Chiffrement de données de l’Etat : c’est la tournée de l’Anssi !

L’Anssi achète à Prim’X une licence globale pour ses produits de chiffrement de données. Les administrations et ministères bénéficieront gratuitement des logiciels de la PME lyonnaise.

Comment pousser les administrations à généraliser le chiffrement – garantie d’une meilleure protection de leurs données -, alors que toutes sont engagées dans des plans d’économie ? L’Anssi (Agence nationale de la sécurité des systèmes d’information) espère avoir résolu la quadrature du cercle, en achetant une licence globale à un PME française, Prim’X, pour 3 de ses produits de chiffrement. Le principe de ce contrat est simple : le coût de l’opération est pris en charge par l’Anssi et les administrations intéressées peuvent déployer librement les solutions.

Poupard« La question de la sécurisation des administrations et des ministères reste un sujet complexe, explique Guillaume Poupard, le directeur général de l’agence (en photo ci-contre). Et les outils de chiffrement y sont insuffisamment déployés. » Avec ce contrat, l’Anssi espère donc pousser les ministères, administrations centrales et autres services déconcentrés à renforcer leur sécurité.

Un contrat pour doubler de taille

Co-fondateur et Pdg de Prim’X, un éditeur lyonnais employant quelque 25 personnes, Serge Binet explique que ce contrat va permettre à sa société de presque doubler son chiffre d’affaires (celui-ci se montait à 2,2 millions d’euros en 2014). « L’accord porte sur une licence globale, illimitée dans le temps et en nombre, sur nos produits ZoneCentral (chiffrement de fichiers et dossiers, NDLR), Zed ! (transports de fichiers, NDLR) et Cryhod (chiffrement de disques durs, NDLR) », précise-t-il. Et d’ajouter : « l’objectif est de faire que le facteur du coût de licences ne soit plus un frein au déploiement. Les ministères ou administrations sont libres de déployer le ou les produits qu’ils veulent, sur le périmètre qu’ils souhaitent, au rythme qui leur convient. » Signé en décembre, le contrat résulte d’une négociation d’environ 18 mois entre l’éditeur et l’Anssi. Et, selon Serge Binet, la formule séduit : « tous les responsables informatiques d’administration défilent pour prendre leurs licences et démarrer des déploiements », glisse le dirigeant, croisé dans les allées du Forum International de la Cybersécurité (FIC), organisé à Lille en début de semaine.

Qualification : un label coûteux

Emblématique de la politique d’achat que le secteur public dit vouloir établir avec les PME françaises – avec, sur le terrain, encore beaucoup de progrès à accomplir -, ce contrat résulte surtout des relations dans la durée que la PME a su établir avec l’agence gouvernementale. « Nos relations avec l’Anssi sont très anciennes et remontent à la naissance de cette agence, il y a une dizaine d’années, détaille Serge Binet. Notre politique d’entreprise est de faire certifier et qualifier par l’Anssi toutes nos versions de logiciels. » Quatre produits de l’éditeur bénéficient ainsi d’une qualification Anssi, un audit spécifique à l’administration française qui passe par « un examen sévère de toute la partie cryptographie ».

Prim’X explique mener en moyenne un projet de certification et/ou qualification par an. « Il faut compter 8 à 10 mois de travail pour une personne à mi-temps, auxquels s’ajoutent 60 000 euros environ pour payer le laboratoire de certification, Oppida ou Amossys », détaille le Pdg. En sus des qualifications françaises, les produits de la PME sont aussi habilités pour des échanges de type diffusion restreinte au sein de l’Union européenne et de l’Otan, ce qui passe par une seconde certification en plus de celle délivrée par la France (Prim’X a opté pour celle du BSI allemand).

Cap sur l’export pour Prim’X

Le contrat avec l’administration tricolore en poche, Serge Binet espère devenir plus crédible à l’export. « Et pas qu’en Europe, dit-il. Bien sûr, on a bien conscience d’exercer un métier par essence géopolitique. Mais le fait d’être proche de l’administration française ne nous coupe pas forcément de toute vente outre-Atlantique par exemple. La partie cryptographie ne représente qu’environ 1 % du code dans nos produits et, en la matière, il est tout à fait envisageable de remplacer un algorithme par un autre pour les besoins d’un client. »

En plus de son essor attendu au sein des services de l’Etat, les produits de Prim’X sont utilisés par de grandes entreprises, comme Renault, Orange, le CEA, Thales, Bouygues Télécom ou le Crédit Agricole. Avec des déploiements atteignant, dans certains cas, « des milliers ou dizaines de milliers de postes », assure son Pdg.

A lire aussi :

Cybersécurité : les grandes entreprises trouvent un modus vivendi avec l’Anssi

Apple prend la tête du combat contre les backdoors dans le chiffrement

Après les attentats : faut-il mieux encadrer le chiffrement ?