Qu’est-ce qu’une communication out-of-band ?

Qu’est-ce qu’une communication out-of-band ?

Utilisée dans des contextes critiques, les communications out-of-band participent à protéger les échanges et garantir la continuité d’activité des organisations en cas de crise.  

Définition d’une communication out-of-band

Une communication out-of-band désigne des communications effectuées hors des réseaux habituels. Elle utilise des canaux réservés et sécurisés afin d’être toujours opérationnelle, par exemple en cas de cyberattaque ou de défaillance sur le réseau principal. Sur cette configuration out-of-band, les flux de communications audio, vidéo et data sont généralement chiffrés de bout en bout. Cela protège les échanges confidentiels ou hautement sensibles de toute écoute.

Cas d’utilisation des communications out-of-band

Quelques exemples d’utilisation de communications out-of-band dans les organisations.

Authentification multi-facteur (MFA)

L’authentification multi-facteur (MFA) consiste à vérifier la demande de connexion d’un utilisateur avant de lui octroyer l’accès à une ressource. Pour se faire, elle utilise au moins deux facteurs, dont l’un passe généralement par une communication out of band. En effet, après avoir renseigné ses identifiants (premier facteur), l’utilisateur va recevoir une demande de vérification (deuxième facteur) sur une application chiffrée par exemple. Pour envoyer cette demande, le MFA va utiliser un réseau différent. Objectif : limiter les risques d’interception de données en cas de failles sur le réseau utilisé pour la connexion initiale.

Communications sensibles  

Dans le cadre du télétravail ou du travail hybride, les collaborateurs utilisent des outils de communication qui ne sont pas toujours sécurisés. Cependant, au sein d’organisations sensibles, comme les OSE et OIV, la protection des communications critiques est un critère fondamental. Pour leurs réunions en ligne confidentielles, portant sur des sujets classifiés ou mentionnés « Diffusion restreinte », l’utilisation de systèmes de communication out-of-band s’impose.

Continuité d’activité

Alors que les organisations européennes doivent renforcer leur cybersécurité avec la directive NIS 2, les politiques de gestion de crise et de continuité d’activité deviennent des sujets majeurs. Le déploiement d’outils de communications out-of-band répond à ces enjeux.

En effet, en cas de crise, les équipes bénéficient de canaux de communications dédiés et sécurisés. Elles peuvent ainsi répondre aux incidents et assurer la continuité d’activité.

Au sein des administrations publiques, dépendantes des moyens de communication traditionnelles, la mise en place d’un système de communication out-of-band a de nombreux bénéfices. Elle garantit notamment la continuité du service public.

La visioconférence sécurisée pour des communications out-of-band

La visioconférence sécurisée chiffrée de bout en bout est adaptée à la mise en place de communications out-of-band en interne. Dans des contextes sensibles, les collaborateurs ont notamment besoin d’utiliser une solution de communication sécurisée et accessible à tout moment hors des réseaux traditionnels.

Tixeo propose une solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI.

Son chiffrement de bout en bout, de client à client, empêche toute interception des échanges audio, vidéo et data, et ce, quel que soit le nombre de participants à la réunion en ligne.

En version on-premise, la solution est déployée sur un serveur dédié de l’entreprise, sans impact sur la politique de sécurité du réseau général. En cas de crise, Tixeo peut fonctionner sans connexion internet, de façon isolée sur l’infrastructure de l’entreprise. Cela permet un usage interne uniquement, dans le cadre d’une gestion de crise par exemple. Les équipes peuvent poursuivre leurs échanges en toutes conditions. La visioconférence sécurisée participe ainsi à renforcer la cyber-résilience des organisations.

Finance : pourquoi la visioconférence sécurisée est-elle l’alliée de votre gestion de crise ?

Quelles sont les informations cibles d’espionnage industriel ?

Quelles sont les informations cibles d’espionnage industriel ?

L’espionnage industriel vise des entreprises sensibles, dans les secteurs de l’énergie ou des technologies, sur fond de tensions géopolitiques et d’instabilité économique. Certaines des informations secrètes de ces organisations sont particulièrement ciblées.

Espionnage industriel : la plus grande cybermenace

Définition de l’espionnage industriel

L’espionnage industriel, ou espionnage économique, désigne un ensemble d’activités d’espionnage menées à des fins économiques ou commerciales. Il implique une intrusion dans les organisations, de la part d’individus isolés, d’entreprises ou de gouvernements. Le but : collecter des données confidentielles afin obtenir différents avantages, concurrentiels par exemple. Ces derniers peuvent employer différentes méthodes de cyber-espionnage, comme le phishing ou l’ingénierie sociale, selon la cible choisie.

Enfin, les conséquences financières de l’espionnage industriel pour les entreprises sont conséquentes et peuvent même mettre en péril leur activité. Elles perturbent également la stabilité économique d’une nation.

