SALON E-COMMERCE.MA Gihane BELHOUSSAIN Certification Electronique [email protected]

SALON E-COMMERCE.MA

Gihane BELHOUSSAINCertification [email protected]

PLAN

Casablanca, le 31 Mai 2012

PKI & CERTIFICAT ELECTRONIQUE

REGLEMENTATION APPLICABLE AU MAROC

INTRODUCTION

ECHANGES ELECTRONIQUES ET E-COMMERCE

2SALON E-COMMERCE.MA

Effervescence du commerce électronique au Maroc liée à la montée en puissance des sites d’achats groupés qui offrent des réductions et à l’explosion du nombre d’internautes (14,9 millions en 2011) ; Mise en place du label « e-Thiq@ » des sites web marchands marocains grâce à une convention de partenariat entre le MICNT et la CGEM.

Objectif du label : renforcer la confiance des citoyens et des entreprises dans les sites web marchands marocains, développer et promouvoir l’utilisation du CE, améliorer la sécurité du paiement en ligne au Maroc et encourager les investissements dans le CE et renforcer la compétitivité et la performance des entreprises.

le paiement en ligne via cartes bancaires auprès des sites marchands affiliés au Centre Monétique Interbancaire (CMI) a connu une progression importante passant de 298 MDH en 2010 à 503 MDH en 2011.

Le nombre de transactions a connu une croissance de 116% passant de 331.000 à 714.000 transactions.

IntroductionTendances du eCommerce au Maroc

Casablanca, le 31 Mai 2012 3SALON E-COMMERCE.MA

PLAN


Chiffres clés sur le e-commerce au Maroc Echanges électroniques contexte actuel et besoins

en matière de sécurité

PKI & Certificat

Réglementation applicable au Maroc


SALON E-COMMERCE.MA

• Le parc des abonnés mobiles a connu une très forte évolution, mais commence à se stabiliser en 2011. Le taux de pénétration dépasse désormais 110%.

• Le trafic voix sortant du mobile a dépassé 23,3 milliards de minutes en 2011, enregistrant une croissance de 65,6% par rapport à 2010.

3642 852 4 776

6 198 7 3339 337

12 39316 005

20 02922 816

25 311

31 982

36 55436 239112,59%

0%

20%

40%

60%

80%

100%

120%

0

5000

10000

15000

20000

25000

30000

35000

40000

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 mars-12

Evolution du Parc et du Taux de pénétration du Mobile

Parc Mobile (en Milliers) Taux de pénétration Mobile

4 2675 857

9 65910 813 11 528

14 076

23 315

0

5 000

10 000

15 000

20 000

25 000

2005 2006 2007 2008 2009 2010 2011

Evolution du trafic voix sortant du Mobile

Trafic voix sortant du Mobile (en millions de minutes)

Casablanca, le 31 Mai 2012 5

Téléphonie mobile : Parc et trafic

SALON E-COMMERCE.MA

• Le marché de la téléphonie fixe a connu une forte croissance après l’introduction de la mobilité restreinte en 2007. Mais, il a connu un léger recul en 2011.

1 5101 472

1 1401 127 1 219

1 3081 341

1 266

2 394

2 991

3 516

3 749

3 566 3 535

10,98%

0%

2%

4%

6%

8%

10%

12%

14%

0

500

1 000

1 500

2 000

2 500

3 000

3 500

4 000

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 mars-12

Evolution du Parc et du Taux de pénétration du Fixe

Parc Fixe (en Milliers) Taux de pénétration du Fixe

• Le trafic voix sortant du fixe est en baisse et a atteint 5 487 millions de minutes en 2011.

3 478 3 609

6 133 5 992 6 042 6 0585 487

0

1 000

2 000

3 000

4 000

5 000

6 000

7 000

2005 2006 2007 2008 2009 2010 2011

Evolution du trafic voix sortant du Fixe*

Trafic voix sortant du fixe (en millions de minutes)

*A partir de 2007 ce chiffre correspond au trafic sortant des réseaux fixe et fixe avec mobilité restreinte.


Téléphonie fixe : Parc et trafic

SALON E-COMMERCE.MA

• Le parc Internet a connu une croissance soutenue durant les quatre dernières années et en particulier en 2011 et au 1er trimestre de 2012.

• Cette croissance est due essentiellement au développement des offres Internet mobile 3G.

• Actuellement sur près de 3,4 millions d’abonnés, 83,3% utilisent les connexions 3G mobile contre 16,7% pour l’accès ADSL fixe.

