Secure by design : l’approche ultime pour la sécurité d’un logiciel ?

Secure by design : l’approche ultime pour la sécurité d’un logiciel ?

La conception et le développement d’un logiciel sécurisé peut répondre à différentes approches. Celle du Secure by Design offre des garanties particulières en matière de cybersécurité. Voici lesquelles.  

Qu’est-ce que le Secure by Design ?

L’approche du Secure by Design consiste à concevoir un logiciel ou une application en prenant en compte les notions de cybersécurité dès les premières étapes de sa conception. L’objectif premier est de prévenir au plus tôt les risques de failles de sécurité et ainsi de les éviter.

Pour les éditeurs logiciels, le Secure by Design implique que la sécurité soit un élément fondamental, voire primordial dans chaque phase du cycle de vie du produit. De cette manière, ils peuvent identifier et corriger les vulnérabilités potentielles avant la mise sur le marché.

Ainsi, un logiciel Secure by Design ne se résume pas à une somme de fonctionnalités sécurisées mises bout à bout, mais répond à une architecture globale fondée sur la cybersécurité.

Les enjeux du logiciel sécurisé 

Avec l’approche Secure by Design, un logiciel est spécifiquement développé, testé et maintenu pour minimiser le nombre de failles exploitables. Elle permet aux entreprises de bénéficier d’une sécurité « par défaut ». Celle-ci limite le besoin d’actions supplémentaires de la part des utilisateurs ou des équipes internes. À la clé : un gain de fiabilité, de temps et de ressources. Ces garanties en matière de cybersécurité sont essentielles, notamment dans des contextes sensibles.

Alors que les attaques sur la chaîne d’approvisionnement (ou supply chain attack) se multiplient aujourd’hui, cette sécurité préventive est indispensable. Rappelons que ce type d’attaques visent des prestataires ou fournisseurs travaillant auprès d’organisations critiques, afin d’accéder à leurs données de façon détournée. Dans le rapport de la cybermenace 2023 de l’ENISA, on apprend ainsi que « 61 % des entreprises ont été impactées par une attaque de la chaîne d’approvisionnement logicielle au cours des douze derniers mois, et le coût total de ces attaques pour les entreprises augmentera de 76 % en 2026 par rapport à 2023. ». Choisir un logiciel sécurisé participe également à limiter ce risque d’attaques. Les fournisseurs et éditeurs de logiciels, particulièrement dans des secteurs critiques comme la défense ou l’industrie, sont en première ligne face à cette cybermenace.

Les critères clés du Secure by Design

Analyse des risques et des menaces

Les fabricants de logiciels Secure by Design doivent évaluer régulièrement les risques inhérents à leur activité et identifier les principales cybermenaces. Des mesures adaptées pourront ainsi être intégrées dans le développement des produits pour y répondre. Cette gestion des risques permet d’anticiper les évolutions des cybermenaces et d’adapter la sécurité du produit en conséquence.

Développement sécurisé et transversalité

Avant même d’entamer le processus de développement d’un logiciel Secure by Design, les points de défaillance potentielles doivent être analysés. Dans le cas d’un logiciel de visioconférence, l’analyse des interactions entre les utilisateurs de la solution, mais aussi éventuellement avec d’autres services, est fondamentale. Face à ces vulnérabilités potentielles, des solutions sont trouvées et intégrées lors des phases de développement.

Les éditeurs sont également encouragés à utiliser des modèles de menace personnalisés durant le développement du logiciel et à adopter une approche globale de la cybersécurité. Par exemple, en investissant des ressources dédiées à chaque étape du processus de conception et de développement. Cela nécessite une collaboration entre les dirigeants de l’entreprise et les équipes techniques, de la conception initiale à la maintenance.

Lire également : Cybersecurité : les dernières tendances à connaître pour rester en sécurité

Vérification et validation du logiciel sécurisé

La vérification et la validation sont deux aspects clés dans l’approche Secure by Design :

  • La vérification porte sur l’assurance que le produit respecte les spécifications de conception
  • La validation concerne l’assurance que le produit réponde aux besoins des utilisateurs

Ces deux pratiques sont intégrées dès les premières phases du développement et se poursuivent tout au long du cycle de vie du produit. Elles permettent de détecter et de résoudre les problèmes potentiels rapidement, afin de réduire les coûts et les délais associés à la correction des défauts en phase finale.

En résumé, l’approche Secure by Design consiste à intégrer des mesures de cybersécurité dès les premières étapes de la conception d’un logiciel. Elle aide à prévenir les risques de failles de sécurité avant sa mise sur le marché. Cette méthode garantit que la sécurité soit un élément fondamental du cycle de vie du produit, afin d’identifier et de corriger les vulnérabilités potentielles en amont. En conséquence, les logiciels développés selon l’approche Secure by Design offrent une sécurité « par défaut », réduisant le besoin d’interventions supplémentaires et améliorant la fiabilité et la performance des solutions dans des organisations critiques.

Tixeo, solution de visioconférence Secure by Design  

Alors que des événements géopolitiques d’envergure ont lieu cette année, les communications en ligne sensibles sont la cible d’attaques d’espionnage. L’utilisation d’un logiciel de visioconférence Secure by Design est fortement recommandé pour y faire face, et notamment dans le cadre de la directive NIS 2.

Depuis plus de 15 ans, les équipes R&D de Tixeo emploient l’approche Secure by Design pour concevoir la solution de visioconférence la plus sécurisée du marché européen.

Certaines solutions se revendiquent comme étant sécurisées, alors qu’elles ont simplement rajouté des couches de sécurité aux derniers stades de leur développement, pour répondre à certains besoins ou exigences.

De sa conception initiale à son déploiement dans les organisations, Tixeo intègre la sécurité à tous les niveaux. L’éditeur a développé sa propre technologie de chiffrement de bout en bout, proposée par défaut dans le logiciel. Celle-ci protège tous les flux de communications audio, vidéo et data de l’espionnage, et ce, quel que soit le nombre de participants. Son déploiement dans les organisations limite les impacts de sécurité et est même proposé en version on-premise, pour un contrôle total de la solution par l’organisation.

Depuis 7 ans, Tixeo est ainsi certifiée et qualifiée par l’ANSSI pour son logiciel de visioconférence Secure by Design.

3 usages de l’outil de communication de secours

3 usages de l’outil de communication de secours

Sur site ou en télétravail hybride, l’outil de communication de secours devient un indispensable dans les secteurs critiques. Pourquoi et quels sont ses usages ?

Qu’est-ce qu’un outil de communication de secours ?  

Dans les entreprises, l’outil de communication principal déployé revêt différentes fonctions :  

  • des équipes projets et opérationnelles l’utilisent pour collaborer,
  • des partenaires ou des fournisseurs s’y connectent pour échanger des informations
  • ou des équipes techniques peuvent y partager des informations sur l’état des infrastructures réseaux.

