Secure by design : l’approche ultime pour la sécurité d'un logiciel ?
/
Le concept Secure by Design consiste à intégrer la cybersécurité dès les premières étapes de la conception d’un logiciel, garantissant une sécurité « par défaut » tout au long de son cycle de vie. Cette approche permet d’identifier et de corriger les vulnérabilités avant la mise sur le marché, minimisant les failles exploitables et réduisant ainsi le besoin d’interventions correctives. Face à la multiplication des attaques, notamment celles de la chaîne d’approvisionnement, ce modèle est crucial pour protéger les données sensibles des entreprises critiques, telles que la défense ou l’industrie. La gestion des risques, l’analyse régulière des menaces, et l’adoption de mesures de sécurité, telles que la vérification et la validation, sont des éléments clés pour renforcer la sécurité et la conformité, par exemple aux normes ISO. Un logiciel développé selon cette approche repose sur une architecture sécurisée et bénéficie d’une réduction des risques de failles, tout en offrant une meilleure gestion des coûts et des délais de développement. L’exemple de Tixeo illustre une solution de visioconférence qui intègre la sécurité de bout en bout, conformément aux normes strictes de l’ANSSI.
Qu’est-ce que le Secure by Design ?
L’approche du Secure by Design consiste à concevoir un logiciel ou une application en prenant en compte les notions de cybersécurité dès les premières étapes de sa conception. L’objectif premier est de prévenir au plus tôt les risques de failles de sécurité et ainsi de les éviter.
Pour les éditeurs logiciels, le Secure by Design implique que la sécurité soit un élément fondamental, voire primordial dans chaque phase du cycle de vie du produit. De cette manière, ils peuvent identifier et corriger les vulnérabilités potentielles avant la mise sur le marché.
Ainsi, un logiciel Secure by Design ne se résume pas à une somme de fonctionnalités sécurisées mises bout à bout, mais répond à une architecture globale fondée sur la cybersécurité.
Les enjeux du logiciel sécurisé
Avec l’approche Secure by Design, un logiciel est spécifiquement développé, testé et maintenu pour minimiser le nombre de failles exploitables. Elle permet aux entreprises de bénéficier d’une sécurité « par défaut ». Celle-ci limite le besoin d’actions supplémentaires de la part des utilisateurs ou des équipes internes. À la clé : un gain de fiabilité, de temps et de ressources. Ces garanties en matière de cybersécurité sont essentielles, notamment dans des contextes sensibles.
Alors que les attaques sur la chaîne d’approvisionnement (ou supply chain attack) se multiplient aujourd’hui, cette sécurité préventive est indispensable. Rappelons que ce type d’attaques visent des prestataires ou des fournisseurs travaillant auprès d’organisations critiques, afin d’accéder à leurs données de façon détournée. Dans le rapport de la cybermenace 2023 de l’ENISA, on apprend ainsi que « 61 % des entreprises ont été impactées par une attaque de la chaîne d’approvisionnement logicielle au cours des douze derniers mois, et le coût total de ces attaques pour les entreprises augmentera de 76 % en 2026 par rapport à 2023. ». Choisir un logiciel sécurisé participe également à limiter ce risque d’attaques. Les fournisseurs et éditeurs de logiciels, particulièrement dans des secteurs critiques comme la défense ou l’industrie, sont en première ligne face à cette cybermenace.
Critères clés du Secure by Design :
Intégrer la sécurité dès la conception : Adopter une approche « secure by design » pour prévenir les failles tout au long du cycle de vie du produit.
Identifier les risques et menaces : Analyser dès le départ les vulnérabilités potentielles et concevoir le système en fonction des menaces anticipées.
Minimiser la surface d’attaque : Limiter l’accès des utilisateurs pour réduire les points d’entrée exploitables et effectuer des tests d’intrusion pour détecter les failles.
Restreindre les privilèges des utilisateurs : Attribuer des rôles clairs avec des accès strictement nécessaires; restreindre les privilèges administratifs.
Surveiller les services tiers : Faire preuve de prudence avec les services externes en évitant de divulguer des informations techniques sensibles.
Avantages économiques : Anticiper les problèmes de sécurité réduit les coûts liés aux incidents et limite les dommages en cas d’attaque.
Analyse des risques et des menaces
Les fabricants de logiciels Secure by Design doivent évaluer régulièrement les risques inhérents à leur activité et identifier les principales cybermenaces. Des mesures adaptées pourront ainsi être intégrées dans le développement des produits pour y répondre. Cette gestion des risques permet d’anticiper les évolutions des cybermenaces et d’adapter la sécurité du produit en conséquence.
Développement sécurisé et transversalité
Avant même d’entamer le processus de développement d’un logiciel Secure by Design, les points de défaillance potentielles doivent être analysés. Dans le cas d’un logiciel de visioconférence, l’analyse des interactions entre les utilisateurs de la solution, mais aussi éventuellement avec d’autres services, est fondamentale. Face à ces vulnérabilités potentielles, des solutions sont trouvées et intégrées lors des phases de développement.
Les éditeurs sont également encouragés à utiliser des modèles de menace personnalisés durant le développement du logiciel et à adopter une approche globale de la cybersécurité. Par exemple, en investissant des ressources dédiées à chaque étape du processus de conception et de développement. Cela nécessite une collaboration entre les dirigeants de l’entreprise et les équipes techniques, de la conception initiale à la maintenance.
