La Direction générale des entreprises (DGE) du ministère de l’Économie, des Finances et de la Relance a lancé, le 24 février 2022, une consultation publique sur la future certification ANSSI des services de coffre-fort numérique. Voilà qui mérite quelques explications.
De quoi s’agit-il ?
L’article L. 103 du Code des postes et des communications électroniques, dans sa rédaction issue de l’article 87 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique définit les caractéristiques essentielles d’un service de coffre-fort numérique. Cet article comporte également la mention suivante : « Ce service de coffre-fort numérique peut bénéficier d’une certification établie selon un cahier des charges proposé par l’autorité nationale de la sécurité des systèmes d’information après avis de la Commission nationale de l’informatique et des libertés et approuvé par arrêté du ministre chargé du numérique. »
La consultation de la DGE concerne donc la future certification ANSSI des services de coffre-fort numérique prévue par la Loi pour une République numérique d’octobre 2016. Une fois en vigueur les services de coffre-fort numériques bénéficieront d’une certification de même nature que celle en vigueur pour les services de tiers-archivage avec la certification AFNOR NF 461.
Trois documents ont été mis en ligne dans le contexte de cette consultation publique ouverte jusqu’au 8 avril 2022 :
– le projet de décret ;
– le projet de cahier des charges pour la certification ;
– l’arrêté portant approbation du cahier des charges pour la certification de service de coffre-fort numérique.
Le projet de cahier des charges est le document le plus consistant puisqu’il énumère dans le détail l’ensemble des exigences que doit respecter le candidat à la certification et son service de coffre-fort numérique.
Dans la continuité des référentiels existants
Bien évidemment, le projet de référentiel reprend les exigences de l’article L. 103 du Code des postes et des communications électroniques et celles qui figurent dans les deux décrets de 2018 : n° 2018-418 du 30 mai 2018 « relatif aux modalités de mise en œuvre du service de coffre-fort numérique » et n° 2018-853 du 5 octobre 2018 « relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique ».
Ce référentiel a aussi le grand mérite de ne pas vouloir tout réinventer en assurant une cohérence d’ensemble avec les exigences des référentiels préexistants à la loi de 2016. Il s’inscrit donc dans la suite des travaux menés par l’AFNOR, d’une part, et par la CNIL, d’autre part.
La norme AFNOR NF Z 42-020 de juillet 2012 (Spécifications fonctionnelles d’un composant Coffre-Fort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps) est particulièrement mise en valeur. Le respect des exigences de cette norme – par exemple démontrable par la certification NF Logiciel 203 CCFN – fait que le fournisseur de services candidat à la certification ANSSI est « réputé satisfaire » à certaines obligations du nouveau référentiel. Plus globalement : « Il est recommandé que le composant sur lequel s’appuie le service de coffre-fort numérique respecte les spécifications fonctionnelles définies dans la norme ».
Le référentiel se situe également dans la droite ligne des réflexions menées par la CNIL depuis 2013 sur les services de coffre-fort numérique. Pour s’en convaincre il suffit de lire la seule phrase où il est indiqué que : « l’identification du détenteur du coffre ne peut, en aucun cas, être réalisée au moyen du numéro de sécurité sociale (RNIPP). » Les annexes 2 et 3 du projet de cahier des charges reprennent également le contenu de deux textes de la CNIL – la recommandation de 2013 et les exigences de l’ex Label CNIL de 2014 – pour formaliser les recoupements entre les exigences de ces deux textes et celles du projet de cahier des charges soumis à consultation publique.
Quelles exigences supplémentaires par rapport à la loi de 2016
et aux décrets de 2018 ?
Le cahier des charges précise que « les services de coffre-fort numérique certifiés conformément au présent cahier des charges bénéficient d’une présomption de conformité aux obligations définies aux 1° à 5° de l’article L. 103 du Code des postes et des communications électroniques. » Il en résulte que les exigences de cet article et des deux décrets de 2018 qui en découlent sont reprises et détaillées.
En outre, au moins deux exigences supplémentaires très significatives, qui ne figurent pas aujourd’hui explicitement dans la réglementation, sont ajoutées au programme de travail des candidats à la certification :
- l’identification de l’utilisateur lors de l’accès au service de coffre-fort numérique doit être assurée par un moyen d’identification électronique « substantiel » selon la terminologie du règlement eIDAS ;
- « les fonctions cryptographiques sensibles, relatives au chiffrement et à l’authentification des utilisateurs, doivent être mises en œuvre dans des équipements cryptographiques qualifiés ».
Il s’agit d‘exigences fortes qui demanderont sans doute – si elles sont retenues au terme de la consultation publique – un temps de préparation pour les candidats à la future certification. En revanche, le chiffrement des documents et données stockées dans le coffre-fort numérique demeure possible avec un chiffrement côté serveur. La doctrine historique de la CNIL en faveur d’un chiffrement sous le contrôle exclusif de l’utilisateur n’a pas été retenue dans le projet de cahier des charges.
