Si la cybersécurité est un sujet brûlant pour les grands groupes, les États et les administrations, les PME et les ETI sont tout autant concernés. En effet, la quasi-totalité des données stockées, ou qui circulent en interne ou transitent en direction d’interlocuteurs externes sont potentiellement sensibles. On pense tout d’abord aux informations relatives à la R&D ou à des transactions commerciales ; mais les fichiers clients ou encore les données personnelles des collaborateurs constituent également des cibles de choix pour des attaquants, qu’ils évoluent à l’extérieur ou au sein des organisations.

En outre, depuis 2016, le RGPD (Règlement général sur la protection des données) a généré de nouvelles obligations : par exemple, l’entreprise qui se sera fait dérober son fichier client pourra être tenue de prévenir chacun d’entre eux par LRAR, ce qui incite pour le moins à davantage de vigilance. Cependant, cette directive contribue à renforcer considérablement le niveau de sécurité des données personnelles.

Les solutions de chiffrement de données peuvent faire l’objet d’évaluations qui aboutissent à une certification ou une qualification. Même si certains pays privilégient encore leurs propres méthodes, les certifications dites Critères Communs – car élaborées par la communauté internationale – sont des diplômes reconnus par de nombreuses nations depuis la fin des années 1990.

La qualification, quant à elle, est destinée au territoire français pour accéder par exemple aux marchés publics ainsi qu’aux OIV (Opérateurs d’importance vitale), organismes publics ou privés qui interviennent sur des installations jugées essentielles au bon fonctionnement, voire à la survie de la Nation. La qualification garantit la robustesse du produit et la compétence du prestataire de services. Une qualification est reconnue nationalement ; elle répond à de plus nombreux critères d’exigence et offre des garanties de sécurité supplémentaires à celles proposée par une certification.

L’ANSSI (l’Agence nationale de la sécurité des systèmes d’information), autorité nationale en matière de cyberdéfence et de cybersécurité rattachée au SGDSN (Secrétariat général de la défense et de la sécurité national), est l’organisme français qui accorde certifications et qualifications. Pour cela, des évaluations sont réalisées par un évaluateur tiers sur les produits et sur la base de documentations ; d’autres se font également sur site pour contrôler l’environnement et les procédures de l’éditeur.

Notons que ce qui constitue la partie la plus longue, la plus complexe et la plus concrète de la certification réside dans la phase pratique consistant à tester la robustesse du produit avec des attaques réalisées par des prestataires indépendants qui agissent comme des hackeurs en conditions réelles – une phase de tests fonctionnels et d’intrusions qui peut durer plusieurs mois.

Complétons notre propos en précisant qu’une seconde évaluation peut être faite par une autre autorité européenne afin d’obtenir le diplôme délivré par le Conseil de l’Europe. Elle offre la possibilité d’inscrire un logiciel de chiffrement au catalogue des solutions approuvées par l’Union européenne, ainsi qu’à celui de l’OTAN. Celle-ci pourra par conséquent protéger des informations estampillées « Restreint OTAN » ou « Restreint UE ». 

Sur une échelle croissante de protection, il existe trois niveaux de qualification.

> Les solutions de chiffrement qui correspondent au niveau élémentaire (CSPN) résistent à un attaquant qui dispose de compétences techniques basiques et de ressources limitées.

> Le niveau standard distingue quant à lui des produits qui résistent à un attaquant qui met en œuvre des compétences techniques avancées et des ressources importantes. Comme son nom ne l’indique pas, c’est un niveau de qualification élevé qui permet d’accéder aux appels d’offres publics nationaux et aux OIV de tous ordres.

> Les produits qui accèdent au niveau renforcé résistent à un attaquant aux compétences techniques sophistiquées dont les ressources sont illimitées et qui dispose du soutien d’un État ou d’un groupe criminel.

Les attaques hostiles contre les États sont spectaculaires et semblent sorties tout droit de films d’espionnage. Autre exemple, les opérations de piratage (hacking) contre les hôpitaux sont aussi sidérantes que malheureusement fréquentes. Plus proche de nous, nous connaissons l’hameçonnage (phishing) et le rançonnage (ransomware)…

Certaines entreprises considèrent que leur taille ou le secteur d’activité dans lequel elles évoluent les mettent à l’abri d’actions malveillantes. Pourtant nous pouvons constater au quotidien qu’il n’existe pas de données sans valeur. Adopter une solution de chiffrement agréée par l’ANSSI, c’est s’assurer que les performances du produit sont conformes aux résultats escomptés, que les guides sont suffisamment bien rédigés et ne risquent pas de devenir source de vulnérabilité, que le support utilisateurs est viable, etc. C’est bien entendu hausser son niveau de sécurité de manière impressionnante, mais pas seulement.

En effet, auprès de ses partenaires ou de ses clients, l’entreprise « cybersécurisée » dont les données stockées, entrantes ou sortantes bénéficient d’une protection de haut niveau, jouissent incontestablement d’une image de sérieux et de fiabilité largement supérieure à celle de ses concurrents. Alors, pourquoi les PME et ETI devraient-elles s’en priver ?