Etaamb.openjustice.be
Arrêté Ministériel du 04 mars 2019
publié le 11 mars 2019

Arrêté ministériel déterminant les conditions d'agrément des logiciels utilisés pour le recensement électronique des voix par les bureaux de dépouillement lors des élections du Parlement européen, de la Chambre des représentants, du Parlement wallon, du Parlement flamand, du Parlement de la Région de Bruxelles-Capitale, des membres bruxellois du Parlement flamand et du Parlement de la Communauté germanophone

source
service public federal interieur
numac
2019040410
pub.
11/03/2019
prom.
04/03/2019
ELI
eli/arrete/2019/03/04/2019040410/moniteur
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
liens
Conseil d'État (chrono)
Document Qrcode

4 MARS 2019. - Arrêté ministériel déterminant les conditions d'agrément des logiciels utilisés pour le recensement électronique des voix par les bureaux de dépouillement lors des élections du Parlement européen, de la Chambre des représentants, du Parlement wallon, du Parlement flamand, du Parlement de la Région de Bruxelles-Capitale, des membres bruxellois du Parlement flamand et du Parlement de la Communauté germanophone


Le Ministre de la Sécurité et de l'Intérieur, Vu le Code électoral, article 165, alinéa 4, modifié par la loi du 19 avril 2018Documents pertinents retrouvés type loi prom. 19/04/2018 pub. 24/05/2018 numac 2018011790 source service public federal interieur Loi portant diverses modifications en matière électorale fermer;

Vu les lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973, notamment l'article 3, § 1er, alinéa 1er;

Vu l'urgence;

Considérant que le dépôt des candidatures pour les élections simultanées du 26 mai 2019 du Parlement européen, de la Chambre des représentants, du Parlement wallon, du Parlement flamand, du Parlement de la Région de Bruxelles-Capitale, des membres bruxellois du Parlement flamand et du Parlement de la Communauté germanophone est fixé au vendredi 29 mars 2019 et au samedi 30 mars 2019; qu'il est dès lors impératif de déterminer sans tarder les conditions d'agrément des logiciels utilisés pour le recensement électronique des voix par les bureaux de dépouillement lors de ces élections, Arrête :

Article 1er.Les logiciels visés à l'article 165, alinéa 4, du Code électoral, qui sont utilisés pour le recensement électronique des voix par les bureaux de dépouillement peuvent recevoir un avis positif d'un organisme, reconnu à cette fin par le Roi par arrêté délibéré en Conseil des Ministres, si ils satisfont aux conditions émises à l'article 2 du présent arrêté.

Art. 2.Le système assure le dépouillement des bulletins de vote provenant des bureaux de vote papier.

A. Généralités Plusieurs élections sont possibles: - Organisées par l'Etat fédéral: * Elections européennes; * Elections fédérales; * Elections régionales pour: > le Parlement flamand; > le Parlement wallon; > le Parlement de la Région de Bruxelles-Capitale; > le Parlement de la Communauté germanophone.

Le système doit supporter toutes ces élections ainsi que toutes les combinaisons possibles de 2 ou plusieurs élections relevant simultanément d'une même autorité organisatrice et ce, par le biais de la configuration des paramètres, par exemple des élections européennes, fédérales et régionales ou des élections fédérales et des élections régionales pour le Parlement flamand, pour l'Etat fédéral.

Un seul type d'élection sera dépouillé par bureau de dépouillement.

Informations de contexte, la procédure actuelle pour le dépouillement manuel pour les élections organisées par l'Etat fédéral: Chaque bureau de dépouillement collecte les bulletins de vote papier d'un ou de plusieurs bureaux de vote (normalement 3 bureaux de vote = maximum 2400 bulletins de vote). Ils sont mélangés, mis en tas et comptés. Ils sont ensuite répartis en trois tas: les bulletins de vote valables; les bulletins de vote nuls ou blancs; les bulletins de vote imprécis.

Tout bulletin de vote imprécis est examiné et évalué par l'ensemble du bureau de dépouillement (éventuellement au moyen d'un vote) et sont alors ajoutés au tas des bulletins de vote valables ou au tas des bulletins de vote nuls et blancs. Il ne reste ainsi que 2 tas. Les bulletins de vote nuls ou blancs sont comptés. Le nombre est noté sur le formulaire prévu.