Une alerte lancée par l’alliance des Five Eyes

En octobre 2023 s’est réuni le sommet des Five Eyes, une alliance de cinq puissances mondiales (Canada, États-Unis, Royaume-Uni, Australie et Nouvelle-Zélande). Les chefs des services de renseignement des pays étaient présents et ont alerté sur une hausse sans précédent des attaques d’espionnage industriel, d’origine chinoise. Mike Burgess, directeur général des services de renseignement australiens, a ainsi affirmé que « le gouvernement chinois est engagé dans le vol de propriété intellectuelle et l’acquisition d’expertise la plus soutenue et sophistiquée, qui n’a aucun précédent dans l’histoire de l’humanité ».  

Les organisations dans le monde entier sont ainsi prévenues et doivent se prémunir contre les cyberattaques et les infiltrations d’agents. La protection du potentiel scientifique et technique d’une nation est plus que jamais essentielle. 

Des secteurs des technologies de pointe fortement touchés

Les secteurs les plus pointus sont majoritairement victimes d’espionnage industriel. C’est le cas des entreprises de l’intelligence artificielle, d’informatique quantique ou encore de biotechnologie. Les attaques d’espionnage industriel concernent les organisations de la défense et de l’énergie mais aussi fortement leur supply chain. Mais quelles sont les informations ciblées ?

Les types d’informations ciblées par l’espionnage industriel

Les informations techniques et technologiques

Les informations relatives à la conception technique de produits ou de développement de technologie représentent un avantage concurrentiel. Ainsi, dans le secteur de l’informatique, des algorithmes de machine learning ou de schémas de conception de puces électroniques suscitent la convoitise. Dans le secteur de l’énergie, les procédés de production d’énergie renouvelable ou des techniques de production de batterie avancée constituent une mine d’or pour des espions.

Du côté des secteurs de la défense et de l’aéronautique, l’espionnage industriel peut cibler des plans de systèmes d’armement avancé ou des systèmes de navigation et de communication pour engins spatiaux. Dans ces cas de figures, plus qu’une simple perte financière, l’espionnage industriel perturbe la sécurité de la défense nationale.

Exemple d’espionnage d’informations technologiques

En janvier 2023, un ancien ingénieur de General Electric (GE) aux États-Unis a été condamné pour conspiration en vue de commettre un espionnage économique. Celui-ci a prémédité le vol de secrets technologiques, relatifs à des turbines terrestres et aéronautiques, au bénéfice de la Chine et autres entités qui développent ce type de produits.

Les informations stratégiques d’entreprise

Les stratégies d’entreprise détaillent l’ensemble des axes d’innovation, de développement et de financement des organisations. Ainsi, dans le secteur de la Finance, des détails sur les plans de fusion et d’acquisition ou des modèles propriétaires d’analyse d’investissements sont hautement sensibles. Leur perte peut nuire à la compétitivité des entreprises.

Dans le secteur pharmaceutique, des données sur des essais cliniques ou des procédés de fabrication font également face à des risques d’espionnage.

Exemple d’espionnage d’informations stratégiques

En 2023, au sein de l’entreprise NVIDIA, un développeur logiciel est suspecté d’avoir dévoilé des informations secrètes relatives au code source d’un logiciel d’aide au stationnement, récupérées chez son ancien employeur, Valeo. Ce dernier assure que ces données auraient profité au développement de NVIDIA.

Les informations sur le personnel et les talents

En effet, l’espionnage industriel passe également par la détection de personnes clés, pouvant apporter des informations sensibles. Certains débauchages dans des organisations sont stratégiques et ont pour but de nuire au bon fonctionnement de l’entreprise, en tentant de récupérer ses savoirs.

À l’heure où la concurrence économique est de plus en plus forte, la fuite de compétences joue sur la pérennité d’une entreprise.

Comment protéger ses informations de l’espionnage industriel ?

Les informations hautement sensibles, qui ne doivent pas être largement communiquées, portent généralement une mention de protection « diffusion restreinte ». Elles sont même parfois classifiées au titre du secret de la défense nationale.

Néanmoins, en complément de mesures juridiques et techniques, les collaborateurs ont la responsabilité d’adopter des bonnes pratiques de cybersécurité. Cela afin de limiter les risques de fuite d’informations.

Veiller à la confidentialité des échanges

Les échanges en ligne entre collaborateurs, même anodins, peuvent constituer des données clés pour des espions.

Pour échanger des informations sensibles en réunion, les collaborateurs veillent à bien fermer la porte de la salle. Cependant, à distance, les collaborateurs utilisent la visioconférence, même pour des réunions sensibles. Il devient alors plus difficile de s’assurer que toutes les portes soient bien fermées et qu’aucune personne extérieure à l’entreprise ne puisse écouter les échanges.

