06.07.2010 / COMMERCE, SERVICES ET TECHNOLOGIES DE LA COMMUNICATION VINGT CINQUIèME RAPPORT ANNUEL
L’Agence Nationale de Certification Electronique
L’Agence Nationale de Certification Electronique
L'Agence nationale de certification électronique est chargée, en vertu de la loi n° 2000-83 du 9 août 2000 régissant les échanges et le commerce électronique, de l’octroi des autorisations pour l’exercice de l'activité de fournisseur de services de certification électronique, de fixer les caractéristiques techniques du dispositif de création de la signature électronique et de veiller au respect, par les fournisseurs de services de certification électronique, des dispositions de la présente loi et de ses textes d'application.
En vertu de ce même texte, l'Agence est également chargée de la conclusion des conventions de reconnaissance mutuelle avec les parties étrangères et de l'émission, de la délivrance et de la conservation des certificats électroniques au profit des agents publics habilités à effectuer les échanges électroniques ainsi que de participer aux activités de recherche, de formation et d'études afférentes aux échanges et au commerce électronique et d’une manière générale, de toute autre activité qui lui serait confiée par l’autorité de tutelle en rapport avec le domaine de son intervention.
En application des dispositions du décret n° 2008- 2639 du 21 juillet 2008 fixant les conditions et les procédures d’importation et de commercialisation des moyens ou des services de cryptage à travers les réseaux de télécommunications, les moyens de cryptage importés ou commercialisés sont soumis à l’homologation de l’Agence à l'exception de ceux importés à titre temporaire ou commercialisés par les sociétés figurant sur une liste arrêtée par l’Agence et mise à jour périodiquement.
La Cour a entrepris une mission de vérification sur la gestion de l’Agence au cours de la période 2002-2009 afin d’examiner dans quelle mesure cet établissement a réussi sa mission en matière de prestation de services de certification électronique et de cryptage et également en matière de respect des normes de sécurité, d’encadrement de l’activité de certification et sa contribution au développement des programmes nationaux relatifs aux échanges électroniques.
- 1. Les services de certification électronique et de cryptage
Depuis l’année 2000, date de la promulgation de la loi sur les échanges et le commerce électroniques, aucun fournisseur privé n’a entrepris l'activité de certification électronique amenant ainsi l'Agence à assurer elle-même cette activité.
Afin de rapprocher ses services des usagers d’une activité qui requiert la certification électronique, l'Agence a conclu deux conventions, respectivement le 28 octobre 2004 avec l'Office national des postes et le 14 août 2007 avec la Banque de l'habitat. Ces conventions ont permis de créer au sein de ces deux institutions, des unités d'enregistrement ayant pour rôle de recevoir les demandes de certificats électroniques, de délivrer ces certificats à leur propriétaire et de mettre fin à leur utilisation.
En application de ces conventions, l'Office national des postes a enregistré une évolution positive du nombre de certificats qui est passé de 10 en 2005 à 394 en 2008 alors que la Banque de l'habitat n’a délivré que 9 certificats en 2007, 9 autres en 2008 et un seul certificat en 2009.
Les opérations d’audit réalisées par les services de l’Agence ont révélé la dépréciation des services rendus par ces unités et le manque de sensibilisation des clients aux avantages de la certification électronique.
En ce qui concerne les services d’homologation des moyens de cryptage, l'Agence a prévu dans son contrat-objectifs au titre de la période 2007-2009, d'adhérer à la convention spécifique aux critères communs. La réalisation de cet objectif permettra à l'industriel tunisien d'accéder aux marchés internationaux et d’offrir davantage de possibilités d'attraction des investissements en incitant les laboratoires d'évaluation à s’implanter en Tunisie, pays signataire de la convention de reconnaissance.
- 2. Le respect des normes et des procédures de sécurité et l'amélioration de la qualité des services
Afin de se préparer à la conclusion de conventions de reconnaissance mutuelle avec les structures étrangères de certification, l’Agence a programmé depuis 2002 le renforcement de l'infrastructure relative au système de certification électronique, à la structure de la clé publique et aux services s'y rattachant et a entamé l’élaboration des normes nécessaires à l’exercice de ses activités. L’achèvement de ces actions nécessite l’établissement des règles pratiques de l'activité de certification et des procédures relatives aux travaux de chaque intervenant. Le suivi des différentes opérations de certification présuppose l’intégration du système de contrôle et d'audit au sein de la structure de la clé publique.
En ce qui concerne les procédures de sécurité et d'analyse des risques, l'Agence est invitée à achever tout le programme relatif à la mise à jour de ses systèmes et à instituer des procédures documentées concernant l’utilisation de ses équipements et la gestion de ses réseaux et systèmes internes. Elle est appelée aussi à mettre en œuvre les éléments constitutifs de certains projets de sécurité physique programmés au cours de la période 2007-2009 et ce, afin de prémunir les équipements de certification et les services de la publication de tout dysfonctionnement.
En palliant ces insuffisances, l'Agence sera en mesure d'accéder aux normes internationales dans le domaine de la certification électronique et d’intégrer en conséquence ses certificats dans la liste des certificats fiables au sein de tous les moteurs de recherches.
- 3. Rôle de l’Agence dans l’encadrement de l'activité de certification
Afin de soutenir les développeurs de logiciels, l'Agence a programmé dans son contrat-objectifs au titre de la période 2007-2009, l’élaboration d’une série de guides de référence sur les spécifications du système de signature électronique. L'achèvement de ce travail devra aider les structures intervenantes, à développer des programmes visant la mise en place de la technique et des moyens de vérification de la signature électronique permettant la protection des transactions électroniques.
En ce qui concerne la recherche, la formation et les études, l'Agence a programmé, dans son contrat-objectifs précité, la création d’une unité de veille technologique et de recherche dans les domaines de la certification et de la signature électroniques ainsi que de la sécurisation des réseaux des systèmes en utilisant les techniques de cryptage. Toutefois, l’Agence a accusé du retard dans la réalisation de ce programme.
En outre, l'Agence a prévu depuis 2004, d’équiper ses laboratoires de recherche de manière à développer la capacité de ses ingénieurs. Malgré la préparation de l'étude technique et économique en la matière et l'allocation des fonds nécessaires pour la réalisation de cet objectif, ce projet n’a pas été achevé.
Par ailleurs, l’Agence s’est quasiment limitée, en matière de promotion de la culture numérique, à des participations aux manifestations en mettant en place des espaces publicitaires, alors que son contrat-objectifs au titre de la période 2002-2006 a prévu de promouvoir son propre rôle par l'élaboration d'un programme de marketing et la contribution aux activités de sensibilisation.
- 4. Contribution de l'Agence au renforcement des programmes nationaux relatifs aux transactions électroniques
Le «serveur de paiement électronique sécurisé» permet la sécurisation des transactions entre le distributeur et ses clients, portant sur des achats ou sur des paiements par voie électronique. A cet effet, Il a été remarqué que, sur un total de 100 sites commerciaux figurant en avril 2009 sur le site de Tunisie Monétique, 60 sites ne sont pas sécurisés par l’Agence parmi lesquels 15 ont recouru à des fournisseurs étrangers de services de certification électronique pour sécuriser leurs transactions internationales.
Par ailleurs, le projet "réseau national intégré de l’administration" n'a touché que cinq ministères en ce qui concerne la mise en place des mécanismes de la certification électronique. Quant au système de certification des traitements et salaires des fonctionnaires de l'État, il est encore à la phase de démarrage.