Les bulletins de vote valables sont répartis en 4 sous-catégories (SC) par parti: les bulletins avec uniquement des votes en tête de liste (SC1); les bulletins de vote uniquement en faveur de candidat(s) titulaire(s) (SC2); les bulletins de vote en faveur de candidat(s) titulaire(s) et de candidat(s) suppléant(s) (si d'application) (SC3); les bulletins de vote en faveur uniquement de candidat(s) suppléant(s) (SC4).

Les 4 tas sont examinés vote par vote et chaque vote est ajouté au parti, candidat ou suppléant choisi sur le formulaire prévu.

Après le dépouillement, on procède aux contrôles suivants : o le nombre de votes enregistrés et la concordance entre les sous-catégories (SC) pour chaque liste: le nombre de bulletins de vote avec uniquement des votes en tête de liste (SC1); le nombre de bulletins de vote en faveur uniquement de candidat(s) titulaire(s) (SC2); le nombre de bulletins de vote en faveur de candidat(s) titulaire(s) et de candidat(s) suppléant(s) (si d'application) (SC3); le nombre de bulletins de vote uniquement en faveur de candidat(s) suppléant(s) (si d'application) (SC4); le chiffre électoral de la liste (CE) o le chiffre électoral de la liste doit être égal à la somme des quatre sous-catégories (CE = SC1 + SC2 + SC3 + SC4). o Pour les votes nominatifs: La somme des votes émis pour les candidats titulaires doit, en ce qui concerne cette liste, être égale au total des votes émis pour les candidats titulaires; La somme des votes émis pour les candidats suppléants doit, en ce qui concerne cette liste, être égale au total des votes émis pour les candidats suppléants; Le total des votes pour les titulaires doit être égal ou supérieur à la somme du total des bulletins de vote uniquement en faveur des titulaires (SC2) et du total des bulletins de vote pour les titulaires et suppléants (SC3); Le nombre total de vote pour les suppléants doit être égal ou supérieur à la somme du nombre total de bulletins de vote avec uniquement un vote en faveur des suppléants (SC4) et du nombre total de bulletins de vote en faveur des titulaires et des suppléants (SC3).

Ces procédures ne doivent pas être maintenues dans leur intégralité et peuvent être adaptées en fonction du système d'aide au dépouillement.

Enfin, il faut établir un tableau par parti reprenant les 4 sous-catégories avec le nombre de votes de chaque candidat/suppléant.

B. Description du système Le président du bureau de dépouillement reçoit un support de mémoire (par exemple une clef USB) reprenant tous les candidats. Au moyen d'une authentification (nom d'utilisateur et mot de passe), il télécharge le bon bureau de dépouillement avec les bons candidats. Ce support de mémoire est également utilisé comme output du système d'aide au dépouillement et comme input pour le système Martine (transmission des résultats au bureau principal). Ce support de mémoire doit donc être lisible sur la plupart des plateformes utilisables (notamment Windows). Le logiciel et le système d'exploitation (SE) peuvent être téléchargés avec l'interface ou sont déjà présents sur le système mais le fournisseur doit pouvoir offrir les garanties que la bonne version (contrôlée par un organisme d'avis agréé) du logiciel et du SE (y compris les drivers) doit être utilisée dans les bureaux de dépouillement. Comme output, cette interface doit comprendre les éléments suivants: Chaque vote individuel au format EML qui est signé de manière digitale; Les fichiers de résultats au format EML qui sont signés électroniquement; Le PV au format PDF qui est signé électroniquement.

Comme garantie complémentaire de l'intégrité du support de mémoire, un chiffre de contrôle est calculé sur les fichiers de résultats et ce chiffre s'affiche à l'écran du système d'aide au dépouillement. Ce chiffre de contrôle doit être repris sur le formulaire prévu à cette fin. Ce chiffre de contrôle est mentionné sur le PV avec un hash code sur l'ensemble des fichiers.

Les exigences de base demandées sont: 1. Prévoir un double encodage/comptage à titre de contrôle;2. Les résultats des 2 encodages/comptages doivent être comparés, par comparaison des votes encodés/comptés.Si différence il y a, les bulletins sont vérifiés par l'ensemble du bureau et validés dans le système.

La numérotation des bulletins de vote est autorisée mais cette numérotation doit pouvoir être supprimée.

Une variante ne peut porter que sur la méthode de comparaison des votes entre les 2 encodages/comptages. Dans ce cas, toutes les spécifications techniques doivent être respectées.

