En Europe, dans les secteurs d’activité critiques comme la Défense ou l’Industrie, les informations sensibles peuvent être classifiées selon des règles spécifiques. Dans les organisations, la visioconférence sécurisée Tixeo participe à la protection des informations classifiées. Comment ?
Les types de classification
Une information est dite « classifiée » lorsque sa manipulation ou sa diffusion non autorisée entraîne des conséquences plus ou moins graves.
En France
Depuis le 1er juillet 2021, la réforme de la protection du secret de la défense nationale, appelée IGI 1300, établit deux niveaux de classification des informations :
Niveau Secret
Le niveau Secret concerne les informations dont la divulgation porte atteinte à la défense et à la sécurité nationale, comme des communications diplomatiques ou des plans militaires par exemple.
Niveau Très Secret
Le niveau Très secret protège les informations dont la divulgation a des « conséquences exceptionnellement graves » pour la défense et la sécurité nationale. Cela peut être le cas d’informations sur des capacités nucléaires ou sur des opérations de renseignement.
Différence avec la mention « Diffusion Restreinte »
Les informations classifiées se différencient des informations portant la mention « Diffusion restreinte ». En effet, celles-ci ne sont pas classifiées au titre de l’IGI 1300 mais présentent tout de même un caractère sensible. Le personnel pouvant y avoir accès, pour des motifs légitimes, doit respecter une totale discrétion quant à leur contenu.
L’instruction interministérielle no 901/SGDSN/ANSSI (II 901) définit les exigences organisationnelles et techniques applicables aux systèmes d’informations qui traitent d’informations sensibles.
Quelles sont les normes de la Diffusion Restreinte ?
Comme l’indique l’ANSSI dans ses recommandations, on distingue ainsi trois grands types d’informations :
- les informations publiques (en libre accès) et usuelles (hébergées sur des SI pas forcément homologués) non soumises à l’application de l’IGI 1300 ou de l’II 901
- les informations sensibles (hébergées sur des SI homologués sensibles avec application de l’II 901 recommandé) et diffusion restreinte (hébergées sur des SI homologués DR avec application de l’II 901 obligatoire)
- les informations classifiées, hébergées sur des SI homologués et classifiés, soumis à l’application de l’IGI 1300
En Europe
Le Conseil de l’Union européenne a instauré des règles strictes pour la protection des Informations Classifiées de l’UE (ICUE). Elles s’appliquent à toutes les entités du Conseil ainsi qu’aux États membres, afin d’assurer la protection des ICUE contre les divulgations non autorisées. Ces règles englobent différents aspects tels que la sécurité des accès du personnel, la sécurité physique des données et la gestion des informations. Des critères indispensables pour maintenir l’intégrité des données sensibles de l’UE.
Les ICUE sont ainsi classées en quatre niveaux :
- TRÈS SECRET UE,
- SECRET UE,
- CONFIDENTIEL UE
- et RESTREINT UE.
Chaque niveau reflète l’impact potentiel d’une fuite, allant de très grave à modérément néfaste pour les intérêts de l’UE ou de ses États membres. Cette classification aide à déterminer les mesures de sécurité appropriées à mettre en place pour chaque type d’information.
Au niveau de l’OTAN
L’accès aux informations sensibles de l’OTAN répond également à des critères de sécurité strictes. Leur divulgation peut nuire aux forces de l’alliance, à ses membres et à ses missions.
Trois grandes catégories de classification existent :
- Non classifié : pour des informations pouvant être diffusées publiquement
- Non classé : pour ces informations généralement marquées « OTAN NON CLASSÉ », leur utilisation se limitent à des fins officielles et est soumise à autorisation
- Et classifié
Elles sont complétées par quatre niveaux de classification de sécurité :
- OTAN RESTREINT, pour les informations dont la divulgation peut nuire aux intérêts de l’OTAN
- OTAN CONFIDENTIEL, pour les informations dont la divulgation peut nuire gravement à l’OTAN
- OTAN SECRET, pour les informations vitales à l’OTAN et dont la divulgation aurait de lourdes conséquences
- et COSMIC TOP SECRET, pour les informations les plus importantes de l’OTAN, dont la divulgation entraînerait des dommages exceptionnellement graves.
