificats numériques à 90 jours avec l’automatisation
À la suite des réunions du CA/B Forum qui ont eu lieu en mars 2023, Google a annoncé dans sa feuille de route Moving Forward, Together, son intention de réduire la validité maximale des certificats...
Digitalberry sera présent aux Assises de la cybersécurité 2023
Digitalberry sera présent aux Assises, l’événement incontournable de la cybersécurité à Monaco. Du 11 au 14 octobre 2023, cet événement prestigieux rassemblera les professionnels du secteur...
Digitalberry sera présent aux Universités d’été de la Cybersécurité et du Cloud de confiance d’Hexatrust
Rejoignez Digitalberry lors des Université d’été de la Cybersécurité et du Cloud de confiance d’Hexatrust le mardi 19 septembre au CENTQUATRE à Paris. C’est le rendez-vous...