10,57%

0,00%

2,00%

4,00%

6,00%

8,00%

10,00%

12,00%

0

500000

1000000

1500000

2000000

2500000

3000000

3500000

4000000

2004 2005 2006 2007 2008 2009 2010 2011 mars-12

Evolution du Parc et du Taux de pénétration de l'Internet

Parc ADSL Parc Internet 3GParc des autres offres Internet Taux de pénétration Internet

262 324399 720

526 080757 453

1 186 923

1 866 963

3 182 116

113 170

3 400 899


Internet: Parc et pénétration

SALON E-COMMERCE.MA

5 2989 476

19 02522 583

25 89029 450

34 00837 96942 187

43 354

0

10 000

20 000

30 000

40 000

50 000

2003 2004 2005 2006 2007 2008 2009 2010 2011 mars-12

Evolution des noms de domaine ".ma"

La bande passante Internet internationale a connu une croissance remarquable en 2011 de 65,87% avec une capacité de 124 400 Mbps.

Le parc des noms de domaine en «.ma » continue de croître en dépassant 43.000 comptes.

Les noms de domaines créés directement sous l’extension « .ma » dominent.


Bande passante internationale et Noms de domaine

SALON E-COMMERCE.MA

Seuls 4% des internautes marocains ont réalisé des achats en ligne en 2011, pratiquement le même pourcentage qu’en 2010. La part des internautes achetant en ligne est encore faible, et ces derniers achètent principalement sur des sites marocains

Achat en ligne par les ménages et les particuliers

Chiffres clés sur le eCommerce au Maroc


10

ACHAT EN LIGNE [% des entreprises connectées]MONTANT EN LIGNE SUR ACHATS TOTAUX[% des entreprises achetant en ligne]

MODALITES D'ACHAT[% des entreprises achetant en ligne]

ACHAT EN LIGNE PREVU DANS 12 MOIS[ % des entreprises connectées à Internet]

45% 38%

32%29%

33%

21% 15% 21%

19%≤1%

2 à 4%

5 à 10%

>10%

2011

>4 employés

8%

2010

>10 employés

2011

>10 employés

4%11%

28%

74% 67% 61%

26% 33% 39%

Non

Oui

2011

>4 employés

2010

>10 employés

2011

>10 employés

83% 72% 73%

17% 28% 27%

Non

Oui

2011

>10 employés

2011

>4 employés

2010

>10 employés

82%66%

77%

18%34%

23%

Commande

uniquement

Commande

et paiment

2011

>4 employés

2010

>10 employés

2011

>10 employés

Achat en ligne par taille d'entreprises (2010/2011)

La pratique de l'achat en ligne se répand, avec désormais près d'un tiers des entreprises de plus de 10 personnes déjà adeptes ou prévoyant d'acheter en ligne dans les 12 prochains mois


Casablanca, le 31 Mai 2012SALON E-COMMERCE.MA

11

Vente en ligne par les entreprises (2010/2011)

VENTE EN LIGNE [% des entreprises connectées]MONTANT EN LIGNE SUR VENTES TOTALES[% des entreprises vendant en ligne]

MODALITES DE COMMERCIALISATION[% des entreprises vendant en ligne]

24%33%

24%

20%

27%

19%

46%

27%

48%

9%

≤1%

2 à 4%

5 à 10%

>10%

13%

2011

>4 employés

2011

>10 employés

5%

2010

>10 employés

10%

89% 86% 92%

11% 14%

Non

Oui

2011

>4 employés

8%

2011

>10 employés

8%

2010

>10 employés

Par rapport à 2010, davantage d'entreprises pratiquent la vente en ligne, et de plus en plus sur leur propre site web

62% 68% 74%

38% 32% 26%

Sur son

propre site

Via une

galeriemarchande

2011

>4 employés

2011

>10 employés

2010

>10 employés

13%


SALON E-COMMERCE.MACasablanca, le 31 Mai 2012

12

INTENTION D'ACHATS EN LIGNE[% des individus ayant utilisé Internet dans les 12 derniers mois]

94%86%

93%

6%14%

7%

Non

Oui

201120102009

FREINS AUX ACHATS EN LIGNE[% des individus ayant utilisé internet mais n'ayant jamais acheté sur Internet dans les 12 derniers mois ]

Pas assez de sites de vente en ligne 7%

Disponibilité des produits 17%

Délais de livraison 25%

Ne dispose pas d’une carte de paiement 35%

Problème de confiance dans le marchand 49%

Le fait de ne pas pouvoir toucher les produits 50%

Prix trop élevé 51%

Problème de sécurité des transactions 65%

Pas d’utilité/usage 72%

Seuls 4% des internautes marocains ont réalisé des achats en ligne en 2011(même % qu’en 2010)Une grande partie (72%) des internautes marocains ne voient pas une utilité particulière dans les achats en ligne et une majorité d'entre eux n'ont pas confiance dans les moyens de paiement et considèrent que les prix sont trop élevés.

