Alors que la sécurité et la souveraineté du cloud agitent les débats du projet EUCS, la qualification SecNumCloud demeure une référence dans le choix d’une solution cloud hautement sécurisée.
SecNumCloud : une qualification de sécurité
En 2016, l’ANSSI (Agence nationale de la sécurité des systèmes d’informations) a conçu la qualification de sécurité SecNumCloud. Celle-ci a pour but de garantir un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing.
Les catégories d’audit et exigences
Pour bénéficier de la qualification SecNumCloud, le prestataire cloud doit prouver sa conformité aux normes de sécurité listées dans le référentiel. Classées en 6 catégories d’audit, elles comprennent plus de 350 points d’exigence.
Cette qualification atteste donc à la fois de :
l’excellence technique du prestataire certifié
la rigueurorganisationnelle
et sa conformité aux réglementations en vigueur
Une fois reçue, la qualification SecNumCloud s’apparente donc à une recommandation d’utilisation du service par l’Etat français.
SecNumCloud au cœur des débats sur l’EUCS et la loi SREN
La nouvelle loi SREN pour la régulation de l’espace numérique, adoptée le 10 avril 2024, vise notamment à contrer l’influence des géants américains du cloud. Elle pourrait ainsi favoriser le choix d’acteurs de cloud souverains, qualifiés SecNumCloud.
Pourquoi choisir un opérateur qualifié SecNumCloud ?
Minimiser les risques de sécurité
L’opérateur cloud qualifié SecNumCloud met tout en œuvre pour assurer un niveau de sécurité élevé aux données des utilisateurs. Cela passe par des politiques de sécurité des SI et de gestion du risque, pour offrir des garanties fortes en matière de continuité d’activité et de disponibilité de service.
Renforcer la conformité réglementaire
Dans sa version 3.2, sortie en 2022, la qualification SecNumCloud a notamment intégré des mesures de protection contre les lois extraterritoriales souples en matière de protection des données, comme le Cloud Act. Elle assure aux citoyens et aux entreprises que leurs données ne seront jamais transférées à des tiers sans accord préalable et raison légitime, en conformité avec le RGPD. SecNumCloud préserve ainsi la souveraineté du paysage cloud français, et limite les risques d’espionnage industriel.
Récemment, la Commission supérieure du numérique et des postes (CSNP) a d’ailleurs demandé d’étendre les obligations d’hébergement de données sensibles dans un cloud souverain, à toutes les administrations publiques, en accord avec la Directive NIS 2.
TixeoPrivateCloud : visioconférence sécurisée dans le cloud qualifié SecNumCloud
Dans les secteurs critiques où la digitalisation des données est massive, les attaques dans le cloud bouleversent la stabilité des entreprises. Les outils de visioconférence ne sont pas épargnés et leurs données doivent bénéficier de la plus haute protection contre l’espionnage.
Pour renforcer la sécurité des données, Tixeo héberge son offre de visioconférence dans le cloud privé, auprès de l’opérateur 3DS Outscale. Qualifié SecNumCloud, 3DS Outscale propose une fourniture de services Cloud en France par une entité de droit français non soumise aux ingérences internationales.
Au sein des organisations, la mention « Diffusion Restreinte » (ou DR) vise à protéger des informations et des supports sensibles. Voici ses normes.
Définition de la Diffusion Restreinte (DR)
En France
En France, la Diffusion Restreinte est une mention de protection d’informations sensibles qui ne sont pas classifiés au titre de la protection du secret de la défense nationale (IGI 1300). Sans autorisation, leur accès, diffusion ou détournement peut porter atteinte à la sécurité publique, au potentiel scientifique et technique de la nation ou encore nuire à l’équilibre politique et économique de l’Etat.
Lorsqu’un individu aperçoit la mention diffusion restreinte sur un document, il a donc pour devoir de respecter une totale discrétion quant à son contenu, sous peine de poursuites.
