Carte d’accès commun pour leDépartement de la Défensedes États-Unis

I Un programme national pour une nouvelle génération de systèmes d’accès sécurisé

SERVICES F INANCIERS ET DISTRIBUTION

ENTREPRISE

GOUVERNEMENT > ÉTUDE DE CAS

TÉLÉCOMMUNICATIONS

TRANSPORT

Carte d’accès commun pour le Départementde la Défense des États-Unis

I Un programme national pour une nouvelle génération de systèmes d’accès sécurisé

Pour le Département de la Défenseaméricain, la gestion des identités estl’un des aspects essentiels de lasécurité en raison de la nécessité decontrôler précisément l’accès auxressources. Historiquement, la liste descontrôles d’accès était gérée localementet les employés disposaientd’autorisations différentes selon lessystèmes. La multiplicité des sitesrendait particulièrement compliquées lagestion du personnel et la maintenancedes identités. En outre, les listes decontrôle d’accès locales devenaientrapidement obsolètes à cause deschangements constants d’affectation etdes mutations, ce qui ne faisaitqu’augmenter la vulnérabilité dusystème.

Le Département de la Défense décidadonc de mener une évaluation, afin depasser d’un système de gestion desidentités éclaté à une approchecentralisée. L’objectif de cette unificationétait de fournir à chacun des employésun badge unique d’accès, valable pourtous les sites et toutes les ressources.Ce badge devait aussi bien servir àl’accès physique à des servicesspécifiques qu’à l’accès logique auxsystèmes d’information, garantissantainsi la confidentialité descommunications électroniques. Cetteétude recommanda l’introduction de lacarte d’accès commun. Après unexamen détaillé des technologies àprivilégier, le Département de la Défenseopta pour une carte basée sur la plate-forme Java agrémentée d’uneapplication spécifique, afin de répondreà ses besoins.

Avec l’aide de Gemalto, le Départementde la Défense lança l’émission despremiers badges communs en octobre2001. Ce programme de cartes d’accèscommun sécurise l’accès physique auxbâtiments du Département de laDéfense ainsi que l’authentificationlogique pour utiliser les ressourceshébergées sur l’intranet, les systèmes etles réseaux du ministère. Il s’agit à cejour du plus imposant déploiement decartes jamais réalisé par legouvernement fédéral des États-Unis.

La technologie cryptographique descartes d’accès commun repose surl’infrastructure à clé publique (PKI),universellement reconnue par l’industrie.L’infrastructure à clé publique établit lefondement de l’accès autorisé auxsystèmes du Département de laDéfense, alors que la carte à puce, quiintègre plusieurs clés numériques, sertde token matériel. Chaque badge

gouvernemental est programmé à l’aided’un code privé et public.

La fin de la vulnérabilité des mots depasse et des identifiants

Un numéro d’identification personnelsélectionné par le titulaire de la carteautorise l’accès au réseau sécurisé,rendant à jamais inutile l’utilisationd’identifiant et de mots de passe. Cesimple badge à puce permet désormaisd’accéder aux applications sécurisées,de signer numériquement desdocuments, et de crypter ou décrypterdes informations depuis des ordinateursportables ou des téléphones mobilesBlackberry.

L’espace mémoire et les capacités detraitement de la carte d’accès communont favorisé l’élimination graduelle desidentifiants à usage unique. Auparavant,les numéros de sécurité sociale étaient

> Le Département de la Défense : premier employeur des États-Unis

Avec 718 000 personnels civils et plus de 1,4 million demilitaires en service actif, le Département de la Défense est lepremier employeur aux États-Unis. Créé en vertu du NationalSecurity Act de 1947, le Département de la Défensecoordonne et supervise l’ensemble des agences et fonctionsgouvernementales en rapport avec la sécurité nationale etl’armée.

L’intégrité des données est primordiale étant donné la natureultra-sensible des informations traitées quotidiennement par les employés et lessous-traitants du Département de la Défense. Avec l’introduction de mesuresd’authentification forte, le Département de la Défense montre la voie à suivre entermes de sécurité numérique pour le gouvernement fédéral. À ce jour, plus 21millions de badges à puce ont été émis dans le cadre du programme de cartesd’accès commun.

> Principales caractéristiques techniques de la carte d’accès commun

Les cartes à puce Gemalto à double interface sont conformes à la norme FIPS140-2 niveau 3 et aux spécifications Java Card et GlobalPlatform. Elles sontdotées d’une mémoire EEPROM 64 ou 128 kilo-octets et prennent en chargedes fonctions cryptographiques sécurisées, comme la génération de clés, lecryptage et la signature numérique. Ces cartes sont personnalisées avec troiscertificats PKI et quelque 30 éléments de données démographiques. Afind’intégrer les applications patrimoniales, elles sont également équipées decodes-barres et d’une bande magnétique. Bien que les cartes d’accèscommun puissent stocker et traiter des données, le Département de laDéfense les utilise principalement en tant que dispositif d’authentificationsécurisé pour l’accès aux données hébergées sur les réseaux.

largement utilisés somme moyend’identification et d’authentification.Toutefois, l’augmentation croissante duvol d’identités observée ces dernièresannées aux États-Unis a conduit leDépartement de la Défense à officialiserl’abandon progressif du recours auxnuméros de sécurité sociale.L’application de cette nouvelle politiquea été accélérée grâce à la technologiede la carte d’accès commun.

