Infos SSL et sécurité réseaux

Archive mensuelles: novembre 2020

Appel public à commentaires sur le référentiel d’exigences applicables aux prestataires de vérification d’identité à distance (PVID)

QU’EST-CE QUE LA VÉRIFICATION D’IDENTITÉ À DISTANCE ?

Une vérification d’identité à distance possède la même finalité qu’une vérification d’identité en face-à-face physique. A ce titre, un service de vérification d’identité à distance permet de vérifier que le titre d’identité présenté par l’utilisateur est authentique d’une part et que l’utilisateur en est le détenteur légitime d’autre part.

L’usurpation d’identité est la principale menace lors d’une vérification d’identité, qu’elle ait lieu en face-à-face ou à distance. Un service de vérification d’identité à distance est donc exposé aux mêmes risques qu’une vérification d’identité en présentiel, mais également, de par sa nature, à des risques spécifiques (manipulation numérique des images (deepfakes), injection de données frauduleuses, tentatives répétées et massives d’usurpation, utilisation de masques…).

UNE PREMIÈRE VERSION DU RÉFÉRENTIEL PVID

Compte tenu des risques et des besoins en matière de vérification d’identité à distance, l’ANSSI a élaboré un référentiel. Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d’identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs.

L’élaboration de ce référentiel s’inscrit dans le cadre de travaux menés en collaboration avec la direction générale du Trésor (DGT) pour la certification des services d’entrée en relation d’affaires à distance au titre du décret n° 2020-118. Au-delà de ce besoin sectoriel spécifique, ce référentiel constitue le fondement du schéma unifié d’évaluation des services de vérification d’identité à distance, quel que soit le niveau de garantie (substantiel et élevé) et quel que soit le cadre réglementaire. Les services de confiance et les moyens d’identification électronique recourant à une vérification d’identité à distance devront donc s’y conformer.

Ainsi, le présent référentiel a vocation à permettre :

  • la certification au titre du décret n° 2020-118 des services d’entrée en relation d’affaires à distance lorsqu’ils sont mis en œuvre par des organismes assujettis à la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
  • la qualification au titre du règlement européen n° 910/2014 (eIDAS) des services de confiance recourant à une vérification d’identité à distance ;
  • la certification au titre de l’article L102 du Code des postes et des communications électroniques des moyens d’identification électronique, pour les niveaux de garantie substantiel et élevé, recourant à une vérification d’identité à distance.

Une première version du référentiel PVID est proposée aujourd’hui dans le cadre d’un appel public à commentaires.

Les observations, commentaires et propositions peuvent être transmis jusqu’au 31 janvier 2021 par courriel à l’adresse commentaires-pvid [at] ssi.gouv.fr et à l’aide de la fiche de lecture ci-dessous. L’ANSSI remercie par avance tous celles et ceux qui répondront à cet appel à commentaires.

PVID – Référentiel d’exigences v1.0

PVID – Appel à commentaires – fiche de lecture

A la suite du recueil et de la prise en compte des commentaires, l’ANSSI publiera une première version applicable du référentiel le 1er mars. Une fois ce référentiel validé et l’arrêté correspondant publié, l’ANSSI pourra procéder aux premières évaluations des PVID en vue d’une certification. L’ANSSI rappelle par ailleurs qu’aucun prestataire de service n’a pour le moment été certifié ou ne peut se prévaloir d’une garantie de future certification au titre de ce référentiel.

Enfin, l’ANSSI invite également les organismes qui souhaiteraient procéder à l’évaluation de la conformité des prestataires de vérification d’identité à distance par rapport à ce référentiel d’exigences à la contacter par courriel à la même adresse. De même, les prestataires souhaitant soumettre leurs services à évaluation sont appelés à prendre attache avec l’Agence dès maintenant pour pouvoir convenir conjointement de la stratégie d’évaluation la plus adaptée au regard de leur maturité.

Powered by WPeMatico

Cybersécurité : toutes les communes et intercommunalités sont concernées

La dématérialisation, engagée par l’ensemble des acteurs et accélérée par la crise sanitaire, participe à la profonde transformation numérique de la société. Elle s’accompagne de l’essor de menaces multiples, permanentes et de plus en plus agressives pouvant désorganiser de nombreuses structures privées comme publiques, petites comme grandes.

Offrant de formidables opportunités aux communes et intercommunalités, la numérisation ne saura être bénéfique que si elle s’établit dans un environnement de confiance. Les cyberattaques profitent des vulnérabilités techniques, juridiques, organisationnelles ou humaines et peuvent immobiliser l’action de la collectivité, entacher son image et la confiance des usagers, voire même engager la responsabilité des élus.

« S’il est de plus en plus difficile de dire “Je ne savais pas” et qu’être attaqué ne doit pas être “honteux”, il est de votre responsabilité de ne pas ignorer ces enjeux et de mettre en œuvre des mesures de sécurité numérique » affirme Guillaume Poupard, directeur général de l’ANSSI.

Rédigé à partir du travail engagé par des représentants de collectivités locales bretonnes et des délégués régionaux de l’ANSSI, ce guide interroge les multiples risques numériques. Il apporte des conseils pratiques et propose des axes prioritaires d’action à renforcer ou à développer.
Le guide présente notamment l’élaboration d’une gouvernance numérique adaptée à l’échelle de la structure, pour faire face le plus efficacement possible aux attaques.
Il rappelle enfin que l’ANSSI et la plateforme cybermalveillance.gouv.fr sont à la disposition des élus pour les conseiller et les aider, en particulier en cas de cyberattaque.