La vérification et la validation sont deux aspects clés dans l’approche Secure by Design :
La vérification porte sur l’assurance que le produit respecte les spécifications de conception
La validation concerne l’assurance que le produit réponde aux besoins des utilisateurs
Ces deux pratiques sont intégrées dès les premières phases du développement et se poursuivent tout au long du cycle de vie du produit. Elles permettent de détecter et de résoudre les problèmes potentiels rapidement, afin de réduire les coûts et les délais associés à la correction des défauts en phase finale.
En résumé, l’approche Secure by Design consiste à intégrer des mesures de cybersécurité dès les premières étapes de la conception d’un logiciel. Elle aide à prévenir les risques de failles de sécurité avant sa mise sur le marché. Cette méthode garantit que la sécurité soit un élément fondamental du cycle de vie du produit, afin d’identifier et de corriger les vulnérabilités potentielles en amont. En conséquence, les logiciels développés selon l’approche Secure by Design offrent une sécurité « par défaut », réduisant le besoin d’interventions supplémentaires et améliorant la fiabilité et la performance des solutions dans des organisations critiques.
Tixeo, solution de visioconférence Secure by Design
Alors que des événements géopolitiques d’envergure ont lieu cette année, les communications en ligne sensibles sont la cible d’attaques d’espionnage. L’utilisation d’un logiciel de visioconférence Secure by Design est fortement recommandé pour y faire face, et notamment dans le cadre de la directive NIS 2.
Depuis plus de 15 ans, les équipes R&D de Tixeo emploient l’approche Secure by Design pour concevoir la solution de visioconférence la plus sécurisée du marché européen.
Certaines solutions se revendiquent comme étant sécurisées, alors qu’elles ont simplement rajouté des couches de sécurité aux derniers stades de leur développement, pour répondre à certains besoins ou exigences.
De sa conception initiale à son déploiement dans les organisations, Tixeo intègre la sécurité à tous les niveaux. L’éditeur a développé sa propre technologie de chiffrement de bout en bout, proposée par défaut dans le logiciel. Celle-ci protège tous les flux de communications audio, vidéo et data de l’espionnage, et ce, quel que soit le nombre de participants. Son déploiement dans les organisations limite les impacts de sécurité et est même proposé en version on-premise, pour un contrôle total de la solution par l’organisation.
Depuis 7 ans, Tixeo est ainsi certifiée et qualifiée par l’ANSSI pour son logiciel de visioconférence Secure by Design.
FAQ :
Qu’est-ce que le Secure by Design ?
Le Secure by Design est une approche de conception de logiciels ou applications qui intègre la cybersécurité dès les premières étapes du développement, afin de prévenir et limiter les risques de failles de sécurité.
Pourquoi adopter l’approche Secure by Design dans le développement logiciel ?
Adopter le Secure by Design permet d’identifier et de corriger les vulnérabilités potentielles dès le début du processus de développement. Dans un contexte où les attaques zero-day et zero-click se multiplient, concevoir un logiciel ou une application selon cette approche participe à renforcer la sécurité des données.
Quels sont les principaux avantages de l’approche Secure by Design ?
Les principaux avantages incluent une sécurité par défaut qui limite les actions correctives des utilisateurs, une meilleure gestion des risques et une réduction des coûts et délais associés à la résolution de problèmes de sécurité.
Comment le Secure by Design affecte-t-il le cycle de vie du développement logiciel ?
Dans le Secure by Design, la sécurité est une priorité à chaque étape du cycle de vie du produit, de la conception au déploiement, pour prévenir et corriger les failles de manière proactive.
Quelles mesures spécifiques l’approche du Secure by Design implique-t-elle pour les développeurs de logiciels ?
Les développeurs doivent évaluer les risques, identifier les cybermenaces et mettre en place des pratiques de développement adaptées et sécurisées dès les premières phases de conception du logiciel.
En quoi consiste la vérification et la validation dans l’approche Secure by Design ?
La vérification consiste à assurer que le logiciel respecte les spécifications de conception tandis que la validation garantit que le produit réponde aux besoins des utilisateurs ; deux pratiques intégrées dès le début de la conception du logiciel.
Quel impact les attaques sur la chaîne d’approvisionnement ont-elles sur la nécessité du Secure by Design ?
Avec l’augmentation des attaques sur la chaîne d’approvisionnement, le u0022Secure by Designu0022 devient essentiel pour protéger les organisations contre les accès non autorisés et garantir la sécurité des données sensibles.
Qu’est-ce que le principe du moindre privilège ?
Ce principe consiste à limiter les droits d’accès des utilisateurs et des systèmes à ce qui est strictement nécessaire. Chaque utilisateur doit avoir accès uniquement aux ressources dont il a besoin pour accomplir ses tâches, réduisant ainsi les risques de compromission des données sensibles
Qu’est-ce que l’approche de défense en profondeur ?
Cette approche implique la mise en place de plusieurs couches de sécurité. L’idée est de combiner différentes mesures (pare-feu, chiffrement, systèmes de détection d’intrusion) pour garantir une protection globale contre les attaques potentielles
Qu’est-ce que la notion de sécurité par défaut ?
Les systèmes doivent être configurés pour être sécurisés dès le départ, sans nécessiter de réglages supplémentaires de l’utilisateur pour assurer leur sécurité. Par exemple, une application devrait imposer des politiques de mots de passe robustes et des configurations sécurisées par défaut
Qu’est-ce que la gestion des vulnérabilités ?
