Qu’est-ce qu’une Autorité de Certification (AC) ?

Une Autorité de Certification (AC) est une organisation qui délivre des identités électroniques à une population. En distribuant ces identités électroniques, l’Autorité de Certification (AC) sert de caution morale en s’engageant sur l’identité d’une personne au travers du certificat qu’elle lui délivre. Selon le crédit de l’Autorité de Certification, ce certificat aura un champ d’application plus ou moins vaste : limité aux échanges internes d’une société (comme un badge d’entreprise) ou utilisé dans les relations avec d’autres organisations et administrations (comme une carte d’identité nationale ou un passeport).

Qui peut jouer le rôle d’AC ?

L’Etat, les institutions bancaires, les Chambres de Commerce et d’Industrie, les professions réglementées, les fédérations d’entreprises d’un même secteur d’activité, les entreprises elles-mêmes, peuvent agir comme Autorité de Certification et définir les conditions d’attribution et d’usage des identités électroniques qu’ils délivrent aux citoyens, aux entreprises, aux collaborateurs d’entreprises.

Comment s’organise une AC ?

Le positionnement d’Autorité de Certification s’organise autour de deux fonctions fondamentalement différentes :
  • Fonction d’organisation d’une part permettant le traitement des demandes de certificats, le contrôle des informations, la validation ou le rejet des demandes ou la révocation des certificats.
  • Fonction technique d’autre part : production des identités électroniques, manipulation d’équipements cryptographiques, environnement sécurisé de bout en bout, maintien d’une capacité de production adaptée aux besoins de l’Autorité de Certification.
Pour offrir son service de certification, l’Autorité de Certification s’appuie sur une Autorité d’Enregistrement, qui traite les aspects organisationnels, et une unité de production (l’opérateur de services de certification), qui produit ce service de certification.

Que fait l’Autorité d’Enregistrement (AE) ?

Comme tout mécanisme d’émission de document d’identité (passeport, badge d’entreprise), une première étape consiste à effectuer les contrôles nécessaires, pour tous les demandeurs, des identités et des attributs voulus sur les certificats (comme l’adresse, la fonction). C’est l’Autorité d’Enregistrement qui a la charge de ces fonctions, auxquelles s’ajoutent d’autres fonctions organisationnelles, comme par exemple la décision de révoquer le certificat d’un salarié quittant une entreprise.

Qui peut opérer le service de certification électronique d’une AC ?

La partie de production des certificats électroniques consiste en un ensemble d’opérations techniques : manipulation d’équipements informatiques et cryptographiques, personnalisation de cartes à puce, utilisation d’annuaires et de bases de données. Toutes ces tâches requièrent en particulier des expertises technologiques, opérationnelles, et sécuritaires afin d’assurer à l’Autorité de Certification que les certificats émis sont bien ceux souhaités, et qu’ils sont produits dans les délais voulus. L’unité de production qui a la charge de « fabriquer » ce service de certification doit disposer de personnel qualifié, d’équipements appropriés et d’environnements hautement sécurisés.

Quelle est la différence entre authentification, identification et habilitation ?

Identifier consiste à associer une personne physique à son identité numérique. L’authentifier revient à vérifier l’identité de cette personne. Après l’identification et l’authentification, l’association de l’identité de la personne avec ses habilitations est réalisée afin de déterminer si elle est autorisée ou non à accéder à des ressources (applications, données) et lui permettre, dans certains cas, d’effectuer des transactions en ligne.