Il faudra suivre dans les prochains mois l’actualité de cette certification des services de coffre-fort numérique. Comme c’est toujours le cas pour ce type d’approche, les défenseurs de cette certification œuvreront pour qu’elle soit suffisamment exigeante tout en restant accessible techniquement et économiquement à un nombre suffisant d’acteurs. De cette façon, elle aura naturellement vocation à devenir la référence centrale sur le marché des services de coffre-fort numérique.
Article rédigé par Arnaud Belleil
La position de Cecurity.com
Cecurity.com se félicite de la création de la future certification ANSSI des services de coffre-fort numérique qui valorisera les acteurs les plus exigeants du secteur de la confiance numérique.
Cecurity.com, au terme de la phase de consultation publique, sera très certainement candidate à la certification ANSSI pour un de ses propres services de coffre-fort numérique. La société procurera également assistance et expertise à ses clients et prospects désireux d’obtenir cette certification ANSSI.
Cette ambition se fonde sur les certifications et labels déjà obtenus par Cecurity.com
• Le Coffre-fort des jeux en ligne (CFJL), coffre-fort chiffré destiné aux opérateurs des jeux et paris en ligne, a obtenu en 2011, en 2015 puis en 2020, la Certification de Sécurité de Premier Niveau (CSPN) de l’ANSSI ;
• Le service de coffre-fort numérique CecurCrypt a obtenu en 2016 le label CNIL coffre-fort numérique. La CNIL ayant cessé ses activités de labellisation, Cecurity.com reste la seule société à avoir obtenu le label CNIL coffre-fort numérique ;
• Le service de coffre-fort numérique chiffré MyCecurity.com, dont l’usage concerne la dématérialisation des bulletins de paie, a obtenu du Cabinet d’avocats Caprioli & Associés, en décembre 2018, une Legal Opinion attestant de sa conformité avec les exigences de la loi pour une République numérique et de ses décrets de 2018;
• Le Coffre-fort électronique Communicant de Cecurity.com a reçu la certification NF Logiciel 203 Composant coffre-fort numérique délivrée par AFNOR certification. Accordée la première fois en 2013, cette certification a été renouvelée chaque année. Elle atteste de la conformité du Coffre-fort électronique Communicant avec les exigences issues de la norme AFNOR NF Z42-020.
Cecurity.com est l’éditeur leader sur les solutions de coffres-forts numériques en France !
Un service de coffre-fort numérique (CFN) c’est quoi ?
Le coffre-fort numérique est un espace d’archivage sécurisé virtuel permettant de garanti
r l’intégrité, la confidentialité, la disponibilité et la pérennité des données.
Grâce au coffre-fort numérique, les organisations peuvent ainsi se protéger de la perte de leur patrimoine informationnel mais également garantir la valeur probante de tous leurs documents numériques dans le temps.
En effet, en archivant les documents sensibles d’une entreprise dans un coffre-fort numérique, vous vous prémunissez contre les risques de perte ou de détérioration dans le temps tout en protégeant les données contre les risques liés à la cybersécurité tels que le vol d’informations ou les ransomwares.
Quels avantages de posséder un coffre-fort numérique au sein de votre organisation ?
A présent que vous savez ce qu’est un coffre-fort numérique, pourquoi opter pour un service de dématérialisation et d’archivage électronique ?
Les avantages d’un CFN sont nombreux, en voici 3 :
- Les documents engageants de votre entreprise (bulletins de paie, factures, contrats…) sont stockés dans un espace sécurisé garantissant leur traçabilité numérique dans le temps. Cecurity.com est l’éditeur leader sur les solutions de coffres-forts numériques en France et est le seul à avoir obtenu l’unique label CNIL.
- Le service de coffre-fort numérique permet à vos équipes de gagner en productivité et d’économiser sur l’ensemble des coûts liés au traitement du papier (impression, mise sous pli et affranchissement) tout en leur épargnant de longues heures à la recherche de fichiers mal classés ou perdus.
- Le respect de l’environnement en s’inscrivant dans une stratégie RSE tendant vers le zéro papier
Comment bien choisir son service de coffre-fort numérique ?
Le service de coffre-fort numérique est soumis à une réglementation très stricte, il est important de choisir le bon partenaire pour vous accompagner dans ce projet de dématérialisation en vous assurant notamment que celui-ci possède l’ensemble des certifications et labels exigés.
Pour rappel, l’appellation service de coffre-fort numérique est encadrée par la loi afin de vous protéger contre les offres commerciales mettant en avant le terme de coffre-fort numérique sans respecter les attendus, en particulier sur le plan de la sécurité et de la confidentialité de vos données.
N’hésitez pas à exiger les certifications et labels à votre futur fournisseur.
Avec Cecurity.com, vous avez l’assurance d’être conforme à l’ensemble des normes et décrets en vigueur concernant les coffres-forts numériques.
A lire aussi