Il est crucial d’intégrer la capacité à déployer des mises à jour régulières, afin de corriger les vulnérabilités dès qu’elles sont découvertes. Cette pratique permet de maintenir un niveau de sécurité élevé tout au long du cycle de vie du produit
Qu’est-ce qu’une authentification forte ?
Utiliser des mécanismes d’authentification robustes, tels que l’authentification multifactorielle (MFA), permet de réduire les risques d’accès frauduleux
Face à une situation d’urgence, chaque seconde compte. Qu’il s’agisse d’un incendie, d’un problème médical ou d’une crise organisationnelle, la capacité de communiquer rapidement et efficacement peut faire toute la différence. Un système de communication d’urgence bien préparé n’est pas seulement un outil, c’est le cœur d’une stratégie de défense. Ce système permet de diffuser des alertes via des canaux comme les radios, les réseaux mobiles ou les médias sociaux, assurant ainsi que toutes les parties prenantes – des équipes de gestion de crise aux opérateurs de services publics – reçoivent des informations précises en temps réel. Dans cet article, vous découvrirez comment un bon plan de communication peut transformer une réponse chaotique en une opération de sauvetage coordonnée, et comment ces systèmes évoluent pour répondre aux défis modernes.
Qu’est-ce qu’un outil de communication de secours ?
Dans les entreprises, l’outil de communication principal déployé revêt différentes fonctions :
des équipes projets et opérationnelles l’utilisent pour collaborer,
des partenaires ou des fournisseurs s’y connectent pour échanger des informations
ou des équipes techniques peuvent y partager des informations sur l’état des infrastructures réseaux.
Il est également utilisé par les collaborateurs et dirigeants pour effectuer des réunions en ligne, sur des sujets plus ou moins sensibles. Cet outil globalisé est donc hautement stratégique dans la vie d’une organisation et peut être la cible de cyberattaques ou de divers dysfonctionnements.
Dans ces cas de figure, pouvoir s’appuyer sur une solution de communication de secours est indispensable. Déployée également à l’échelle de l’organisation, cette solution doit permettre aux équipes de poursuivre leurs échanges en toutes circonstances. À la clé, un gain de temps, de sécurité et d’efficacité pour l’entreprise, en attendant que l’outil généralement utilisé soit à nouveau opérationnel.
Quel déploiement dans une organisation ?
L’outil de communication de secours est généralement déployé sur une infrastructure dédiée au sein de l’entreprise, hors des réseaux traditionnels, afin de permettre des communications out-of-band. Ainsi, en situation de crise, les équipes disposent de canaux dédiés et sécurisés. Elles peuvent ainsi répondre aux incidents et assurer la continuité et la reprise d’activité plus facilement.
Pour une solution de visioconférence de secours, le déploiement on-premise est privilégié. Il permet à l’entreprise d’être maître dans son installation et sa maintenance et ainsi de limiter les risques externes de sécurité. Elle pourra ainsi décider de connecter la solution à Internet, ou au contraire, de la réserver à un usage interne uniquement.
En version on-premise, Tixeo, solution de visioconférence Secure by Design, se déploie sans impact sur la politique de sécurité du réseau général de l’organisation.
Usage n°1 : coordonner les équipes en cas de crise
Une attaque DDoS vient de se produire et de nombreux services internes, dont l’outil de visio-collaboration principal, sont inaccessibles. Les équipes de gestion de crise, présentes sur site ou à distance, doivent communiquer en urgence par le biais d’un autre logiciel, afin de se coordonner rapidement et se répartir les tâches.
Pour rappel, une attaque DDoS consiste à générer un flux massif de trafic Internet vers une infrastructure cible (comme un site web) par le biais d’un réseau de machines infectées (botnet). Celles-ci vont envoyer un grand nombre de requêtes simultanées à la cible afin de saturer le réseau et rendre le site ou le service indisponible.
Usage n°2 : assurer la continuité d’activité
En pleine crise, les collaborateurs peuvent s’appuyer sur l’outil de communication de secours pour continuer à échanger entre équipes : un aspect essentiel pour assurer la continuité d’activité, mais aussi préparer le retour à la normale.
Dans une usine de production par exemple, si un ransomware paralyse le réseau interne, les responsables doivent garder un lien direct avec les équipes afin de maintenir les lignes de production. Ils ont également pour mission de suivre la réception des matières premières et l’expédition des produits avec leurs fournisseurs.
En cas de panne réseau empêchant l’accès aux systèmes de gestion des équipements et des interventions, les techniciens nécessitent de pouvoir communiquer via un outil de communication de secours sur leurs opérations.
Enfin, dans le secteur bancaire, une cyberattaque peut toucher des plateformes de trading. Les collaborateurs doivent pouvoir continuer à communiquer pour prendre des décisions rapides et passer des ordres.
Usage n°3 : Communiquer en interne sur des situations d’urgence
En cas d’incident cyber ou autre, les collaborateurs peuvent se sentir démunis face à l’indisponibilité de leur outil de collaboration. C’est encore plus le cas pour les salariés en télétravail qui se retrouvent isolés sans pouvoir interagir facilement avec leur manager ou leurs collègues. L’outil de communication de secours va permettre de maintenir une communication en temps réel, à la fois entre les équipes, mais aussi sur la résolution de l’incident. Ainsi, les collaborateurs disposeront d’un même niveau d’information et pourront mieux organiser leur travail.