C. Procédure de fabrication par l'autorité organisatrice Pendant la procédure de fabrication des supports de mémoire, on peut utiliser du matériel de fabrication afin de fabriquer une interface master. Cette interface master est copiée en nombre suffisant afin de lancer les bureaux de dépouillement de manière sécurisée et distincte.

Cette procédure de fabrication doit pouvoir être exécutée simultanément pour tous les bureaux de dépouillement sur maximum 2 heures sans tenir compte des opérations humaines.

Toutes les données d'import, telles que les bureaux de dépouillement et les listes de candidats, doivent pouvoir être chargées en batch.

Le processus de production prévoit la préparation et l'utilisation d'une infrastructure à clé publique (PKI) pour générer des clés cryptographiques pour les bureaux de dépouillement. Par système de comptage une paire de clés unique sera créée avec un certificat. Sur la base de ces ICP, il devrait être possible de vérifier l'intégrité des résultats numériques des centres de comptage.

Les conditions suivantes doivent être remplies ici: 1) Le PKI (hardware, logiciels et procédures) sera livré dans le cadre du processus de création, et est seulement sous contrôle (et utilisé sur les systèmes) des autorités organisatrices.2) Les clés privées sont chiffrées par le système d'aide au dépouillement et stockées sur le support de mémoire « maître ». Celles-ci ne peuvent être déchiffrées et utilisées dans les centres de dépouillement que via un mot de passe distinct pour le bureau de totalisation, qui est transmis d'une manière différente (par exemple sous enveloppe scellée). 3) Le système de comptage utilise ces clés cryptographiques afin de signer les résultats de comptage numérique, de sorte qu'il doit être possible de vérifier l'intégrité et l'authenticité des résultats de comptage.4) La solution fournit également un rapport de certification (CA) qui valide les résultats de comptage signés numériquement (en format PDF et / ou le format EML).5) La procédure d'accompagnement fournit des instructions claires sur la façon dont la clé privée de la racine et / ou sous-CA doit être établie (entre autres hors ligne de stockage et de sauvegarde de celui-ci). 6) La solution proposée utilise des normes telles que les certificats X.509 et les algorithmes cryptographiques publiquement connus et fiables, par exemple. RSA ou ECC pour cryptages.

D. Compatibilité Le système est compatible avec le système pour la totalisation et la transmission des résultats (Martine).

En output chaque système de comptage présente les caractéristiques suivantes: - Chaque voix individuelle au format EML qui est signé numériquement - Les fichiers de résultats au format EML qui ont été signés numériquement - Le PV en format pdf qui a été signé numériquement Le rapport avec les résultats doivent être signés numériquement avec la clé privée du système d'aide au dépouillement (nécessite des clés uniques par bureau de totalisation présentes dans l'interface maître).

E. Législation Le système doit toujours satisfaire à la législation électorale et à la législation linguistique.

Le système doit être politiquement neutre. L'utilisation de couleurs est autorisée mais l'administration peut toujours demander d'adapter gratuitement le lay-out.

L'exactitude de la langue et l'emploi de la bonne langue dans chaque région doivent être respectés, en particulier dans les communes à facilités.

F. Exigences non fonctionnelles L'application doit non seulement être conviviale mais elle doit également satisfaire aux exigences de sécurité les plus récentes.

Convivialité et performance * Un système d'aide au dépouillement doit pouvoir être monté et démonté dans les 10 minutes. Cela comprend le temps nécessaire pour sortir le système de son emballage et le réemballer. * Le système d'aide au dépouillement doit pouvoir être démarré jusqu'à l'écran de connexion dans un délai d'une minute. * Le système d'aide au dépouillement doit lire et traiter la configuration de la clef USB jusqu'à l'écran d'accueil de l'application dans un délai de 1 minute. Son avancement doit pouvoir être suivi visuellement. * L'application doit être ergonomique et son utilisation doit être facile et logique. * Les applications fournies doivent être intuitives et doivent pouvoir être utilisées sans aide. * Lorsque l'on clique sur les différents champs à compléter, un texte explicatif s'affiche automatiquement. * Pour les mentions du système d'aide au développement s'appliquent les conditions suivantes : o Les mentions du statut doivent être visuelles. o Les messages d'erreurs doivent être formulés en étapes de procédure claires afin que l'utilisateur sache ce qu'il faut faire. o La mention doit clairement préciser si un problème peut être résolu grâce à une action du bureau de dépouillement ou si un helpdesk doit intervenir. o Le message doit clairement indiquer le degré d'urgence, en utilisant des couleurs par exemple. * Les temps de réponse du système d'aide au dépouillement sont de: o Maximum 0,1 seconde lors de la manipulation d'un objet dans un écran. o Maximum 1 seconde lors du passage à l'étape suivante du processus de dépouillement. * Le système d'aide au dépouillement doit effacer les résultats de la clef USB dans un délai de 5 minutes. Sa progression doit être suivie visuellement.

