Vous avez sûrement déjà eu ce moment de solitude où vous devez filer le mot de passe du WiFi, de Netflix ou d'un compte commun à un pote. Et là, comme un mec bourré qui recontacte son ex après une soirée déprimante, vous finissez par l'envoyer par SMS ou l'écrire sur un bout de papier qui finira à la poubelle.
C'est le genre de truc qui rend dingue niveau sécurité, mais bon, dans la vraie vie on le fait tous !
Au début, je cherchais donc juste un moyen simple de faire ça proprement, et je suis tombé sur ShareMyLogin. C'est un petit outil open source très bien pensé qui permet de partager des identifiants (ou n'importe quel secret) via un lien unique, en chiffrant tout directement dans votre navigateur (Chrome, Firefox, peu importe).
Le principe vous le connaissez, c'est du Zero Knowledge. Du coup, comme le chiffrement se fait localement avant l'envoi, le serveur ne reçoit techniquement que des données illisibles. C'est dans l'esprit de ce que proposent des services comme Bitwarden Send ou
LockTransfer pour les pros
, mais ici sous forme d'un petit outil dédié et gratuit.
Côté technique, on retrouve donc bien de l'AES-256-GCM pour le chiffrement et du PBKDF2 (avec 250 000 itérations) pour la dérivation de clé. Concrètement, vous tapez votre secret, l'outil génère un lien, et hop, vous filez ce lien à votre destinataire.
Ce qui est cool, c'est que le code est disponible sur
GitHub
. Je vous invite d'ailleurs à aller jeter un oeil à encrypt.ts et decrypt.ts qui montrent bien que la crypto est gérée côté client. Après, si vous utilisez la version hébergée, vous devrez faire confiance à l'administrateur pour qu'il ne modifie pas le code à la volée. Mais si vous hébergez votre propre instance, ce qui est franchement conseillé si vous êtes à cheval sur la sécu, c'est top !
Bien sûr pour le partage de mots de passe critiques au quotidien, je vous recommande d'utiliser les fonctions de partage de votre gestionnaire de mots de passe habituel. Mais pour un dépannage ponctuel, genre filer le code du digicode à un livreur ou un accès temporaire, ShareMyLogin fera très bien le job.
Le projet propose aussi une API si vous voulez intégrer ça dans vos propres moulinettes.
Il faut bien se rendre à l'évidence qu'une bonne partie des fuites de données en entreprise passent par des fichiers mal sécurisés. Par exemple ce fameux document Excel avec les salaires qui traîne sur le serveur depuis 2019, le ZIP envoyé via WeTransfer "parce que c'est plus simple", ou encore le dossier client partagé sur Google Drive avec le lien accessible à quiconque a l'URL.
Bref, c'est le Far West total en matière de sécurité et de confidentialité !
Maintenant si vous avez lu mon article sur
LockPass
(le gestionnaire de mots de passe certifié ANSSI), vous savez déjà que LockSelf fait les choses sérieusement. Et c'est pourquoi, aujourd'hui je vais vous présenter deux autres de leurs outils : LockTransfer pour les fichiers en transit, et LockFiles pour les fichiers au repos.
Le problème c'est que vos collègues et autres collaborateurs ne sont pas stupides. Tout ce qu'ils veulent, c'est bosser efficacement. Alors quand l'outil officiel de l'entreprise est une usine à gaz, ils se rabattent sur leur Dropbox perso, sur un WeTransfer, ou pire encore. C'est ce qu'on appelle le Shadow IT, et pour les RSSI c'est le cauchemar absolu.
Heureusement,
LockTransfer
règle tout ça en proposant un système d'envoi de fichiers chiffrés de bout en bout, avec un plugin Outlook/Office 365 qui s'intègre direct dans votre l'environnement de travail de vos collaborateurs. Comme ça, vous envoyez votre pièce jointe sensible, et elle part chiffrée avec une authentification forte vers le destinataire (2FA, PIN). Voilà, c'est aussi simple que ça, et surtout, y'a plus besoin de chercher des alternatives douteuses.
Au niveau de la sécurité, LockTransfer ne fait pas les choses à moitié et permet à la DSI de garder la main sur ce qui circule. Vous pouvez définir des restrictions globales pour toute la boite ou laisser de la souplesse par groupe d'utilisateurs. Ça va de la gestion des gros fichiers à la limitation du nombre de téléchargements, en passant par les dates d'expiration automatiques ou l'obligation de mettre un mot de passe. Et le plus important : tout est archivé (jusqu'à 10 ans si besoin) et tracé dans le dashboard. Vous savez donc exactement qui a partagé quoi, quand et avec qui. C'est indispensable pour la gouvernance et ça évite les mauvaises surprises.