En juin 2023, le CHU de Rennes a subi une cyberattaque et a immédiatement réagi en coupant la connexion Internet de l’établissement. La directrice des services numériques (DSN) a expliqué les quatre facteurs qui ont permis à l’hôpital d’éviter un chiffrement de ses données. Parmi eux, « la communication interne et externe », via des « canaux prédéfinis », ont permis de tenir informé l’ensemble des parties prenantes de l’organisation. En effet, en communiquant rapidement et à l’échelle de l’organisation sur la situation d’urgence, on évite également que la situation ne s’aggrave (clic sur un mail compromis, connexion sur un réseau corrompu…).
Autres usages : formation et sécurité en télétravail
L’outil de collaboration sécurisée peut par ailleurs servir à la formation de salariés sur des sujets sensibles ou des procédures spécifiques, liées par exemple à la sécurité de locaux ou la protection d’une activité. Par ailleurs, la solution de communication de secours s’avère utile pour préparer des équipes à des situations d’urgences, lors de simulations de crise. En effet, effectuer périodiquement ce type d’opérations permet de renforcer sa cyber-résilience.
L’outil de communication de secours pour la conformité à NIS 2
Plus de 100 000 entreprises européennes devront obligatoirement se conformer à la Directive NIS 2 dès octobre 2024, pour renforcer leur cybersécurité.
Dans son article 21.2.c, la Directive indique que les mesures de sécurité mises en place doivent permettre « la continuité des activités, comme la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises ». Le déploiement d’un outil de communication de secours constitue ainsi un des leviers pour permettre aux équipes d’être toujours en lien pendant une crise.
Cette recommandation rejoint celle de l’article 21.2.j, relatif à l’utilisation de « solutions de communications vocales, vidéos et textuelles sécurisées et systèmes de communication d’urgence ». En d’autres termes, pour les entreprises concernées par NIS 2, il est impératif que l’outil de communication de secours déployé réponde à des critères de sécurité strictes (chiffrement de bout en bout, déploiement et accès sécurisés…).
Tixeo, solution de visioconférence certifiée et qualifiée par l’ANSSI, est adaptée à des communications out-of-band et répond aux exigences de NIS 2.
Comment est généralement déployé l’outil de communication de secours ?
Il est généralement déployé sur une infrastructure dédiée au sein de l’entreprise, hors des réseaux traditionnels.
Quel est l’avantage d’un déploiement on-premise pour une solution de visioconférence de secours ?
Le déploiement on-premise d’une solution de visioconférence permet à l’entreprise d’être maître de son installation et de sa configuration sur des serveurs dédiés et décider de l’ouvrir ou non à Internet. En cas de cyberattaque ou de panne informatique, elle pourra ainsi effectuer des communications « out-of-band » pour maintenir le lien entre ses équipes.
Quel est le premier usage important d’un outil de communication de secours ?
Coordonner les équipes en cas de crise, comme lors d’une attaque DDoS qui rendrait inaccessibles les services internes habituels.
Comment l’outil de communication de secours aide-t-il à assurer la continuité d’activité ?
Il permet aux équipes, notamment impliquées dans la gestion de crise, de continuer à échanger ensemble, notamment pour réaliser des opérations spécifiques ou faire des points de situation.
Quel rôle joue l’outil de communication de secours dans la communication interne lors de situations d’urgence ?
Il permet de maintenir une communication en temps réel entre les équipes sur la résolution de l’incident, assurant un même niveau d’information pour tous les collaborateurs.
Quels sont les autres usages possibles d’un outil de communication de secours ?
Il peut servir à la formation des salariés sur des sujets sensibles et à la préparation des équipes lors de simulations de crise.
Comment l’outil de communication de secours s’inscrit-il dans la conformité à la Directive NIS 2 ?
Il répond aux exigences de l’article 21.2.c sur la continuité des activités et la gestion des crises, ainsi qu’à l’article 21.2.j sur l’utilisation de solutions de communications sécurisées et de systèmes de communication d’urgence.
Quelles caractéristiques doit avoir l’outil de communication de secours pour répondre aux exigences de NIS 2 ?
Il doit répondre à des critères de sécurité stricts, comme le chiffrement de bout en bout, un déploiement et un accès sécurisés. La certification et qualification de l’ANSSI sont également gages de confiance.
Quels sont les principaux défis de la communication en situation de crise ?
La communication en situation de crise nécessite de s’appuyer sur des outils sécurisés, pouvant être opérationnels en toutes circonstances, même en dehors de réseaux traditionnels et sans connexion Internet. Les équipes de gestion de crise doivent pouvoir se répartir les tâches facilement et rapidement, même en mode hybride.
Quels outils de communication peuvent être utilisés lors d’une crise ?
L’outil de visioconférence sécurisée, déployé sur les serveurs de l’organisation, peut être utilisé pour faciliter la communication directe entre les équipes et la collaboration à distance sur des sujets sensibles.
La capacité d’un Etat ou d’une organisation à contrôler et réguler son environnement numérique est devenue une préoccupation majeure.
Analyse de la souveraineté numérique et de ses enjeux.