En Europe
En Europe, des mentions de protections existent et sont équivalentes à la DR. C’est le cas de l’EU restricted au sein de l’Union Européenne et du NATO restricted pour l’OTAN. Ces dernières visent à protéger des informations sensibles liées à des intérêts politiques, militaires ou encore économiques.
Accès aux informations
Présenter un besoin légitime
Pour accéder aux informations « Diffusion Restreinte », les personnes doivent justifier de leur besoin de les connaître. Ce besoin légitime peut être lié à l’exercice de leur mission professionnelle ou à la réalisation d’une tâche précise. Par exemple, dans le cadre de la conception des composants d’un système de radar, un ingénieur en électronique pourrait consulter les informations techniques du projet, identifiées comme « Diffusion Restreinte ». Ce besoin devra néanmoins être clairement justifié et documenté.
Former les salariés
Les individus pouvant accéder aux informations DR doivent être aptes à les manipuler sans risque. Stockage, transmission et utilisation des informations font partie des sujets à aborder en formation afin d’éviter toute fuite de données sensibles. C’est pourquoi, la tenue de sensibilisations régulières permet de maintenir la vigilance des équipes au plus haut niveau.
Stockage des informations Diffusion Restreinte
Assurer la sécurité physique
Bien entendu, les documents confidentiels doivent être stockés dans des lieux verrouillés et dont l’accès est contrôlé. Des systèmes de badges ou de codes d’accès sont généralement utilisés. À cela s’ajoute la mise en place d’une gestion stricte de l’accueil des visiteurs dans les entreprises. Par exemple, avec la tenue d’un registre. Enfin, l’utilisation de déchiqueteuses est toujours d’actualité pour détruire des documents sensibles qui n’ont plus d’utilité.
Veiller à la sécurité numérique
De nombreuses informations « diffusion restreinte » sont stockées en ligne. Il peut s’agir de rapports financiers ou de communications officielles internes. Leur stockage doit se faire de façon hautement sécurisée. Des technologies de chiffrement des données ou des systèmes d’authentification multi-facteurs peuvent être mis en place.
Pour les informations DR stockées dans le cloud, faire appel à un hébergeur qualifié SecNumCloud est recommandé. En effet, iIl garantit le respect d’un certain nombre de critères sécurité, autant d’un point de vue techniques qu’organisationnels.
Par ailleurs, les organisations doivent assurer la sauvegarde de toutes ces informations DR stockées. La planification d’une stratégie de sauvegarde et de récupération est essentielle.
Quand plusieurs personnes habilitées se transmettent des informations « Diffusion Restreinte », cela doit se faire dans le respect de mesures de sécurité strictes.
Sécuriser le partage de fichiers
Pour échanger des documents DR, l’utilisation d’une solution chiffrée de bout en bout est indispensable. À la seule condition de s’assurer qu’il s’agisse d’une véritable technologie de chiffrement de bout en bout, qui chiffre les flux de données de client à client. En d’autres termes, celle-ci doit chiffrer les flux de communication à toutes les étapes, de l’émetteur au destinataire en passant par le serveur, et ce quel que soit le nombre de participants à la visioconférence.
Tixeo propose une solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, avec un réel chiffrement de bout en bout des flux de communications audio, vidéo et data.
Dans une même équipe, certains collaborateurs peuvent avoir accès à des informations « Diffusion Restreinte » et d’autres non. Lors d’une réunion en ligne, l’un d’eux peut avoir besoin de transmettre une information sensible à un autre collègue habilité de façon discrète. La fonction « Sécurité augmentée » de Tixeo permet à deux interlocuteurs ou plus d’échanger de façon secrète, sans quitter une réunion en cours. Pour se faire, un simple code, défini par les participants, est à renseigner dans la solution, afin de basculer temporairement dans un véritable tunnel de communication secret.
Tixeo partenaire de Cluster Défense sécurité pour protéger les informations sensibles
Le cabinet Cluster Défense Sécurité propose des accompagnements et formations sur mesure pour protéger les informations sensibles, les informations de niveau « Diffusion Restreinte » (ou DR) et le secret de la défense nationale (IGI 1300) des organisations.