Un autre gros point fort de LockTransfer, c'est les boîtes de dépôt. Vous pouvez créer un espace sécurisé pour que vos clients ou partenaires vous envoient des documents sans avoir besoin de créer un compte. Genre le cabinet comptable qui récupère les justificatifs de ses clients, ou le service RH qui collecte les pièces des candidats... Je pense que ça c'est une fonctionnalité qui doit manquer à beaucoup d'entreprise.
Mais parlons maintenant de
LockFiles
, qui est l'autre face de la médaille. C'est un coffre-fort numérique pour stocker vos fichiers sensibles tels que des contrats, des documents RH, des données stratégiques, et tout ce qui ne doit pas se balader n'importe où. Il y a bien évidemment un chiffrement AES-256, une gestion fine des droits d'accès, et une traçabilité détaillée de qui a accédé à quoi et quand.
D'ailleurs, en parlant de mauvaises surprises, LockFiles et LockTransfer sont aussi d'excellents alliés pour votre PCA/PRA (Plan de Continuité/Reprise d'Activité). Si votre SI se fait chiffrer par un ransomware, avoir vos documents critiques et vos procédures de crise hébergés dans un cloud privé sécurisé (et dans un outil certifié CSPN par l'ANSSI), ça vous sauve la vie. Vous gardez l'accès à l'essentiel pour redémarrer. Et si vos mails sont compromis, LockTransfer devient votre canal de secours chiffré pour communiquer avec l'ANSSI ou votre prestataire de réponse à incident. C'est aussi un très bon point pour votre conformité NIS2 ou DORA.
Mais maintenant revenons un peu à nos moutons... Pourquoi choisir LockSelf plutôt qu'un autre ?
Bon ben déjà, c'est 100% français. Un hébergement souverain chez Scaleway ou Outscale (ou on-premise si vous êtes parano), une certification ANSSI CSPN, ce qui n'est pas rien quand on parle de conformité NIS2 et DORA. Et il y a déjà plus de 3000 entreprises françaises qui utilisent leurs solutions, dont des noms prestigieux comme EY, SNCF, AP-HP ou France TV.
Et côté administration, ça s'intègrera très bien avec votre Active Directory, Microsoft Entra ID ou Okta. Et tous les logs peuvent partir vers votre SIEM pour les audits. Bref, c'est de l'or en barre pour les équipes sécu qui doivent prouver leur conformité.
Le pricing de LockSelf démarre à 3,10€ HT par utilisateur et par mois et rassurez-vous, si vous êtes tenté d'essayer, vous n'aurez pas de mauvaise surprise, car vous pouvez
tester tout ça gratuitement durant 14 jours
pour voir si ça colle à vos besoins.
La qualification SecNumCloud 3.2 de l’offre PREMI3NS de S3NS, fin 2025, a déclenché une vague de controverses dans le paysage IT.
Suffisamment pour que Vincent Strubel, le directeur général de l’ANSSI, prenne la plume pour publier une longue tribune sur LinkedIn. Un exercice de déminage pédagogique pour répondre aux « interrogations voire (aux) incompréhensions sur ce que fait et ne fait pas la qualification SecNumCloud ».
« Ce n’est pas une médaille en chocolat »
Premier rappel du patron de l’agence nationale de cybersécurité : SecNumCloud n’est ni une décision arbitraire, ni un choix politique. La qualification découle d’un processus formalisé d’évaluation sur la base d’exigences strictes. « Les règles, le processus et le niveau d’exigence sont les mêmes pour tous », martèle Vincent Strubel.
La procédure ? Longue et exigeante. Près de 1 200 points de contrôle vérifiés in situ par un évaluateur indépendant, sous le regard scrutateur de l’ANSSI qui « ne se prive pas de demander parfois à l’évaluateur d’approfondir son travail ou de réévaluer de manière plus stricte ses conclusions ». Un référentiel actualisé constamment depuis plus de dix ans. « Bref, ce n’est pas une médaille en chocolat, et ce n’est pas pour tout le monde », résume le directeur.