Sécurité De manière générale, le fournisseur prévoit les mesures de sécurité nécessaires afin de prévenir, détecter et atténuer des incidents de sécurité.

Organisation * Le fournisseur travaille sur la base d'un cadre de la sécurité des informations qu'il doit mentionner (basé sur ISO27K, COBIT ou une norme internationale comparable). Ce cadre définit notamment les rôles et les responsabilités, les mesures de sécurité et les procédures. * Le fournisseur dispose d'un plan de réaction en cas d'incident afin de réagir adéquatement en cas d'incidents de sécurité (en fonction de la classification de l'incident) y compris une analyse de cause racine et le développement de solutions durables. * Le fournisseur a un responsable de la sécurité de l'information qui assure la conformité du cadre de la sécurité de l'information et des aspects sécurité de tous les produits livrables. * Il y a lieu de réaliser une recherche d'antécédents appropriée pour tous les collaborateurs du fournisseur impliqués dans le traitement des données du projet. Le fournisseur garantit l'intégrité de ses collaborateurs et sous-traitants éventuels et il garantit que tous les collaborateurs ont suivi des formations en sécurité adéquates. * Le fournisseur désigne un délégué à la protection des données (data protection officer) afin de garantir la protection des données. * Le fournisseur dispose d'un cadre de développement sûr et démontrable qu'il doit mentionner (basé sur OWASP SAMM, BSIMM ou une meilleure pratique internationale comparable) pour le développement et l'exploitation opérationnelle du logiciel fiable.

Développement du logiciel * Les vulnérabilités du logiciel sont identifiées et corrigées le plus tôt possible au cours du cycle de développement. * On utilise un processus d'élaboration de logiciel fiable, à mentionner, qui compile le logiciel fourni et l'associe à tous les fichiers sources. Cela comprend une méthode de vérification de l'intégrité du logiciel. * On utilise des environnements strictement distincts pour le développement, les tests, l'acceptance, la formation et la production. * Le logiciel fourni ne contient aucun code malveillant tel que des virus informatiques, des vers, des bombes à retardement, des trappes, des chevaux de Troie ou des oeufs de Pâques. * Le fournisseur développera et documentera, dans le cadre d'une phase d'analyse, des exigences de sécurité détaillées pour le logiciel.

Celles-ci décriront les mécanismes de sécurité et des patrons de conception sûrs ainsi que la manière dont ceux-ci seront implémentés dans la solution proposée. * Les composantes logicielles de tierces parties qui seront utilisées (y compris le logiciel open source) devront satisfaire à ces exigences. * Le SE est durci selon les dernières meilleures pratiques du fournisseur du SE : o L'intégrité du SE est garantie par l'utilisation d'un Trusted Platform Module (TPM) sur le matériel utilisé. o Le logiciel minimum est installé et tous les logiciels ou modules inutiles et les exemples de fichiers sont supprimés. o Seuls les services ou daemons nécessaires sont installés. o Les certificats standards sont remplacés. * Tous les logiciels livrés (y compris le SE et le logiciel de tierces parties) sont régulièrement mis à niveau en utilisant les versions les plus récentes afin de résoudre ou de prévenir les vulnérabilités. Les administrations sont toujours informées lorsque certaines modifications sont nécessaires et elles reçoivent une description détaillée du risque et de la solution proposée. * L'application génère un journal de sécurité et celui-ci est enregistré au niveau local et sur la clef USB. * Le Security logging comprend au minimum les éléments suivants : o Heure (exprimée en UTC) o Nom système des systèmes concernés o Identité de l'utilisateur o Severity level o Détail de l'évènement. * Les évènements de sécurité suivants doivent au moins être consignés dans un journal de sécurité : o Login - logout réussi/raté o Exceptions dans les applications * Les journaux de sécurité doivent être conservés jusqu'à l'approbation officielle des élections par l'instance compétente.