Naissance du concept de souveraineté numérique
La souveraineté est définie dans le Larousse comme « le pouvoir suprême reconnu à l’État, qui implique l’exclusivité de sa compétence sur le territoire national (souveraineté interne) et son indépendance absolue dans l’ordre international où il n’est limité que par ses propres engagements (souveraineté externe) ». Avec la mondialisation et l’accroissement du numérique, la question de la souveraineté s’est élargie au cyberespace.La souveraineté numérique est ainsi définie comme la capacité d’un Etat ou d’une organisation à contrôler et réguler son environnement numérique.
Cette notion a émergé progressivement en Europe face à l’hégémonie américaine et chinoise sur la gestion d’Internet.
La création de l’ICANN (Internet Corporation for Assigned Names and Numbers), autorité américaine de régulation d’Internet, ou encore la domination des multinationales dans les technologies du numérique ont provoqué des réactions quant au monopole technique et économique du web.
Dès 2012, la Russie et la Chine revendiquent également leurs « droits souverains » sur la gestion du réseau Internet, lors de la Conférence mondiale des télécommunications internationales.
Mais c’est en 2013 que le grand public prend conscience d’un autre enjeu de la souveraineté numérique avec l’affaire Snowden : celle du partage de données. Le scandale a accentué les préoccupations mondiales et européennes sur le sujet. En France, il a même conduit à la création d’un Institut de la souveraineté numérique, association chargée de sensibiliser le public et les élus aux enjeux.
Trois composantes de la souveraineté numérique
Indépendance technologique
Les technologies du numérique transforment continuellement nos sociétés, sans se limiter à des frontières physiques. Ainsi, l’hégémonie des multinationales sur l’espace numérique mondial et globalisé complexifie le développement et l’innovation technologique au sein d’autres nations.
Réduire la dépendance à des technologies étrangères, au sein de secteurs stratégiques et critiques notamment, pour favoriser un marché national constitue un des premiers leviers pour développer des infrastructures numériques souveraines.
Développement économique et politique
Le rapport de la commission d’enquête du Sénat sur la souveraineté numérique, paru en 2019, décrit la souveraineté numérique comme « la capacité de l’État à agir dans le cyberespace » avec la maîtrise de « nos réseaux, nos communications électroniques et nos données« .
En effet, les rapports de force économiques et politiques entre Etats se jouent également, si ce n’est encore plus fortement aujourd’hui, dans l’espace numérique. La cyber power des nations est d’ailleurs aujourd’hui un critère d’évaluation de puissance nationale à part entière, mesuré par le NCPI. La souveraineté numérique participe donc à la fois au renforcement de la compétitivité économique et à l’autorité du pays dans le cyberespace.
Protection des données
L’avènement des technologies du numérique a vu naître aussi un nouvel or, celui de la data. Les utilisateurs, consommateurs et citoyens partagent une multitude de données en ligne sans toujours savoir comment ni par qui elles seront employées.
Sur le plan éthique, la souveraineté numérique participe à garantir une plus grande protection des données personnelles, en limitant leur accès et leur utilisation par des pays tiers.
L’Europe s’est faite garant de cette préoccupation fondamentale.
En mai 2023, dans son document « Approches mondiales de la souveraineté numérique : Définitions concurrentes et politiques contrastées », elle définit la souveraineté numérique comme « la capacité de l’UE à faire ses propres choix en matière de régulation des données, basée sur ses valeurs et respectant ses propres règles, afin de protéger les droits individuels et promouvoir l’innovation technologique. ».
En 2025, dans la récente Proposition de résolution du Parlement européen sur la souveraineté technologique européenne et les infrastructures numériques (2025/2007(INI)), le Parlement européen présente la souveraineté numérique comme la capacité de l’Union européenne à maîtriser ses infrastructures, ses technologies et ses données, tout en protégeant ses citoyens et ses entreprises des dépendances vis-à-vis d’acteurs extra-européens. Cette résolution insiste notamment sur l’importance d’investir massivement dans le cloud souverain et de faire émerger des acteurs européens compétitifs dans le numérique.
Les géants du numérique, qu’ils soient américains sous les acronymes GAFAM (Google, Apple, Facebook, Amazon, Microsoft) et NATU (Netflix, Airbnb, Tesla, Uber) ou chinois (BATX pour Baidu, Alibaba, Tencent et Xiaomi) ont amené les consommateurs à renoncer à leurs droits sur leurs données personnelles, en échange de l’accès à leurs services.
Bien que remise en question de façon croissante, cette situation pose de nombreux défis à l’Europe sur sa capacité à proposer des technologies numériques innovantes et souveraines.
Outre-atlantique, même s’ils favorisent les flux de données sans restriction, avec le Cloud Act, « les Etats-Unis maintiennent leur souveraineté en exigeant des entités américaines qu’elles divulguent les données sur demande, quelle que soit leur localisation » explique Melody Musoni, chargée de mission à l’ECDPM (Centre européen de gestion des politiques de développement).
En somme, la souveraineté numérique représente un défi majeur pour la préservation des intérêts des nations et implique la mise en place de stratégies différentes pour la garantir.
Les États membres de l’UE s’efforcent aujourd’hui d’influencer le débat mondial pour la protection des données en établissant de nouvelles règles de gouvernance pour une infrastructure numérique qui respecte les souverainetés nationales.
Les mesures pour renforcer la souveraineté numérique européenne
L’Union Européenne tente d’imposer ses valeurs dans la lutte pour la souveraineté numérique, grâce à différentes mesures.
