CECURITY NEWS N°139 – 02 septembre 2019 – Le chiffrement
L’actualité de la confiance et de la conformité numérique
Préparée par Arnaud Belleil & Estelle Renault

Si vous estimez que cette lettre est utile, n’hésitez pas à la faire découvrir à vos amis, collègues ou relations – https://www.cecurity.com/fr

————————————————————————–

SOMMAIRE :

L’AVIS D’EXPERT
Si ce n’est pas chiffré, alors ce n’est pas un coffre-fort numérique

LE SAVIEZ-VOUS ?
L’observatoire de la filière de la Confiance Numérique
Charte d’interopérabilité pour la transmission des factures électroniques 
Afnor Certification agréé pour la certification CNIL des DPO

LES ANNONCES DE CECURITY.COM
Canon s’associe à Cecurity.com pour accélérer la transformation digitale des entreprises
Le TechVill@ge Cecurity.com aura lieu le 03 octobre à Paris, inscrivez-vous vite !

————————————————————————–

L’AVIS D’EXPERT

Si ce n’est pas chiffré, alors ce n’est pas un coffre-fort numérique !

https://expertise.cecurity.com/wp-content/uploads/2019/03/Chiffrement_sécurité_numérique_backdoors.png


Depuis le 1er janvier 2019, date de l’entrée en vigueur du Décret n° 2018-418 du 30 mai 2018, un service de coffre-fort numérique requiert le chiffrement de l’ensemble des documents et données stockés par celui-ci. Retour sur cette nouvelle exigence règlementaire dont les prémisses remontent à 2010.

« Le Décret n° 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique, pris en application de la loi du 7 octobre 2016 pour une République numérique, est sans ambiguïté. Il modifie le code des postes et des communications électroniques en y introduisant une obligation de chiffrement pour « l’ensemble des documents et données stockées par le coffre-fort numérique ou transférés vers ou depuis celui-ci ». Le décret précise par ailleurs que « ce chiffrement doit être effectué à l’aide de mécanismes cryptographiques conformes à l’état de l’art et permettre une évolution de la taille des clés et des algorithmes utilisés ».

Depuis le 1er janvier 2019, date d’entrée en vigueur de ce décret du 30 mai 2018, tous les services de coffre-fort numérique dignes de ce nom se doivent donc d’assurer le chiffrement des données et documents qui y sont stockés. Inversement, toutes les entreprises qui prétendent proposer un service de coffre-fort numérique sans assurer le chiffrement des contenus ne respectent pas la règlementation. Difficile pour les spécialistes du domaine de soutenir qu’il s’agit d’une nouvelle exigence apparue par surprise puisqu’elle figurait explicitement, exactement dans les mêmes termes, dans le projet de décret soumis à consultation publique en avril 2017.

De l’intégrité à la confidentialité

Initialement, il est vrai que le coffre-fort numérique a pu apparaître comme un dispositif technique relevant du domaine de l’archivage électronique probant avec une priorité accordée à l’intégrité et à la journalisation des documents conservés. C’est cette vision que l’on retrouve par exemple dans la norme AFNOR NF Z 42-020 de juillet 2012 relative aux « Spécifications fonctionnelles d’un composant Coffre-Fort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps». La loi pour une république numérique et ses décrets maintiennent évidemment ces exigences d’intégrité et de traçabilité mais accentuent aussi fortement la dimension confidentialité, notamment avec l’obligation de mise en œuvre du chiffrement.

Deux précurseurs : coffre-fort ARJEL et coffre-fort CNIL

L’association du coffre-fort numérique et du chiffrement n’est pas une réelle nouveauté. Depuis 2010, les opérateurs agréés de jeux et paris en ligne doivent archiver les évènements de jeux dans un coffre-fort électronique chiffré bénéficiant de la Certification de Sécurité de Premier Niveau (CSPN) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Dans ce dispositif, seule l’ARJEL (Autorité de régulation des jeux en ligne) possède les clés de déchiffrement.

De son côté, la CNIL a publié en le 23 janvier 2014 son référentiel pour la délivrance de labels en matière de services de coffre-fort numérique. Pour ce label délivré par la CNIL jusqu’en 2018, une des exigences majeures portait sur l’existence d’une fonction de chiffrement/déchiffrement des données conservées, incluant les documents stockés et leurs métadonnées.

