Tiers de confiance numérique

Les possibilités offertes par le développement d’internet, la banalisation des outils numériques et la dématérialisation progressive des procédures amènent la plupart des organisations à avoir recours à de nouveaux systèmes de sécurisation.
Des besoins couverts en matière de risque et de sécurité

Les nouveaux besoins adressés en matière de systèmes de sécurisation reposent sur deux considérations majeures :

1. Renforcer l’identification des acteurs (authentification forte via l’identité numérique).
2. Utiliser la signature électronique de transactions ou de documents électroniques certifiés.

L’omniprésence des outils numériques dans l’entreprise et hors de l’entreprise induit une amplification croissante des risques à couvrir.

1. L’accès frauduleux à l’information via l’usurpation d’identité d’une personne habilitée ;
2. La falsification d’un document officiel ou la réalisation d’une opération interdite ;
3. La divulgation d’informations sensibles classées confidentielles.

Récemment, de nombreux incidents liés à la cybercriminalité ou à la négligence humaine, tant dans le monde de l’industrie que dans le monde des services ont fait l’objet d’une importante exposition médiatique auprès du grand public. La divulgation ou la falsification d’informations confidentielles deviennent aujourd’hui une préoccupation majeure pour de nombreux grands groupes privés ou institutions publiques.

Au-delà de la protection de l’information, la vigilance et la préoccupation des décideurs concernent également :

• L’intégrité financière et l’impact boursier (engagements excessifs sur les marchés financiers)
• La communication et la protection de l’image (compromission de la crédibilité, atteinte à l’image) ;
• La confidentialité des informations stratégiques (informations concurrentielles, sensibles ou personnelles).

C’est dans ce contexte qu’Informatique CDC s’applique à suivre les recommandations du RGS (référentiel général de sécurité) rédigé par l’ANSSI et le règlement européen eIDAS.

Le RGS – officiellement publié par le 2 février 2010 – impose aux administrations publiques des règles officielles et incontestables. Ce texte fédérateur, adossé à l’Ordonnance du 8 décembre 2005, rassemble les règles de sécurité à respecter dans le cadre de la dématérialisation des services publics.
Notre réponse aux besoins

Une offre complète d’outils de confiance numérique

Informatique CDC, Tiers de confiance, opérateur et maîtrise d’œuvre pour le secteur public, a développé une offre de confiance numérique complète, conforme à l’état de l’art et au cadre règlementaire afin de garantir à ses membres un niveau de sécurité optimal au regard de ces nouveaux enjeux. Cette offre est constituée des briques fonctionnelles suivantes :

• PKI ou ICP : Infrastructure à Clés Publiques
- Délivrance des identités numériques (certificats) pour personnes ou machines ;
- Autorités de Certification qualifiées eIDAS (Electronic Identification, Authentication and trust Services)
• PCN : Plateforme de Confiance Numérique
- Fourniture des services de validation de certificats et de signature électronique ;
- Horodatage et constitution de la preuve électronique (enrichissement) ;
- Versement et archivage de la preuve électronique.
• Parapheur électronique
- Le Parapheur électronique est un outil permettant de garantir l'intégrité d'un document électronique et d'en authentifier l'auteur, par analogie avec la signature manuscrite d'un document papier…
• Open_Auth : Plateforme d’Authentification basée sur des technologies open source
- Fourniture de services d’authentification simple ou renforcée multi-moyens (couple identifiant / mot de passe, certificat numérique, OTP SMS, Google Authentification…) ;
- Elévation du niveau d’authentification ou ré-authentification lors d’actes sensibles. Intégration continue de nouveaux moyens d’authentification (OATH logiciels ou physique, FIDO2, …).
• SAE : Services d’Archivage Electronique
- Archivage à valeur probante (scellement, signature, horodatage, preuve de dépôt) ;

- Conformité à la norme Afnor NF Z42-013.

Cette offre, industrielle et pérenne (urbanisée), est modulable et intégrable (web services ou API) en fonction des besoins des acteurs et du niveau de sécurité souhaité. Elle s’appuie autant que nécessaire sur des produits ou des services qualifiés par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information).

La sensibilisation de tous les publics de l’entreprise

En complément des mesures techniques, la sensibilisation de tous les publics de l’entreprise aux enjeux de la sécurité numérique et en particulier la prise de conscience du risque par les décideurs et l’ensemble des acteurs à enjeu majeur.

• des actions de sensibilisation des publics.

La sensibilisation est complétée par une offre de formation :

• La formation en matière de sécurité numérique est un enjeu majeur.