Le RGPD
Le RGPD (Règlement Général sur la Protection des Données) cadre strictement la collecte, le traitement et l’utilisation des données des citoyens européens. Le règlement inclut notamment des mesures qui favorisent la transparence des entreprises, sur le but du traitement, mais aussi les droits à la confidentialité et à l’effacement des données des utilisateurs. Il garantit également que l’hébergement des données soit soumis au contrôle des juridictions européennes et jamais transféré dans un pays tiers, ce qui garantit la souveraineté numérique.
La loi SREN et le schéma EUCS pour la souveraineté du cloud
La nouvelle loi SREN pour la régulation de l’espace numérique, entrée en vigueur le 21 mai 2024, vise notamment à réduire l’influence des géants américains du cloud. Parmi ses mesures, l’encadrementdes frais de transfert de données et de migration, l’obligation d’interopérabilité ou encore le plafonnement des crédits cloud.
Cette loi pourrait favoriser le choix d’opérateurs cloud européens souverains, notamment qualifiés SecNumCloud. Cette qualification de sécurité française, attribuée par l’ANSSI (Agence nationale de la sécurité des systèmes d’informations), garantit un niveau de sécurité élevé pour les opérateurs et les clients en cloud computing.
Cependant, des progrès restent encore à accomplir concernant la souveraineté du cloud.
En effet, le projet de premier schéma européen de certification de sécurité du Cloud, ou EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), a vu son principal critère relatif à la souveraineté européenne supprimé.
Des divergences subsistent entre les Etats européens concernant les exigences de localisation des données et d’accès au marché par des fournisseurs non-européens et soumis à des lois extraterritoriales. En réaction, la France a décidé de relancer, via son plan France 2030, sa propre stratégie de cloud souverain, pour soutenir des acteurs nationaux. Objectif : préserver l’intégrité de données stratégiques et sensibles.
L’IA Act, pour une intelligence artificielle souveraine
L’intelligence artificielle est aujourd’hui un secteur stratégique essentiel pour l’innovation technologique mondiale dans lequel l’UE compte bien se faire une place.
Entré en vigueur en août 2024 au sein de l’Union Européenne, le règlement IA Act vise à développer et « garantir une IA respectueuse des droits fondamentaux » et de la souveraineté numérique. Il pourra ainsi favoriser le respect de la protection des données et « faciliter le développement d’un marché unique pour des applications d’IA légales et sûres, et empêcher la fragmentation du marché. ».
L’ensemble des exigences de ce règlement seront pleinement applicables à partir du 2 août 2026.
Pour autant, le règlement continue de susciter des débats sur l’équilibre entre innovation et régulation : comment l’Europe peut-elle rester compétitive dans le secteur de l’IA si elle passe son temps à réguler plutôt qu’à innover, amplifiant son retard ? Les coûts de mise en conformité représentent également un gouffre pour de nombreuses entreprises européennes, qui pourraient être tentées d’exporter leurs solutions.
Pour les organisations : le choix de solutions souveraines
En plus de réguler un marché, les (nombreuses) réglementations européennes permettent de guider les entreprises et les organisations dans leurs choix technologiques et numériques.
Pour cause, les solutions soumises à des lois extra-territoriales (Cloud act ou autres), ne garantissent jamais la protection des informations. Alors que, dans des secteurs critiques comme l’industrie ou la finance, la sécurité des données stratégiques est indispensable.
Parmi les choix technologiques les plus sensibles des entreprises figure celui de l’outil de visioconférence. Utilisée pour des communications sensibles, la visioconférence fait transiter une multitude d’informations confidentielles, sur l’activité de l’organisation mais aussi sur les participants aux réunions en ligne.
Si les données des utilisateurs sont protégées en Europe par le RGPD, ce n’est pas le cas ailleurs. De plus, si le chiffrement des flux de communications n’est pas limité au sein de l’UE, bien que cette technologie fasse régulièrement l’objet de débats même en France, il est cependant largement restreint dans d’autres pays (notamment aux Etats-Unis avec la loi du Patriot Act). En clair, utiliser une solution de visioconférence non souveraine, soumise aux lois extraterritoriales, rend difficile la maîtrise technologique et le contrôle des données. Les entreprises s’exposent à des risques connus d’espionnage et d’ingérence accrus.
En résumé :
La souveraineté numérique est une notion essentielle pour les États et les entreprises qui cherchent à protéger leurs intérêts stratégiques, dans un monde numérique incertain et dominé par les GAFAM.
En réduisant la dépendance vis-à-vis des technologies étrangères, en promouvant l’innovation technologique nationale et européenne et en renforçant les mesures de cybersécurité et de cyber-résilience, l’Union Européenne s’efforce de créer un environnement numérique sûr et autonome.
Pour les organisations les plus sensibles, choisir des solutions numériques souveraines n’est pas seulement une question de conformité aux régulations : c’est avant tout une stratégie pour assurer la confidentialité et la sécurité de leurs informations stratégiques.
Tixeo accompagne les organisations critiques dans le renforcement de leur souveraineté numérique, grâce à la protection de leurs communications en ligne les plus critiques.
NIS 2 : les raisons de choisir Tixeo pour votre conformité
/
Recourir à une solution de communication sécurisée ne sera plus l’exception des OIV avec la Directive NIS 2. Des organisations dans de multiples secteurs (transports, administrations publiques, eau potable ou gestion des déchets…) doivent renforcer leur cybersécurité et la confidentialité de leurs échanges en ligne.