Une bonne connaissance des enjeux de la cybersécurité permettra aux élus et à leurs services d’investir afin de développer la protection de leurs systèmes d’information, de se prémunir d’un sinistre informatique et ainsi de construire une sécurité numérique collective.

« Il appartient à chaque commune et intercommunalité, selon ses moyens, de bâtir un environnement numérique de confiance. Ce guide est destiné à les y aider » explique François Baroin, président de l’AMF.

Le guide « Cybersécurité : toutes les communes et intercommunalités sont concernées » est disponible gratuitement.
Communiqué de presse – Cybersécurité : toutes les communes et intercommunalités sont concernées

Guide – Cybersécurité : toutes les communes et intercommunalités sont concernées

Powered by WPeMatico

Première participation de l’ANSSI au « mois de l’innovation publique »

Piloté par la direction interministérielle de la transformation publique, le mois de l’innovation publique a pour but de « valoriser les capacités d’innovation des services et des agents publics et de partager les bonnes pratiques ».

Cette première participation de l’ANSSI s’inscrit dans la continuité des ambitions que l’ANSSI s’est fixées en 2019, à l’occasion de ses 10 ans et traduites dans le Manifeste de l’ANSSI, en faveur de l’innovation et de l’ouverture. Le mois de l’innovation publique mettra en lumière plusieurs actions de l’agence participant à concrétiser cette vision.

Un engagement en faveur de l’innovation publique

Conformément à ces ambitions, l’ANSSI a lancé en 2020 une démarche interne, transverse et ouverte en faveur de l’innovation, impliquant la mise en œuvre progressive de nouveaux moyens et principes, incluant : la recherche utilisateurs et pluridisciplinaire, des défis d’innovation, des ateliers collaboratifs et ouverts, de l’incubation de projets…

Plusieurs principes structurants contribueront à orienter cette démarche :

  • Exploration, pour investiguer, revisiter des domaines connus, identifier de nouveaux champs d’action publique en lien avec la sécurité et la confiance numériques, anticiper les ruptures.
  • Expérimentation, en affirmant le « droit à l’essai », pour tester et développer de manière agile des solutions permettant de répondre aux besoins et défis identifiés mais aussi ouvrir de nouvelles voies.
  • Participation aux efforts des communautés d’acteurs volontaires – publics, privés, de R&I, makers, etc. – et engagés sur tout le territoire dans des démarches innovantes en faveur du renforcement de la sécurité et de la confiance numériques.

Au coeur de cette démarche, les agents de l’ANSSI, par leur expertise et leur créativité mais également par l’ouverture, pour s’inspirer, co-construire, tester et autant que possible partager.

Programme de l’ANSSI lors du mois de l’innovation publique

En novembre, dans le cadre du mois de l’innovation :

    • L’ANSSI inaugure le lancement de ses 2 premières « Start-up d’Etat », en coopération avec l’incubateur BetaGouv de la direction interministérielle du numérique, portées par deux intrapreneurs, pour penser de nouveaux services pour la sécurité numérique au profit de nos bénéficiaires.
    • Le 25 novembre, l’ANSSI organise un atelier collaboratif ouvert afin d’explorer l’impact environnemental de la cybersécurité, en partenariat avec l’ARCEP dans le cadre de son programme « numérique soutenable ». Plus d’informations prochainement.
    • Le 23 novembre, l’ANSSI lance un « défi » aux étudiantes et étudiants de l’école d’affaires publique de SciencesPo dans le cadre d’un programme piloté par l’Incubateur de Politiques publiques de l’institut d’études politiques. L’objectif : permettre en 2021 et pendant plusieurs mois aux jeunes d’expérimenter et de prototyper des solutions en réponse à un enjeu de politique publique de cybersécurité.
    • Le 30 novembre à 16h30, l’ANSSI organise un webinaire en partenariat avec le Club de la continuité d’activité (CCA) afin de présenter leur nouveau guide «organiser un exercice de gestion de crises cyber », élaboré dans une démarche de co-construction, qui permet à chaque entité publique ou privée de conduire de manière autonome son propre exercice de gestion de crise cyber.
    • L’ANSSI finalise, en coopération avec le 110bis – laboratoire d’innovation de l’éducation nationale – le développement d’un kit pour aider à la formation des jeunes à la cybersécurité par le jeu, dans le cadre de la feuille de route « sécurité numérique : former et susciter des vocations ». L’objectif : faciliter l’organisation par tous types d’acteurs volontaires, de sessions de design de « jeux sérieux » dédiés à la cybersécurité destinés à l’acquisition de compétences par les jeunes générations.
    • Enfin, le défi d’innovation interne « Cap ANSSI10+ » est lancé afin de permettre aux agents d’expérimenter et de se projeter dans un paysage cyber français en transformation, dont le lancement du Campus Cyber en 2021. A l’occasion de cette séquence, des agents de l’ANSSI ont été formés à la conception et à la facilitation de sessions de travail collaboratif.

Powered by WPeMatico