Le label CNIL, qui fait du service coffre-fort numérique en priorité une technologie de protection des données, a été ainsi le véritable précurseur du décret du 30 mai 2018. Toutefois une différence majeure doit être soulignée. Le Label CNIL exigeait la mise en œuvre d’un chiffrement sous le contrôle exclusif de l’utilisateur alors que le décret de 2018 autorise un chiffrement côté serveur.

Fruit d’une évolution en cours depuis près de dix ans, l’obligation de mise en œuvre du chiffrement pour les services de coffre-fort numérique intervient à point nommé au moment où l’un des usages majeurs de cette technologie concerne la dématérialisation des bulletins de paie. Elle fait également écho à l’entrée en vigueur du RGPD où le chiffrement est, avec la pseudonymisation, l’une des deux technologies explicitement citées par ce règlement européen sur la protection des données à caractère personnel.

Arnaud Belleil

 

 


Le chiffrement des coffres-forts Cecurity.com

Le Coffre-fort des jeux en ligne (CFJL), coffre-fort chiffré destiné aux opérateurs des jeux et paris en ligne, a obtenu en 2011 puis en 2015 la Certification de Sécurité de Premier Niveau (CSPN) de l’ANSSI.

Le service de coffre-fort numérique CecurCrypt, avec chiffrement sous le contrôle exclusif de l’utilisateur, a obtenu en 2016 le label CNIL coffre-fort numérique, pour une durée de trois ans.

Le service de coffre-fort numérique chiffré MyCecurity.com, dont l’usage concerne la dématérialisation des bulletins de paie, a obtenu du Cabinet d’avocats Caprioli & Associés, en décembre 2018, une Legal Opinion attestant de sa conformité avec les exigences de la loi pour une république numérique et de ses décrets de 2018.

______________________________________________________________________________________________________________________

LE SAVIEZ-VOUS ?

L’Observatoire de la filière de la Confiance Numérique

L’observatoire ACN de la Confiance numérique 2019, réalisé par Décision Etude & Conseil, est accessible en ligne. La filière qui regroupe la sécurité numérique et la Cybersecurité représente un chiffre d’affaires de 12,4 milliards d’euros en 2018 avec 52 300 personnes employées dans le secteur.

Charte d’interopérabilité pour la transmission des factures électroniques

Le Forum National de la Facture Electronique et des Marchés Publics Electroniques (FNFE-MPE), publie, dans une version soumise à commentaires publics jusqu’au 6 septembre 2019, sa Charte d’interopérabilité pour la transmission des factures électroniques. Il s’agit notamment, expliquent les initiateurs du projet, « de définir les principes fondamentaux permettant aux Emetteurs et Destinataires de choisir librement leurs solutions ou prestataires de services tout en s’assurant que leurs processus de création, transmission et réception de factures restent conformes à la réglementation ».

Afnor Certification agréé pour la certification CNIL des DPO

La CNIL a délivré le 4 juillet 2019, pour une durée de 5 ans, un agrément à Afnor Certification qui est désormais habilité à certifier les compétences du DPO (Délégué à la Protection des Données) sur la base du référentiel de certification adopté par la CNIL en septembre 2018. Il s’agit du premier agrément délivré par la CNIL dans le cadre de la certification des DPO.

______________________________________________________________________________________________________________________

LES ANNONCES CECURITY.COM

Canon s’associe à Cecurity.com pour accélérer la transformation digitale des entreprises
Cecurity.com a signé un contrat de partenariat avec Canon France. En s’associant à l’un des leaders de la gestion du cycle de vie du document, Cecurity.com renforce sa position sur le marché du coffre-fort numérique dédié aux entreprises.(…)

Lire le communiqué de presse : https://bit.ly/2UczNjE
https://expertise.cecurity.com/wp-content/uploads/2019/08/Canon_web.jpg

Le TechVill@ge Cecurity.com aura lieu le 03 octobre à Paris.
Inscrivez-vous vite !

Le 03 octobre prochain, Cecurity.com organise sa journée « TechVillage » à Paris. Il s’agit d’un évènement où sont invités clients et partenaires autour d’un programme qui associe des retours d’expérience clients, des tables-rondes d’experts et des démonstrations de solutions.

Je m’inscris https://bit.ly/2L8wp7F

https://expertise.cecurity.com/wp-content/uploads/2019/08/Cecurity.com_Invitation_Tech-village_2019_v2.png______________________________________________________________________________________________________________________

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *