Sommaire BO courant Archives BO Table des matières cumulée BO Sommaire RMLR

Arrêté du 13 mars 1998 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d’autorisation relatives aux moyens et prestations de cryptologie

NOR : PRMX9802729A

(Premier ministre)

Vu L. no 90-1170 du 29-12-1990 mod., not. art. 28 ; D. no 98-101 du 24-02-1998, not. art. 5, 10 et 13.

Commentaire du fonctionnaire de Défense : Les décrets nos 98-101 et 98-102 du 24 février 1998, publiés au Bulletin officiel du CNRS d’avril, ont libéralisé l’usage de la cryptographie dans les télécommunications, mais annonçaient d’autres textes destinés à en fixer les modalités pratiques. C’est désormais chose faite avec les trois arrêtés du 13 mars 1998 et les deux décrets du 23 mars 1998 que vous trouverez ci-dessous. Pour crypter vos messages, sans autorisation ou déclaration préalable, il ne vous reste plus qu’à acquérir le procédé auprès d’un fournisseur agréé ou, si vous préférez, faire agréer votre propre système.

Art. 1er. – Le dossier de déclaration ou de demande d’autorisation concernant un moyen ou une prestation de cryptologie comporte une partie administrative et une partie technique.

La partie administrative comprend une déclaration ou une demande d’autorisation conforme au modèle annexé au présent arrêté, en trois exemplaires.

La partie technique comprend une description conforme au modèle annexé au présent arrêté, en trois exemplaires.

Les dossiers déposés dans le cadre du régime simplifié de déclaration prévu à l’article 9 du décret du 24 février 1998 susvisé ainsi que ceux déposés pour obtenir le renouvellement d’une autorisation ne comportent pas de partie technique. Celle-ci est remplacée par un engagement écrit de la personne déposant le dossier certifiant soit que l’impossibilité pour le moyen ou la prestation d’assurer des fonctions de confidentialité ne résulte pas d’un simple dispositif de verrouillage, soit que les caractéristiques techniques du moyen ou de la prestation sont inchangées par rapport à la description figurant dans la partie technique du dossier déposé lors de la première délivrance de l’autorisation.

Art. 2. – Sont portés à la connaissance du service central de la sécurité des systèmes d’information, au moins un mois à l’avance :

– tout changement de nature à modifier le contenu du dossier de déclaration ou de demande d’autorisation ;

– la cessation de l’activité déclarée ou autorisée.

Art. 3. – La secrétaire générale de la défense nationale est chargée de l’exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

Fait à Paris, le 13 mars 1998.

Lionel JOSPIN

ANNEXE

PREMIER MINISTRE

Service central de la sécurité des systèmes d’information

18, rue du Docteur-Zamenhof, 92131 Issy-les-Moulineaux Cedex

(téléphone : 01-41-46-37-00, fax : 01-41-46-37-01)

Numéro de dossier (*):

Déclaration/demande d’autorisation concernant un moyen
ou une prestation de cryptologie

Partie administrative

Cocher la ou les cases correspondantes :

r Déclaration

r simplifiée.
r de fourniture :
r en vue de l’utilisation générale ;
r en vue de l’exportation.
r d’importation en provenance de :
r d’utilisation personnelle.

r Demande d’autorisation

r de fourniture pour une durée de :
(cinq ans maximum) d’un moyen ou d’une prestation qui n’utilise que des conventions secrètes gérées par un organisme agréé.

r de fourniture pour une durée de (cinq ans maximum) :
r en vue de l’utilisation générale ;
r en vue de l’utilisation collective.
r d’exportation pour une durée de (cinq ans maximum).
r d’importation en provenance de
r d’utilisation personnelle pour une durée de : (dix ans maximum).

(*) Réservé à l’administration.

A. – Déclarant ou demandeur d’autorisation

A.1. Société

Nom :

Raison sociale :

Nationalité :

Numéroté SIRET :

Adresse :

Numéro de téléphone : Numéro de télécopie :

Adresse du courrier électronique :

Personne chargée du dossier administratif

Nom et prénoms :

Adresse :

Numéro de téléphone :

Adresse du courrier électronique :

A.2. Particulier

Nom et prénoms :

Nationalité :

Adresse :

Numéro de téléphone :

Adresse du courrier électronique :

B. – À renseigner selon les cas suivants

B.1. Demande d’autorisation de fourniture d’un moyen ou d’une prestation
qui utilise des conventions secrètes gérées par un organisme agréé

Références de(s) organisme(s) agréé(s) :

B.2. Demande d’autorisation de fourniture
en vue de l’utilisation collective

Catégories éventuelles d’utilisateurs auxquels le moyen ou la prestation est destiné :

r Administrations (à préciser) :
r Grandes entreprises (préciser secteur d’activités) :
r Établissements de crédit :
r PME (préciser secteur d’activités) :
r Autres (à préciser avec secteur d’activités) :

