Face aux exigences de sécurisation de leur système d’information, les entreprises sont aujourd’hui dans l’obligation de contrôler les flux chiffrés. Et, par principe, c’est du moins la position dominante de la jurisprudence, les outils informatiques mis à disposition d’un employé sont destinés à un usage professionnel et peuvent être contrôlés (dans la mesure où les salariés en ont été informés).

Or, l’essence même des flux sécurisés permet d’assurer :

 ? l’authentification d’une ou des deux parties ;

 ? la confidentialité des échanges ;

 ? l’intégrité des données.

De fait, dans le cadre d’un flux SSL professionnel, il semble tout à fait possible de procéder à une désencapsulation du flux mais, dans le cadre de flux SSL personnel, il existe des risques bien réels pour l’entreprise de les contrôler.

Ainsi, dans le cadre de la désencapsulation, les entreprises sont face à deux risques majeurs liés à l’impossibilité de savoir si le flux est professionnel ou privé :

 ? Le risque de violation du secret des correspondances émises par la voie des communications électroniques garanti par la loi

« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressés à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45 000 euros d’amende.

Est puni des même peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions » (Loi 91-646 du 10 juill. 91 et Art. 226-15 du code pénal). »

Cet extrait s’applique aux correspondances privées, or, les flux sécurisés ne permettent pas de voir si la correspondance est privée ou professionnelle.

 ? Le risque lié aux données dites « sensibles » selon la CNIL

La loi française qualifie de « données sensibles » les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale des personnes, les données relatives à leur santé ou à leur vie sexuelle ; de même les données relatives aux infractions, condamnations et mesures de sûreté. Le responsable du traitement des données ne doit pas avoir accès à l’ensemble de celles-ci. (Art. 8 Loi Informatique et libertés - Art. 226-16 et suivants du code pénal).

Il est par conséquent compliqué pour l’entreprise d’assurer la sécurité de son SI en contrôlant les flux SSL tout en se protégeant des risques liés aux secrets des correspondances.

Pourtant, plusieurs étapes doivent être mises en œuvre afin d’assurer la sécurité de l’entreprise et du SI tout en respectant la législation en matière de flux chiffrés :

 ? Remplir ou modifier la déclaration normale de la CNIL stipulant le contrôle de ce type de flux et l’objectif. Ce document est obligatoire lors de la mise en place d’une solution de surveillance des outils informatiques des salariés.

 ? Exclure de la désencapsulation SSL les sites ou catégories de sites qui peuvent revêtir un caractère de données dites sensibles (ex : ameli.fr)

 ? Informer les utilisateurs via la charte informatique du contrôle des flux sécurisés et l’exclusion de sites spécifiques

 ? Obtenir une autorisation individuelle de chaque salarié concernant la désencapsulation des flux sécurisés et communiquer sur la liste de sites ou catégories de sites non désencapsulées. Si le salarié ne signe pas d’autorisation, l’entreprise peut se réserver le droit d’interdire les flux sécurisés à cet utilisateur, hors application métier.

« Beaucoup d’entreprises sont conscientes des risques liés au trafic chiffré », précise Alexandre Souillé. « Pourtant, nombre d’entre elles ignorent comment contrôler ces flux en accord avec les réglementations en vigueur. C’est pour cela, que nous leur proposons le SSL Olfeo qui leur permet de prolonger leur politique de sécurité aux flux sécurisés et ce, en parfaite conformité avec la législation. »

En utilisant le SSL Olfeo, les entreprises sont en en mesure de :

 ? Détecter des codes malicieux présents dans les communications chiffrées avant qu’ils ne se propagent au sein du réseau de l’entreprise

 ? Exclure de la désencapsulation des flux SSL les sites protégés par le secret des correspondances et la loi informatique et libertés, conformément à la législation française à partir des catégories de filtrage Olfeo

 ? Définir précisément les politiques de filtrage Web 2.0 sur les plateformes sécurisées, telles que Facebook, par utilisateur ou groupe d’utilisateurs et par applications spécifiques proposées par le réseau social.