Il est également utilisé par les collaborateurs et dirigeants pour effectuer des réunions en ligne, sur des sujets plus ou moins sensibles. Cet outil globalisé est donc hautement stratégique dans la vie d’une organisation et peut être la cible de cyberattaques ou de divers dysfonctionnements.

Dans ces cas de figure, pouvoir s’appuyer sur une solution de communication de secours est indispensable. Déployée également à l’échelle de l’organisation, cette solution doit permettre aux équipes de poursuivre leurs échanges en toutes circonstances. À la clé, un gain de temps, de sécurité et d’efficacité pour l’entreprise, en attendant que l’outil généralement utilisé soit à nouveau opérationnel.  

Quel déploiement dans une organisation ?

L’outil de communication de secours est généralement déployé sur une infrastructure dédiée au sein de l’entreprise, hors des réseaux traditionnels, afin de permettre des communications out-of-band. Ainsi, en cas de crise, les équipes bénéficient de canaux de communications dédiés et sécurisés. Elles peuvent ainsi répondre aux incidents et assurer la continuité et la reprise d’activité plus facilement.

Pour une solution de visioconférence de secours, le déploiement on-premise est privilégié. Il permet à l’entreprise d’être maître dans son installation et sa maintenance et ainsi de limiter les risques externes de sécurité. Elle pourra ainsi décider de connecter la solution à Internet, ou au contraire, de la réserver à un usage interne uniquement.

En version on-premise, Tixeo, solution de visioconférence Secure by Design, se déploie sans impact sur la politique de sécurité du réseau général de l’organisation.

Lire l’article : Qu’est-ce qu’une communication out-of-band ?

Usage n°1 : coordonner les équipes en cas de crise

Une attaque DDoS vient de se produire et de nombreux services internes, dont l’outil de visio-collaboration principal, sont inaccessibles. Les équipes de gestion de crise, présentes sur site ou à distance, doivent communiquer en urgence par le biais d’un autre logiciel, afin de se coordonner rapidement et se répartir les tâches.

En mars 2024, une attaque par déni de service distribué (DDoS) majeure avait ciblé plusieurs ministères français, perturbant notamment l’accès à des sites web et des systèmes de messageries. Dans un contexte de tensions géopolitiques, ce type d’attaques est en recrudescence, au sein des administrations publiques, mais aussi du secteur bancaire.

Pour rappel, une attaque DDoS consiste à générer un flux massif de trafic Internet vers une infrastructure cible (comme un site web) par le biais d’un réseau de machines infectées (botnet). Celles-ci vont envoyer un grand nombre de requêtes simultanées à la cible afin de saturer le réseau et rendre le site ou le service indisponible.

Usage n°2 : assurer la continuité d’activité

En pleine crise, les collaborateurs peuvent s’appuyer sur l’outil de communication de secours pour continuer à échanger entre équipes : un aspect essentiel pour assurer la continuité d’activité, mais aussi préparer le retour à la normale.

Dans une usine de production par exemple, si un ransomware paralyse le réseau interne, les responsables doivent garder un lien direct avec les équipes afin de maintenir les lignes de production. Ils ont également pour mission de suivre la réception des matières premières et l’expédition des produits avec leurs fournisseurs.

En cas de panne réseau empêchant l’accès aux systèmes de gestion des équipements et des interventions, les techniciens nécessitent de pouvoir communiquer via un outil de communication de secours sur leurs opérations.

Enfin, dans le secteur bancaire, une cyberattaque peut toucher des plateformes de trading. Les collaborateurs doivent pouvoir continuer à communiquer pour prendre des décisions rapides et passer des ordres.

Usage n°3 : Communiquer en interne sur des situations d’urgence

En cas d’incident cyber ou autre, les collaborateurs peuvent se sentir démunis face à l’indisponibilité de leur outil de collaboration. C’est encore plus le cas pour les salariés en télétravail qui se retrouvent isolés sans pouvoir interagir facilement avec leur manager ou leurs collègues. L’outil de communication de secours va permettre de maintenir une communication en temps réel, à la fois entre les équipes, mais aussi sur la résolution de l’incident. Ainsi, les collaborateurs disposeront d’un même niveau d’information et pourront mieux organiser leur travail.

En juin 2023, le CHU de Rennes a subi une cyberattaque et a immédiatement réagi en coupant la connexion Internet de l’établissement. La directrice des services numériques (DSN) a expliqué les quatre facteurs qui ont permis à l’hôpital d’éviter un chiffrement de ses données. Parmi eux, « la communication interne et externe », via des « canaux prédéfinis », ont permis de tenir informé l’ensemble des parties prenantes de l’organisation. En effet, en communiquant rapidement et à l’échelle de l’organisation sur la situation d’urgence, on évite également que la situation ne s’aggrave (clic sur un mail compromis, connexion sur un réseau corrompu…).

Autres usages : formation et sécurité en télétravail

L’outil de collaboration sécurisée peut par ailleurs servir à la formation de salariés sur des sujets sensibles ou des procédures spécifiques, liées par exemple à la sécurité de locaux ou la protection d’une activité. Par ailleurs, la solution de communication de secours s’avère utile pour préparer des équipes à des situations d’urgences, lors de simulations de crise. En effet, effectuer périodiquement ce type d’opérations permet de renforcer sa cyber-résilience.  

L’outil de communication de secours pour la conformité à NIS 2

Plus de 100 000 entreprises européennes devront obligatoirement se conformer à la Directive NIS 2 dès octobre 2024, pour renforcer leur cybersécurité.

Dans son article 21.2.c, la Directive indique que les mesures de sécurité mises en place doivent permettre « la continuité des activités, comme la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises ». Le déploiement d’un outil de communication de secours constitue ainsi un des leviers pour permettre aux équipes d’être toujours en lien pendant une crise.

Cette recommandation rejoint celle de l’article 21.2.j, relatif à l’utilisation de « solutions de communications vocales, vidéos et textuelles sécurisées et systèmes de communication d’urgence ». En d’autres termes, pour les entreprises concernées par NIS 2, il est impératif que l’outil de communication de secours déployé réponde à des critères de sécurité strictes (chiffrement de bout en bout, déploiement et accès sécurisés…).

Tixeo, solution de visioconférence certifiée et qualifiée par l’ANSSI, est adaptée à des communications out-of-band et répond aux exigences de NIS 2.

Découvrir TixeoServer

FAQ de l’article : 

Comment est généralement déployé l’outil de communication de secours ?

Il est généralement déployé sur une infrastructure dédiée au sein de l’entreprise, hors des réseaux traditionnels.

Quel est l’avantage d’un déploiement on-premise pour une solution de visioconférence de secours ?