Seule une visioconférence chiffrée de bout en bout, de client à client, conforme au RGPD, garantit la totale confidentialité des échanges.

Quelles sont les normes de la Diffusion Restreinte ?

Quelles sont les normes de la Diffusion Restreinte ?

Au sein des organisations, la mention « Diffusion Restreinte » (ou DR) vise à protéger des informations et des supports sensibles. Voici ses normes.

Définition de la Diffusion Restreinte (DR)

En France

En France, la Diffusion Restreinte est une mention de protection d’informations sensibles qui ne sont pas classifiés au titre de la protection du secret de la défense nationale (IGI 1300). Sans autorisation, leur accès, diffusion ou détournement peut porter atteinte à la sécurité publique, au potentiel scientifique et technique de la nation ou encore nuire à l’équilibre politique et économique de l’Etat.   

Lorsqu’un individu aperçoit la mention diffusion restreinte sur un document, il a donc pour devoir de respecter une totale discrétion quant à son contenu, sous peine de poursuites.

En Europe

En Europe, des mentions de protections existent et sont équivalentes à la DR. C’est le cas de l’EU restricted au sein de l’Union Européenne et du NATO restricted pour l’OTAN. Ces dernières visent à protéger des informations sensibles liées à des intérêts politiques, militaires ou encore économiques.

Accès aux informations

Présenter un besoin légitime

Pour accéder aux informations « Diffusion Restreinte », les personnes doivent justifier de leur besoin de les connaître. Ce besoin légitime peut être lié à l’exercice de leur mission professionnelle ou à la réalisation d’une tâche précise. Par exemple, dans le cadre de la conception des composants d’un système de radar, un ingénieur en électronique pourrait consulter les informations techniques du projet, identifiées comme « Diffusion Restreinte ». Ce besoin devra néanmoins être clairement justifié et documenté.

Former les salariés

Les individus pouvant accéder aux informations DR doivent être aptes à les manipuler sans risque. Stockage, transmission et utilisation des informations font partie des sujets à aborder en formation afin d’éviter toute fuite de données sensibles. C’est pourquoi, la tenue de sensibilisations régulières permet de maintenir la vigilance des équipes au plus haut niveau.

Stockage des informations Diffusion Restreinte

Assurer la sécurité physique

Bien entendu, les documents confidentiels doivent être stockés dans des lieux verrouillés et dont l’accès est contrôlé. Des systèmes de badges ou de codes d’accès sont généralement utilisés. À cela s’ajoute la mise en place d’une gestion stricte de l’accueil des visiteurs dans les entreprises. Par exemple, avec la tenue d’un registre. Enfin, l’utilisation de déchiqueteuses est toujours d’actualité pour détruire des documents sensibles qui n’ont plus d’utilité.

Veiller à la sécurité numérique

De nombreuses informations « diffusion restreinte » sont stockées en ligne. Il peut s’agir de rapports financiers ou de communications officielles internes. Leur stockage doit se faire de façon hautement sécurisée. Des technologies de chiffrement des données ou des systèmes d’authentification multi-facteurs peuvent être mis en place.

Pour les informations DR stockées dans le cloud, faire appel à un hébergeur qualifié SecNumCloud est recommandé. En effet, iIl garantit le respect d’un certain nombre de critères sécurité, autant d’un point de vue techniques qu’organisationnels.

Par ailleurs, les organisations doivent assurer la sauvegarde de toutes ces informations DR stockées. La planification d’une stratégie de sauvegarde et de récupération est essentielle.

Pour aller plus loin : consultez les Recommandations pour les architectures des systèmes d’information sensibles ou Diffusion Restreinte de l’ANSSI

Transmission des données Diffusion Restreinte

Quand plusieurs personnes habilitées se transmettent des informations « Diffusion Restreinte », cela doit se faire dans le respect de mesures de sécurité strictes.

Sécuriser le partage de fichiers

diffusion restreinte

Pour échanger des documents DR, l’utilisation d’une solution chiffrée de bout en bout est indispensable. À la seule condition de s’assurer qu’il s’agisse d’une véritable technologie de chiffrement de bout en bout, qui chiffre les flux de données de client à client. En d’autres termes, celle-ci doit chiffrer les flux de communication à toutes les étapes, de l’émetteur au destinataire en passant par le serveur, et ce quel que soit le nombre de participants à la visioconférence.

Tixeo propose une solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, avec un réel chiffrement de bout en bout des flux de communications audio, vidéo et data.

En savoir plus

Collaborer à distance de façon discrète

Dans une même équipe, certains collaborateurs peuvent avoir accès à des informations « Diffusion Restreinte » et d’autres non. Lors d’une réunion en ligne, l’un d’eux peut avoir besoin de transmettre une information sensible à un autre collègue habilité de façon discrète. La fonction « Sécurité augmentée » de Tixeo permet à deux interlocuteurs ou plus d’échanger de façon secrète, sans quitter une réunion en cours. Pour se faire, un simple code, défini par les participants, est à renseigner dans la solution, afin de basculer temporairement dans un véritable tunnel de communication secret.

