COMMUNIQUE


Publié dimanche 30 octobre, le décret n°2016-1460 prévoit l’instauration d’un nouveau fichier des « titres électroniques sécurisés » (TES). Dès sa parution, de nombreuses organisations et personnalités se sont émues de l’ampleur inégalée de ce fichier, des risques en matière de sécurité et d’éventuelles dérives. En tant qu’institution représentative des TPE/PME du secteur numérique de France, CINOV-IT expose ici le fondement de sa position sur ce projet de fichier sur des considérations purement techniques : Les garanties en matière de sécurité ne sont pas suffisantes.

 

 Le Fichier « Titre électroniques sécurisés » a été conçu comme un moyen de lutte contre la fraude documentaire et pourrait à terme conserver et centraliser les données biométriques de l’ensemble de la population française. CINOV-IT ne prend pas de position quant à l’opportunité politique et/ou sociétale d’une telle mesure en cette période troublée ni sur les possibles dérives dénoncées. Notre positionnement porte uniquement sur l’aspect technique, notamment celui relatif à la cyber-sécurité, du projet lequel correspond à notre expertise. Nous souhaitons ainsi contribuer à éclairer, nous l’espérons, le débat.

De l’illusion de l’invulnérabilité sur le long terme

La création de ce fichier, et notamment le choix d’une architecture centralisée, pose des questions en matière de sécurité informatique. Notre communauté d’experts est unanime dans sa réponse : la sécurité et l’inviolabilité d’un tel fichier ne peuvent absolument pas être garanties sur le long terme.

Les propos rassurant garantissant la sécurité et la traçabilité des accès tenus par les tenants de ce fichier ne nous convainquent pas. Pare-feu, HSM, outils cryptographiques, application centrale opérée sur un réseau interne, avec des serveurs dédiés (…) ne sont pas, selon nous, des barrières définitivement infranchissables pour des personnes, des gouvernements ou des organisations malveillantes et décidées.

Malheureusement, de nombreux exemples de fuite de données ces dernières années ont montré les limites, tant techniques qu’humaines, de la sécurité informatique : Affaires Snowden et Wikilieaks, piratages de l’Elysée en 2012 et de Yahoo en 2014, etc.

Compte tenu de cette réalité et du fait qu’un tel fichier, par la richesse des données contenues, serait l’objet d’attaques inévitables et redoutables, il nous paraît opportun de reconsidérer le volet technique du projet.

 

Pour cela, CINOV-IT appelle à l’ouverture d’un large débat avec les organisations représentatives tant de la société civile et des citoyens que des professionnels du numérique. CINOV-IT rejoint ainsi la recommandation formulée par le Conseil National du Numérique.