{"id":6853,"date":"2015-04-13T09:31:35","date_gmt":"2015-04-13T19:31:35","guid":{"rendered":"http:\/\/www.net.pf\/?p=6853"},"modified":"2017-06-06T22:59:19","modified_gmt":"2017-06-07T08:59:19","slug":"cnil-analyse-de-flux-https-bonnes-pratiques-et-questions","status":"publish","type":"post","link":"https:\/\/www.service-public.pf\/dgen\/cnil-analyse-de-flux-https-bonnes-pratiques-et-questions\/","title":{"rendered":"CNIL – Analyse de flux https : bonnes pratiques et questions"},"content":{"rendered":"
\n
\n

Le chiffrement des canaux de communication \u00e0 l\u2019aide du protocole https prot\u00e8ge la confidentialit\u00e9 des \u00e9changes pour les services en ligne. Quelles sont les r\u00e8gles \u00e0 respecter pour pouvoir d\u00e9chiffrer et analyser ces flux ?<\/p>\n<\/div>\n<\/div>\n

\n

Prot\u00e9ger les canaux de communication \u00e0 l’aide d’https devient courant …<\/h3>\n

En effet, le chiffrement des canaux de communication \u00e0 l’aide du protocole https est de plus en plus pr\u00e9conis\u00e9 et mis en \u0153uvre (par exemple sur les sites de banque en ligne, sur les webmails, pour les t\u00e9l\u00e9services, etc.).
\nLa CNIL recommande d’ailleurs son utilisation pour prot\u00e9ger les flux de donn\u00e9es circulant via Internet entre le poste d’un internaute et le site web, car il r\u00e9duit consid\u00e9rablement les risques li\u00e9s \u00e0 l’interception de communications, que ce soit pour les \u00e9couter ou pour les modifier.<\/p>\n

… mais la protection apport\u00e9e peut \u00e9galement poser un probl\u00e8me de s\u00e9curit\u00e9 au sein des organismes<\/h3>\n

Cette mesure peut \u00e9galement constituer une vuln\u00e9rabilit\u00e9 pour la s\u00e9curit\u00e9 des syst\u00e8mes d’information d’un organisme, puisqu’elle rend impossible la surveillance des donn\u00e9es entrantes et sortantes.
\nAinsi, volontairement ou non, des salari\u00e9s peuvent faire sortir des informations du r\u00e9seau interne, ou faire entrer des codes malveillants, \u00e0 leur insu comme \u00e0 celui de leur employeur.<\/p>\n

Certains employeurs souhaitent donc d\u00e9chiffrer les flux https pour les analyser<\/h3>\n

De nombreux responsables de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (RSSI) souhaiteraient pouvoir d\u00e9chiffrer le flux de donn\u00e9es, pour analyser automatiquement son contenu avec des outils de s\u00e9curit\u00e9 ad-hoc, avant de re-chiffrer le flux et de le renvoyer vers sa destination.
\nTechniquement, les bonnes pratiques pour r\u00e9aliser cette action sont d\u00e9crites par l’Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (ANSSI) dans ses \u00a0\u00bb Recommandations de s\u00e9curit\u00e9 concernant l’analyse des flux https<\/a> \u00ab\u00a0.<\/p>\n

Du point de vue \u00a0\u00bb informatique et libert\u00e9s \u00a0\u00bb : une mesure l\u00e9gitime, mais qui doit \u00eatre encadr\u00e9e<\/h3>\n

Du point de vue \u00a0\u00bb informatique et libert\u00e9s \u00ab\u00a0, ce d\u00e9chiffrement est l\u00e9gitime du fait que l’employeur doit assurer la s\u00e9curit\u00e9 de son syst\u00e8me d’information. Pour ce faire, il peut fixer les conditions et limites de l’utilisation des outils informatiques.
\nToutefois, le recours au d\u00e9chiffrement doit \u00eatre encadr\u00e9 et peut faire l’objet des mesures suivantes :<\/p>\n

    \n
  • une information pr\u00e9cise des salari\u00e9s (sur les cat\u00e9gories de personnes impact\u00e9es par la solution, la nature de l’analyse r\u00e9alis\u00e9e, les donn\u00e9es conserv\u00e9es, les modalit\u00e9s d’investigation, les sites faisant l’objet d’une liste blanche, l’existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis \u00e0 l’analyse des flux), par exemple dans la charte d’utilisation des moyens informatiques. L’information doit aussi pr\u00e9ciser les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, d\u00e9tection de flux sortants anormaux) ;<\/li>\n
  • une gestion stricte des droits d’acc\u00e8s des administrateurs aux courriers \u00e9lectroniques, lesquels sont pr\u00e9sum\u00e9s avoir un caract\u00e8re professionnel sauf s’ils sont identifi\u00e9s comme \u00e9tant personnels ;<\/li>\n
  • une minimisation des traces conserv\u00e9es (ex : fichier malveillant, source, destination, et non identifiants et mots de passe) ;<\/li>\n
  • une protection des donn\u00e9es d’alertes extraite de l’analyse (ex : chiffrement, stockage en dehors de l’environnement de production et dur\u00e9e de conservation de 6 mois maximum).<\/li>\n<\/ul>\n

    Une question en suspens : le d\u00e9chiffrement porte-t-il d’une atteinte aux syst\u00e8mes de traitements automatis\u00e9s de donn\u00e9es (STAD) ?<\/h3>\n

    Les dispositions figurant aux articles 323-1 \u00e0 323-7 du code p\u00e9nal interdisent notamment \u00a0\u00bb d’acc\u00e9der ou de se maintenir, frauduleusement, dans tout ou partie d’un STAD \u00a0\u00bb et \u00a0\u00bb d’entraver ou de fausser le fonctionnement d’un STAD \u00ab\u00a0.
    \nCette question est particuli\u00e8rement importante d\u00e8s lors que le d\u00e9chiffrement met potentiellement en cause la s\u00e9curit\u00e9 des communications initi\u00e9es par un tiers et la confidentialit\u00e9 des donn\u00e9es qu’il transmet.
    \nElle rel\u00e8ve de la comp\u00e9tence du juge, la CNIL n’\u00e9tant pas comp\u00e9tente pour appr\u00e9cier une \u00e9ventuelle infraction au code p\u00e9nal sur ce point.
    \nLe recours au d\u00e9chiffrement de flux https pourrait donc n\u00e9cessiter une base l\u00e9gale justifiant qu’il puisse \u00eatre port\u00e9 atteinte aux mesures techniques d\u00e9ploy\u00e9es par des tiers pour garantir la confidentialit\u00e9 de leurs \u00e9changes.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

    Le chiffrement des canaux de communication \u00e0 l\u2019aide du protocole https prot\u00e8ge la confidentialit\u00e9 des \u00e9changes pour les services en ligne. Quelles sont les r\u00e8gles \u00e0 respecter pour pouvoir d\u00e9chiffrer et analyser ces flux ? Prot\u00e9ger les canaux de communication \u00e0 l’aide d’https devient courant … En effet, le chiffrement des canaux de communication \u00e0 […]<\/p>\n","protected":false},"author":4,"featured_media":6854,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[1308],"tags":[304,1092,77,88],"class_list":["post-6853","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites-2","tag-cnil","tag-https","tag-internet","tag-securite"],"_links":{"self":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/posts\/6853","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/comments?post=6853"}],"version-history":[{"count":0,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/posts\/6853\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/media?parent=6853"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/categories?post=6853"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/tags?post=6853"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}