« Nos réseaux sont particulièrementvulnérables face à la faiblesécurisation des identifiants etmots de passe. Vos identifiants etmots de passe, et même vosnuméros d’identification personnelou codes PIN, peuvent être dérobéspar des logiciels espions ou desenregistreurs de frappe. Ce n’est,toutefois, nullement le cas descartes d’accès commun. »– Lieutenant-général Steven W.Boutelle, Directeur des systèmesd’information/G-6 (CIO/G-6)

Simple à déployer, facile à utiliser

Les applications à cartes à puce sontconçues autour d’un système ouvert. Endépit de ses caractéristiquesd’inviolabilité, l’ingénierie ouverte descartes d’accès commun facilitel’interopérabilité grâce à une largegamme d’applications commerciales,gouvernementales et militaires. Lesdonnées démographiques de base ainsique les droits aux prestations socialesdu personnel stockées sur la puce de lacarte d’accès commun permettent uneauthentification rapide et particulièrementfiable de l’ensemble des transactions duDépartement de la Défense.

Le personnel peut bénéficier de la carted’accès commun via une inscriptiondans la base de données DEERS(Defense Enrollment Eligibility ReportingSystem), conformément à la procédured’habilitation.Dans le cadre de cette procédure, lesemployés et sous-traitants éligiblesdoivent également satisfaire àl’ensemble des exigences imposées parle système RAPIDS (Real-TimeAutomated Personnel IdentificationSystem), ce qui leur permettra d’obtenirune carte auprès de l’un des 1 500centres d’émission RAPIDS.

À chaque instant, la carte d’accèscommun est utilisée par 4,5 millions depersonnes, dont :

• les forces armées en service actif ;• les membres de la garde nationale etles forces de réserve ;

• les fonctionnaires du Département dela Défense ;

• les sous-traitants accrédités.

Par ailleurs, cette carte autorise unaccès sécurisé au portail AKO (ArmyKnowledge Online), depuis lequel lesemployés et sous-traitants peuventconsulter et mettre à jour leurs dossierspersonnels en un seul clic de souris. Lafonction principale du portail AKO estde fournir des services de messagerieélectronique, ce qui permet àl’information de circuler à travers lachaîne de commandement de manièrerapide est efficace. AKO est égalementle pivot de la gestion des carrières,regroupant notamment des ressourcessur les avantages financiers, laformation et les prestations médicales.

Au-delà de l’authentification en ligne,les cartes d’accès commun sécurisentet protègent l’ensemble des sites etbâtiments du Département de laDéfense, des bases à accès contrôlésaux réfectoires et salles de sport. Ellesgèrent également bon nombre deprivilèges militaires, comme l’accès àl’intendance, aux magasins de surplusmilitaires et aux centres de loisirs MWR(Morale, Welfare and Recreation).

Essentielle à chaque instant passéau sein du Département de laDéfense

Depuis sa mise en œuvre, la carted’accès commun a considérablementsimplifié les procédures administratives.Cette carte fournit instantanémenttoutes les informations requises,économisant à chacun des tâcheschronophages, comme de renseignerd’innombrables formulaires à la main.Les différentes déclarations à remplirpeuvent être complétées en quelquesminutes, évitant ainsi aux employés etsous-traitants de perdre leur tempsinutilement dans les files d’attente.

Toutefois, les avantages de la carted’accès commun vont bien au-delà desimples gains de temps. Avec plus de1,5 million de transactions enregistréesquotidiennement, cette solutionmodulaire et évolutive est rapidementdevenue un élément essentiel de la vieprofessionnelle des employés et dessous-traitants. Plus important encore,elle a permis de rationaliser lespratiques et les processus, pour rendreles opérations du Département de laDéfense encore plus efficaces etsécurisées. Outre le fait d’assurer lafiabilité de la sécurité physique etlogique, la carte d’accès commun :

• permet un relevé exact des effectifs àpartir des données informatiquesd’accès aux bâtiments ;

• facilite la tâche des services derestauration et des fonctions derecrutement ;

• renforce la fiabilité de l’authentificationen matière de systèmes de santé etde prestations sociales ;

• peut remplacer un visa, comme ce futle cas lors du déploiement en Irak ;

• est considérée comme une carted’identification en vertu desConventions de Genève.