Le déploiement on-premise d’une solution de visioconférence permet à l’entreprise d’être maître de son installation et de sa configuration sur des serveurs dédiés et décider de l’ouvrir ou non à Internet. En cas de cyberattaque ou de panne informatique, elle pourra ainsi effectuer des communications « out-of-band » pour maintenir le lien entre ses équipes.

Quel est le premier usage important d’un outil de communication de secours ?

Coordonner les équipes en cas de crise, comme lors d’une attaque DDoS qui rendrait inaccessibles les services internes habituels.

Comment l’outil de communication de secours aide-t-il à assurer la continuité d’activité ?

Il permet aux équipes, notamment impliquées dans la gestion de crise, de continuer à échanger ensemble, notamment pour réaliser des opérations spécifiques ou faire des points de situation.

Quel rôle joue l’outil de communication de secours dans la communication interne lors de situations d’urgence ?

Il permet de maintenir une communication en temps réel entre les équipes sur la résolution de l’incident, assurant un même niveau d’information pour tous les collaborateurs.

Quels sont les autres usages possibles d’un outil de communication de secours ?

Il peut servir à la formation des salariés sur des sujets sensibles et à la préparation des équipes lors de simulations de crise.

Comment l’outil de communication de secours s’inscrit-il dans la conformité à la Directive NIS 2 ?

Il répond aux exigences de l’article 21.2.c sur la continuité des activités et la gestion des crises, ainsi qu’à l’article 21.2.j sur l’utilisation de solutions de communications sécurisées et de systèmes de communication d’urgence.

Quelles caractéristiques doit avoir l’outil de communication de secours pour répondre aux exigences de NIS 2 ?

Il doit répondre à des critères de sécurité stricts, comme le chiffrement de bout en bout, un déploiement et un accès sécurisés. La certification et qualification de l’ANSSI sont également gages de confiance.

Quels sont les principaux défis de la communication en situation de crise ?

La communication en situation de crise nécessite de s’appuyer sur des outils sécurisés, pouvant être opérationnels en toutes circonstances, même en dehors de réseaux traditionnels et sans connexion Internet. Les équipes de gestion de crise doivent pouvoir se répartir les tâches facilement et rapidement, même en mode hybride.

Quels outils de communication peuvent être utilisés lors d’une crise ?

L’outil de visioconférence sécurisée, déployé sur les serveurs de l’organisation, peut être utilisé pour faciliter la communication directe entre les équipes et la collaboration à distance sur des sujets sensibles.

NIS 2 : les raisons de choisir Tixeo pour votre conformité

NIS 2 : les raisons de choisir Tixeo pour votre conformité

Tixeo Blog
Tixeo Blog
NIS 2 : les raisons de choisir Tixeo pour votre conformité
Loading
/

Recourir à une solution de communication sécurisée ne sera plus l’exception des OIV avec la Directive NIS 2. Des organisations dans de multiples secteurs (transports, administrations publiques, eau potable ou gestion des déchets…) doivent renforcer leur cybersécurité et la confidentialité de leurs échanges en ligne.

Qu’est-ce que la Directive NIS 2 ?

La Directive NIS 2 succède à la Directive« Network and Information Security » (NIS), adoptée en 2016 par le Parlement européen et le Conseil de l’Union européenne. Cette nouvelle version a pour objectif principal d’élargir le périmètre des secteurs concernés par le renforcement de la cybersécurité et de la cyber-résilience.

Avec l’entrée en vigueur de la Directive en octobre 2024, des milliers d’organisations européennes devront assurer aux normes de conformité exigeantes de NIS 2. En effet, de plus en plus d’entreprises et d’institutions sont concernées par les risques de cyberattaques et leurs conséquences graves, notamment sur le plan financier.

La Directive NIS 2 emploie donc une « approche tous risques » pour élever le niveau de sécurité informatique des organisations. Elle recommande ainsi la combinaison de multiples stratégies cyber. Parmi elles :

  • l’analyse des risques,
  • le traitement des incidents,
  • la continuité des activités,
  • la sécurité de la chaîne d’approvisionnement,
  • ou encore l’utilisation de solutions de communication sécurisés

Comment analyser les risques liés aux communications en ligne ?

Utiliser un logiciel de visioconférence non sécurisé pour les réunions en ligne expose les organisations à trois risques principaux :

  • l’espionnage des communications, qui engendre des vols de données sensibles voire même classifiées,
  • la perte d’activité, liée à la compromission de l’outil de communication principal, et entraînant l’impossibilité pour les équipes de rester en lien et d’assurer la continuité d’activité,
  • un coût financier important, consécutif aux deux risques précédents et à l’impact négatif de ces incidents sur la réputation de l’organisation.

Dans son dernier panorama de la cybermenace, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a d’ailleurs observé une augmentation de l’espionnage, ciblant notamment des entreprises de la base industrielle et technologique de défense (BITD).

Pour la conformité NIS 2, les DSI et RSSI des secteurs critiques concernés doivent donc aujourd’hui quantifier la masse d’informations transitant via leur outil de communication et de visioconférence et qualifier leur sensibilité. Ils pourront ainsi évaluer les risques et leurs conséquences financières à l’échelle de leur organisation et les comparer au coût d’une solution de visioconférence sécurisée.

En savoir plus sur les secteurs concernés par NIS 2

Les enjeux de la visioconférence sécurisée pour la conformité NIS 2

L’utilisation de solutions de communication sécurisées fait partie des moyens pour limiter les risques de cybersécurité et assurer la cyber-résilience.

Continuité des activités

L’article 21.2.c sur la continuité des activités de la Directive NIS 2 indique que les mesures de sécurité mises en place dans les organisations doivent permettre « la continuité des activités, comme la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises ». Le déploiement d’une solution de communication sécurisée constitue un des leviers pour permettre aux équipes de poursuivre leurs échanges en toutes circonstances. 

Confidentialité des communications

Parmi les recommandations de la Directive NIS 2, on retrouve également la mise en place de « politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement » (article 21.2.h). et de « solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence ». Les solutions de visioconférences sécurisées, chiffrées de bout en bout, garantissent la confidentialité des flux de communication, notamment lors de situations d’urgence.    

Pour assurer la conformité à NIS 2, la solution de communication sécurisée choisie doit à la fois :

  • proposer une technologie et des fonctionnalités de collaboration fiables
  • et répondre aux besoins les plus stricts de l’organisation en matière de sécurité informatique et de protection des données et flux de communication.

Pourquoi choisir Tixeo pour se conformer à NIS 2 ?

Origine de la solution

Pour une solution de visioconférence sécurisée, la souveraineté est cruciale. Elle garantit non seulement la sécurité des données mais aussi l’autonomie stratégique des entreprises et des organisations européennes.

