Retour à la section

Annexe

Article suivant

Article 11

Interface des téléservices avec les moteurs de recherche

JORF n°0055 du 5 mars 2023

Article 10

Article 10

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Sécurité des téléservices

Résumé Les téléservices doivent être très sécurisés avec HTTPS, des cookies sécurisés et des en-têtes HTTP, et doivent utiliser des authentifications fiables.

Dispositifs de sécurité

Pour sécuriser le téléservice, les techniques suivantes sont mises en œuvre :

- https sur toutes les origines ;
- marquage des cookies « HttpOnly » et « Secure » ;
- entêtes http dédiés à la sécurité alignés sur les standards techniques du donneur d'ordre, dont une « Content Security Policy ». Les règles applicables aux sous-ressources sont centrées sur l'origine « self », les condensats d'intégrité ou les valeurs uniques de circonstance mais sans « unsafe ».

Les authentifications du téléservice sont déléguées à un fournisseur d'identité désigné par le commanditaire (i.e. FranceConnect ou AgentConnect au standard OpenIDConnect) ou une présentation de certificats (X.509).

1 version

Historique des versions

Version 1

Dispositifs de sécurité

Pour sécuriser le téléservice, les techniques suivantes sont mises en œuvre :

- https sur toutes les origines ;

- marquage des cookies « HttpOnly » et « Secure » ;

- entêtes http dédiés à la sécurité alignés sur les standards techniques du donneur d'ordre, dont une « Content Security Policy ». Les règles applicables aux sous-ressources sont centrées sur l'origine « self », les condensats d'intégrité ou les valeurs uniques de circonstance mais sans « unsafe ».

Les authentifications du téléservice sont déléguées à un fournisseur d'identité désigné par le commanditaire (i.e. FranceConnect ou AgentConnect au standard OpenIDConnect) ou une présentation de certificats (X.509).