La protection des informations et supports « DR » implique une action globale. Cela concerne autant le domaine de la protection physique, que la protection logique ou organisationnelle.
Tixeo et Cluster Défense Sécurité apportent chacun une expertise dédiée et parfaitement complémentaire.
La certification de sécurité pour les produits et solutions numériques est un gage de fiabilité. En quoi consiste cette certification et comment garantit-elle un haut niveau de cybersécurité ?
Définition d’une certification de sécurité
La certification de sécurité pour les solutions et logiciels informatiques consiste à évaluer un produit selon des normes de cybersécurité spécifiques. Ce processus est aujourd’hui crucial pour garantir la protection des données et des systèmes face à une recrudescence des cybermenaces. La certification de sécurité participe également à l’accompagnement des entreprises à la recherche de solutions numériques sécurisées pour leurs usages stratégiques et sensibles. Elle permet enfin d’harmoniser les niveaux de sécurité des solutions et de participer à la création d’un système numérique de confiance.
Types de certifications de sécurité :
Certifications de Produit : Elles se concentrent sur les aspects de sécurité d’un produit spécifique. Ces certifications évaluent si le produit répond aux normes de sécurité requises et peut résister à des attaques cybernétiques potentielles.
Certifications de Système : Elles évaluent la sécurité d’un système entier, incluant les produits, les processus et les personnes impliquées. Ce type de certification est plus large et prend en compte les aspects systémiques de la cybersécurité.
Il existe différentes certifications de sécurité à l’international et en Europe. Voici un aperçu :
Les certifications de cybersécurité internationales
Common Criteria (CC)
Common Criteria est le standard international de certification de cybersécurité des technologies de l’information. Aussi appelée « Common Criteria for Information Technology Security Evaluation », cette norme internationale (ISO/IEC 15408) permet d’évaluer la sécurité de produits IT par des laboratoires agréés et indépendants, selon des critères techniques et organisationnels exigeants. Les certificats sont reconnus sur le plan international par les signataires de l’Accord de Reconnaissance des Critères Communs (CCRA) dont fait partie l’ANSSI en France.
FIPS 140-3
Développée par le National Institute of Standards and Technology (NIST) aux États-Unis, la norme FIPS 140-3 concerne particulièrement la vérification de la sécurité des modules de chiffrement. Essentielle pour les produits utilisés dans des environnements gouvernementaux et sensibles, la norme analyse notamment :
les fonctionnalités et les capacités du module de chiffrement
les interactions avec d’autres systèmes
La gestion des accès et des opérations autorisées
la sécurité des composants logiciels
la maintenance et les mises à jour sécurisées
les mesures contre diverses formes d’attaques potentielles.
Cette norme propose quatre niveaux qualitatifs de sécurité (basiques à très élevés), adaptés à différentes applications et environnements IT.
Les certifications de cybersécurité européennes
Le projet European Cybersecurity Certification
Le premier schéma européen de certification EUCCse base sur le schéma international Common Criteria pour la certification des produits TIC, leurs matériels et logiciels (pare-feux, dispositifs de chiffrement et de signature électronique, routeurs, smartphones, cartes bancaires…). En octobre 2023, un premier projet d’acte d’exécution de l’EUCC a été publié par la Commission Européenne et ouvert aux avis. Le 31 janvier2024, le schéma est adopté à l’échelle de l’UE et harmonise les règles et les procédures de certifications en Europe.
EUCS (European Certification Scheme for Cloud Services)à l’étude
Dans la même optique que l’EUCC, la certification EUCS vise particulièrement à approuver la sécurité de produits et services hébergés dans le cloud. La proposition de texte est désormais à l’étude du Groupe européen de certification de cybersécurité (ECCG) et permettra de renforcer la sécurité du cloud computing en Europe.
Dans le cadre de la directive NIS 2 et du Cyber Resilience Act, ces projets de certifications européennes visent à harmoniser les niveaux de sécurité des solutions IT.
