Bien travailler à distance avec les outils numériques (Christophe Blazquez)

Chapitre 5

La sécurisation des échanges

Le développement du travail à distance, notamment lors des confinements liés à la pandémie de Covid-19, a entraîné une forte hausse des menaces.

Les enjeux en matière de sécurité informatique et de protection des données sont devenus fondamentaux pour les entreprises et pour les professionnels.

En conséquence, il devient indispensable de se préoccuper des aspects sécuritaires lorsque nous échangeons à distance.

Utiliser un Virtual Private Network (VPN)

Qu’est-ce qu’un VPN ?

Le VPN vient de l’anglais Virtual Private Network* qui signifie réseau privé virtuel en français.

Le VPN repose sur la création d’un tunnel (via un protocole d’encapsulation) entre les deux ordinateurs. Bien que distants, ces deux ordinateurs sont alors connectés à un même réseau local, virtuel.

Il est possible d’utiliser son VPN sur de nombreux supports :

- Son ordinateur.

- Son smartphone.

- Sa tablette.

- Sa TV connectée.

- Etc.

Tous les appareils se connectant à Internet peuvent se protéger avec un réseau virtuel privé. Il reste toutefois primordial de regarder au préalable la compatibilité du VPN choisi afin de ne pas avoir de souci au cours de l’utilisation.

Est-ce légal d’utiliser un VPN ?

L’utilisation d’un VPN en France est légale. Cependant, le gouvernement n’autorise pas n’importe quel usage de cet outil.

Il n’est pas possible de :

- Télécharger et diffuser des œuvres protégées par la propriété intellectuelle.

- S’en servir pour masquer son identité et pirater des internautes.

Quels sont les principaux usages d’un VPN ?

Il permet de :

- Devenir anonyme lors de ses navigations sur Internet.

- Se protéger des cyberattaques.

VPN payant versus VPN gratuit

Comme nous l’avons déjà souligné dans le chapitre 1, l’utilisation de services payants nous paraît préférable dans un contexte professionnel voire personnel au vu de l’augmentation très forte de la cybercriminalité et des risques qui y sont attachés.

Nous vous conseillons d’éviter absolument les VPN 100 % gratuits. Si certains éditeurs de VPN premium ne peuvent pas se permettre d’offrir leurs services sans frais, c’est qu’il y a une justification. En effet, développer et maintenir un VPN de qualité coûte cher pour les éditeurs.

Les mauvais VPN gratuits n’ont pas les moyens de développer et d’améliorer leur logiciel avec le temps. Ils sont alors souvent remplis de failles et de fuites qui menacent vraiment votre sécurité sur le web.

Les meilleurs VPN gratuits parviennent en partie à se financer grâce aux fonctionnalités payantes qu’ils proposent. Que ce soit ProtonVPN, Windscribe, Hide.me ou TunnelBear, tous proposent l’option de payer pour débloquer plus de services. Ainsi, ils utilisent ces ressources afin de mettre à jour leur VPN pour lutter contre un risque de faille. La solution gratuite de ces derniers est donc plutôt sécurisée. Mais, ils ne sont pas aussi performants que les acteurs payants.

Parmi les VPN payants les plus populaires du marché, nous pouvons citer :

- ExpressVPN.

- CyberGhost.

- NordVPN.

- Surfshark.

- Private Internet ACCESS.

Les risques liés à l’utilisation d’outils gratuits de stockage et de partage de données

Dans un contexte professionnel, l’envoi et le partage de fichiers devraient respecter certaines règles : la sécurité et l’intégrité de toutes vos données, la confidentialité.

La pratique du shadow IT

Nous avons déjà abordé ce concept au chapitre 1 car il s’est renforcé avec le développement des usages dans le cloud computing. Il s’agit de l’utilisation de logiciels par l’un des membres du personnel sans que les responsables de la sécurité informatique en soient informés.

De nombreuses entreprises ont déjà perdu des données suite à l’utilisation d’outils gratuits de partage de documents en ligne.

Comme pour toute cyberattaque, les conséquences en termes de chiffre d’affaires peuvent être néfastes.

La protection de vos données

En utilisant un service gratuit, vous ne disposez d’aucune garantie :

- Existe-t-il des protections pour contrer les cyberattaques ?

- Un certificat SSL (Secure Sockets Layer) protège-t-il toute connexion au service ?

- Le lien de partage est-il sécurisé en https ?

Si le service en ligne que vous utilisez se fait attaquer, alors cela aura une répercussion sur les terminaux des utilisateurs puis sur l’ensemble de votre réseau d’entreprise.