Qu’est-ce que la Directive NIS 2 ?
La Directive NIS 2 succède à la Directive« Network and Information Security » (NIS), adoptée en 2016 par le Parlement européen et le Conseil de l’Union européenne. Cette nouvelle version a pour objectif principal d’élargir le périmètre des secteurs concernés par le renforcement de la cybersécurité et de la cyber-résilience.
Avec l’entrée en vigueur de la Directive en octobre 2024, des milliers d’organisations européennes devront assurer aux normes de conformité exigeantes de NIS 2. En effet, de plus en plus d’entreprises et d’institutions sont concernées par les risques de cyberattaques et leurs conséquences graves, notamment sur le plan financier.
La Directive NIS 2 emploie donc une « approche tous risques » pour élever le niveau de sécurité informatique des organisations. Elle recommande ainsi la combinaison de multiples stratégies de cybersécurité. Parmi elles :
l’analyse des risques,
le traitement des incidents,
la continuité des activités,
la sécurité de la chaîne d’approvisionnement,
ou encore l’utilisation de solutions de communication sécurisés
Comment analyser les risques liés aux communications en ligne ?
Utiliser un logiciel de visioconférence non sécurisé pour les réunions en ligne expose les organisations à trois risques principaux :
l’espionnage des communications, qui engendre des vols de données sensibles voire même classifiées,
la perte d’activité, liée à la compromission de l’outil de communication principal, et entraînant l’impossibilité pour les équipes de rester en lien et d’assurer la continuité d’activité,
un coût financier important, consécutif aux deux risques précédents et à l’impact négatif de ces incidents sur la réputation de l’organisation.
Dans son dernier panorama de la cybermenace, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a d’ailleurs observé une augmentation de l’espionnage, ciblant notamment des entreprises de la base industrielle et technologique de défense (BITD).
Pour la conformité NIS 2, les DSI et RSSI des secteurs critiques concernés doivent donc aujourd’hui quantifier la masse d’informations transitant via leur outil de communication et de visioconférence et qualifier leur sensibilité. Ils pourront ainsi évaluer les risques et leurs conséquences financières à l’échelle de leur organisation et les comparer au coût d’une solution de visioconférence sécurisée.
Les enjeux de la visioconférence sécurisée pour la conformité NIS 2
L’utilisation de solutions de communication sécurisées fait partie des moyens pour limiter les risques de cybersécurité et assurer la cyber-résilience.
Continuité des activités
L’article 21.2.c sur la continuité des activités de la Directive NIS 2 indique que les mesures de sécurité mises en place dans les organisations doivent permettre « la continuité des activités, comme la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises ». Le déploiement d’une solution de communication sécurisée constitue un des leviers pour permettre aux équipes de poursuivre leurs échanges en toutes circonstances.
Confidentialité des communications
Parmi les recommandations de la Directive NIS 2, on retrouve également la mise en place de « politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement » (article 21.2.h). et de « solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence ».Les solutions de visioconférences sécurisées, chiffrées de bout en bout, garantissent la confidentialité des flux de communication, notamment en cas d’urgence.
Pour assurer la conformité à NIS 2, la solution de communication sécurisée choisie doit à la fois :
proposer une technologie éprouvée et des fonctionnalités de collaboration fiables
et répondre aux besoins les plus stricts de l’organisation en matière de sécurité informatique et de protection des données et flux de communication.
Pourquoi choisir Tixeo pour se conformer à NIS 2 ?
Origine de la solution
Pour une solution de visioconférence sécurisée, la souveraineté est cruciale. Elle garantit non seulement la sécurité des données mais aussi l’autonomie stratégique des entreprises et des organisations européennes.
Tixeo a choisi de concevoir sa solution en totale indépendance. L’éditeur français propose une technologie propriétaire qui limite les dépendances technologiques et les failles de sécurité externes. De plus, ses solutions dans le cloud sont hébergées auprès d’opérateurs souverains, localisés en Europe et conformes au RGPD. Les données des utilisateurs bénéficient donc d’une totale protection.
Déploiement on-premise
Grâce à son déploiement on-premise, la visioconférence sécurisée Tixeo peut fonctionner sur un réseau dédié dans l’organisation. En d’autres termes, dans le cas d’une compromission de l’accès à Internet ou de la solution collaborative principale, Tixeo sera toujours opérationnelle pour permettre des communications out-of-band. Cela est particulièrement recommandé avec NIS 2 pour la continuité d’activité.
En cas de crise, les équipes peuvent poursuivre leurs réunions en ligne et assurer la reprise d’activité dans les meilleurs délais.
Par ailleurs, l’open-space virtuel chiffré de bout en bout Tixeo offre la possibilité de créer des espaces de travail collaboratifs. Ceux-ci permettent de mieux structurer les échanges liés à la gestion de crise. À la clé, une amélioration de l’agilité dans l’organisation.
Enfin, le déploiement on-premise de Tixeo nécessite l’ouverture d’un seul port réseau. À la clé, une limitation des impacts sur la politique de sécurité informatique de l’entreprise. La rapidité et la fiabilité du déploiement répondent aux exigences de sécurité les plus strictes, notamment en situation de crise.
Il est ainsi impossible pour une personne extérieure à une réunion en ligne, comme pour l’éditeur lui-même, d’accéder aux communications qui transitent par la solution. Le partage des fichiers et la messagerie instantanée en réunion sont également chiffrés de bout en bout.