En France : le visa de sécurité de l’ANSSI
La certification de sécurité délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) fait référence en France et aussi en Europe. Elle évalue la robustesse d’une version spécifique d’un produit à un instant donné, en fonction de l’état de l’art des cyberattaques. Pour la délivrer, les laboratoires et experts agréés vont analyser plusieurs critères de sécurité, comme :
La conformité aux standards et réglementations nationales et internationales de sécurité des systèmes d’information en vigueur (comme celui du Common Criteria)
Les mesures de sécurité techniques et organisationnelles
La résistance aux Attaques, y compris les tentatives d’intrusion, de piratage et d’exploitation de vulnérabilités.
La gestion des accès et l’authentification afin de contrôler l’accès aux données et aux ressources.
Le chiffrement et la protection des données
La résilience et la gestion des incidents
Les maintenances et mises à jour de sécurité, afin de répondre aux nouvelles menaces et vulnérabilités
Par ailleurs, l’ANSSI propose également une qualification de sécurité aux produits et services numériques destinés aux secteurs critiques et stratégiques (OIV et OSE). Celle-ci va ainsi répondre à des exigences réglementaires spécifiques, comme la Loi de programmation militaire notamment. La qualification de sécurité l’ANSSI atteste ainsi de l’adéquation entre les solutions et les besoins sensibles identifiés des entreprises. L’éditeur doit ainsi prouver qu’il pourra respecter ses engagements sur le long terme.
À quels produits s’adressent les certifications de sécurité ?
De nombreux produits et solutions informatiques peuvent prétendre à une certification de sécurité. Et ce, dès lors qu’ils exposent des données et/ou sont utilisés par des organisations sensibles. Voici quelques types de produits concernés par les certifications de sécurité :
Matériel Informatique : serveurs, routeurs, pare-feu, et autres équipements réseau…
Logiciels : systèmes d’exploitation, applications et les bases de données…
Solutions Cloud : Services de cloud computing, stockage et applications basées sur le cloud…
Produits de chiffrement : Modules de chiffrement, outils de gestion des clés…
Solutions de Sécurité Mobile : Applications et infrastructures de sécurité pour appareils mobiles…
Systèmes de Contrôle Industriel (ICS) et Internet des Objets (IoT) : dispositifs connectés dans divers secteurs industriels…
Tixeo, certifié et qualifié par l’ANSSI depuis plus de 6 ans
La technologie de visioconférence sécurisée Tixeo est certifiée et qualifiée par l’ANSSI depuis plus de 6 ans. Grâce à son chiffrement de bout en bout et sa version on-premise, il offre aux entreprises dans des secteurs critiques une totale confidentialité pour leurs échanges. Indispensable pour renforcer leur capacité de résilience opérationnelle numérique. À travers sa certification et sa qualification, l’Etat français recommande son utilisation pour des usages sensibles. D’autres labels européens confirment la sécurité de sa solution.
Pour démontrer leur fiabilité, les solutions informatiques peuvent obtenir une certification de sécurité. Celle-ci constitue un atout fort pour les produits IT sur le marché, dans un contexte où la cybersécurité est désormais un enjeu crucial pour les organisations. Mais, d’un pays à l’autre, comment s’assurer de la crédibilité d’une certification de sécurité ?
Qu’est-ce qu’une certification de sécurité ?
La certification de sécurité pour les solutions et logiciels informatiques consiste à évaluer le produit selon des normes de cybersécurité spécifiques. Celles-ci peuvent être relatives à un secteur et aux réglementations en vigueur au sein de la nation. Ainsi, selon le pays émetteur de la certification, celle-ci ne répondra pas aux mêmes exigences en matière de cybersécurité. C’est pourquoi, il est important d’analyser les critères qui permettent d’établir un niveau de crédibilité de la certification cyber.
Critères pour déterminer le niveau de crédibilité
La puissance cyber de la nation
La puissance cyber ou « cyber power » participe au rayonnement d’une nation sur le plan international. Il s’agit de sa capacité à utiliser les technologies numériques et le cyberespace pour atteindre ses objectifs nationaux et internationaux, grâce à des stratégies gouvernementales, des opérations défensives ou encore la mobilisation de ressources. Différents indices mondiaux permettent de déterminer ce niveau de puissance cyber.