Tixeo a choisi de concevoir sa solution en totale indépendance. L’éditeur français propose une technologie propriétaire qui limite les dépendances technologiques et les failles de sécurité externes. De plus, ses solutions dans le cloud sont hébergées auprès d’opérateurs souverains, localisés en Europe et conformes au RGPD. Les données des utilisateurs bénéficient donc d’une totale protection.

Déploiement on-premise

Grâce à son déploiement on-premise, la visioconférence sécurisée Tixeo peut fonctionner sur un réseau dédié dans l’organisation. En d’autres termes, dans le cas d’une compromission de l’accès à Internet ou de la solution collaborative principale, Tixeo sera toujours opérationnelle pour permettre des communications out-of-band. Cela est particulièrement recommandé avec NIS 2 pour la continuité d’activité.

En cas de crise, les équipes peuvent poursuivre leurs réunions en ligne et assurer la reprise d’activité dans les meilleurs délais.

Par ailleurs, l’open-space virtuel chiffré de bout en bout Tixeo offre la possibilité de créer des espaces de travail collaboratifs. Ceux-ci permettent de mieux structurer les échanges liés à la gestion de crise. À la clé, une amélioration de l’agilité dans l’organisation.

Enfin, le déploiement on-premise de Tixeo nécessite l’ouverture d’un seul port réseau. À la clé, une limitation ce des impacts sur la politique de sécurité informatique de l’entreprise. La rapidité et la fiabilité du déploiement répondent aux exigences de sécurité les plus strictes, notamment en situation de crise.

Chiffrement de bout en bout

La technologie de chiffrement de bout en bout multipoints, développée depuis près de 10 ans par Tixeo, garantit une totale confidentialité aux flux de communications audio, vidéo et data.

Il est ainsi impossible pour une personne extérieure à une réunion en ligne, comme pour l’éditeur lui-même, d’accéder aux communications qui transitent par la solution. Le partage des fichiers et la messagerie instantanée en réunion sont également chiffrés de bout en bout.

Cette fiabilité technologique s’ajoute à la garantie de souveraineté du chiffrement Tixeo. En effet, en tant que technologie française respectant le RGPD, la solution n’est ainsi soumise à aucune loi extraterritoriale. Nul ne peut obliger Tixeo à autoriser l’accès aux données de ses visioconférences.

Plus d’informations sur la conformité de Tixeo au RGPD

Flexibilité et scalabilité de la solution

La visioconférence sécurisée Tixeo s’adapte aux besoins des organisations en matière d’intégration et de sécurité informatique. Sa scalabilité lui permet d’augmenter les usages de la visioconférence sans impacter les applications métiers. Dans des circonstances exceptionnelles, Tixeo accompagne ainsi les organisations pour leur permettre de réagir au plus vite et de poursuivre leurs communications en toute sécurité.   

Choisir Tixeo pour la conformité à NIS 2 présente donc trois bénéfices principaux :

  1. D’abord, la solution préserve la confidentialité des échanges sensibles, relatifs notamment aux procédures d’urgences en cas de crise,
  2. D’autre part, avec un déploiement on-premise, Tixeo assure la continuité des échanges internes (même sans Internet) et pallie à la compromission de la solution de communication principale,
  3. Enfin, en situation critique, recourir à Tixeo déjà déployé en interne évite d’utiliser dans l’urgence des solutions de communication non sécurisées, pouvant présenter des failles de sécurité.

Contactez un expert Tixeo

Tixeo, unique solution de visioconférence sécurisée certifiée et qualifiée par l’ANSSI

Depuis 2017, Tixeo bénéficie de la reconnaissance de l’Etat français grâce à sa certification et sa qualification de l’ANSSI.

Plus qu’une simple démarche marketing, le passage en certification et qualification est un exercice de transparence et de fiabilité. Tixeo l’a déjà réalisé à 6 reprises et avec succès. 

De plus, Tixeo évolue dans l’écosystème cyber français et européen depuis plusieurs années. La solution de visioconférence sécurisée souveraine a notamment obtenu :

Ces labels représentent des marques de confiance importantes, à l’heure où le choix de solutions véritablement sécurisées est décisif.

En savoir plus sur les labels reçus par Tixeo

En conclusion, la conformité à NIS 2 devient une obligation légale pour de nombreuses organisations. Cela concerne notamment les fournisseurs de services essentiels dans les secteurs de l’énergie et les transports ou encore les fournisseurs numériques. Le non-respect de ces normes de conformité peut entraîner de lourdes sanctions financières et nuire à la réputation de l’entreprise. Par conséquent, mettre en place une stratégie de conformité NIS 2 constitue également une étape essentielle pour assurer la pérennité de l’entreprise face aux cybermenaces.

Contactez un expert Tixeo


FAQ :

Qu’est-ce que la Directive NIS 2 ?

La Directive NIS 2 est la nouvelle version de la Directive “Network and Information Security” (NIS), adoptée en 2016 par le Parlement européen et le Conseil de l’Union européenne. Elle élargit le champ des secteurs concernés par le renforcement de la cybersécurité et de la cyber-résilience. Entrant en vigueur en octobre 2024, elle impose à des milliers d’organisations européennes de respecter des normes de conformité strictes pour se protéger contre les cyberattaques.

Quels sont les principaux risques liés aux communications en ligne non sécurisées ?

Utiliser une solution de communication non sécurisée expose les organisations à :
 
1.   L’espionnage des communications, entraînant des vols de données sensibles.
2.   La perte d’activité, due à la compromission de l’outil de communication principal.
3.   Des coûts financiers importants, résultant des incidents de sécurité et de l’impact sur la réputation de l’organisation.

Comment une solution de communication sécurisée aide-t-elle à la conformité NIS 2 ?

Une solution de communication sécurisée :
 
1.   Assure la continuité des activités en permettant aux équipes de continuer à échanger même en cas de crise.
2.   Garantit la confidentialité des communications grâce à des technologies de cryptage avancées, recommandées par la Directive NIS 2.
3.   Répond aux exigences de sécurité informatique et de protection des données, cruciales pour la conformité.

Pourquoi choisir Tixeo pour se conformer à la Directive NIS 2 ?

Tixeo présente plusieurs avantages pour la conformité à NIS 2 :
 
1.   Origine souveraine : Solution française, indépendante technologiquement et hébergée en Europe, conforme au RGPD.
2.   Déploiement on-premise : Fonctionne sur un réseau dédié, assurant la continuité d’activité même sans accès à Internet.
3.   Chiffrement de bout en bout : Garantit la confidentialité des flux de communication, impossible à intercepter par des tiers.
4.   Flexibilité et scalabilité : S’adapte aux besoins des organisations, permettant une augmentation des usages sans compromettre la sécurité.

Quels labels de sécurité et de conformité Tixeo a-t-elle obtenus ?