Freins au Commerce Electronique (Ménages)


Casablanca, le 31 Mai 2012SALON E-COMMERCE.MA

13

Les produits non adaptés à la vente en ligne sont considérés comme les principaux freins au développement du commerce électronique

Contraintes logistiques

Clients pas prêts 18%

Produits peu adaptés 52%

4%

7%Incertitude du cadre réglementaire

Risque d’insécurité du paiement 21%

RAISONS DE NON PRATIQUE DU COMMERCE ELECTRONIQUE[% des entreprises de plus de 4 employés ne pratiquant pas le commerce électronique ; 2011]

COMMENTAIRES

• Pour 52% des entreprises, l'un des principaux freins à l'utilisation du commerce électronique est lié à la nature des produits, non adaptée à la vente en ligne

• 21% des entreprises sont encore réfractaires à la vente en ligne en raison du risque d'insécurité du paiement

• Enfin, 18% considèrent que leurs clients ne seraient pas prêts à acquérir le type de produit ou service proposé par le biais d'internet


Freins au Commerce Electronique (Entreprises)

SALON E-COMMERCE.MACasablanca, le 31 Mai 2012

PLAN


Chiffres clés sur le e-commerce au Maroc Echanges électroniques contexte actuel et besoins

en matière de sécurité

PKI & Certificat électronique

Réglementation applicable au Maroc


SALON E-COMMERCE.MA

Echanges électroniques: contexte actuel Vs. cadre juridique

Besoin de sécurité pour protéger les données et échanges électroniques (Individus – Entreprises – Administration)

eCom eGov

Sécurité = confiance : Sécurité Technique et Juridique associée Solutions techniques + Encadrement juridique

Solutions à certains problèmes de sécurité et absence de vis-à-vis :: Signature électronique Signature électronique et et CertificationCertification électronique électronique à travers l'intervention d’un tiers de confiance ( PSCE) Reposent en général sur des techniques de Reposent en général sur des techniques de CryptographieCryptographie

Encadrement juridique ’’Loi 53-05 relative à l’échange électronique de données juridiques et ses textes d’application ’’

Sphère des échanges, savoir, richesse …

( Développement économique et socialDéveloppement économique et social )

Interface génératrice d’insécurité et de dangers ( Méfiance( Méfiance)

Contexte dématérialisé

InternetInternet

• Les enjeux de la loi concernent en premier lieu le droit de la preuve pour apporter une sécurité juridique aux échanges électroniques:

– Garantir une équivalence entre la signature électronique et la signature manuscrite

– Garantir la sécurité des transactions, y compris dans le temps

• …mais la portée des textes dépassent la simple signature électronique

• Il s’agit de véritablement construire la Confiance dans l’économie numérique:– Améliorer le niveau de sécurité générale– Proposer des référentiels aux acteurs du marché

• Il s’agit de donner un signal sur le positionnement du Royaume du Maroc dans l’économie numérique:

– Intégration dans l’environnement international– Ouverture des communications électroniques

Echanges électroniques: contexte actuel Vs. cadre juridique


SALON E-COMMERCE.MA

Echanges électroniques: Besoins en sécurité d’une organisation

Sécurité despaiements

Sécuritédu e-business

Sécurité desTéléprocédur

es

Sécurité des accès distants

Sécurité desERP

Sécurité des e-mail

Sécurité des postes de

travail

Sécurité duréseau

PKI

Besoins : authentification des parties, intégrité, confidentialité, non-répudiation, une sécurité transparente

pour l'utilisateur.Casablanca, le 31 Mai 2012



Besoin de certificats

• L’ensemble de l’infrastructure mise en place par les PSCE afin de gérer le cycle de vie des certificats ainsi que les processus de livraison des certificats est appelé Infrastructure de Gestion de Clés (IGC) ou Public Key Infrastructure (PKI)

• Définition d'une Infrastructure de Gestion de Clés :

« Ensemble de composants, fonctions et procédures dédié à la gestion de clés cryptographiques et de leurs certificats utilisés par des

services de confiance»

• L’IGC peut être présentée comme l’un des outils techniques et organisationnels permettant d’instaurer un climat de confiance numérique. Pour cela il est nécessaire de disposer:

– D’une pièce d’identité électronique permettant d’associer une clé publique et privée à une personne bien déterminée. Cette pièce d’identité est appelée certificat électronique.