« Non classé » et « Restreint » sont les classifications les plus communes au sein de l’OTAN.
Trois engagements de Tixeo pour la protection des informations classifiées
Les collaborateurs habilités peuvent échanger sur des informations classifiées à distance. Ils ont alors besoin d’une solution de communication parfaitement sécurisée et répondant à différents critères.
Confidentialité des communications
La technologie de chiffrement de bout en bout permet d’empêcher toute captation des flux de communication audio, vidéo et data lors d’une réunion en ligne. Elle est indispensable pour garantir une totale confidentialité aux échanges.
Tixeo propose une technologie de chiffrement de bout en bout propriétaire et fonctionnant de client à client. En d’autres termes, seuls l’émetteur et le destinataire des échanges peuvent déchiffrer les communications, et ce, quel que soit le nombre de participants à la visioconférence.
Grâce à cette sécurité maximale, Tixeo est certifié et qualifié par l’ANSSI depuis plus de 6 années consécutives.
Souveraineté de la solution
L’origine de la solution est un critère essentiel à prendre en compte pour choisir un outil de visioconférence sécurisée.
En effet, un hébergement des données non sécurisé peut exposer des informations classifiées. La plupart des solutions de visioconférence traditionnelles sont soumises à des lois extraterritoriales en matière de protection des données : la confidentialité des échanges n’est donc jamais garantie.
C’est le cas avec la série de lois extraterritoriales américaines du Cloud Act. Celle-ci permet aux autorités de contraindre les éditeurs, situés sur le territoire américain, à fournir les données relatives aux communications électroniques. Ces données peuvent être stockées sur des serveurs américains ou étrangers.
Par ailleurs, la loi du Patriot act aux Etats-Unis impose aux éditeurs d’outils informatiques d’ajouter des backdoors dans leur système. Ainsi, le chiffrement des communications est impossible.
Tixeo héberge l’ensemble de ses données cloud en France, auprès d’opérateurs souverains, et présente une totale conformité au RGPD.
En savoir plus sur l’engagement de Tixeo pour les données personnelles
Déploiement sécurisé du logiciel
Le choix d’un logiciel de visioconférence sécurisé en version on-premise répond à un besoin fort de sécurité, notamment sur des SI homologués. Les données et les flux de communication doivent disposer du plus haut niveau de sécurité. Cela concerne généralement des OSE ou des OIV ou d’autres organisations manipulant des informations sensibles et classifiées.
Déployée et hébergée sur les infrastructures internes d’une organisation, la solution de visioconférence sécurisée on-premise limite les risques de failles de sécurité. L’ouverture d’un seul port réseau permet de limiter les impacts sur la politique de sécurité du SI.
En choisissant un logiciel de visioconférence on-premise, l’organisation limite également sa dépendance technologique à des prestataires externes et renforce sa souveraineté.
Qu’est-ce qu’un logiciel de visioconférence on-premise ?
Tixeo propose sa solution de visioconférence sécurisée en version on-premise, avec l’offre TixeoServer.
Tixeo est partenaire du cabinet Cluster Défense Sécurité
Le cabinet Cluster Défense Sécurité propose des accompagnements et formations sur mesure pour protéger les informations sensibles, les informations de niveau « Diffusion Restreinte » (ou DR) et le secret de la défense nationale (IGI 1300) des organisations.
La protection des informations et supports « DR » implique une action globale. Cela concerne autant le domaine de la protection physique, que la protection logique ou organisationnelle. La mise en place d’outils de communication sécurisés est essentielle.
Dans ce cadre, Tixeo et Cluster Défense Sécurité apportent chacun une expertise dédiée et parfaitement complémentaire, sur le plan technique et informationnel, pour accompagner les organisations dans la protection de leurs informations DR et classifiées.