L’indice NCPI du Harvard Belfer center
Le National Cyber Power Index (NCPI) du Belfer Center est un index de puissance cyber des nations. L’indice utilise des modèles de données qualitatifs et quantitatifs pour évaluer les capacités et l’atteinte des objectifs des Etats. Il se réfère à 29 indicateurs, répartis dans deux catégories :
Les indicateurs d’intention
Les indicateurs d’intention (intent indicator) reflètent les priorités et les motivations d’un État en matière de cybersécurité. En d’autres termes, il démontre la façon dont le pays envisage d’utiliser ses capacités cybers, en fonction de ses objectifs stratégiques et politiques. Ceux-ci sont divers : défense, espionnage, contrôle de l’information, influence dans la définition des normes du cyberespace ou opérations offensives.
Les indicateurs de capacité
Les indicateurs de capacité (capability intent) évaluent les capacités techniques et les ressources d’un pays sur le plan cyber, indépendamment de la manière dont il a choisi de les utiliser. Cela inclut notamment : l’expertise technique, l’infrastructure, les outils et technologies disponibles, et les ressources humaines qualifiées en cybersécurité.
Les résultats du rapport NCPI 2022
Dans le rapport NCPI 2022, les auteurs ont évalué la puissance cyber de 30 pays dans le monde. Ainsi, dans le top 10, on trouve les Etats-Unis, la Chine, la Russie, le Royaume-Uni et la France en 9ème position. L’Allemagne et les Pays-Bas se situent plus bas dans le classement.
La France obtient un score de capacité d’environ 40 pour l’objectif d’« influence dans la définition des normes du cyberespace » et se situe ainsi en 4ème position. En score d’intention, la France se classe dans le top 4 des nations les plus impliquées dans l’objectif de défense.
L’évaluation de l’Internal institute for strategics studies (IISS)
L’IISS a également développé une méthodologie pour déterminer les capacités cybers d’une nation et la façon dont celles-ci contribuent à sa puissance. L’institut classe ces capacités en 7 catégories distinctes :
Stratégie et doctrine
Gouvernance, commandement et contrôle
Capacité essentielle de cyberespionnage
Habilitation et dépendance à l’égard du cyberespace
Cybersécurité et résilience
Leadership mondial dans les affaires du cyberespace
Capacité de cybersécurité offensive
Dans son « Cyber Capabilities and National Power » publié en 2021, l’IISS analyse la position de la France dans ces domaines. On peut y lire que « La France est à bien des égards le premier pays de l’UE en matière de cybersécurité et de planification de la résilience. »
La transparence de la France sur la cybersécurité
D’autre part, la France ferait preuve d’une plus grande transparence sur la question de la cybersécurité. En effet, le rapport stipule que le pays « maintient une séparation claire entre les opérations cybernétiques défensives et offensives. ». Ainsi, l’ANSSI (Agence Nationale de la Sécurité des systèmes d’informations) se consacre exclusivement aux opérations défensives et ne fait pas partie de la communauté du renseignement, contrairement à la National Security Agency (NSA) aux États-Unis ou du Government Communications Headquarters (GCHQ) au Royaume-Uni. « Cette distinction est importante pour certains en France, sur la base de l’hypothèse que les objectifs et le domaine de compétence d’une agence de renseignement, notamment sa disposition envers le secret, peuvent interférer avec certains des objectifs et des pratiques nécessaires à la cybersécurité du secteur civil, y compris le besoin d’une plus grande transparence concernant les violations de cybersécurité. »
La cyber power d’une nation est donc un des critères essentiels à prendre compte pour évaluer la crédibilité d’une certification de sécurité émise par un pays. En effet, lorsqu’un pays est hautement classé, cela démontre son haut niveau d’exigence et de capacité en matière de cybersécurité. L’autre critère décisif est celui du schéma de certification national.