B.3. Demande d’autorisation d’utilisation personnelle

Besoins justifiant la demande :

Lieux d’utilisation du moyen de cryptologie :

Le cas échéant, réseaux de télécommunications employés :

C. – Moyen ou prestation auquel s’applique la déclaration ou la demande d’autorisation

C.1. Moyen ou prestation de cryptologie

Référence commerciale :

Référence constructeur :

Version :

Description succincte :

Référence de l’agrément du moyen s’il a été soumis au ministère chargé des télécommunications :

C.2. Fabricant du moyen ou fournisseur de la prestation

Nom :

Raison sociale :

Adresse :

Numéro de téléphone :

Numéro de télécopie :

Adresse du courrier électronique :

C.3. Personne chargée du dossier technique

Nom et prénoms :

Adresse :

Numéro de téléphone :

Numéro de télécopie :

Adresse du courrier électronique :

C.4. Divers

Si le moyen ou la prestation utilise des moyens ou prestations préalablement déclarés ou autorisés, préciser, pour chacun d’eux, leur identification, référence et date de notification de déclaration ou d’autorisation :

C.5. Services de cryptologie fournis

r Authentification (*):
r Contrôle d’accès (*):
r Signature (*) :
r Intégrité (*) :
r Confidentialité (*) :
r Téléphone r télécopie r messagerie r transmissions de données
(préciser le(s) type(s) de données chiffrées, par exemple données à caractère financier, médical, de gestion...): 

r Autre(s) à préciser :
r Autre(s) à préciser (*) :

(*) Préciser le (s ) nom(s) de(s) algorithme(s) utilisé(s).

C.6. Installation des algorithmes

r Logiciel.
r Matériel (à préciser) :

D. - Attestation

Je soussigné (nom, prénoms) ,

agissant en qualité de ,

représentant le fournisseur, exportateur, importateur, utilisateur (*), certifie que les renseignements figurant sur cette déclaration/demande d’autorisation (*) sont exacts et ont été établis de bonne foi, toute fausse déclaration ou tout manquement aux engagements souscrits m’exposant aux sanctions prévues par l’article 28 de la loi n90-1170 du 29 décembre 1990 modifiée et par le décret n98-101 du 24 février 1998.

Date :

Signature

(*) Rayer les mentions inutiles.

Partie technique

À joindre au dossier de déclaration ou de demande d’autorisation
concernant les moyens et prestations de cryptologie

La partie technique comporte les informations suivantes :

– la référence commerciale du produit :

– nom ;

– numéro de la version ;

– la description générale du produit, le manuel utilisateur ;

– la description des services offerts par le produit ;

– la description des fonctions de cryptologie offertes par le produit (chiffrement, signature, gestion de clés...);

– soit la description complète des procédés de cryptologie employés, sous la forme d’une description mathématique et d’une simulation dans un langage de haut niveau, C ou Pascal ou tout autre après accord préalable du service central de la sécurité des systèmes d’information, soit la référence à un dossier préalablement déposé pour un produit usant du même procédé de chiffrement ;

– une sortie de référence du produit effectuée à partir d’un texte clair et d’une clé délivrés sur simple demande faite au service central de la sécurité des systèmes d’information dans le but de vérifier la conformité de la mise en œuvre du produit à la description de celui-ci ;

– une sortie de référence du procédé de chiffrement effectuée à partir d’un texte clair et d’une clé délivrés sur simple demande faite au service central de la sécurité des systèmes d’information, dans le but de vérifier la conformité de la mise en œuvre du procédé par rapport à la description de celui-ci : cette sortie de référence est obtenue par la simple action du procédé de chiffrement sur le texte clair, paramétré par la clé fournie, sans mise en œuvre d’aucun prétraitement sur le texte clair ou post-traitement sur le texte chiffré ;

– la description complète de la gestion des clés mises en œuvre par le moyen incluant au moins :

– le mode de distribution ;

– l’intégration au procédé de chiffrement ;

– l’architecture des clés employées ;

– le procédé de génération des clés ;

– la fréquence de changement des clés ;

– le format de conservation s’il y a lieu ;

– la description du dispositif de dépôt et de récupération de clés inclus, dans le cas où la gestion de clés du moyen ou de la prestation est effectuée par un organisme agréé ;

– la description des mesures techniques mises en œuvre pour empêcher l’altération du procédé de chiffrement ou de la gestion de clés associée ;

– la description des prétraitements subis par les données claires avant leur chiffrement (compression, formatage, ajout d’un en-tête, etc.) ;

– la description des post-traitements des données chiffrées, après leur chiffrement (ajout d’un en-tête, formatage, mise en paquet, etc.).

(JO du 15-03-1998)