L’ANSSI, opportunité de sécurité économique pour les entreprises

La protection des Systèmes d’information est considérée  par le livre blanc de la défense de 2008 comme une priorité. Ainsi a été créé l’Agence Nationale de Sécurité des Systèmes d’Information par le décret n°2009-834 du 7 Juillet 2009.

En matière de Sécurité des Systémes d'Information, l’ANSSI propose aux responsables sécurité et/ou informatique des entreprises, certains logiciels de protection gratuits. Ceux-ci sont certifiés CSPN par l’ANSSI, c’est-à-dire Certificat de Sécurité de Premier Niveau.

Les logiciels gratuits à destination des entreprises
L'ANSSI met à disposition des logiciels de sécurité gratuits à destination des entreprises dans plusieurs domaines touchant à la sécurité des systèmes d'information. Un exemple avec des logiciels de messagerie sécurisés et des logiciels de stockage sécurisé des données.

Logiciel de messagerie sécurisé
Le logiciel WinPT et GnuPG
Le produit WinPT et GnuPG correspond  à un moteur cryptographique GnuPG et son interface, WinPT. Ce produit implémente le standard OpenPGP qui est une norme de cryptographie qui décrit le format de messages, clés ou signatures que peuvent s’envoyer certains programmes. L’OpenPGP est un format pour l’échange sécurisé de données. Ce n’est en aucun cas un programme supplémentaire.


Le produit à trois fonctionnalités principales :

-    Il permet de générer et gérer des paires de clés (couple clé public/privé).

-    Il permet de chiffrer ou déchiffrer des données.

-    Il peut signer des documents ou vérifier la signature de documents.


Les services fournis par le logiciel :

–    La création de bi-clés.

–    L’importation de clés OpenPGP.

–    L’exportation de clés publiques.

–    La suppression de clés.

-    La gestion des clés publiques.

–    La signature des documents.

-    La vérification de signature de documents.

-    Le chiffrement de documents.

-    Le déchiffrement de documents.

-    La modification de la configuration GnuPG et de WinPT
.
–    La protection de la confidentialité des clés privées de l’utilisateur




Logiciels de stockage sécurisé des données
Le logiciel Keepass

Keepass est un logiciel « coffre-fort de mot de passe » qu’il stocke et dont l’accès est authentifié et également chiffré.

Les fonctionnalités de Keepass :

-    Génération de mots de passe robustes.

–    Génération de clés maîtres robustes.

–    Authentification de l’utilisateur (contrôle accès par mot de passe ou/et  fichier clé).

–    Chiffrement/déchiffrement des données de la base de données.

-    Intégrité de la base de données (protection et vérification).

–    Effacement des données temporaires.

–    Chiffrement des données temporaires.

–    Déconnexion automatique de la base de données pour prévenir une perte de données et un accès permanent à la base 

–    Mécanisme d’« obfuscation » des mots de passe et des identifiants de connexion (par exemple « login » de compte Internet) à travers le presse-papiers et la simulation de frappe clavier.

Le logiciel Truecrypt

Truecrypt permet le chiffrement de mémoire de masse à la volée. Ce logiciel est notamment recommandé par l’ANSSI pour de nombreuses entreprises.


Ce logiciel permet de chiffrer des données, qu’elles soient contenu dans un ordinateur de bureau, dans un portable ou même dans des périphériques de stockage de masse type Clés USB. L’application truecrypt est un intermédiaire qui s’intercale entre les applications que l’utilisateur emploie pour gérer ses données (lecture, sauvegarde, etc…) et le support de stockage des données. Celui-ci est composé alors de plusieurs volumes Truecrypt qui chiffrent les données. Celles-ci seront alors illisibles si la personne ne parvient pas à s’authentifier. Pour accéder aux données, cela requiert une authentification.

Ce logiciel à trois fonctionnalités :

-    L’authentification préalable de l’utilisateur conditionne toute modification du volume Truecrypt des   paramètres d’authentification.

–    Le chiffrement et le déchiffrement des données écrites dans le volume Truecrypt.

-    La génération de clés de chiffrement qui correspondent au volume Truecrypt.



L’entière efficacité du système dépend de la confidentialité des données d’authentification, qui peuvent être des mots ou des phrases pass. Il est préférable d’éviter les mots de passe type, tel que la date de naissance ou ses initiales, le nom de son chien, etc… et plutôt privilégier des mots de passe comme des citations par exemple.


Les Logiciels de sécurité payants

Plusieurs logiciels de sécurité payants sont également disponible et certifiés par l’ANSSI, ceux-ci ont été élaboré la plupart du temps par des grands groupes. Vous trouverez la liste à l’adresse suivante :
http://www.ssi.gouv.fr/fr/produits/produits-qualifies/

Les rapports de certification de l’ANSSI servent à la compréhension du fonctionnement des logiciels de sécurité et les produits sont certifiés par rapport au référentiel général de sécurité de l’ANSSI.

Les formations de l'ANSSI
L'ANSSI propose également des stages et des formations pour le personnel de sécurité des entreprises. 
L’ANSSI propose des stages de sécurité informatique pouvant aller de un jour à un an. Ces stages permettent des formations en matière de SSI, cryptologie, réseau sans fil, internet, sécurité informatique, droit de la SSI..etc

Ces stages de formation sont en moyenne de 5 jours dans l’année. Vous trouverez la liste des stages à l’adresse suivante :
 http://www.ssi.gouv.fr/fr/anssi/formation/les-stages/liste-des-stages-du-cfssi.html.


Les modules d'autoformation

Outre ces stages, le site internet de l'ANSSI propose également des modules d'Autoformation à destination du personnel de sécurité et d'informatique des entreprises.  Ces modules conseillés par l'ANSSI sont à destination des novices mais également des personnes qui cherchent à réactualiser leurs connaissances ou à les rafraichir.
Ils permettent de se familiariser à des thèmes aussi divers que :

- La cryptologie
- Les certificats électroniques.

– EBIOS, la méthode française de gestion de risques.

– Sécurité des réseaux et sécurité du poste de travail.

– La politique de SSI et l’administration du réseau.

- Principes essentiels de la sécurité informatique
.
– Sécurité du poste de travail.

- Signature numérique.

Vous trouverez l’ensemble de ces formations disponibles en cliquant sur le lien ci-dessous : http://www.securite-informatique.gouv.fr/gp_mot24.html

Mathieu Dupressoir