Le schéma de certification national
L’unique standard international pour l’évaluation de la sécurité des produits et systèmes informatiques est le Common Criteria (CC). Celui-ci analyse des critères techniques, mais aussi organisationnels et relatifs aux process de l’entreprise afin d’attribuer un niveau de sécurité plus ou moins élevé (7 niveaux).
Ces critères sont très exigeants et supposent la mise en place de moyens importants par les organisations. Ainsi, seules des grandes entreprises ou des grands groupes ont les moyens de prétendre à une certification du CC. Or, cette difficulté d’attribution est en opposition avec la volonté de développer un système numérique de confiance, regroupant des organisations de toutes tailles, multi-nationales comme PME.
Pour faciliter cette démarche de certification, la France et l’Allemagne, forts de leur expérience de pays certificateurs, ont créé des schémas de certification nationaux, orientés sur l’évaluation technique des produits :
Ces schémas ont permis d’élargir la certification à un plus grand nombre de solutions informatiques, et de renforcer leur visibilité, tout en garantissant leur haut niveau de sécurité. En effet, la crédibilité de ces schémas de certification nationaux repose avant tout sur celle du pays émetteur.
L’expérience de la nation dans la délivrance de certification
Nombre de certifications CC délivrées en 2022 par pays (Common Criteria Statistics Reports 2022)
L’expérience de la nation dans la délivrance de certifications compte pour beaucoup dans la crédibilité de son schéma de certification. Et pour cause, le nombre de produits certifiés démontre une expertise et un engagement particulier pour la cybersécurité.
En 2022, selon le Common criteria Statistics report, la France, via l’ANSSI, est le leader mondial en nombre de certifications Common Criteria délivrées, avec 74 produits certifiés. Sur les 5 dernières années, la France est le deuxième pays ayant délivré le plus de certifications, juste derrière les Etats-Unis.
En résumé, la crédibilité d’une certification de sécurité repose sur trois critères principaux :
La puissancecyber de la nation émettrice de la certification
L’engagement du pays pour développer un système numérique de confiance, à travers son schéma de certification national
L’expérience de la nation dans la certification
La France, l’une des puissances cyber les plus crédibles
La France apparaît comme l’une des puissances cyber les plus crédibles et expérimentées. D’abord, en raison des différents indices de « cyber power » et grâce à son expérience dans l’évaluation de produits informatiques.
Ainsi, les solutions certifiées par l’ANSSI bénéficient de garanties de sécurité importantes et d’une confiance accrue.
Tixeo, seule solution de visioconférence sécurisée certifiée et qualifiée par l’ANSSI
Grâce à sa technologie de chiffrement de bout en bout souveraine et son offre de visioconférence sécurisée on-premise, Tixeo est certifiée et qualifiée par l’ANSSI depuis 2017.
Avec trois certificats de sécurité de l’ANSSI reçus en 6 ans, l’entreprise marque une continuité dans son engagement pour la sécurité. Un haut niveau d’exigence cyber qui va au-delà de l’aspect purement « marketing » de la certification.
En complément de la directive NIS 2, le règlement DORA (Digital operationnal resilience act) remet une couche de cybersécurité dans le secteur de la finance. Pour protéger leurs actifs et les intérêts économiques des nations européennes, les institutions financières doivent renforcer leur résilience opérationnelle numérique.
Le secteur financier fortement concerné par les cybermenaces
Les cyberattaques se multiplient
Les cyberattaques ciblent massivement les infrastructures du secteur financier. Le risque cyber représente d’ailleurs aujourd’hui un risque majeur pour la stabilité financière. Dans son rapport sur l’Évaluation des risques du système financier parue en juin 2023, la Banque de France observe que « le système financier reste exposé à un niveau très élevé de risque de cyberattaques ». En cause, le contexte géopolitique et aussi l’intelligence artificielle qui ouvre la voie à des attaques très élaborées et donc plus difficiles à contrer.
La digitalisation ultra rapide des entreprises du secteur de la finance explique également cette exposition massive au risque cyber. En effet, si la numérisation des services bancaires a commencé très tôt, la sécurisation des systèmes d’informations ne s’est pas faite aussi rapidement. De plus, les collaborateurs des organisations bancaires utilisent plus largement des appareils mobiles et sont plus exposés aux risques de cyberattaques.