Tixeo partenaire de Cluster Défense sécurité pour protéger les informations sensibles

Le cabinet Cluster Défense Sécurité propose des accompagnements et formations sur mesure pour protéger les informations sensibles, les informations de niveau « Diffusion Restreinte » (ou DR) et le secret de la défense nationale (IGI 1300) des organisations.

La protection des informations et supports « DR » implique une action globale. Cela concerne autant le domaine de la protection physique, que la protection logique ou organisationnelle.

Tixeo et Cluster Défense Sécurité apportent chacun une expertise dédiée et parfaitement complémentaire.

En savoir plus sur le partenariat Tixeo et CDS

Cybersécurité : qu’est-ce qu’une certification de sécurité ?

Cybersécurité : qu’est-ce qu’une certification de sécurité ?

La certification de sécurité pour les produits et solutions numériques est un gage de fiabilité. En quoi consiste cette certification et comment garantit-elle un haut niveau de cybersécurité ?

Définition d’une certification de sécurité

La certification de sécurité pour les solutions et logiciels informatiques consiste à évaluer un produit selon des normes de cybersécurité spécifiques. Ce processus est aujourd’hui crucial pour garantir la protection des données et des systèmes face à une recrudescence des cybermenaces. La certification de sécurité participe également à l’accompagnement des entreprises à la recherche de solutions numériques sécurisées pour leurs usages stratégiques et sensibles. Elle permet enfin d’harmoniser les niveaux de sécurité des solutions et de participer à la création d’un système numérique de confiance.

Types de certifications de sécurité :

Certifications de Produit : Elles se concentrent sur les aspects de sécurité d’un produit spécifique. Ces certifications évaluent si le produit répond aux normes de sécurité requises et peut résister à des attaques cybernétiques potentielles.

Certifications de Système : Elles évaluent la sécurité d’un système entier, incluant les produits, les processus et les personnes impliquées. Ce type de certification est plus large et prend en compte les aspects systémiques de la cybersécurité.

Il existe différentes certifications de sécurité à l’international et en Europe. Voici un aperçu : 

Les certifications de cybersécurité internationales

Common Criteria (CC)

Common Criteria est le standard international de certification de cybersécurité des technologies de l’information. Aussi appelée « Common Criteria for Information Technology Security Evaluation », cette norme internationale (ISO/IEC 15408) permet d’évaluer la sécurité de produits IT par des laboratoires agréés et indépendants, selon des critères techniques et organisationnels exigeants. Les certificats sont reconnus sur le plan international par les signataires de l’Accord de Reconnaissance des Critères Communs (CCRA) dont fait partie l’ANSSI en France.

FIPS 140-3 

Développée par le National Institute of Standards and Technology (NIST) aux États-Unis, la norme FIPS 140-3 concerne particulièrement la vérification de la sécurité des modules de chiffrement. Essentielle pour les produits utilisés dans des environnements gouvernementaux et sensibles, la norme analyse notamment :

  • les fonctionnalités et les capacités du module de chiffrement
  • les interactions avec d’autres systèmes
  • La gestion des accès et des opérations autorisées
  • la sécurité des composants logiciels
  • la maintenance et les mises à jour sécurisées
  • les mesures contre diverses formes d’attaques potentielles.

Cette norme propose quatre niveaux qualitatifs de sécurité (basiques à très élevés), adaptés à différentes applications et environnements​ IT.

Les certifications de cybersécurité européennes

Le projet European Cybersecurity Certification

Le premier schéma européen de certification EUCC se base sur le schéma international Common Criteria pour la certification des produits TIC, leurs matériels et logiciels (pare-feux, dispositifs de chiffrement et de signature électronique, routeurs, smartphones, cartes bancaires…). En octobre 2023, un premier projet d’acte d’exécution de l’EUCC a été publié par la Commission Européenne et ouvert aux avis. Le 31 janvier2024, le schéma est adopté à l’échelle de l’UE et harmonise les règles et les procédures de certifications en Europe.

EUCS (European Certification Scheme for Cloud Services) à l’étude

Dans la même optique que l’EUCC, la certification EUCS vise particulièrement à approuver la sécurité de produits et services hébergés dans le cloud. La proposition de texte est désormais à l’étude du Groupe européen de certification de cybersécurité (ECCG) et permettra de renforcer la sécurité du cloud computing en Europe.

Dans le cadre de la directive NIS 2 et du Cyber Resilience Act, ces projets de certifications européennes visent à harmoniser les niveaux de sécurité des solutions IT.