La confidentialité

Avant de partager un fichier avec un outil gratuit, il est préférable de se poser les questions suivantes :

- Les informations sont-elles susceptibles d’être utilisées à des fins commerciales par des entreprises partenaires du service ?

- Comment fonctionnent les droits de partage ? Quelles sont les règles ? Qui a accès au fichier partagé ?

- Que devient le fichier partagé ? Est-il détruit ou exploité ?

Google accède à certains de vos documents afin de vous suggérer des publicités personnalisées !

L’intégrité des données

En n’ayant pas la maîtrise de l’administration de l’outil de partage, vous vous exposez aux risques suivants :

- L’usurpation de l’identité de votre entreprise ou de l’un de ses responsables.

- La corruption de fichiers.

- La mise en circulation de faux documents ou de fake news*, etc.

Les dommages

Les risques sont élevés et peuvent engendrer des problèmes importants pour l’entreprise :

- Perte de données.

- Baisse de l’activité.

- Problèmes financiers.

- Remplacement du parc informatique.

- Dégradation de la réputation de l’entreprise.

- Fuite des talents.

- Perte de clients.

Différences entre outils gratuits et outils payants

De manière générale, il existe des différences significatives entre les outils gratuits et les éditeurs de solutions payantes pour le stockage et le partage de vos documents.

Risques présentés par les solutions gratuites :

- Documents exposés aux risques de cybercriminalité.

- Accès aux données non maîtrisé.

- Confidentialité non garantie.

- Usurpation d’identité et circulation de faux.

- Pas de maîtrise de l’hébergement.

- Volume de partage imposé.

- Pas de certitude sur l’effacement des fichiers stockés.

Avantages proposés par les solutions payantes :

- Centralisation des données et gestion administrateur.

- Gestion des accès et des droits des utilisateurs.

- Intégrité des données certifiée.

- Traçabilité.

- Contrat d’engagement du fournisseur (conformité RGPD*, etc.).

- Volume sur mesure.

- Conservation ou suppression du fichier contrôlée.

Partager des fichiers en toute sécurité

La prise en considération de la sécurité

Les cyberattaques et la cybercriminalité sont en hausse constante.

Si vous exposez vos données aux hackers, cela peut aller jusqu’à compromettre la pérennité de votre entreprise ou de votre activité.

La gestion des risques (Risk Management) consiste à étudier tous les points de vigilance et à réduire au maximum les risques encourus.

Côté éditeurs de logiciels, on constate une offre professionnelle très actualisée avec les menaces, avec des réponses sécuritaires très exigeantes, qui garantissent la confidentialité et l’intégrité des données. Comme évoque ci-dessus, les certifications européennes et normes en témoignent.

Un logiciel professionnel pour effectuer un partage de fichiers sécurisé est devenu indispensable afin de protéger son activité et préserver son patrimoine numérique passé, présent et futur. L’horodatage* de document offre par exemple une valeur probante.

Signez et archivez vos documents en toute sécurité avec un logiciel dédié

Vous devez faire signer des documents par une ou plusieurs personnes, en interne ou par des personnes tierces ? Comment simplifier cette étape tout en garantissant la confidentialité, la sécurité et l’inaltérabilité de vos données ?

Les logiciels de signature électronique vous permettent de résoudre cette problématique : vous signez vos documents (contrats, devis, factures, mandats, etc.) en ligne, dans un outil sécurisé qui identifie chaque signataire. Vous n’avez plus besoin d’imprimer, de signer et de numériser vos documents avant de les partager : vous gagnez du temps, tout en accordant une valeur légale à vos documents, conformément à la norme eIDAS.

Ces logiciels vous assurent un niveau de sécurité par rapport à la signature scannée qui présente un risque d’usurpation non négligeable.

Yousign est la référence française des logiciels de signature électronique. Cette solution vous permet de signer tous vos documents en ligne de manière sécurisée, et de bénéficier d’un archivage certifié.

Est-il possible de contester la signature électronique ?

Il n’est pas possible de contester la signature électronique devant les tribunaux en ayant comme élément de contestation son format électronique. En effet, l’acte de signature en ligne a une valeur équivalente à la signature manuscrite. Cependant, elle doit répondre à des exigences particulières régies par les États ou elle est appliquée.

La signature électronique a-t-elle une valeur juridique ?