Tixeo a reçu plusieurs labels de reconnaissance, tels que :
 
1.   Label France Cybersecurity pour la sécurité des données et le chiffrement.
2.   Label Cybersecurity Made in Europe de la European Cyber Security Organisation (ECSO).

Quelles sont les conséquences du non-respect de la Directive NIS 2 ?

Le non-respect des normes de conformité de la Directive NIS 2 peut entraîner des sanctions financières sévères et porter gravement atteinte à la réputation de l’organisation. Assurer la conformité est donc essentiel pour protéger l’entreprise contre les cybermenaces et garantir sa pérennité.

En quoi consiste la certification et la qualification ANSSI de Tixeo ?

Depuis 2017, Tixeo est certifiée et qualifiée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations). Cette certification est un gage de transparence et de fiabilité, obtenue à six reprises. Elle atteste de la robustesse et de la sécurité de la solution de visioconférence Tixeo.

Découvrir les autres cas d’usages de Tixeo :

Qu’est-ce que la qualification SecNumCloud ?

Qu’est-ce que la qualification SecNumCloud ?

Alors que la sécurité et la souveraineté du cloud agitent les débats du projet EUCS, la qualification SecNumCloud demeure une référence dans le choix d’une solution cloud hautement sécurisée.  

SecNumCloud : une qualification de sécurité

En 2016, l’ANSSI (Agence nationale de la sécurité des systèmes d’informations) a conçu la qualification de sécurité SecNumCloud. Celle-ci a pour but de garantir un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing.

Les catégories d’audit et exigences

Pour bénéficier de la qualification SecNumCloud, le prestataire cloud doit prouver sa conformité aux normes de sécurité listées dans le référentiel. Classées en 6 catégories d’audit, elles comprennent plus de 350 points d’exigence.

Parmi eux :

  • la mise en place de politique de sécurité du système d’information et de gestion du risque,
  • le chiffrement des données stockées
  • l’identification, la gestion et la conformité dans la relation avec les tiers
  • la gestion des actifs et des identités numériques et physiques
  • la gestion des incidents et les garanties de continuité d’activité

Cette qualification atteste donc à la fois de l’excellence technique du prestataire certifié, de sa rigueur organisationnelle et de sa conformité aux réglementations en vigueur.

Une fois reçue, la qualification SecNumCloud s’apparente donc à une recommandation d’utilisation du service par l’Etat français.

SecNumCloud au cœur des débats sur l’EUCS et la loi SREN

La nouvelle loi SREN pour la régulation de l’espace numérique, adoptée le 10 avril 2024, vise notamment à contrer l’influence des géants américains du cloud. Elle pourrait ainsi favoriser le choix d’acteurs de cloud souverains, qualifiés SecNumCloud.

Par ailleurs, la suppression du critère de souveraineté du projet de schéma de certification européen EUCS a provoqué l’indignation de nombreux pays de l’UE. La France s’élève pour que la certification SecNumCloud soit intégrée dans le niveau le plus élevé de la certification EUCS.

Pourquoi choisir un opérateur qualifié SecNumCloud ?

Minimiser les risques de sécurité

L’opérateur cloud qualifié SecNumCloud met tout en œuvre pour assurer un niveau de sécurité élevé aux données des utilisateurs. Cela passe par des politiques de sécurité des SI et de gestion du risque robustes, avec une attention particulière portée à l’organisation de la gouvernance interne, à la sécurité des ressources humaines impliquées, à la sauvegarde des données ou encore à la maintenance.

La qualification SecNumCloud offre ainsi des garanties fortes en matière de continuité d’activité et de disponibilité de service.

De plus, les relations avec des tiers font l’objet de mesures de sécurité strictes et spécifiques. En effet, l’opérateur SecNumCloud doit pouvoir identifier clairement l’ensemble de ses parties prenantes et opérer un suivi des changements dans ses relations, tout en s’assurant de la confidentialité des données échangées. Cela permet de limiter les failles de sécurité d’origine externes, dans un contexte de multiplication des supply chain attack.

Renforcer la souveraineté  

Dans sa version 3.2, sortie en 2022, la qualification SecNumCloud a notamment intégré des mesures de protection contre les lois extraterritoriales souples en matière de protection des données, comme le Cloud Act. Elle assure aux citoyens et aux entreprises que leurs données ne seront jamais transférées à des tiers sans accord préalable et raison légitime, en conformité avec le RGPD. SecNumCloud préserve ainsi la souveraineté du paysage cloud français et limite les risques d’espionnage industriel.

Récemment, la Commission supérieure du numérique et des postes (CSNP) a d’ailleurs demandé d’étendre les obligations d’hébergement de données sensibles dans un cloud souverain, à toutes les administrations publiques, en accord avec la Directive NIS 2.

TixeoPrivateCloud : visioconférence sécurisée dans le cloud qualifié SecNumCloud

Dans les secteurs critiques où la digitalisation des données est massive, les attaques dans le cloud bouleversent la stabilité des entreprises. Les outils de visioconférence ne sont pas épargnés et leurs données doivent bénéficier de la plus haute protection contre l’espionnage.

Pour renforcer la sécurité des données, Tixeo héberge son offre de visioconférence dans le cloud privé, auprès de l’opérateur 3DS Outscale. Qualifié SecNumCloud, 3DS Outscale propose une fourniture de services Cloud en France par une entité de droit français, non soumise aux ingérences internationales.


FAQ :

Qu’est-ce que la qualification SecNumCloud ?

SecNumCloud est une qualification de sécurité délivrée par l’ANSSI, garantissant un haut niveau de sécurité pour les services Cloud, en conformité avec des normes strictes.

Quelles sont les exigences pour obtenir la qualification SecNumCloud ?

Les prestataires Cloud doivent se conformer à plus de 350 points d’exigence, couvrant des aspects tels que la sécurité des systèmes d’information, le chiffrement des données, la gestion des incidents, et la continuité d’activité.

Pourquoi choisir un opérateur cloud qualifié SecNumCloud ?

Choisir un opérateur qualifié SecNumCloud minimise les risques de sécurité et assure une protection renforcée des données, en plus de garantir la souveraineté numérique des organisations et leur conformité avec le RGPD.

Comment la qualification SecNumCloud renforce-t-elle la souveraineté numérique ?

Elle inclut des mesures de protection contre les lois extraterritoriales, garantissant que les données ne soient pas transférées à un tiers sans accord préalable et soient hébergées en France.

Quels avantages pour les secteurs critiques ?

Avec une solution qualifiée SecNumCloud, les secteurs critiques, tels que la défense et les industries, bénéficient d’une protection maximale contre l’espionnage industriel et d’une garantie de disponibilité et de continuité des services cloud.

Découvrir l’offre TixeoPrivateCloud

Quelles sont les informations cibles d’espionnage industriel ?

Quelles sont les informations cibles d’espionnage industriel ?