En raison de ces nombreux risques et enjeux, l’Union Européenne a classifié le secteur bancaire comme hautement critique, dans le cadre de la directive NIS 2. Ainsi, les organisations vont devoir renforcer leur cybersécurité et former leurs décideurs. En complément, la réglementation DORA oblige les institutions financières à redoubler d’efforts pour mieux gérer leur risque cyber et gagner en agilité.
Les points clés de la réglementation DORA
Quelles organisations sont concernées ?
DORA concerne la plupart des organisations évoluant dans le secteur financier, comme :
Les établissements de crédit,
Les entreprises d’investissements, de paiement ou de monnaie électronique,
Les sociétés de gestion,
Les entreprises d’assurance et de réassurance,
Les intermédiaires d’assurance et de réassurance.
Objectif : renforcer la résilience opérationnelle numérique
Mieux cartographier et gérer les cyber risques
À l’image de « l’approche tous risques » de la directive NIS 2, la réglementation DORA souhaite améliorer la connaissance des risques dans le secteur de la finance. Les établissements financiers doivent prendre en considération les risques inhérents à leurs opérations. Le règlement invite donc à les identifier et à quantifier leur niveau d’impact sur l’organisation, d’un point de vue interne et externe. De cette façon, les organisations auront une meilleure visibilité des mesures à mettre en place et se montreront plus agiles.
Cette gestion des risques permet également de rassurer l’écosystème de l’entreprise. C’est le cas des clients, dont les actifs et les données personnelles doivent être totalement protégés.
Les prestataires de services TIC visés par la réglementation
Les banques et institutions financières sont aujourd’hui dépendantes des technologies de l’information et de communication. Si elles ne sont pas suffisamment sécurisées, ces technologies exposent les données sensibles qu’elles font transiter.
Ainsi, dans le cadre de la réglementation DORA, le secteur financier devra se montrer résilient face aux perturbations opérationnelles liées à ces technologies. Les organisations seront en charge d’identifier et de classifier les risques liés au TIC et d’élaborer des processus de gestion des incidents.
Par ailleurs, des autorités de supervision réaliseront des contrôles sur la conformité des TIC aux mesures de gestion des risques. Des sanctions pourront donc être prononcées en cas de non-respect.
Choisir des prestataires qualifiés par l’ANSSI
L’Agence Nationale de la sécurité des systèmes d’informations (ANSSI) recommandent des produits et prestataires de services hautement sécurisés, grâce à son visa de sécurité. Elle accompagne ainsi les organisations évoluant dans des secteurs sensibles, comme la finance, à évaluer la fiabilité de solutions de communications.
En cas d’incident de cybersécurité, les équipes nécessitent de continuer à échanger dans un cadre hautement sécurisé. Cela permettra de garantir la continuité d’activité et d’assurer la résilience opérationnelle.
L’ANSSI propose d’ailleurs un guide sur la gestion opérationnelle et stratégique d’une crise cyber.
Depuis plus de 5 ans, Tixeo est la seule solution française de visioconférence sécurisée à être certifiée et qualifiée par l’ANSSI, grâce à son approche Secure By Design et sa technologie de chiffrement de bout en bout.
À quelle date entrera en application le règlement DORA ?
Depuis le 16 janvier 2023, le règlement DORA est entré en vigueur au sein de l’Union Européenne. La mise en œuvre de la réglementation s’opère donc dès maintenant. Le 17 janvier 2025 sera la date butoir pour transposer la réglementation au sein de tous les États membres.
Des campagnes de « cyber stress test » en prévision
Le système bancaire réalise régulièrement des tests de résistance, liés aux conjonctures sociétales et économiques. Bientôt, il pourra également être confronté à des « cyber stress test ». En effet, la BCE (Banque centrale européenne) a annoncé qu’elle prévoyait de tester la cyber résilience des institutions financièresdès 2024. Cela se fera par le biais de stress test sur la cybersécurité. La hausse des cybermenaces, le télétravail et l’utilisation du cloud accroissent la gravité des cyberattaques et ont donc motivé cette initiative.