En 2020, la pandémie du Covid-19 ralentit considérablement les échanges physiques, ce qui entraîne une démocratisation des outils numériques dont la signature électronique. Cependant, elle est utilisée depuis plusieurs années dans différents secteurs d’activité : juridiques, industriels, etc.

En France, la signature électronique obtient une reconnaissance juridique durant l’année 2000 (Loi n° 2000-230 du 13 mars 2000). Elle devient équivalente à la signature manuscrite.

En 2014, l’Union européenne décide d’uniformiser et d’encadrer légalement la réalisation de signatures électroniques à tous les États membres grâce à la réglementation européenne eIDAS (Electronic IDentification And trust Services). Elle permet de garantir l’identité du signataire, l’intégrité ainsi que la provenance du document.

La signature électronique via blockchain

La technologie blockchain a fait évoluer le domaine de la signature électronique.

La signature électronique vise généralement à atteindre l’un, voire les deux, objectifs suivants :

- Certifier l’origine d’un document : authenticité, origine, horodatage.

- Obtenir le consentement d’un tiers sur le contenu d’un document (en remplacement par exemple d’une signature manuscrite).

Afin de pouvoir être recevable comme une preuve devant des autorités compétentes ou un tribunal, il convient de respecter un certain nombre de normes, dont eIDAS en Europe et eSign Act aux États-Unis.

De nombreux acteurs se sont positionnés au fil du temps comme prestataires de services sur ce marché, se proposant comme tiers de confiance sur divers sujets : émission de certificats, horodatage, archivage à valeur probatoire, etc.

La technologie blockchain permet aujourd’hui de se passer de ces tiers dans la majorité des cas. Elle ne requiert pas de certificat, fournit nativement une solution d’horodatage, et vous permet de gérer vous-même l’archivage de vos documents. En d’autres termes, la technologie blockchain vous apporte une solution intégrée.

Les avantages sont nombreux. Le principal est la réalisation d’économies de coût. Dans le contexte par exemple d’un horodatage de factures émises en fin de journée par lots de plusieurs milliers, la signature sur blockchain permet d’atteindre des prix inférieurs au centième de centimes d’euros par document.

Cas pratique : Sécuriser vos données d’entreprise dans la blockchain avec Woleet

Fondée en 2015, la start-up rennaise Woleet déploie une solution permettant de créer, dans la blockchain, des preuves d’existence et de signatures horodatées.

Woleet entend participer à l’éclosion d’un standard international de la preuve autour de la technologie blockchain.

Cachet serveur

Cette fonctionnalité vous permet de certifier vos données.

Les cachets serveur Bitcoin prouvent l’existence et l’intégrité de tout type de données provenant d’une personne morale.

Le cachet serveur Bitcoin combine une signature numérique liée à une identité d’entreprise et un horodatage immuable inscrit dans Bitcoin.

Ainsi, les données deviennent instantanément figées et peuvent être partagées en toute sécurité avec n’importe qui sans risque de falsification ou d’antidatation.

Avec la suite logicielle Woleet (accessible en version payante), vous pouvez facilement automatiser la création de cachet serveur Bitcoin.

Les principaux cas d’utilisation des cachets serveur sont :

- L’anti-contrefaçon.

- L’audit/conformité.

- La propriété intellectuelle.

Signature électronique

Woleet met à disposition une solution de signature électronique nommée « woleetsign ».

Elle vous permet de signer tout type de document quels que soient sa taille ou son format.

Choisissez le document.

Vous devez sélectionner un document depuis votre ordinateur ou un espace de stockage.

Sélectionnez les destinataires.

Vous pouvez sélectionner des destinataires existants dans votre répertoire ou en créer de nouveaux.

Envoyez votre demande.

Au cours de cette dernière étape, vous aurez à définir l’ordre des signataires, ajouter un message, une date d’expiration et une date de lancement.

Horodatage

Cette fonctionnalité chez Woleet vous permet d’accéder à des preuves d’existence vérifiables dans le monde entier. L’utilisation de Bitcoin comme source de temps global sert à obtenir un horodatage intemporel.

Woleetsign est proposée en version gratuite : vous pouvez signer jusqu’à 10 documents par mois. La première option payante coûte 7 € par utilisateur et par mois. Elle offre la possibilité d’authentification par SMS.

La solution woleetprofdesk est accessible à partir de 49 euros par mois. Elle donne accès à 1 000 horodatages et à l’authentification par SMS. Vous bénéficiez également de l’API* pour intégrer la signature électronique dans vos outils.