Cette fiabilité technologique s’ajoute à la garantie de souveraineté du chiffrement Tixeo. En effet, en tant que technologie française respectant le RGPD, la solution n’est ainsi soumise à aucune loi extraterritoriale. Nul ne peut obliger Tixeo à autoriser l’accès aux données de ses visioconférences.
La visioconférence sécurisée Tixeo s’adapte aux besoins des organisations en matière d’intégration et de sécurité informatique. Sa scalabilité lui permet d’augmenter les usages de la visioconférence sans impacter les applications métiers. Dans des circonstances exceptionnelles, Tixeo accompagne ainsi les organisations pour leur permettre de réagir au plus vite et de poursuivre leurs communications en toute sécurité.
Choisir Tixeo pour la conformité à NIS 2 présente donc trois bénéfices principaux :
D’abord, la solution préserve la confidentialité des échanges sensibles, relatifs notamment aux procédures d’urgences en cas de crise,
D’autre part, avec un déploiement on-premise, Tixeo assure la continuité des échanges internes (même sans Internet) et pallie la compromission de la solution de communication principale,
Enfin, en situation critique, recourir à Tixeo déjà déployé en interne évite d’utiliser dans l’urgence des solutions de communication non sécurisées, pouvant présenter des failles de sécurité.
Tixeo, unique solution de visioconférence sécurisée certifiée et qualifiée par l’ANSSI
Depuis 2017, Tixeo bénéficie de la reconnaissance de l’Etat français grâce à sa certification et sa qualification de l’ANSSI.
Plus qu’une simple démarche marketing, le passage en certification et qualification est un exercice de transparence et de fiabilité. Tixeo l’a déjà réalisé à 6 reprises et avec succès.
De plus, Tixeo évolue dans l’écosystème cyber français et européen depuis plusieurs années. La solution de visioconférence sécurisée souveraine a notamment obtenu :
En conclusion, la conformité à NIS 2 devient une obligation légale pour de nombreuses organisations. Cela concerne notamment les fournisseurs de services essentiels dans les secteurs de l’énergie et les transports ou encore les fournisseurs numériques. Le non-respect de ces normes de conformité peut entraîner de lourdes sanctions financières et nuire à la réputation de l’entreprise. Par conséquent, mettre en place une stratégie de conformité NIS 2 constitue également une étape essentielle pour assurer la pérennité de l’entreprise face aux cybermenaces.
La Directive NIS 2 est la nouvelle version de la Directive “Network and Information Security” (NIS), adoptée en 2016 par le Parlement européen et le Conseil de l’Union européenne. Elle élargit le champ des secteurs concernés par le renforcement de la cybersécurité et de la cyber-résilience. Entrant en vigueur en octobre 2024, elle impose à des milliers d’organisations européennes de respecter des normes de conformité strictes pour se protéger contre les cyberattaques.
Quels sont les principaux risques liés aux communications en ligne non sécurisées ?
Utiliser une solution de communication non sécurisée expose les organisations à :
1. L’espionnage des communications, entraînant des vols de données sensibles. 2. La perte d’activité, due à la compromission de l’outil de communication principal. 3. Des coûts financiers importants, résultant des incidents de sécurité et de l’impact sur la réputation de l’organisation.
Comment une solution de communication sécurisée aide-t-elle à la conformité NIS 2 ?
Une solution de communication sécurisée :
1. Assure la continuité des activités en permettant aux équipes de continuer à échanger même en cas de crise. 2. Garantit la confidentialité des communications grâce à des technologies de cryptage avancées, recommandées par la Directive NIS 2. 3. Répond aux exigences de sécurité informatique et de protection des données, cruciales pour la conformité.
Pourquoi choisir Tixeo pour se conformer à la Directive NIS 2 ?
Tixeo présente plusieurs avantages pour la conformité à NIS 2 :
1. Origine souveraine : Solution française, indépendante technologiquement et hébergée en Europe, conforme au RGPD. 2. Déploiement on-premise : Fonctionne sur un réseau dédié, assurant la continuité d’activité même sans accès à Internet. 3. Chiffrement de bout en bout : Garantit la confidentialité des flux de communication, impossible à intercepter par des tiers. 4. Flexibilité et scalabilité : S’adapte aux besoins des organisations, permettant une augmentation des usages sans compromettre la sécurité.
Quels labels de sécurité et de conformité Tixeo a-t-elle obtenus ?
Tixeo a reçu plusieurs labels de reconnaissance, tels que :
1. Label France Cybersecurity pour la sécurité des données et le chiffrement. 2. Label Cybersecurity Made in Europe de la European Cyber Security Organisation (ECSO).
Quelles sont les conséquences du non-respect de la Directive NIS 2 ?
Le non-respect des normes de conformité de la Directive NIS 2 peut entraîner des sanctions financières sévères et porter gravement atteinte à la réputation de l’organisation. Assurer la conformité est donc essentiel pour protéger l’entreprise contre les cybermenaces et garantir sa pérennité.
En quoi consiste la certification et la qualification ANSSI de Tixeo ?
Depuis 2017, Tixeo est certifiée et qualifiée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations). Cette certification est un gage de transparence et de fiabilité, obtenue à six reprises. Elle atteste de la robustesse et de la sécurité de la solution de visioconférence Tixeo.