En France : le visa de sécurité de l’ANSSI

La certification de sécurité délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) fait référence en France et aussi en Europe. Elle évalue la robustesse d’une version spécifique d’un produit à un instant donné, en fonction de l’état de l’art des cyberattaques. Pour la délivrer, les laboratoires et experts agréés vont analyser plusieurs critères de sécurité, comme : 

  • La conformité aux standards et réglementations nationales et internationales de sécurité des systèmes d’information en vigueur (comme celui du Common Criteria)
  • Les mesures de sécurité techniques et organisationnelles
  • La résistance aux Attaques, y compris les tentatives d’intrusion, de piratage et d’exploitation de vulnérabilités.
  • La gestion des accès et l’authentification afin de contrôler l’accès aux données et aux ressources.
  • Le chiffrement et la protection des données
  • La résilience et la gestion des incidents
  • Les maintenances et mises à jour de sécurité, afin de répondre aux nouvelles menaces et vulnérabilités

Par ailleurs, l’ANSSI propose également une qualification de sécurité aux produits et services numériques destinés aux secteurs critiques et stratégiques (OIV et OSE). Celle-ci va ainsi répondre à des exigences réglementaires spécifiques, comme la Loi de programmation militaire notamment. La qualification de sécurité l’ANSSI atteste ainsi de l’adéquation entre les solutions et les besoins sensibles identifiés des entreprises. L’éditeur doit ainsi prouver qu’il pourra respecter ses engagements sur le long terme​.

Comment évaluer la crédibilité d’une certification de sécurité ?

À quels produits s’adressent les certifications de sécurité ?

De nombreux produits et solutions informatiques peuvent prétendre à une certification de sécurité. Et ce, dès lors qu’ils exposent des données et/ou sont utilisés par des organisations sensibles. Voici quelques types de produits concernés par les certifications de sécurité : 

  1. Matériel Informatique : serveurs, routeurs, pare-feu, et autres équipements réseau…
  2. Logiciels : systèmes d’exploitation, applications et les bases de données…
  3. Solutions Cloud : Services de cloud computing, stockage et applications basées sur le cloud…
  4. Produits de chiffrement : Modules de chiffrement, outils de gestion des clés…
  5. Solutions de Sécurité Mobile : Applications et infrastructures de sécurité pour appareils mobiles…
  6. Systèmes de Contrôle Industriel (ICS) et Internet des Objets (IoT) : dispositifs connectés dans divers secteurs industriels…

Tixeo, certifié et qualifié par l’ANSSI depuis plus de 6 ans

La technologie de visioconférence sécurisée Tixeo est certifiée et qualifiée par l’ANSSI depuis plus de 6 ans. Grâce à son chiffrement de bout en bout et sa version on-premise, il offre aux entreprises dans des secteurs critiques une totale confidentialité pour leurs échanges. Indispensable pour renforcer leur capacité de résilience opérationnelle numérique. À travers sa certification et sa qualification, l’Etat français recommande son utilisation pour des usages sensibles. D’autres labels européens confirment la sécurité de sa solution. 

Potentiel scientifique et technique de la nation : comment le préserver de l’espionnage ?

Potentiel scientifique et technique de la nation : comment le préserver de l’espionnage ?

La captation d’informations relatives à l’activité scientifique et technologique d’une nation met à mal sa stabilité et sa compétitivité. Évoqué lors du dernier sommet des Five Eyes, la protection du potentiel scientifique et technique des nations nécessite des mesures de cybersécurité maximales.  

Définition du potentiel scientifique et technique

Le potentiel scientifique et technique de la nation constitue « l’ensemble des biens matériels et immatériels propres à l’activité scientifique fondamentale et appliquée au développement technologique de la nation française ». En d’autres termes, il s’agit de savoirs et de savoir-faire hautement stratégiques et de technologies sensibles, produits et développés au sein d’établissements publics et privés sur le territoire national. Leur accès ainsi que leur protection sont ainsi formellement réglementés.

Une première protection : le dispositif PPST

Depuis 2011, la France a mis en place la Protection du Potentiel Scientifique et Technique (PPST). Ce dispositif réglementaire de sécurité, de niveau interministériel, piloté par le Secrétariat général de la Défense et de la Sécurité nationale (SGDSN), concerne 6 ministères :

  • Ministère de l’agriculture
  • Ministère de la défense
  • Ministère du développement durable
  • Ministère de l’économie et des finances
  • Ministère de la santé
  • et Ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation

Il vise ainsi à prévenir toute fuite ou tentative de captation de ces informations sensibles, grâce notamment à la création de zones à régimes restrictif (ZRR). Celles-ci, lieux de recherche ou de production par exemple, présentent un intérêt fort pour la nation. Un contrôle strict des accès physiques ou virtuels aux informations sensibles y est donc opéré.

Le PPST complète d’autres systèmes de sécurité. Comme par exemple, celui pour la protection des Organismes d’importance vitale (OIV) ou du secret de la défense nationale.

