|
 |
| Analyse de l'ICP à l'échelle internationale - mars 2004 |
 |
 |
En prévision du budget de l'exercice financier de 2006 qui débute dans
18 mois, soit le 1er octobre 2005, l'Office of Management and
Budget de la Maison-Blanche a déclaré cette semaine qu'il avait
lancé une analyse pan-gouvernementale de cinq secteurs d'activité dans le
but d'élargir le gouvernement électronique. Au cours des six prochains
mois, des équipes inter-agences examineront les fonctions, les données et
les meilleures pratiques opérationnelles de cinq secteurs d'activité -
finances, ressources humaines, subventions, santé et systèmes de gestion de
cas - dans le but de trouver des possibilités de réduire le coût du
gouvernement et d'améliorer les services aux citoyens grâce à
l'amélioration du rendement des activités. À la suite de l'examen des
données de l'architecture fédérale d'entreprise des États-Unis
fournies par les agences, l'administration reconnaît qu'il est
indispensable de réévaluer les investissements prévus dans ces cinq
secteurs, selon l'administratrice du gouvernement électronique et de la TI,
Karen Evans, la principale responsable de la TI au gouvernement
américain.
Un groupe de professionnels en politique publique a déclaré aujourd'hui
que les agences du gouvernement et les entreprises de TI doivent travailler
ensemble dans le but de déterminer et de prévenir les menaces contre la vie
privée et les violations de l'éthique à la lumière de l'utilisation
croissante de nouvelles technologies au gouvernement fédéral. Cette
déclaration survient alors qu'un nombre grandissant d'entreprises de TI
vendent des applications évoluées au gouvernement, particulièrement pour
des fonctions liées aux renseignements et à la sécurité. Selon Frank
Reeder, consultant en politique de l'information, les questions épineuses
qui touchent à l'achat et à l'utilisation de nouveaux systèmes par le
gouvernement sont la manipulation d'information personnelle et la protection
des renseignements d'affaire, l'assurance de l'accessibilité aux
systèmes et de l'intégrité des bases de données, la transparence de l'information,
les lois sur la propriété intellectuelle ainsi que les politiques sur l'égalité
et l'accès. « Il s'agit d'une question de partenariat. Les gens
du secteur privé doivent aider le secteur public à avoir une vue d'ensemble
[de l'utilisation de la technologie] avant de se retourner contre le
gouvernement » explique Reeder.
Le gouvernement américain a publié une version révisée d'un manuel
sur les cartes à puce qui vise à ouvrir la voie à de nouvelles mises en
œuvre. Le document publié par la General Services Administration, qui est
responsable du fonctionnement des programmes de cartes à puce au gouvernement
américain, souligne que des agences américaines avaient remis plus de quatre
millions de cartes à puce à la fin de l'an dernier. À lui seul, le
département de la Défense en compte trois millions et demi. Une des
principales leçons retenues de ces projets est la nécessité pour chaque
agence de mettre sur pied une équipe chargée des cartes à puce, formée des
cadres responsables de l'accès physique aux immeubles et aux bureaux et des
gestionnaires de la TI qui sécurisent les réseaux informatiques.
VeriSign Inc, un fournisseur de certificats numériques et de services d'ICP
gérés, demande le soutien de l'industrie pour l'établissement d'une
architecture de référence basée principalement sur des normes existantes,
qui permettrait l'inter-fonctionnement des méthodes d'authentification
avec tous les types de réseaux et de plates-formes. Les méthodes d'authentification
renforcées actuelles sont complexes et ne sont habituellement pas compatibles
avec les méthodes d'autres fournisseurs, ce qui rend l'authentification
renforcée coûteuse et crée des applications cloisonnées. Grâce à son
projet intitulé Open Authentication Reference Architecture (OATH),
VeriSign espère que les fabricants d'appareils, les fournisseurs de
logiciels et les fournisseurs de services seront capables d'intégrer les
interfaces ouvertes dans leurs produits dans le but de créer des solutions
inter-fonctionnelles qui proposeront une authentification renforcée et une
sécurité simplifié, étendue et évoluée.
À l'avenir, les citoyens utiliseront peut-être des authentifiant
électroniques délivrés par des organisations commerciales, comme des
banques, afin de prouver leur identité lorsqu'ils s'engageront dans des
activités confidentielles avec le gouvernement par Internet. Dans l'ébauche
d'un document qui n'a pas été distribué à grande échelle, on décrit
comment le gouvernement fédéral prévoit simplifier les transactions en
direct et les communications protégées. Publié dans le cadre du programme d'authentification
électronique de la General Services Administration, le document explique que
les entreprises reconnues de services d'authentification et les agences du
gouvernement délivreront, dans certains cas, des authentifications
électroniques aux utilisateurs avant que ces derniers soumettent un
changement d'adresse à la Social Security Administration, par exemple. Dans
le cas de transactions qui présentent de faibles risques du point de vue de
la sécurité et de la confidentialité, les citoyens recevraient un mot de
passe ou un numéro d'identification personnel. Dans le cas d'échanges
où les risques sont plus élevés, comme les transferts d'argent ou la
communication d'information médicale ou financière, les citoyens
recevraient un nouveau certificat numérique ou utiliseraient un certificat
existant afin de permettre la vérification de leur identité à l'ouverture
d'une séance dans un réseau. « Si le gouvernement vous a déjà délivré
un passeport en personne, il pourrait être en mesure de vous remettre un
authentifiant électronique qui serait ultérieurement utilisé dans les
transactions où les risques sont élevés » explique Trent Henry, analyste
de la sécurité au sein du Burton Group, une entreprise de recherche et de
consultation en technologie de l'information.
Des cadres de la General Services Administration ont annoncé cette semaine
qu'une décennie de travail a permis l'élaboration de normes sur l'infrastructure
à clés publiques, qui font presque de l'authentification numérique à l'échelle
du gouvernement une réalité. Dans un avis publié le 2 mars, les cadres de
la GSA ont déclaré qu'ils étaient prêts à créer une liste de
soumissionnaires pouvant fournir des cartes à puce basées sur les normes
fédérales d'ICP, qui comprennent une nouvelle spécification de politique
d'authentification électronique. L'utilisation de cette spécification,
appelée politique de certificat X.509 pour le cadre de politique commun,
pourrait probablement permettre au gouvernement et à l'industrie d'économiser
des milliers de dollars, selon les cadres de la General Services
Administration. Les premières entreprises qui passeront les essais de
démonstration seront placées sur la liste des soumissionnaires qualifiés de
la General Services Administration le 30 juin 2004. Lorsque la liste sera
compilée, les agences devront concevoir des applications qui utilisent les
certificats numériques.
Le groupe de travail sur la politique des dossiers électroniques souhaite
obtenir de l'aide pour définir l'information du gouvernement, les
obstacles à la gestion efficace de l'information en direct et les outils d'encadrement
pour les agences fédérales. Le groupe, dirigé par la National Archives and
Records Administration (NARA), a demandé à des agences, à des fournisseurs
et à d'autres parties intéressées de présenter leurs commentaires sur
les trois sujets d'ici le 5 avril 2004. La demande de commentaires
paraît dans le registre fédéral d'aujourd'hui (13 mars 2004).
Après la tenue de groupes de discussion, le groupe de la NARA fera des
recommandations aux Interagency Committee on Government Information qui
tiendront compte des constatations des groupes de discussion et des
commentaires. L'Interagency Committee on Government Information participe à
la création du cadre de la politique de l'information de l'Office of
Management and Budget et de la régie des dossiers électroniques.
|