L’espionnage industriel vise des entreprises sensibles, dans les secteurs de l’énergie ou des technologies, sur fond de tensions géopolitiques et d’instabilité économique. Certaines des informations secrètes de ces organisations sont particulièrement ciblées.

Espionnage : la plus grande cybermenace

Définition de l’espionnage industriel :

L’espionnage industriel, ou espionnage économique, désigne un ensemble d’activités d’espionnage menées à des fins économiques ou commerciales. Il implique une intrusion dans les organisations, de la part d’individus isolés, d’entreprises ou de gouvernements. Le but : collecter des données confidentielles afin obtenir différents avantages, concurrentiels par exemple. Ces derniers peuvent employer différentes méthodes de cyber-espionnage, comme le phishing ou l’ingénierie sociale, selon la cible choisie. Dans ces situations, le cyberespionnage va au-delà d’une simple perte financière car menace directement la sécurité nationale

Enfin, les conséquences financières pour les entreprises sont considérables et peuvent aller jusqu’à menacer leur activité. Elles perturbent également la stabilité économique d’une nation, pouvant mener à des cas de détention pour les auteurs d’espionnage.

Une alerte lancée par l’alliance des Five Eyes 

En octobre 2023 s’est réuni le sommet des Five Eyes, une alliance de cinq puissances mondiales (Canada, États-Unis, Royaume-Uni, Australie et Nouvelle-Zélande). Les chefs des services de renseignement des pays étaient présents et ont alerté sur une hausse sans précédent des attaques d’origine chinoise. Mike Burgess, directeur général durenseignement australiens, a ainsi affirmé que « le gouvernement chinois est engagé dans le vol de propriété intellectuelle et l’acquisition d’expertise la plus soutenue et sophistiquée, qui n’a aucun précédent dans l’histoire de l’humanité ».  

Les organisations dans le monde entier sont ainsi prévenues et doivent se prémunir contre les cyberattaques et les infiltrations d’agents. La protection du potentiel scientifique et technique d’une nation est plus que jamais essentielle. 

Des secteurs des technologies de pointe fortement touchés

Les secteurs les plus pointus sont majoritairement victimes de cyberespionnage. C’est le cas des entreprises de l’intelligence artificielle, d’informatique quantique ou encore de biotechnologie. Les attaques d’espionnage industriel concernent les organisations de la défense et de l’énergie mais aussi fortement leur supply chain. Mais quelles sont les informations ciblées ?

Les types d’informations ciblées par l’espionnage industriel

Les données techniques et technologiques

Les données relatives à la conception technique de produits ou de développement de technologie représentent un avantage concurrentiel. Ainsi, dans le secteur de l’informatique numérique, des algorithmes de machine learning ou de schémas de conception de puces électroniques suscitent la convoitise. Dans le secteur de l’énergie, les procédés de production d’énergie renouvelable ou des techniques de production de batterie avancée constituent une mine d’or pour des espions.

Du côté des secteurs de la défense et de l’aéronautique, l’espionnage industriel peut cibler des plans de systèmes d’armement avancé ou des systèmes de navigation et de communication pour engins spatiaux. Dans ces cas de figures, plus qu’une simple perte financière, le cyberespionnage perturbe la sécurité de la défense nationale.

Exemple d’espionnage de données technologiques

En janvier 2023, un ancien ingénieur de General Electric (GE) aux États-Unis a été condamné pour conspiration en vue de commettre un espionnage économique. Celui-ci a prémédité le vol de secrets technologiques, relatifs à des turbines terrestres et aéronautiques, au bénéfice de la Chine et autres entités qui développent ce type de produits.

Les informations stratégiques d’entreprise

Les stratégies d’entreprise détaillent l’ensemble des axes d’innovation, de développement et de financement des organisations. Ainsi, dans le secteur de la Finance, des détails sur les plans de fusion et d’acquisition ou des modèles propriétaires d’analyse d’investissements sont hautement sensibles. Leur perte peut nuire à la compétitivité des entreprises.

Dans le secteur pharmaceutique, des données sur des essais cliniques ou des procédés de fabrication font également face à des risques d’espionnage.

Exemple d’espionnage d’informations stratégiques

En 2023, au sein de l’entreprise NVIDIA, un développeur logiciel est suspecté d’avoir dévoilé des données secrètes relatives au code source d’un logiciel d’aide au stationnement, récupérées chez son ancien employeur, Valeo. Ce dernier assure que ces données auraient profité au développement de NVIDIA. 

Les informations sur le personnel et les talents

En effet, l’espionnage numérique passe également par la détection de personnes clés, pouvant apporter des informations sensibles. Certains débauchages dans des organisations sont stratégiques et ont pour but de nuire au bon fonctionnement de l’entreprise, en tentant de récupérer ses savoirs.

À l’heure où la concurrence économique est de plus en plus forte, la fuite de compétences joue sur la pérennité d’une entreprise.

Comment protéger ses informations sensisbles ?

Les informations hautement sensibles, qui ne doivent pas être largement communiquées, portent généralement une mention de protection « diffusion restreinte ». Elles sont même parfois classifiées au titre du secret de la défense nationale.

Néanmoins, en complément de mesures juridiques et techniques, les collaborateurs ont la responsabilité d’adopter des bonnes pratiques de cybersécurité. Cela afin de limiter les risques de fuite.

Veiller à la confidentialité des échanges

Les échanges en ligne entre collaborateurs, même anodins, peuvent constituer des sources précieuses pour le espions numériques.

Pour échanger des informations sensibles en réunion, les collaborateurs veillent à bien fermer la porte de la salle. Cependant, à distance, les collaborateurs utilisent la visioconférence, même pour des réunions sensibles. Il devient alors plus difficile de s’assurer que toutes les portes soient bien fermées et qu’aucune personne extérieure à l’entreprise ne puisse écouter les échanges.

Seule une visioconférence chiffrée de bout en bout, de client à client, conforme au RGPD, garantit la totale confidentialité des échanges.

Lire également : L’Europe face au cyberespionnage international

FAQ sur l’espionnage industriel :

Quelles sont les armes dont disposent les entreprises victimes d’espionnage industriel ?

Les entreprises victimes d’espionnage industriel disposent de plusieurs armes pour se défendre. Elles peuvent porter plainte pour vol de secrets industriels et recourir à des actions juridiques pour obtenir des réparations. La mise en place de mesures de cybersécurité avancées est cruciale, incluant le chiffrement des données sensibles et l’utilisation de pare-feu. La sensibilisation et la formation des employés à la sécurité de l’information, ainsi que la collaboration avec les autorités compétentes telles que la DGSI, sont également essentielles pour prévenir et gérer les incidents d’espionnage.

Comment se protéger contre l’espionnage ?