Se protéger du CLOUD Act… et du « kill switch »
Les risques liés au droit extra-territorial ? C’est le sujet qui monopolise l’attention. Vincent Strubel rappelle l’enjeu : éviter que les données hébergées dans le cloud ne tombent sous le coup du CLOUD Act américain ou de la loi chinoise sur le renseignement de 2017, qui permettent aux autorités d’exiger l’accès aux données de clients européens.
La parade de SecNumCloud : un prestataire européen qui contrôle seul les données. Même si l’offre est « hybride » et repose sur une technologie américaine, « le fournisseur de la technologie cloud est soumis aux lois américaines, mais n’a pas accès aux données et ne peut par conséquent pas donner suite à une injonction », explique le patron de l’ANSSI.
Autre protection : le scénario du « kill switch », cette coupure brutale du service imposée à certains clients. Vincent Strubel cite l’exemple récent de magistrats de la Cour Pénale Internationale privés d’accès aux services numériques américains. Avec SecNumCloud, le sous-traitant non européen « ne dispose pas de la capacité à couper le service à tel ou tel client, car ce n’est pas lui qui administre la solution ».
L’autarcie complète, une illusion
Vincent Strubel le reconnaît sans détour : SecNumCloud ne signifie pas l’absence de dépendance. Une offre « hybride » est « sans doute plus exposée à ce risque, « mais imaginer qu’il existe des offres 100% européennes relève de la pure vue de l’esprit qui ne résiste pas à la confrontation aux faits ».
Tous les fournisseurs de cloud dépendent de composants électroniques et logiciels non maîtrisés à 100% en Europe. L’open source ? « Une plus grande liberté d’action », certes, mais « pas la panacée » : aucun acteur ne peut prétendre maîtriser entièrement toute la stack technologique du cloud.
« Si nous sommes un jour privés de l’accès à la technologie américaine, chinoise, ou plus généralement non européenne, nous aurons un problème global de dégradation du niveau de sécurité », prévient le directeur de l’ANSSI. Un problème qui dépasserait largement les seules offres hybrides.
Les cyberattaques, la vraie menace
Vincent Strubel le martèle : les critères liés à la nationalité du prestataire ne représentent
« qu’une petite partie des exigences » du référentiel. La vraie menace ? Les cyberattaques, qui demeurent « la menace la plus tangible pesant sur les usages sensibles du cloud ».
Les prestataires, « quelle que soit leur nationalité », sont des «cibles à très haute valeur ajoutée » qui « subissent en permanence des tentatives d’attaque, y compris particulièrement avancées, dont certaines réussissent forcément ». Hyperscalers américains comme acteurs européens, personne n’est épargné.
D’où des exigences techniques drastiques : cloisonnement fort entre clients, chaîne d’administration isolée, gestion sécurisée des mises à jour, chiffrement systématique. « Ces exigences ne sont généralement pas toutes satisfaites par une offre de cloud standard, quelle que soit son origine », note le directeur de l’ANSSI.
Le référentiel prend même en compte le risque humain : corruption, contrainte ou infiltration d’employés du prestataire. Un chapitre entier y est consacré.
« Souverain », mais pas baguette magique
SecNumCloud est-il un label de souveraineté ? Vincent Strubel botte en touche : « Il est difficile de répondre à cette question, vu que le concept de souveraineté numérique n’est quasiment jamais défini, et que tout le monde lui donne un sens différent ».
Pour l’ANSSI, la souveraineté numérique couvre trois enjeux : ne pas être une victime facile des cyberattaques, faire appliquer nos règles plutôt que subir celles des autres, et disposer d’une liberté de choix technologique. SecNumCloud répond aux deux premiers et contribue au troisième.
« Les offres qualifiées SecNumCloud sont donc, sans le moindre doute, souveraines, et cette qualification est un levier indispensable pour défendre notre souveraineté numérique », affirme Vincent Strubel. Mais il avertit aussitôt : cette qualification « ne va pas faire naître des solutions alternatives ou des briques technologiques maîtrisées »». « C’est un outil de cybersécurité, pas de politique industrielle. »
Hybride ou non, même combat
Le directeur de l’ANSSI tord le cou à une idée reçue : les offres « hybrides » qualifiées « satisfont exactement les mêmes exigences que les autres ». La distinction entre hybride et non-hybride ? « Assez artificielle », tranche-t-il. « Il n’y a pas d’un côté des offres totalement dépendantes de fournisseurs non européens et de l’autre des offres 100% européennes. »
Certains réclament un label light, reprenant uniquement les critères capitalistiques sans les exigences techniques. Vincent Strubel balaie l’idée : « Du point de vue de la cybersécurité, ça n’aurait aucun sens de couvrir uniquement certaines menaces, et pas d’autres.» Une solution doit couvrir tous les risques, « car les attaquants visent toujours le maillon faible ».