– D’un ou plusieurs organismes « de confiance » permettant de délivrer ces certificats à des porteurs selon des processus bien définis. Ces organismes sont les PSCE (Prestataires de Services de Certification Electronique


Schéma fonctionnel simplifié d’une PKI

Internet / Intranet

PKI

Serveur(s) applicatif(s)

Vérificationde validitédes certificats

Autorité(s)de Certification

Client(s)

Flux applicatifssécurisés

ServicedePublication(certificats*, LCR)

Autorité(s)d'Enregistrement

Autorité(s)de Validation

Demande de recouvrement

Enregistrer les demandesRetirer les certificatsRenouvelerRévoquer

CertificatPorteur

CertificatServeur

Autorité(s)de séquestre*

* Pour le service de chiffrement



Le certificat électronique

• Le certificat est une Carte d'identité électronique – Il garantit un contenu : identité, caractéristiques, ...– Il établit le lien avec une clé publique– Il tire son crédit d'un signataire : l'Autorité de

certification du PSCE

Direction : Transports

Fonction : Directeur

Ahmed ZAID

E-mail :[email protected]

Clé publique : 330BECHD59IJ75RDFG08HJNB

Exp. 12/06

Passeportélectronique


• Le certificat est donc un élément de l’infrastructure de confiance des échanges électroniques.

• Il peut être utilisé pour différents usages:

Certificat électronique et IGC

AuthentificationSignature électronique

Chiffrement Horodatage

PLAN

PKI & Certificat électronique

REGLEMENTATION APPLICABLE AU MAROC

Référentiel législatif et réglementaire Apports de la Loi 53-05: Signature électronique,

Signature électronique sécurisée, Certification électronique, Cryptographie

Nouvelles donnes


Echanges électroniques et e-commerce


LOI n°29/06modifiant et complétant la Loi n°24-96 relative à la poste et aux télécommunications

Promulguée le 17 avril 2007

attribue à l’ANRT les missions de l’autorité nationale de l’agrément et de surveillance de la certification électronique:

proposer au gouvernement la réglementation applicable à la cryptographie et son

contrôle ; proposer au gouvernement les normes du système d’agrément des prestataires de

services de certification électronique et de prendre les mesures nécessaires à sa mise en œuvre ;

agréer, pour le compte de l’État, les prestataires de services de certification électronique et de contrôler leur activité.

LOI n° 53-05Relative à l’échange électronique de données juridiques

Promulguée le 30 novembre 2007.

Définit le cadre applicable pour la reconnaissance du support électronique et de la signature électronique ainsi que les régimes applicables aux opérations liés à la cryptographie et encadre le rôle des différents intervenants: organe de régulation, le Prestataire de services et les utilisateurs.

Cadre législatif



Loi Loi

Textes Textes d’applicationd’application

RéférentielsRéférentiels

Schéma général

Loi n°53-05 relative à l’échange électronique de données juridiques

Décret n°2-08-518 :

-Articles sur l’agrément des PSCE

-Articles sur les régimes de cryptographie

publié au BO le 18/06/2009

Arrêté n°154-10 (volet agrément des PSCE)

Arrêtés n°151-10, n°152-10 & n°153-10 (dispositions relatives à la cryptographie)

publiés au BO le 15/04/2010

-Modèles de cahiers des charges (annexés aux arrêtés n°153 & n°154)-Normes techniques applicables- PC type


Constitution de la signature électronique

• La signature électronique est réalisée à partir de deux éléments:

Certificat électronique(carte d’identité)

Dispositif de création de signature (ex. carte à puce)

Signature électronique

Le niveau de sécurité de chacune des deux composantes détermine le niveau de sécurité de la signature électronique

Dont les exigences sont notamment décrites aux articles 8 et 9 de de la Loi 53-05La notion de

certificat électronique est précisée aux article 10 et 11 de la Loi 53-05

Contenu à signer


Signature électronique (SE):Signature électronique (SE): admise en mode de preuve lorsqu’elle est mise en œuvre

par un procédé fiable d’identification garantissant son lien avec l’acte Le lien entre les données de vérification de la SE et le signataire attesté par un certificat

électronique

Signature électronique sécurisée (SES): Signature électronique sécurisée (SES): admise en mode de preuve avec présomption de fiabilité de son procédé jusqu’à preuve contraire . Elle répond à plusieurs exigences (article 6 de la Loi 53-05):

Etre propre au signataire; Etre créée par des moyens que le signataire puisse garder sous son contrôle exclusif; Garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure dudit acte

soit détectable; Etre produite par un dispositif de création de SES, attesté par un certificat de conformité délivré

par l’ANRT lorsque ce dispositif satisfait à certaines exigences spécifiques.

