Qu’est-ce qu’une Autorité de Certification (AC) ?

Une Autorité de Certification (AC) est une organisation qui délivre des identités électroniques à une population. En distribuant ces identités électroniques, l’Autorité de Certification (AC) sert de caution morale en s’engageant sur l’identité d’une personne au travers du certificat qu’elle lui délivre. Selon le crédit de l’Autorité de Certification, ce certificat aura un champ d’application plus ou moins vaste : limité aux échanges internes d’une société (comme un badge d’entreprise) ou utilisé dans les relations avec d’autres organisations et administrations (comme une carte d’identité nationale ou un passeport).

Qui peut jouer le rôle d’AC ?

L’Etat, les institutions bancaires, les Chambres de Commerce et d’Industrie, les professions réglementées, les fédérations d’entreprises d’un même secteur d’activité, les entreprises elles-mêmes, peuvent agir comme Autorité de Certification et définir les conditions d’attribution et d’usage des identités électroniques qu’ils délivrent aux citoyens, aux entreprises, aux collaborateurs d’entreprises.

Comment s’organise une AC ?

Le positionnement d’Autorité de Certification s’organise autour de deux fonctions fondamentalement différentes :

  • Fonction d’organisation d’une part permettant le traitement des demandes de certificats, le contrôle des informations, la validation ou le rejet des demandes ou la révocation des certificats.
  • Fonction technique d’autre part : production des identités électroniques, manipulation d’équipements cryptographiques, environnement sécurisé de bout en bout, maintien d’une capacité de production adaptée aux besoins de l’Autorité de Certification.

Pour offrir son service de certification, l’Autorité de Certification s’appuie sur une Autorité d’Enregistrement, qui traite les aspects organisationnels, et une unité de production (l’opérateur de services de certification), qui produit ce service de certification.

Que fait l’Autorité d’Enregistrement (AE) ?

Comme tout mécanisme d’émission de document d’identité (passeport, badge d’entreprise), une première étape consiste à effectuer les contrôles nécessaires, pour tous les demandeurs, des identités et des attributs voulus sur les certificats (comme l’adresse, la fonction). C’est l’Autorité d’Enregistrement qui a la charge de ces fonctions, auxquelles s’ajoutent d’autres fonctions organisationnelles, comme par exemple la décision de révoquer le certificat d’un salarié quittant une entreprise.

Qui peut opérer le service de certification électronique d’une AC ?

La partie de production des certificats électroniques consiste en un ensemble d’opérations techniques : manipulation d’équipements informatiques et cryptographiques, personnalisation de cartes à puce, utilisation d’annuaires et de bases de données. Toutes ces tâches requièrent en particulier des expertises technologiques, opérationnelles, et sécuritaires afin d’assurer à l’Autorité de Certification que les certificats émis sont bien ceux souhaités, et qu’ils sont produits dans les délais voulus. L’unité de production qui a la charge de ‘fabriquer’ ce service de certification doit disposer de personnel qualifié, d’équipements appropriés et d’environnements hautement sécurisés.

Quel est le rôle d’IDnomic vis-à-vis d’une AC ?

IDnomic est un Opérateur de Services de Certification électronique. Véritable industriel se mettant au service d’une ou de plusieurs Autorités de Certification, IDnomic se charge de la fabrication technique du certificat électronique, pour le compte, et sur ordre de l’Autorité de Certification. Il s’agit d’une relation de sous-traitance technique. En particulier, il n’est pas du ressort d’IDnomic de définir les procédures de vérification d’identité qui conduisent à l’émission de certificats électroniques ni les conditions qui amènent l’entreprise à demander la révocation de tel ou tel certificat électronique au sein de son organisation. IDnomic opère donc les PKI des Autorités de Certification qui le souhaitent, et laisse à celles-ci un contrôle total sur les modes d’attribution, de diffusion et d’administration des certificats électroniques que ces AC délivrent.