Témoignages

Aurélie Bayle - Déléguée à la protection des données, doctorante Blockchain & RGPD

« La circulation de la donnée est l’enjeu de la décennie actuelle et de celles à venir. Avec la multiplicité des sources, supports et volumes de données, cette circulation génère des problématiques de sécurité qui méritent une attention toute particulière.

D’un point de vue pratique, ces problématiques ne sont pas seulement matérielles : bien qu’il existe à ce jour une multiplicité d’outils susceptibles de sécuriser une transmission de données à caractère personnel, les aspects humains et organisationnels sont loin d’être minimes. Il est possible de disposer de bons outils et d’avoir des personnels qui ne les emploient pas, ou ne savent pas parfois simplement s’en servir. La clé d’une sécurisation efficace tient autant aux outils qu’aux utilisateurs et acteurs de la transmission des données, il est important d’insister sur ce point. La pédagogie doit être l’alliée de la sécurité des échanges.

Dans une époque où l’envoi d’un mail ne prend que quelques secondes, c’est aussi le temps qu’il faut pour divulguer des informations confidentielles à des destinataires non habilités, cliquer sur un lien corrompu, compromettre un ordinateur laissé sans verrouillage, pénétrer un appareil et son réseau lors d’une connexion sur un réseau public, et finalement mettre en péril tout le réseau d’une entité ainsi que la vie privée des personnes concernées par les données qui le composent. Tout peut aller très vite, et la sensibilisation des acteurs d’un écosystème peut éviter bien des déconvenues.

Les exigences réglementaires actuelles poussent à se demander en permanence « à qui ?» des données sont envoyées, « quelles ?» données, « par qui ?», «pour quoi ?», mais surtout : «comment ?». La réponse à ce « comment » peut revêtir des dizaines de formes, qui exigent toutes, quelles qu’elles soient, des précautions à mettre en œuvre. C’est ici faire référence au désormais réputé privacy by design ou « protection dès la conception » que l’on martèle sans cesse en matière de traitements et transferts de données à caractère personnel.

Par chance, le progrès technologique vient fidèlement servir cette cause : des outils comme la cryptographie et la blockchain sont autant de solutions techniques susceptibles de renforcer la sécurisation des transferts de données. Le chiffrement, quelle que soit sa forme, est aujourd’hui devenu un standard minimal exigé dans de très nombreux cahiers des charges d’outils informatiques, et l’on ne peut que s’en réjouir.

Il ne devrait plus être concevable aujourd’hui d’envoyer des données à caractère personnel, d’autant plus des données dites « sensibles » (comme des données de santé par exemple), en pièce jointe non chiffrée d’un mail, ou même par SMS. On devrait tout autant pouvoir tracer les accès qui ont été effectués sur nos données, surtout là encore, sur nos données sensibles.

Pourtant, la pandémie actuelle nous montre bien que ces envois et accès non maîtrisés sont encore trop souvent une affaire quotidienne, dépourvue de mesures techniques suffisantes et sécurisées.

De nombreuses initiatives nationales tentent cependant de pallier ces difficultés, et les écosystèmes publics ou de santé mettent en œuvre des solutions d’authentification et de plateformes pour mieux maîtriser la circulation de la donnée. Ces initiatives sont à saluer, lorsque toutefois elles disposent d’une architecture efficacement sécurisée et reposent sur des préoccupations de souveraineté numérique. Les développements croissants des cas d’usage blockchain et d’identité numérique ne peuvent qu’améliorer la perspective d’échanges sécurisés et maîtrisés. À l’échelle des entreprises, les enjeux de sécurisation sont eux aussi enfin pris en compte par les directions, et on notera un net effort de sécurisation des réseaux, postes de travail, serveurs, et appareils mobiles utilisés dans ces entités.

Par ailleurs, on remarque avec ce contexte sanitaire des plus compliqués depuis 2020 que la protection des données des utilisateurs devient de plus en plus omniprésente dans leurs préoccupations, et que ces derniers multiplient les actions en matière de protection des données, et s’informent de manière croissante sur ces thématiques. »

Thierry Arnaly - Président-fondateur Authentic BlockChain

« J’ai créé la société Authentic BlockChain, avec Barbara Thomas David, pour faire face à la hausse importante des falsifications de documents juridiques qui a accompagné le premier confinement pour le Covid-19. Dans le domaine de la sécurisation des échanges, comme pour de nombreux autres sujets liés à la transition numérique, la pandémie a agi comme un accélérateur de tendances qui étaient là, mais peu perceptibles.