Quels sont les risques en cas d’exposition de ces informations sensibles ?

En cas de captation, ces informations relatives au potentiel technique et scientifique de la nation peuvent être détournées. Et ce, à des fins de déstabilisation ou criminelles. Il existe ainsi 4 catégories de risques

  1. Atteinte aux intérêts économiques de la nation 
  2. Développement d’arsenaux militaires 
  3. Prolifération des armes de destruction massive 
  4. Terrorisme

Secteurs concernés 

Voici les différents secteurs scientifiques et techniques concernés par le PPST :

  • la biologie,
  • la médecine,
  • la santé,
  • la chimie,
  • les mathématiques,
  • la physique,
  • les sciences agronomiques et écologiques,
  • les sciences de la terre, de l’univers et de l’espace,
  • les sciences et technologies de l’information et de la communication
  • les sciences de l’ingénieur…

Ainsi, des laboratoires de recherche, des entreprises et des universités ont besoin d’être protégés des risques d’interception de données.

Protéger le potentiel scientifique et technique du cyberespionnage

L’accès aux ZRR peut être physique mais aussi virtuel. C’est pourquoi, la sécurité des systèmes d’informations constitue un enjeu majeur pour protéger le potentiel scientifique et technique du cyberespionnage.

Sécuriser les systèmes d’informations à régime restrictif (SIRR)

potentiel scientifique et technique de la nation

Un système d’information à régime restrictif (SIRR) fait transiter des informations à régime restrictif (IRR), c’est-à-dire sensibles et dont leur divulgation présenterait un ou plusieurs des risques précédemment cités. Leur accès constitue donc un accès virtuel à une zone RR. À noter que les SIRR sont soumis à l’instruction interministérielle n°901 sur la protection du secret et de la défense nationale.

Dans le guide de la protection numérique du potentiel scientifique et technique de la nation publié par l’ANSSI figure une liste de mesures de sécurité à mettre en œuvre par les organisations disposant d’un SIRR. Parmi elles, le déploiement d’une politique de sécurité des systèmes d’informations (PSSI). Celle-ci liste l’ensemble des bonnes pratiques et procédures en matière de sécurité informatique à respecter par les collaborateurs et autres parties prenantes.

En effet, le SIRR englobe tous types de supports et équipements électroniques : ordinateurs portables, clés USB ou serveurs… et suppose donc en parallèle une sensibilisation à la cybersécurité des utilisateurs.

Exemples de mesures de sécurité à mettre en place :

  • chiffrement des communications
  • chiffrement des disques durs des postes de travail
  • contrôle d’accès

Veiller à la sécurité des postes de travail

Les postes de travail contiennent un certain nombre d’informations sensibles qui doivent être protégées. L’ANSSI rappelle l’importance de supprimer l’entièreté des données présentes sur un poste de travail, avant une réattribution de matériel.  De la même façon, il est essentiel de supprimer les droits d’accès aux systèmes d’informations, dès la fin de période d’emploi d’un utilisateur.

Utiliser une technologie de chiffrement de bout en bout des communications

Les outils de communication déployés dans les entreprises, notamment dans des établissements en zone RR, doivent répondre à un niveau de sécurité maximale. D’abord, la solution utilisée doit être Secure by design et respecter ainsi un certain nombre de critères de sécurité, de sa conception jusqu’à son déploiement dans l’organisation. Ainsi, son impact sur la sécurité du réseau de l’entreprise sera nettement diminué voire nul. D’autre part, les communications échangées sur des messageries en ligne ou en visioconférence sont la cible d’espionnage informatique et industriel. Seule une technologie de chiffrement de bout en bout des flux de communications audio, vidéo et data peuvent éviter la récupération de ses données.

Faire preuve de la plus grande réactivité en cas d’attaque

En cas de crise cyber, une solution de communication sécurisée et d’urgence est également indispensable pour assurer la continuité d’activité de l’établissement. Elle doit permettre aux collaborateurs de poursuivre leurs échanges grâce à un canal de communication « out of band », c’est-à-dire différent de celui utilisé habituellement.

visa de sécurité ANSSI

Le logiciel de visioconférence sécurisée Tixeo, certifié et qualifié par l’ANSSI, répond à ce besoin. Grâce à sa technologie de chiffrement de bout en bout souveraine et son déploiement hautement sécurisé en version on-premise, il permet d’accompagner les établissements dans leur gestion de crise et leur cyber-résilience

Premier sommet des Five Eyes sur le sujet en 2023

Les 16 et 17 octobre 2023 a eu lieu pour la première fois un sommet des Five Eyes sur la thématique de la protection du potentiel scientifique et technique de la nation.

Lors de ce sommet, les 5 pays de la coalition (États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande) ont alerté sur les menaces qui pèsent sur l’innovation et la recherche. Plus particulièrement, le gouvernement chinois a été ciblé comme principal danger pour l’innovation et les intérêts des nations. « Le gouvernement chinois est engagé dans le vol de propriété intellectuelle et l’acquisition d’expertise la plus soutenue et sophistiquée, qui n’a aucun précédent dans l’histoire de l’humanité », a déclaré Mike Burgess, directeur général des services de renseignement australiens. Les opérations d’espionnage industriel, d’origine chinoise, connaissent en effet une hausse sans précédent. « Les secteurs de l’intelligence artificielle, de l’informatique quantique et de la biologie de synthèse sont particulièrement ciblés en ce moment. ». Une recrudescence du cyberespionnage d’origine étatique qui n’épargne pas non plus les pays européens.

Le document Cinq principes pour sécuriser la recherche et l’innovation, publié à l’issue du sommet, présente plusieurs préconisations pour maximiser la protection du potentiel scientifique et technique. Parmi elles : la connaissance et gestion des risques cyber, la protection de l’environnement de travail, la sensibilisation des collaborateurs ou encore la sécurisation des partenariats, fournisseurs et prestataires de services.

Comment évaluer la crédibilité d’une certification de sécurité ?

Comment évaluer la crédibilité d’une certification de sécurité ?

Pour démontrer leur fiabilité, les solutions informatiques peuvent obtenir une certification de sécurité. Celle-ci constitue un atout fort pour les produits IT sur le marché, dans un contexte où la cybersécurité est désormais un enjeu crucial pour les organisations. Mais, d’un pays à l’autre, comment s’assurer de la crédibilité d’une certification de sécurité ?

Qu’est-ce qu’une certification de sécurité ?

La certification de sécurité pour les solutions et logiciels informatiques consiste à évaluer le produit selon des normes de cybersécurité spécifiques. Celles-ci peuvent être relatives à un secteur et aux réglementations en vigueur au sein de la nation. Ainsi, selon le pays émetteur de la certification, celle-ci ne répondra pas aux mêmes exigences en matière de cybersécurité. C’est pourquoi, il est important d’analyser les critères qui permettent d’établir un niveau de crédibilité de la certification cyber.

Critères pour déterminer le niveau de crédibilité

La puissance cyber de la nation

La puissance cyber ou « cyber power » participe au rayonnement d’une nation sur le plan international. Il s’agit de sa capacité à utiliser les technologies numériques et le cyberespace pour atteindre ses objectifs nationaux et internationaux, grâce à des stratégies gouvernementales, des opérations défensives ou encore la mobilisation de ressources. Différents indices mondiaux permettent de déterminer ce niveau de puissance cyber.

L’indice NCPI du Harvard Belfer center

Le National Cyber Power Index (NCPI) du Belfer Center est un index de puissance cyber des nations. L’indice utilise des modèles de données qualitatifs et quantitatifs pour évaluer les capacités et l’atteinte des objectifs des Etats. Il se réfère à 29 indicateurs, répartis dans deux catégories :  

  • Les indicateurs d’intention

Les indicateurs d’intention (intent indicator) reflètent les priorités et les motivations d’un État en matière de cybersécurité. En d’autres termes, il démontre la façon dont le pays envisage d’utiliser ses capacités cybers, en fonction de ses objectifs stratégiques et politiques. Ceux-ci sont divers : défense, espionnage, contrôle de l’information, influence dans la définition des normes du cyberespace ou opérations offensives.

  • Les indicateurs de capacité

Les indicateurs de capacité (capability intent) évaluent les capacités techniques et les ressources d’un pays sur le plan cyber, indépendamment de la manière dont il a choisi de les utiliser. Cela inclut notamment : l’expertise technique, l’infrastructure, les outils et technologies disponibles, et les ressources humaines qualifiées en cybersécurité.

Les résultats du rapport NCPI 2022

Dans le rapport NCPI 2022, les auteurs ont évalué la puissance cyber de 30 pays dans le monde. Ainsi, dans le top 10, on trouve les Etats-Unis, la Chine, la Russie, le Royaume-Uni et la France en 9ème position. L’Allemagne et les Pays-Bas se situent plus bas dans le classement.

La France obtient un score de capacité d’environ 40 pour l’objectif d’« influence dans la définition des normes du cyberespace » et se situe ainsi en 4ème position. En score d’intention, la France se classe dans le top 4 des nations les plus impliquées dans l’objectif de défense.

certification de sécurité
certification de sécurité

L’évaluation de l’Internal institute for strategics studies (IISS)

L’IISS a également développé une méthodologie pour déterminer les capacités cybers d’une nation et la façon dont celles-ci contribuent à sa puissance. L’institut classe ces capacités en 7 catégories distinctes :

  1. Stratégie et doctrine
  2. Gouvernance, commandement et contrôle
  3. Capacité essentielle de cyberespionnage
  4. Habilitation et dépendance à l’égard du cyberespace
  5. Cybersécurité et résilience
  6. Leadership mondial dans les affaires du cyberespace
  7. Capacité de cybersécurité offensive

Dans son « Cyber Capabilities and National Power » publié en 2021, l’IISS analyse la position de la France dans ces domaines. On peut y lire que « La France est à bien des égards le premier pays de l’UE en matière de cybersécurité et de planification de la résilience. »

La transparence de la France sur la cybersécurité

D’autre part, la France ferait preuve d’une plus grande transparence sur la question de la cybersécurité. En effet, le rapport stipule que le pays « maintient une séparation claire entre les opérations cybernétiques défensives et offensives. ». Ainsi, l’ANSSI (Agence Nationale de la Sécurité des systèmes d’informations) se consacre exclusivement aux opérations défensives et ne fait pas partie de la communauté du renseignement, contrairement à la National Security Agency (NSA) aux États-Unis ou du Government Communications Headquarters (GCHQ) au Royaume-Uni. « Cette distinction est importante pour certains en France, sur la base de l’hypothèse que les objectifs et le domaine de compétence d’une agence de renseignement, notamment sa disposition envers le secret, peuvent interférer avec certains des objectifs et des pratiques nécessaires à la cybersécurité du secteur civil, y compris le besoin d’une plus grande transparence concernant les violations de cybersécurité. »

La cyber power d’une nation est donc un des critères essentiels à prendre compte pour évaluer la crédibilité d’une certification de sécurité émise par un pays. En effet, lorsqu’un pays est hautement classé, cela démontre son haut niveau d’exigence et de capacité en matière de cybersécurité. L’autre critère décisif est celui du schéma de certification national.  

Le schéma de certification national

L’unique standard international pour l’évaluation de la sécurité des produits et systèmes informatiques est le Common Criteria (CC). Celui-ci analyse des critères techniques, mais aussi organisationnels et relatifs aux process de l’entreprise afin d’attribuer un niveau de sécurité plus ou moins élevé (7 niveaux).

Ces critères sont très exigeants et supposent la mise en place de moyens importants par les organisations. Ainsi, seules des grandes entreprises ou des grands groupes ont les moyens de prétendre à une certification du CC. Or, cette difficulté d’attribution est en opposition avec la volonté de développer un système numérique de confiance, regroupant des organisations de toutes tailles, multi-nationales comme PME.

Pour faciliter cette démarche de certification, la France et l’Allemagne, forts de leur expérience de pays certificateurs, ont créé des schémas de certification nationaux, orientés sur l’évaluation technique des produits :

Ces schémas ont permis d’élargir la certification à un plus grand nombre de solutions informatiques, et de renforcer leur visibilité, tout en garantissant leur haut niveau de sécurité. En effet, la crédibilité de ces schémas de certification nationaux repose avant tout sur celle du pays émetteur.

L’expérience de la nation dans la délivrance de certification

certification cyber
Nombre de certifications CC délivrées en 2022 par pays
(Common Criteria Statistics Reports 2022)

L’expérience de la nation dans la délivrance de certifications compte pour beaucoup dans la crédibilité de son schéma de certification. Et pour cause, le nombre de produits certifiés démontre une expertise et un engagement particulier pour la cybersécurité.

En 2022, selon le Common criteria Statistics report, la France, via l’ANSSI, est le leader mondial en nombre de certifications Common Criteria délivrées, avec 74 produits certifiés. Sur les 5 dernières années, la France est le deuxième pays ayant délivré le plus de certifications, juste derrière les Etats-Unis.

En résumé, la crédibilité d’une certification de sécurité repose sur trois critères principaux :

  • La puissance cyber de la nation émettrice de la certification
  • L’engagement du pays pour développer un système numérique de confiance, à travers son schéma de certification national
  • L’expérience de la nation dans la certification

La France, l’une des puissances cyber les plus crédibles  

La France apparaît comme l’une des puissances cyber les plus crédibles et expérimentées. D’abord, en raison des différents indices de « cyber power » et grâce à son expérience dans l’évaluation de produits informatiques.

Ainsi, les solutions certifiées par l’ANSSI bénéficient de garanties de sécurité importantes et d’une confiance accrue.

Tixeo, seule solution de visioconférence sécurisée certifiée et qualifiée par l’ANSSI

Grâce à sa technologie de chiffrement de bout en bout souveraine et son offre de visioconférence sécurisée on-premise, Tixeo est certifiée et qualifiée par l’ANSSI depuis 2017.

Avec trois certificats de sécurité de l’ANSSI reçus en 6 ans, l’entreprise marque une continuité dans son engagement pour la sécurité. Un haut niveau d’exigence cyber qui va au-delà de l’aspect purement « marketing » de la certification.