Son image choc : « Un cloud échappant au droit non européen, mais à la merci des cyberattaques, ça n’a pas plus de sens qu’une maison avec des volets blindés et des barreaux aux fenêtres, mais dont la porte serait fermée par un rideau.»
Même refus pour un label purement technique : impossible de couvrir les risques juridiques par la seule technique. Le chiffrement des données, par exemple, « ne protège pas du CLOUD Act : le prestataire de cloud a forcément, tôt ou tard, accès à la clé de chiffrement ».
Continuité d’activité, planning de rotation, veille médiatique… Toutes ces notions sont désormais définies dans le référentiel PRIS (prestataires de réponse aux incidents de sécurité).
En toile de fond, l’intégration d’une nouvelle activité : la gestion de crise d’origine cyber. Sous le code CRISE, elle rejoint :
Recherche d’indicateurs de compromission (REC)
Investigation numérique (INV)
Analyse de codes malveillants (CODE)
Pilotage et coordination des investigations (PCI)
La gestion de crise était déjà présente dans la version précédente du référentiel (juillet 2024), mais à la marge. Essentiellement à travers une recommandation à sensibiliser les commanditaires sur la mise en place d’un tel dispositif.
Une marge de manœuvre pour déléguer
La prestation peut être effectuée indépendamment des autres – alors que, par exemple, PCI ne peut être livré sans REC et INV, eux-mêmes indissociables.
L’ANSSI laisse la possibilité de déléguer à un autre profil que le gestionnaire de crise certaines tâches d’appui :
Retranscription et rédaction des comptes rendus de réunions
Mise en œuvre de l’organisation de crise et des moyens (réservation de salles de réunion et de moyens logistiques, par exemple)
Retranscription des décisions, actions et arbitrages
Recueil des entretiens et des aspects logistiques pour la formalisation d’un éventuel retex
Elle ne recommande cependant pas que pour une même prestation qualifiée, une personne physique cumule le rôle de gestionnaire de crise avec celui d’analyste.
Se synchroniser avec l’activité PCI
En conséquence de l’intégration de cette activité dans le référentiel, les missions du pilote d’investigation (associé à PCI) évoluent. On attend désormais formellement de lui qu’il assure une cohérence avec les priorisations de gestion de crise d’origine cyber. C’est même impératif au niveau de qualification élevé (par opposition au niveau dit substantiel) : « Lorsque des opérations d’investigation et de gestion de crise d’origine cyber sont réalisées simultanément […], le prestataire doit s’assurer de la bonne synchronisation de ces opérations sur le périmètre qui l’incombe (sic). »
Le prestataire doit être capable d’aider à identifier, en amont :
Applications, systèmes, données et périodes critiques de l’organisation
Impacts relatifs à l’incident de sécurité et conséquences sur l’activité du bénéficiaire
Tiers éventuels dont l’implication pourrait être nécessaire
Principaux enjeux à court et moyen terme et obligations juridiques applicables
Enjeux de communication de crise
Il s’agit aussi d’accompagner la préparation des dépôts de plainte et des déclarations d’incident(s) aux autorités compétentes. Tout en établissant, avec le commanditaire, les critères et indicateurs de suivi et de sortie de crise.
Retex et restitution « à chaud » au niveau élevé de qualification
Concernant l’exécution même de la prestation, quelques éléments ne s’appliquent qu’au niveau élevé de qualification.
Limiter les objectifs stratégiques définis dans le plan d’action et les baser « sur les priorités du contexte » ; spécifier au moins un délai de mise en œuvre pour les objectifs opérationnels qui en découlent.
Pouvoir mettre à disposition de la cellule de crise stratégique (ou équivalent) des supports d’aide à la décision.
Prendre en compte les conséquences et impacts permettant de justifier le déroulement des actions consignées dans le registre que doit tenir le prestataire.
Le niveau élevé de qualification implique d’organiser une restitution « à chaud » à la fin de chaque journée. Et d’être capable de formaliser un retex.
Connexion