Un bon moyen pour les organisations du secteur de la finance de tester grandeur nature leur préparation à DORA.
Avec l’application prochaine de la directive NIS 2 en Europe, les opérateurs de services essentiels (OSE) et les opérateurs d’importance vitale (OIV) se préparent à de nouvelles obligations pour renforcer leur cybersécurité.
Une nouvelle dénomination pour les OSE
La création des entités essentielles (EE) et entités importantes (EI)
Cette évolution de la directive NIS 1 a pour principal objectif de maximiser la sécurité des réseaux et des systèmes d’informations des organisations européennes sensibles. Parmi ses changements, la fin de la dénomination OSE (opérateur de services essentiels). Celle-ci désignait jusqu’alors les services essentiels dont l’arrêt de l’activité impacterait fortement le fonctionnement de l’économie ou de la société française.
La Directive NIS 2 efface la dénomination OSE au profit de deux catégories d’entités :
Les entités essentielles (EE) qui regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques.
Les entités importantes (EI) qui concerneraient principalement les organisations de taille moyenne dans les secteurs classés comme hautement critiques et les organisations des secteurs critiques.
Les « Fournisseurs de service numérique » font partie de ces catégories. À noter qu’il n’y a pas de modification de la dénomination OIV (opérateurs d’importance vitale). Ces derniers sont concernés par NIS 2.
Les obligations pour les entités essentielles, entités importantes et OIV
Recourir à des solutions de sécurité labellisées ANSSI
Parmi les mesures de sécurité préconisées par NIS 2, on retrouve « l’utilisation de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins. ». Pour les OIV, le recours à des solutions de sécurité labellisées par l’ANSSI, grâce à son Visa de sécurité, est déjà obligatoire. En effet, en cas de crise, les opérateurs d’importance vitale doivent réagir vite et faire preuve de résilience. Les solutions de communications sécurisées sont donc indispensables. Elles permettent aux collaborateurs de poursuivre leur activité. Différentes technologies, comme le chiffrement de bout en bout, garantissent la protection des données.
Visa de sécurité ANSSI : un gage de fiabilité
Le Visa de sécurité de l’ANSSI permet d’identifier facilement les solutions de cybersécurité les plus fiables. Celles-ci ont été vérifiées et évaluées par des laboratoires agréés.
Depuis plus de 5 ans, Tixeo est la seule solution française de visioconférence sécurisée à être certifiée et qualifiée par l’ANSSI, grâce à son approche Secure By Design et sa technologie de chiffrement de bout en bout.
Protéger l’architecture réseau
La directive NIS 2 préconise le cloisonnement des réseaux et les accès distants. C’est le cas notamment dans le cadre de l’utilisation de solutions de sécurité on-premise. Celles-ci devront pouvoir être fonctionnelles dans un réseau isolé. L’organisation devra également connaître l’ensemble de leurs impacts sur son architecture réseau.
Les bénéfices de la visioconférence sécurisée on-premise
TixeoServer est la solution de visioconférence sécurisée on-premise de Tixeo, certifiée et qualifiée par l’ANSSI. La sécurité fait partie de toutes les étapes de sa conception jusqu’à son déploiement. Ainsi, son installation nécessite de n’ouvrir qu’un seul port réseau, afin de limiter les impacts sur la politique de sécurité du système d’information de l’organisation.
Faire appel à des sous-traitants et prestataires de services sécurisés
Les acteurs de la chaîne d’approvisionnement, sous-traitants ou prestataires de services, sont soumis à la Directive NIS 2. En effet, ces derniers bénéficient généralement d’un accès à l’infrastructure de leur client et représentent ainsi un risque de sécurité. En cas de failles de sécurité au sein de leur infrastructure, la sécurité du réseau des entités plus ou moins critiques pour lesquels ils travaillent serait impactée.