Début 2020, la très grande majorité des professionnels du Droit et du Chiffre n’était pas prête pour le télétravail. Il a fallu y passer à marche forcée. À ce moment-là sont apparues deux failles importantes pour la sécurisation des échanges. La première concerne les éventuelles usurpations d’identité, la seconde la conformité aux originaux des documents échangés.

Pour la première, des systèmes ont été mis en place avec plus ou moins de succès. Il est cocasse de constater que ce sont des solutions américaines qui ont été choisies pour cela par certaines instances professionnelles. En effet, chercher de la sécurité en confiant des échanges de documents numériques à des acteurs issus d’un système juridique intrinsèquement différent du nôtre est un contresens. D’autant plus, lorsque l’on sait que ces acteurs peuvent transmettre les informations qu’ils traitent à des autorités américaines qui pourraient s’en servir contre ceux qui échangent ces données.

Pour contrer les falsifications possibles (et simples à mettre en œuvre) des documents juridiques, il n’existait pas de service, voire pas de prise de conscience. Celle-ci est venue au fur et à mesure que la fraude a pris de l’importance et que les préjudices se sont élevés à des centaines de milliers d’euros. Les falsifications en question peuvent être très simples (modification via un logiciel d’un document numérique dont on dispose) ou très complexes (analyse d’échanges de mails par l’intelligence artificielle pour sélectionner ceux contenant certaines informations, comme un RIB par exemple, et les remplacer par d’autres à l’avantage des pirates).

En créant Authentic BlockChain, nous avons voulu nous attaquer prioritairement à la falsification des documents numériques. Notre mission est de fournir un service en ligne très simple à utiliser et qui permet de détecter en quelques secondes les fichiers qui ont été falsifiés. Cela sécurise les échanges, puisque celui qui reçoit un fichier peut vérifier par un simple glisser-déposer qu’il correspond au fichier original. Concrètement, cette solution est fondée sur la technologie blockchain qui garantit l’immutabilité des données qui y sont déposées (on dit « ancrées »). Ainsi, lorsqu’une information est ancrée dans la blockchain, elle ne peut plus être modifiée ou supprimée et elle est horodatée de manière sûre.

En utilisant la blockchain, nous sommes donc assurés de pouvoir comparer un fichier échangé avec sa version initiale qui a été ancrée dans la blockchain. S’il y a une différence, c’est qu’il y a eu une falsification, volontaire ou pas. Cette méthode, lorsqu’elle utilise une blockchain dont l’administration est publique, est opposable devant les tribunaux, comme une preuve. Pour autant, pour assurer la confidentialité il convient que l’information échangée ne soit pas directement ancrée dans la blockchain, ce qui la rendrait lisible par tous.

Pour éviter que tout le monde puisse lire les informations échangées, nous utilisons l’empreinte numérique des fichiers échangés. Chaque fichier a une empreinte unique, qui se concrétise par une suite de caractères alphanumériques d’une longueur fixe, quels que soient sa taille ou son type. Une vidéo ou un fichier PDF ont chacun une empreinte, mais elles sont toutes différentes et ne permettent pas de reconstituer le fichier de départ. Cette propriété est exploitée par les informaticiens depuis les années 1970. Nous l’avons utilisée en ancrant dans la blockchain les empreintes plutôt que les fichiers eux-mêmes. Ainsi lors d’un échange, il suffit de calculer l’empreinte du fichier reçu et de la rechercher dans la blockchain. Si elle n’y est pas c’est que le fichier a été modifié, volontairement ou non.

Le dernier point qu’il nous fallait résoudre pour assurer complètement la sécurité des échanges : certifier l’identité des personnes qui réalisent concrètement les ancrages de leurs fichiers au travers de l’application Authentic BlockChain. Nous avons traité ce sujet en suivant l’exemple des néo-banques. Lors du processus d’inscription, nous demandons toutes les informations sur le futur utilisateur et pour terminer nous lui demandons de nous transmettre une photo de sa carte d’identité et un selfie sur lesquels il fait apparaître un code que nous lui envoyons à cette étape. Pour terminer, un être humain vérifie toutes les informations ainsi que les photos avant de valider l’accès au service.

Comme on le voit, la sécurisation des échanges demande la mise en place de technologies complémentaires et de procédures bien réfléchies pour éviter toute faille sans être trop lourdes à utiliser. Pour le moment, très peu d’acteurs proposent cet assemblage et il faut rester extrêmement vigilant sur l’authenticité des documents importants que l’on peut recevoir lors d’échanges numériques. »