Interviewé par Juliette Paoli pour Solutions-logiciels, Polyanna Bigle et Eric Barbry ont fait le point sur le filtrage ou non des flux HTTPS à la suite des dernières recommandations de l’Anssi publiées en octobre 2014 (1).
Le protocole HTTPS correspond à la déclinaison sécurisée de HTTP encapsulé à l’aide d’un protocole de niveau inférieur nommé TLS (Transport Layer Security). Ce protocole est conçu pour protéger en confidentialité et en intégrité des communications de bout en bout (entre un client et un serveur). Il apporte également des fonctions d’authentification du serveur, mais aussi optionnellement du client.
Les recommandations de l’Agence nationale de la sécurité des systèmes d’information comportent une annexe juridique sur une question cruciale pour les entreprises : la pratique consistant à analyser les flux entrants et sortants est-elle légale ou non ?
Cette pratique du filtrage des flux n’est pas sans risque et doit être faite avec discernement, dans le respect des dispositions légales et réglementaires.
Les outils de cybersurveillance déployés sans respecter les règles essentielles de consultation et d’information des employés leur sont inopposables.
Dans ses recommandations, l’Anssi rappelle quelques règles de principe simple :
- proportionnalité ;
- transparence ;
- protection de la vie privée résiduelle des employés ;
- responsabilisation des administrateurs des systèmes d’information ;
- respect de la loi informatique et libertés.
Polyanna Bigle et Eric Barbry pour Solutions-logiciels, « Filtrage des flux HTTPS Droit ou obligation 20150219 » , 19 février 2015.
(1) Note technique Anssi – Recommandations de sécurité concernant l’analyse des flux HTTPS, 9 octobre 2014.