Les badges d’identité fédéraux àl’ère numérique

Dans le cadre des réformes radicalesentreprises aux États-Unis en matièrede sécurité nationale, suite auxattaques du 11 septembre, la directiveprésidentielle 12 sur la sécuritéintérieure (HSPD-12) stipulait lanécessité de renforcer la fiabilité et lasécurisation de l’identification desemployés et des sous-traitants desagences fédérales.

Ratifiée en 2004, la directiveprésidentielle exigeait la mise en œuvred’une norme obligatoire, applicable àl’ensemble du gouvernement fédéral,en vue du déploiement d’un systèmed’identification parfaitementinteropérable, basé sur des cartes àmicroprocesseur. L’objectif était d’unifierla qualité et la sécurité des procéduresd’identification pour accéder aux sitesfédéraux. Cette norme s’appuie surl’expérience accumulée dans le cadredu programme de déploiement decartes d’accès commun pour leDépartement de la Défense.

Vérification d’identité personnelle

The new government identity badgeswould come to be known as thePersonal identity Verification (PIV).Specifications set forth stringentcriteria for rapid electronicauthentication, as well as resistance toidentity fraud, tampering,counterfeiting and terroristexploitation. The standard also callsfor issuance only by accreditedproviders, based on sound criteria forverifying an individual employee’sidentity.

The DoD migrated their CAC programto embrace the PIV standards and arenow the leading agency in thedeployment and use of secureelectronic smart card basedcredentials under HSPD-12.

www.gemalto.com

© 2

013

Gem

alto

. To

us d

roit

s ré

serv

és. G

emal

to e

t le

log

o G

emal

to s

ont

des

mar

que

s co

mm

erci

ales

ou

des

mar

que

s d

e se

rvic

e d

e G

emal

to N

V d

épo

sées

dan

s ce

rtai

ns p

ays.

Fév

rier

201

3 C

C

I Le leader mondial de la sécurité numérique

DATES CLÉS

10 octobre 2000 – Le personnel duPentagon et de la base militaire duCorps des Marines de Quantico,Virginie, reçoivent les premières cartesd’accès commun dans le cadre d’unprogramme pilote.

11 septembre 2001 – Gemalto estdésigné fournisseur accrédité pour lamise en œuvre du programme decartes d’accès commun au sein duDépartement de la Défense, et est lepremier à obtenir une certificationcryptographique FIPS140-1 niveau 2de la part de JavaCard.

27 août 2004 – La Maison Blanchepublie la directive présidentielle 12 surla sécurité intérieure (HSPD-12), quipréconise l’adoption d’une normed’identification commune pour lesemployés et les sous-traitants dugouvernement fédéral.

1er octobre 2006 – Suite au mandatprésidentiel, le Département de laDéfense instaure un système d’accèslogique grâce à des cartes d’accèscommun. À compter de cette date,aucun identifiant et mot de passe n’estautorisé au sein du Département de laDéfense pour l’accès logique auxréseaux. La cybercriminalité diminueimmédiatement de plus de 50 %.

28 mars 2008 – Le Mémorandum 07-015-USD (P&R) définit la politique duDépartement de la Défense en matièred’abandon de l’utilisation des numérosde sécurité sociale.

27 octobre 2009 – La carted’identité personnelle (PIV) de Gemaltofigure désormais sur la liste desproduits approuvés par la GSA(General Services Administration), uneagence américaine chargée de régulerles contrats passés avec les marchéspublics. Cela inclut une gammecomplète de produits PIV à double ettriple interface (144 Ko et 72 Ko).

Un partenariat de longue date basésur la confiance

En qualité de fournisseur accrédité decartes à puce pour le Département dela Défense, Gemalto a livré, à ce jour,plus de 25 millions de documentsd’identification sécurisés augouvernement fédéral. Les badgesd’identité utilisés pour contrôler lesaccès des employés et despersonnels militaires du gouvernementfédéral comptent environ pour moitié,et les documents de voyage sécurisés(passeports électroniques)représentent l’autre moitié.

Le gouvernement fédéral envisaged’étendre ce programme à d’autresagences gouvernementales. Sonobjectif est de déployer un badged’identification valable pour toutes lesagences fédérales, et qui concerneaussi bien l’accès physique quel’accès logique.

L’ensemble des produits Gemaltolivrés au gouvernement fédéral sontfabriqués dans son centre deproduction et de maintenance à lapointe de la technologie deMontgomeryville, Pennsylvanie. Cecentre a récemment reçu lacertification d’assurance sécurité de lapart de la NASPO (North AmericanSecurity Products Organization). Cettecertification volontaire soulignel’engagement de Gemalto à assurer lastabilité et la fiabilité de sa chaîned’approvisionnement des produitsd’identité basée aux États-Unis.