Le lien entre les données de vérification de la SES et le signataire attesté par un certificat électronique sécurisé

Le Certificat électronique Sécurisé (CES) lié à la SES comporte des mentions obligatoires et ne peut être délivré que par un prestataire de service de certification électronique( PSCE) agrééagréé.

La signature électronique



Loi 53-05 relative à l’échange électronique de données juridiques Reconnaissance juridique des documents, contrats et signatures

électroniques (adaptation du droit de la preuve au TI) adaptation du droit de la preuve au TI)

Encadrement des moyens et prestations sécurisant les données et échanges électroniques ((signature et certificationsignature et certification électroniques et électroniques et techniques de cryptographie)techniques de cryptographie)

Encadrement de la certification électronique à travers notamment la définition des rôles des différents intervenants Autorité d’agrément et Autorité d’agrément et de surveillance de la CE, PSCE, Titulaires des certificats.de surveillance de la CE, PSCE, Titulaires des certificats.

Instauration d’un régime répressif et rigoureux Instauration d’un régime répressif et rigoureux pour différentes infractions

Récapitulatif du cadre législatif et réglementaire: Loi 53-05



Décret pris pour l’application des articles 13, 14,15, 21 et 23 de la loi 53-05 Autorité gouvernementale chargée Autorité gouvernementale chargée

des Nouvelles Technologiesdes Nouvelles Technologies

Modalités de déclaration préalable

Modalités de délivrance des autorisations

Modalités de demande d’agrément pour les personnes autres que les PSCE qui entendent fournir des prestations de cryptographie soumises à autorisation

ANRTANRT Dispositions relatives aux

demandes d’agrément des PSCE

Dispositions relatives au contrôle de l’activité des PSCE

Textes d’application de la Loi 53-05


Arrêtés Arrêté fixant la forme de la déclaration préalablela forme de la déclaration préalable

d’importation, d’exportation, de fourniture, d’exploitation ou d’utilisation de moyens ou de prestations de cryptographie et le contenu du dossier l’accompagnant;

Arrêté fixant la forme de la demande la forme de la demande d’autorisation préalabled’autorisation préalable d’importation, d’exportation, de fourniture, d’exploitation ou d’utilisation de moyens ou de prestations de cryptographie et le contenu du dossier l’accompagnant;

Arrêté relatif à l’agrément des personnes ne l’agrément des personnes ne disposant pas de l’agrément de PSCEdisposant pas de l’agrément de PSCE et qui et qui entendent fournir des prestations de entendent fournir des prestations de cryptographie soumises à autorisation;cryptographie soumises à autorisation;

Arrêté fixant la forme de la demande d’agrément la forme de la demande d’agrément de PSCEde PSCE et portant approbation du modèle de cahier de charges l’accompagnant.cahier de charges l’accompagnant.

BAM: 1er PSCE Agréé au Maroc

Le 06 avril 2011: La Poste Marocaine BARID AL MAGHRIB BARID AL MAGHRIB a obtenu un agrément pour une durée de cinq (05) ans lui permettant d’émettre et de délivrer les certificats électroniques sécurisés et gérer les services y afférents


Décret n° 2-11-509 complétant le décret n° 2-82-673 du 3 janvier 1983 relatif à l’organisation de l’administration de la défensenationale et portant création de la direction générale de laSécurité des systèmes d’information

Publié dans le bulletin officiel n° 5988 du 20 octobre 2011.

attribue à la DGSSI les missions suivantes :

Délivrer les autorisations et gérer les déclarations relatives aux moyens et aux prestations cryptographiques ;

Certifier les dispositifs de création et de vérification de signature électronique ;

Agréer les prestataires de services de certification électronique.

Article 3 du Décret n° 2-11-509

« à titre provisoire et pour une période d’une année à compter du lendemain de la date de publication du présent décret au Bulletin officiel », l’autorité gouvernementale chargée des nouvelles technologies et l’Agence nationale de réglementation des télécommunications continueront à exercer les attributions qui leur sont dévolues par le décret n°2-08-518 du 25 joumada I 1430 (21 mai 2009) pris pour l'application des articles 13, 14, 15, 21 et 23 de la loi n° 53-05 relative à l'échange électronique des données juridiques.»

Nouveau cadre réglementaire


Documents

SALON E-COMMERCE.MA Gihane BELHOUSSAIN Certification Electronique [email protected]