Une offre complète de confiance numérique

Informatique CDC, Tiers de confiance et opérateur pour le secteur public, a développé une offre de confiance numérique complète, conforme à l’état de l’art et au cadre règlementaire afin de garantir à ses membres un niveau de sécurité optimal au regard de ces nouveaux enjeux. Cette offre est constituée des briques fonctionnelles suivantes :

  • PKI ou ICP : Infrastructure à Clés Publiques

    • Délivrance des identités numériques (certificats) pour personnes ou machines ;
    • Autorités de Certification qualifiées eIDAS (electronic Identification, Authentication and trust Services)
  • PAMM  : Plateforme d’Authentification Multi-Moyens
    • Fourniture de services d’authentification simple ou renforcée multi-moyens (couple identifiant / mot de passe, certificat numérique, OTP SMS, Google Authentification…)  ;
    • Elévation du niveau d’authentification ou ré-authentification lors d’actes sensibles. Intégration continue de nouveaux moyens d’authentification (OATH logiciels ou physique, FIDO2, …).
  • PCN  : Plateforme de Confiance Numérique
    • Fourniture des services de validation de certificats et de signature électronique ;
    • Horodatage et  constitution de la preuve électronique (enrichissement)  ;
    • Versement et archivage de la preuve électronique.
  • SAE  : Services d’Archivage Electronique
    • Archivage à valeur probante (scellement, signature, horodatage, preuve de dépôt) ;
    • Conformité à la norme Afnor NF Z42-013.
  •  
  • Cette offre, industrielle et pérenne (urbanisée), est modulable et intégrable (web services ou API) en fonction des besoins des acteurs et du niveau de sécurité souhaité. Elle s’appuie autant que nécessaire sur des produits ou des services qualifiés par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information).

Des besoins couverts en matière de risque et de sécurité

Les besoins en nouveaux systèmes de sécurisation reposent sur deux considérations majeures :

  • Le renforcement de l’identification des acteurs (authentification forte via l’identité numérique) ;
  • La signature électronique de transactions ou de documents électroniques certifiés.

Par ailleurs, l’omniprésence de l’informatique dans l’entreprise et dans la vie civile induit de nouveaux risques à couvrir. Récemment, de nombreux incidents avérés et liés à la négligence humaine, tant dans le monde de l’industrie que dans le monde des services ont fait l’objet de publications importantes dans les médias grand public. La divulgation ou la falsification d’informations issues de systèmes sensibles deviennent aujourd’hui une préoccupation majeure pour de nombreux grands groupes privés ou institutions publiques.

Les menaces sont essentiellement de trois types :

  1.  L’accès frauduleux à l’information via l’usurpation d’identité d’une personne habilitée ;
  2.  La falsification d’un document officiel ou la réalisation d’une opération interdite  ;
  3.  La divulgation d’informations sensibles classées confidentielles.

Au-delà de la protection de l’information, la vigilance et la préoccupation des décideurs concernent également :

  • L’intégrité financière et l’impact boursier (engagements excessifs sur les marchés financiers) ;
  • La communication et la protection de l’image (compromission de la crédibilité, atteinte à l’image) ;
  • La confidentialité des informations stratégiques (informations personnelles, sensibles ou personnelles).

C’est dans ce contexte qu’Informatique CDC s’applique à suivre les recommandations du RGS (référentiel général de sécurité) rédigé par l’ANSSI et le règlement européen eIDAS.