L’équipe de BlueFiles : Florian Jacquot (à gauche) et Emmanuel Solly (au centre) et Philippe Loudenot

En préambule, Philippe Loudenot, Cyber security Strategist de Bluefiles rappelle qu’il y a 18 ans les Assises prenaient leurs quartiers à Monaco. L’organisation avait entamé les débats concernant l’intelligence économique et la protection des données. Dans l’établissement d’un livre blanc par pierre Luc Refalo, les chiffres concernant la protection des informations montrent un consensus sur la nécessité de faire quelque chose. Nous allons essayer de voir au travers de cet atelier ce qu’il en est.

Puis, il a présenté Emmanuel DEBOFFLES, Responsable du département sécurité des systèmes d’information à la Caisse Nationale d’Assurance Maladie qui a expliqué qu’elle est composée de 5 branches avec des données sensibles mais pas que des données de santé. Il a présenté quelques chiffres clés sur la Caisse Nationale d’Assurance Maladie comme par exemple les 43 millions adhérents au compte ameli & les 2 millions de connexions/jr ou encore les 68 millions de bénéficiaires, soit 90 % de la population. Pour sécuriser des données une classification des données permettant de voir celles qui doivent être protégées en confidentialité a été mise en œuvre explique Emmanuel DEBOFFLES. Ainsi, il dénombre les données médicales et données de santé, dossiers de lutte contre la fraude, les éléments de sécurité du système d’information et les documents de stratégie d’entreprise sont classées secret. Les données à caractère personnel, les Informations financières et les éléments techniques SI sont pour leur part classés confidentiel. Les données générales à caractère personnel (qu’on peut obtenir facilement) et les données internes sont restreintes. Enfin les données publiques sont classé public. Parmi ces données certaines sont protégées par la réglementation mais beaucoup ne sont pas ou mal protégées lors des transferts. Ces besoins d’échanges doivent tenir compte des destinataires dont on ne connait pas nécessairement la maturité cyber voire numérique. Les échanges peuvent être effectuées avec l’envoi de pièces jointes d’un poids supérieur à ce qui est admis par les messageries (>10 Mo).
Pourtant toutes données sont échangées avec des structures diverses à commencer par l’Etat, les professionnels de santé, les établissements de santé et médico- le monde de l’entreprise, Les assurés et la société civile, les institutions et organismes publics, les collectivités locales, les établissements d’enseignements supérieur et professionnels… Pour Emmanuel DEBOFFLES les échanges pour améliorer le niveau de sécurité sont indispensables comme par exemple dans le domaine de la Gestion du risque il a des échanges avec les CAF, pour la lutte contre la fraude il échange avec des correspondants externes [URSSAF, Pôle emploi, CARSAT, DGFIP, Préfecture, CAF]… Pour que ces échanges se réalisent de façon convenable, le besoin de simplicité est majeur si l’on veut que les utilisateurs s’approprient une solution car, contrairement à différentes solution cyber que l’utilisateur ne voit jamais et dont il n’a pas nécessairement conscience, là, il doit être acteur de la cyber. Les chiffres montrent une nécessité de proposer cette simplicité et éviter des incidents induits par un manque de maîtrise. Pire, les utilisateurs peuvent ainsi amener des solutions qui échappent à la DSI, au RSSI et de facto à l’entreprise pouvant ainsi la mettre en danger. Par exemple toute embauche induit la demande de documents sensibles. Peu de structures mettent en œuvre des dispositifs pour échanger avec les postulants qui mettent ainsi leurs données en danger. Et on peut multiplier les exemples concrets comme sur 2 postes où il est demandé par retour de mail des pièces sensibles. Il faut garder à l’esprit que le mail n’est qu’une carte postale que l’on peut de façon légitime ou non retourner et prendre connaissance des informations contenues. Sans compter, si l’on va plus loin, une simple recherche sur internet, avec des mots clef choisis, permet de remonter des informations pourtant taguées comme confidentielles.

Philippe Loudenot considère que si l’on veut réussir le challenge d’embarquer les utilisateurs et d’avoir confiance dans les outils proposés, ces derniers doivent être simples afin de permettre leur appropriation : BlueFiles LA solution de transfert de données sensibles. Sa philosophie répond à 4 critères principaux :
- Sécurité : la solution dispose d’un visa de sécurité de l’ANSSI
- Simplicité : car comme déjà indiqué mais nous allons y revenir, seule la simplicité permet d’embarquer les utilisateurs et de les faire devenir acteurs de la sécurité
- Souveraineté car la confiance ne se décrète pas, elle se mérite. Une solution dont on a la maîtrise et permettant de garder une autonomie stratégique
- Sobriété car l’on doit réduire le coût énergie du numérique et BF permet de ne pas envoyer N fois N pièces jointes à N destinataires

En gardant conscience que si RSSI, DPO, DSI ne sont pas force de proposition pour des choses simples et sécurisées, les utilisateurs contourneront les règles et induiront du Shadow IT.
Dans le challenge que permet de relever BlueFiles, la simplicité est présente. L’utilisateur peut travailler sans changer ses habitudes de travail. Il poste depuis Outlook directement mais le destinataire peut lui répondre directement en bénéficiant du même niveau de sécurité (qu’il soit client ou non de la solution).
BlueFiles permet également de créer des boîtes de dépôt permettant ainsi à un tiers de déposer des documents sensibles en toute sérénité (Cf. exemple des pièces demandées lors d’un recrutement)

Philippe Loudenot annonce la grande nouveauté présentée aux Assises : le filigrane DYNAMIQUE. A l’instar d’Ange Leoni dans l’enquête Corse, qui indique sa position à ses « amis » avec, pour chacun, des adresses différentes. Il garde une vue sur les rues indiquées, il voit ainsi arriver les voitures de police par des rues toutes différentes lui permettant ainsi de connaître ceux qui l’ont trahi.
Il est ainsi possible de demander l’apposition d’un filigrane dynamique sur les pièces jointes PDF permettant d’identifier le destinataire qui aurait par négligence ou malveillance (ce cas étant d’école) diffusé des données sensibles.
Comme cela a été indiqué par une DPO ministérielle, BlueFiles est une solution simple d’utilisation qui permet sans remettre en question les habitudes de travail d’échanger des données confidentielles