Pour se protéger contre l’espionnage, il est essentiel de sécuriser les infrastructures informatiques avec des solutions de cybersécurité robustes comme les pare-feu, les systèmes de détection d’intrusion, et le chiffrement des données sensibles. Sensibiliser et former les employés sur les bonnes pratiques de sécurité est crucial pour prévenir les fuites d’informations. Les entreprises doivent également mettre en place des politiques strictes de gestion des accès et surveiller régulièrement leurs réseaux pour détecter toute activité suspecte. Enfin, collaborer avec des experts en sécurité et les autorités peut aider à renforcer la protection contre les menaces d’espionnage.

En quoi l’intelligence économique diffère de l’espionnage industriel ?

L’intelligence économique se distingue de l’espionnage industriel par son cadre légal et éthique. Elle englobe des activités telles que la veille stratégique, le benchmarking et le lobbying, utilisant des sources publiques et légales pour recueillir et analyser des informations afin de renforcer la compétitivité de l’entreprise. L’espionnage industriel, en revanche, implique l’obtention illégale de secrets commerciaux par des moyens frauduleux ou illégaux, causant des préjudices économiques aux entreprises ciblées.

Quelles sont les actions engendrées par l’intelligence économique ?

L’intelligence économique implique diverses actions comme la veille concurrentielle, qui permet de suivre l’évolution du marché et des concurrents, et la veille technologique, qui aide à anticiper les innovations et les changements réglementaires. Elle comprend également le benchmarking pour comparer et améliorer les produits et services, ainsi que la veille image pour surveiller la réputation de l’entreprise. Ces actions permettent de détecter des opportunités, d’influencer les décisions stratégiques et de protéger les informations sensibles.

Comment les entreprises survivent-elles au sein de cette concurrence du renseignement ?

Pour survivre dans la concurrence du renseignement, les entreprises adoptent des stratégies d’intelligence économique, investissent dans la cybersécurité et sensibilisent leurs employés aux risques de l’espionnage industriel. Elles mettent en place des politiques de confidentialité strictes et collaborent avec des experts en sécurité pour identifier et neutraliser les menaces. La protection proactive des informations sensibles et l’adaptation rapide aux nouvelles menaces sont cruciales pour maintenir un avantage concurrentiel.

Qui sont les « maîtres » de l’intelligence économique ?

Les maîtres de l’intelligence économique incluent des pays comme les États-Unis, la Chine et la Russie, qui investissent massivement dans les technologies de l’information et les capacités de collecte de renseignements. Des entreprises multinationales et des consultants spécialisés jouent également un rôle clé en développant des stratégies avancées de veille et d’analyse pour protéger et exploiter les informations stratégiques.

Comment repérer un espion industriel ?

Repérer un espion industriel nécessite une vigilance constante et des mesures de surveillance robustes. Des comportements suspects, tels que des accès non autorisés à des informations sensibles, des mouvements financiers inhabituels, ou des relations suspectes avec des concurrents, peuvent indiquer une activité d’espionnage. L’analyse des logs d’accès, la surveillance des communications internes et l’engagement de spécialistes en cybersécurité pour auditer les systèmes peuvent aider à détecter et prévenir les actions d’espionnage.

Combien coûte le vol de données aux entreprises françaises ?

Le coût du vol de données pour les entreprises françaises est considérable, se chiffrant en milliards d’euros chaque année. Les pertes incluent non seulement les revenus immédiats mais aussi les coûts indirects liés à la perte de compétitivité, la réparation des systèmes compromis, les poursuites judiciaires et la dégradation de la réputation. Les PME sont particulièrement vulnérables, avec des impacts souvent dévastateurs pour leur activité.

Quelles sont les informations ciblées d’espionnage industriel ?

Les informations ciblées par l’espionnage industriel incluent les secrets de fabrication, les données financières, les plans de développement produit, les stratégies marketing, et les informations sur les clients et fournisseurs. Les données technologiques et de recherche et développement sont également très prisées, car elles peuvent offrir un avantage concurrentiel significatif aux entreprises malveillantes qui les obtiennent.

Comment protéger ses informations de l’espionnage industriel ?

Pour protéger ses informations de l’espionnage industriel, il est crucial de mettre en place des systèmes de sécurité avancés tels que le chiffrement des données, l’utilisation de pare-feu et de logiciels de détection d’intrusion. La formation régulière des employés sur les bonnes pratiques de sécurité et la sensibilisation aux risques de l’espionnage sont essentielles. L’adoption de politiques strictes de gestion des accès et la réalisation d’audits de sécurité réguliers aident à identifier et corriger les vulnérabilités potentielles. Collaboration avec des experts en cybersécurité et engagement proactif avec les autorités compétentes renforcent également la défense contre les menaces.

Quels sont les protections et outils de gestion contre l’espionnage industriel ?

La protection contre l’espionnage industriel nécessite des mesures de sécurité rigoureuses. Il est essentiel d’implanter des protocoles de sécurité internes comme le port de badge, le suivi des visiteurs et des employés temporaires, et la discrétion dans les déplacements. Utiliser des filtres de confidentialité sur les écrans et appliquer des parcours de notoriété pour éviter l’accès aux zones sensibles sont aussi importants. Une sensibilisation continue des employés sur les risques et les techniques de manipulation est cruciale pour prévenir les attaques   .

Quelle est la réponse juridique face à l’espionnage industriel ?

La réponse juridique à l’espionnage industriel en France repose sur plusieurs dispositions. Le Code pénal punit sévèrement la divulgation d’informations stratégiques à des entités étrangères. La directive européenne sur le secret des affaires, transposée en droit français, protège les informations commerciales non divulguées sous certaines conditions. Ces informations doivent être secrètes, avoir une valeur commerciale et faire l’objet de mesures de protection raisonnables. En cas d’atteinte, les entreprises peuvent engager des actions en justice pour faire cesser l’atteinte et obtenir des réparations.

Quelles sont les normes de la Diffusion Restreinte ?

Quelles sont les normes de la Diffusion Restreinte ?

Au sein des organisations, la mention « Diffusion Restreinte » (ou DR) vise à protéger des informations et des supports sensibles. Voici ses normes.

Définition de la Diffusion Restreinte (DR)

En France

En France, la Diffusion Restreinte est une mention de protection d’informations sensibles qui ne sont pas classifiés au titre de la protection du secret de la défense nationale (IGI 1300). Sans autorisation, leur accès, diffusion ou détournement peut porter atteinte à la sécurité publique, au potentiel scientifique et technique de la nation ou encore nuire à l’équilibre politique et économique de l’Etat.   

Lorsqu’un individu aperçoit la mention diffusion restreinte sur un document, il a donc pour devoir de respecter une totale discrétion quant à son contenu, sous peine de poursuites.