Tests de sécurité du logiciel Le fournisseur prévoira au moins les tests suivants comme élément du processus de développement sécurisé pour le logiciel fourni: * Les tests de sécurité doivent tester le bon fonctionnement des exigences de sécurité ainsi que l'absence de vulnérabilités très fréquentes (comme le Top 10 OWASP). * Les tests de sécurité doivent notamment inclure des tests de sécurité statiques et dynamiques. Le résultat de ces tests ainsi qu'une description dans un rapport de test doivent être fournis avec chaque version du logiciel électoral. * Les tests de sécurité sont toujours une composante des tests d'acceptance pour ce cahier spécial des charges. Le logiciel électoral fourni ne peut être accepté que si toutes les vulnérabilités en matière de sécurité ont été résolues ou acceptées comme risques par les pouvoirs adjudicateurs. * Le pouvoir adjudicateur a toujours le droit de soumettre le logiciel fourni à des tests de sécurité réalisés par une tierce partie. A cette fin, le fournisseur mettra le support nécessaire à la disposition de la tierce partie (par exemple mettre à disposition le code source ou l'environnement de test et donner les renseignements nécessaires).

Matériel sécurisé *Le fournisseur doit utiliser du matériel d'un fournisseur fiable. * Le matériel utilisé doit être équipé d'un Trusted Platform Module (TPM) fonctionnel qui satisfait aux exigences les plus récentes du Trusted Computing Group1 (TCG). * Soit le matériel utilisé est utilisé une seule fois pour les élections et ensuite (après une procédure d'effacement sécurisée) réutilisé à d'autres fins pour le fournisseur. Soit le fournisseur stockera le matériel de manière sécurisée entre les élections (jusqu'à la fin de la durée du contrat). * Le matériel est transporté dans les bureaux de dépouillement uniquement par transport sécurisé et traçable. * Le matériel pour le système d'aide au dépouillement est livré dans une caisse de transport fermée et scellée dans laquelle les éléments sont transportés et stockés. Dans celle-ci se trouve également les scellés ainsi que les instructions pour le faire enlever par le fournisseur. * Le fournisseur se charge du stockage sécurisé du matériel, les mesures suivantes doivent être prises: o L'extérieur du lieu ou du bâtiment est suffisamment solide et suffisamment protégé contre l'accès par des personnes non autorisées (par exemple une clôture solide, des murs extérieurs, des portes extérieures, des fenêtres extérieures, ...). o L'accès au bâtiment et à l'espace de stockage est contrôlé afin que seules les personnes autorisées aient accès (par exemple: surveillance permanente, une réception avec du personnel, système de badge, ...). o Un nombre limité de collaborateurs autorisés a accès à l'espace de stockage. o Il y a un contrôle d'accès et un logging sur la base de badges d'accès électroniques. Le logging est conservé au moins 3 mois. o Des systèmes antieffraction adaptés sont installés et le fonctionnement effectif de ceux-ci est testé à intervalles réguliers. o L'espace de stockage est pourvu d'un contrôle caméra. Les images en sont conservées au moins 1 mois. o Les journaux d'accès et les images caméra peuvent être contrôlés par une tierce partie.

Maintenabilité * Pendant les développements, on vérifie toujours si la qualité du code satisfait à la norme de maintenabilité conformément aux définitions dans ISO25010. * Les langues de programmation qui sont principalement utilisées sont faites d'une combinaison courante de technologies telles que les technologies javastack, C# stack et HTML5. * Le logiciel a un code source bien structuré et est scindé en modules. Chaque module contient le commentaire nécessaire en anglais qui en explique le fonctionnement. * Les unités de code source (classes, méthodes) sont petites ce qui limite le nombre de constructeurs. * La fonctionnalité est écrite une seule fois et réutilisée dans le logiciel (aucun copier/coller de code). * Les interfaces dans le code sont limitées et claires. * La couverture de test par unité est démontrable à > 80 % grâce à un outil d'analyse statique, mesurée comme la couverture des ramifications du programme (nombre de chemins décisionnels testés). On prévoit suffisamment de tests d'unité, de sorte que des adaptations peuvent, si nécessaire, être apportées rapidement. * On n'utilise pas de bibliothèques obsolètes ou de bibliothèques pour lesquelles des vulnérabilités ont été constatées. Pour prévenir ceci, un processus actif de gestion des correctifs est nécessaire.

Art. 3.Le présent arrêté entre vigueur le jour de sa publication au Moniteur belge.

Bruxelles, le 4 mars 2019.

P. DE CREM _______ Note 1 https://trustedcomputinggroup.org

^