Paul Jolie (Ministère des Affaires Etrangères) "Tous les messages à diffusion restreinte sont désormais sécurisés"
JDN Solutions. Quels étaient les besoins du Ministère des Affaires étrangères en matière de chiffrement des e-mails ?
Paul Jolie. Au préalable, il convient de préciser que le Ministère des Affaires Etrangères a, depuis la Deuxième Guerre mondiale, un corps de chiffreurs. Les messages transitant de service à service, entre les ambassades et le Quai d'Orsay, ou entre ambassades, par exemple, sont ainsi cryptés depuis longtemps. C'est ce qu'on appelle les télégrammes diplomatiques.
Récemment, le ministère a décidé d'industrialiser le chiffrement et de l'étendre aux échanges de personnes à personnes, en plus de messages de service à service. Il s'agissait en fait d'une fonctionnalité permettant, si l'émetteur le souhaitait, de sécuriser et d'authentifier ses messages électroniques par des techniques de cryptographie asymétriques.Le but était évidemment d'avoir le meilleur niveau sécurité. Nous avons voulu choisir les solutions les plus sûres, mais aussi les plus modernes.
Nous avons choisi l'algorithme de hachage SHA-256 et retenu l'expertise de Bull et d'OpenTrust.
Notre infrastructure de gestion de clés est donc composée de deux étages, un premier étage qui a consisté à nous doter d'une infrastructure "mère diplomatie", elle-même rattachée à l'IGC/A interministérielle de l'Anssi [ndlr Agence nationale de la sécurité des systèmes d'information]. Nous avons obtenu ce rattachement début juillet 2010. Nous avons retenu l'expertise de Bull pour la conception de ce premier étage, et choisi l'algorithme de hachage SHA-256 garantissant un très haut niveau de sécurité.
Pour le second étage, nous nous sommes dotés d'une infrastructure de gestion de clé permettant de sécuriser la messagerie et d'offrir pour chaque e-mail un service de chiffrement et/ou de signature. Nous avons alors opté pour la solution d'OpenTrust, très souple à déployer mondialement, et nous sommes fait aider dans l'intégration par la société Solucom.
Tous les messages "à diffusion restreinte", soit le deuxième degré de sensibilité après les documents classifiés confidentiel ou secret défense, peuvent ainsi être désormais correctement protégés. L'émetteur n'a qu'à cliquer sur un bouton avant d'envoyer son message pour pleinement le sécuriser.
Le deuxième étage de l'infrastructure de gestion de clé et son système de cryptographie associé peuvent être réutilisés pour d'autres applications et ne pas être limités à la messagerie.
Avez-vous procédé à un appel d'offres classique pour un sujet aussi sensible ?
L'appel d'offres a en effet été public. Mais en raison de son caractère sensible, c'est la procédure d'appel d'offres restreint qui a été retenue et seules cinq sociétés, après sélection, ont pu avoir accès au cahier des charges complet.
La DSI du Quai d'Orsay a piloté le déploiement qui s'est passé en deux phases, dont une en "big bang".
Tous les fonctionnaires du Ministère des Affaires Etrangères utilisent désormais cette solution ?
Nous avons décidé de déployer la solution à ceux disposant d'une adresse en diplomatie.gouv.fr et gérés par l'administration centrale - à distinguer des agents recrutés localement -, ceci afin de respecter pleinement les conditions du Référentiel Général de Sécurité. Cela correspond à peu près à la moitié de la population du Ministère des Affaires étrangères, soit 7 000 utilisateurs.
Tous les fonctionnaires ont donc accès à cette messagerie sécurisée. Un processus spécifique reste cependant possible pour octroyer à la demande et sous condition le service de messagerie sécurisée et ainsi l'octroyer à d'autres personnes ne respectant pas les conditions précédentes.
Comment s'est passé le déploiement, notamment à l'étranger ?
En France, le déploiement s'est fait sur notre système Exchange, client Outlook, et à l'étranger avec des serveurs Kerio, client Outlook. La DSI du Quai d'Orsay a piloté le déploiement qui s'est passé en deux phases, la première consistant à demander aux utilisateurs d'aller chercher leurs certificats de chiffrement et de signature, et ensuite d'ouvrir le service le jour J à l'ensemble des utilisateurs, soit la stratégie dite du "Big Bang".
D'autres ministères se sont-ils montrés intéressés pour déployer la solution ?
Il ne s'agit pas de reproduire exactement ce que nous avons fait, mais l'un des enjeux de demain sera de pouvoir étendre ce type d'échanges sécurisés avec d'autres ministères, et de construire un système global bénéficiant du même sceau de confiance. C'est ce que nous voulons réussir dans les mois à venir.
Au-delà de son aspect technologique, la solution, par sa simplicité d'utilisation a été bien adoptée : c'était là aussi l'un des challenges. Le projet a été mené de façon particulièrement exemplaire par les deux chefs de projet, Nicolas Lhuillier et Philippe Maraval.