En Europe

En Europe, des mentions de protections existent et sont équivalentes à la DR. C’est le cas de l’EU restricted au sein de l’Union Européenne et du NATO restricted pour l’OTAN. Ces dernières visent à protéger des informations sensibles liées à des intérêts politiques, militaires ou encore économiques.

Accès aux informations

Présenter un besoin légitime

Pour accéder aux informations « Diffusion Restreinte », les personnes doivent justifier de leur besoin de les connaître. Ce besoin légitime peut être lié à l’exercice de leur mission professionnelle ou à la réalisation d’une tâche précise. Par exemple, dans le cadre de la conception des composants d’un système de radar, un ingénieur en électronique pourrait consulter les informations techniques du projet, identifiées comme « Diffusion Restreinte ». Ce besoin devra néanmoins être clairement justifié et documenté.

Former les salariés

Les individus pouvant accéder aux informations DR doivent être aptes à les manipuler sans risque. Stockage, transmission et utilisation des informations font partie des sujets à aborder en formation afin d’éviter toute fuite de données sensibles. C’est pourquoi, la tenue de sensibilisations régulières permet de maintenir la vigilance des équipes au plus haut niveau.

Stockage des informations Diffusion Restreinte

Assurer la sécurité physique

Bien entendu, les documents confidentiels doivent être stockés dans des lieux verrouillés et dont l’accès est contrôlé. Des systèmes de badges ou de codes d’accès sont généralement utilisés. À cela s’ajoute la mise en place d’une gestion stricte de l’accueil des visiteurs dans les entreprises. Par exemple, avec la tenue d’un registre. Enfin, l’utilisation de déchiqueteuses est toujours d’actualité pour détruire des documents sensibles qui n’ont plus d’utilité.

Veiller à la sécurité numérique

De nombreuses informations « diffusion restreinte » sont stockées en ligne. Il peut s’agir de rapports financiers ou de communications officielles internes. Leur stockage doit se faire de façon hautement sécurisée. Des technologies de chiffrement des données ou des systèmes d’authentification multi-facteurs peuvent être mis en place.

Pour les informations DR stockées dans le cloud, faire appel à un hébergeur qualifié SecNumCloud est recommandé. En effet, iIl garantit le respect d’un certain nombre de critères sécurité, autant d’un point de vue techniques qu’organisationnels.

Par ailleurs, les organisations doivent assurer la sauvegarde de toutes ces informations DR stockées. La planification d’une stratégie de sauvegarde et de récupération est essentielle.

Pour aller plus loin : consultez les Recommandations pour les architectures des systèmes d’information sensibles ou Diffusion Restreinte de l’ANSSI

Transmission des données Diffusion Restreinte

Quand plusieurs personnes habilitées se transmettent des informations « Diffusion Restreinte », cela doit se faire dans le respect de mesures de sécurité strictes.

Sécuriser le partage de fichiers

diffusion restreinte

Pour échanger des documents DR, l’utilisation d’une solution chiffrée de bout en bout est indispensable. À la seule condition de s’assurer qu’il s’agisse d’une véritable technologie de chiffrement de bout en bout, qui chiffre les flux de données de client à client. En d’autres termes, celle-ci doit chiffrer les flux de communication à toutes les étapes, de l’émetteur au destinataire en passant par le serveur, et ce quel que soit le nombre de participants à la visioconférence.

Tixeo propose une solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, avec un réel chiffrement de bout en bout des flux de communications audio, vidéo et data.

En savoir plus

Collaborer à distance de façon discrète

Dans une même équipe, certains collaborateurs peuvent avoir accès à des informations « Diffusion Restreinte » et d’autres non. Lors d’une réunion en ligne, l’un d’eux peut avoir besoin de transmettre une information sensible à un autre collègue habilité de façon discrète. La fonction « Sécurité augmentée » de Tixeo permet à deux interlocuteurs ou plus d’échanger de façon secrète, sans quitter une réunion en cours. Pour se faire, un simple code, défini par les participants, est à renseigner dans la solution, afin de basculer temporairement dans un véritable tunnel de communication secret.

Tixeo partenaire de Cluster Défense sécurité pour protéger les informations sensibles

Le cabinet Cluster Défense Sécurité propose des accompagnements et formations sur mesure pour protéger les informations sensibles, les informations de niveau « Diffusion Restreinte » (ou DR) et le secret de la défense nationale (IGI 1300) des organisations.

La protection des informations et supports « DR » implique une action globale. Cela concerne autant le domaine de la protection physique, que la protection logique ou organisationnelle.

Tixeo et Cluster Défense Sécurité apportent chacun une expertise dédiée et parfaitement complémentaire.

En savoir plus sur le partenariat Tixeo et CDS

FAQ sur la diffusion restreinte :

Qu’est-ce que la “Diffusion Restreinte” ?

La mention “Diffusion Restreinte” (DR) est utilisée pour protéger des informations sensibles non classifiées. Elle vise à prévenir les atteintes à la sécurité publique et nationale, aux institutions et à la vie privée. Cette mention a pour but de rappeler aux personnes manipulant de telles données leurs obligations de discrétion et les sanctions encourues en cas de manquement.

Quelle est la différence entre “Très Secret” et “Diffusion Restreinte” ?

La classification “Très Secret” désigne des informations classifiées au titre de la protection du secret de la défense nationale. Leur divulgation non autorisée pourrait gravement nuire à la sécurité nationale et est sanctionnée pénalement. En revanche, la mention “Diffusion Restreinte” concerne des informations sensibles mais non classifiées, nécessitant une protection stricte.

Quels sont les équivalents internationaux de la “Diffusion Restreinte” ?

Les équivalents internationaux incluent “EU Restricted” pour l’Union Européenne et “NATO Restricted” pour l’OTAN. Ces classifications protègent les informations sensibles relatives aux stratégies politiques, militaires, diplomatiques, scientifiques, économiques ou industrielles.

Quels sont les principaux risques associés à la diffusion non autorisée de données “Diffusion Restreinte” ?

Les risques incluent des atteintes à la sécurité publique, à la réputation des institutions, une augmentation des risques terroristes et des dommages aux stratégies politiques, économiques et industrielles de l’État français.

Comment les organismes peuvent-ils garantir la sécurité des informations “Diffusion Restreinte” ?

Les organismes doivent se conformer à l’instruction interministérielle n°901, utiliser des solutions de communication de confiance, certifiées et qualifiées par l’ANSSI, chiffrer les communications, appliquer des contrôles d’accès stricts et sensibiliser les utilisateurs.

Comment sensibiliser les utilisateurs aux obligations de sécurité pour les informations “Diffusion Restreinte” ?

Les utilisateurs doivent être régulièrement formés aux bonnes pratiques de cybersécurité et informés des sanctions en cas de mauvaise manipulation d’informations sensibles. Leur devoir de discrétion doit être continuellement rappelé, via des marquages appropriés sur les documents (« DR ») et les systèmes.