InfoCert (Groupe Tinexta) est le premier Prestataire de Services de Confiance Qualifié au monde à atteindre le niveau substantiel IAD tel que défini dans la norme CEN TS 18099 et le niveau substantiel PAD tel que défini dans la norme PAD – ISO/IEC 19989-3 !

Ces certificats de conformité ont été obtenus dans le cadre du programme de certification LSTI PAD – ISO/IEC 30107-3, du programme de certification CLR Cert PAD – ISO/IEC 19989-3 et du programme de certification CLR Cert IAD – CEN TS 18099.

La démonstration du savoir-faire unique de l’équipe R&D d’InfoCert pour répondre aux exigences définies dans ces normes concernant les systèmes de détection de vivacité.

La capacité à effectuer une détection de vivacité à ce niveau offre un haut niveau de confiance dans la capacité d’InfoCert (groupe Tinexta) à effectuer une vérification d’identité avec un bon niveau d’assurance. Cette étape est un signal clair que l’Europe peut être à la pointe de la sécurité biométrique et la promouvoir à l’échelle mondiale. La collaboration entre les QTSP, les CAB, les laboratoires et les technologies démontre que l’écosystème européen est prêt à relever les défis à venir en matière de sécurité biométrique, de vérification d’identité à distance et, plus généralement, d’émission de portefeuilles électroniques sécurisés et d’attestations électroniques qualifiées d’attributs.

Téléchargez le Mémo Presse

Un premier pas vers la conformité à la norme ETSI 119 461

InfoCert (Groupe Tinexta) est l’un des plus grands prestataires de services de confiance qualifiés en Europe. Il s’engage fermement à mettre en œuvre et à promouvoir les normes de sécurité et de conformité les plus strictes, à offrir une expérience conviviale et à garantir une validité juridique totale.

S’appuyant sur une vaste expertise en matière de confiance numérique et de conformité. « Nous sommes fiers d’avoir obtenu le LoIP substantiel pour la détection de l’activité, cela démontre notre volonté de préparer le LoIP étendu tel que défini dans le nouveau ETSI TS 119 461 V2.1.1 publié en février 2025 », a déclaré Fabrizio Leoni, responsable de l’innovation des services, de la R&D et de l’innovation ouverte chez InfoCert (Tinexta Group).

« Infocert Liveness devient la première solution de détection de vivacité à obtenir un certificat de conformité à la fois pour la détection d’attaque par présentation et la détection d’attaque par injection au niveau substantiel. Nous sommes honorés qu’InfoCert ait choisi CLR Cert, le département du Cabinet Louis Reynaud – CLR Labs en charge de la certification de conformité », a déclaré Christian CROLL, directeur de CLR Cert.

« Ce programme d’évaluation de la conformité permet à l’écosystème cybernétique européen d’acquérir les capacités nécessaires pour évaluer et certifier les produits biométriques, y compris la détection des attaques par présentation, avec un label « made in Europe », assurant ainsi la promotion de l’excellence européenne en matière de cybersécurité », a déclaré Julien Bruant, directeur général de LSTI.

Contact presse Infocert (groupe Tinexta) :

Loredana Dalessandro – loredana.dalessandro@infocert.it

À propos de CLR Cert™, groupe Cabinet Louis Reynaud :

CLR Cert™ est l’organisme d’évaluation de la conformité (OEC) du groupe Cabinet Louis Reynaud pour l’ère numérique dans les domaines de l’identité numérique, de la biométrie, de la cybersécurité des produits et des systèmes d’information, de l’intelligence artificielle et des prestataires de services de confiance, basé à La Ciotat (France). Le Cabinet Louis Reynaud – CLR Labs est l’éditeur de la norme européenne sur les attaques par injection de données biométriques, membre associé (actionnaire) du CAMPUS CYBER français et laboratoire accrédité par l’ANSSI pour réaliser des tests biométriques (PAD et IAD) dans le cadre du schéma de certification des prestataires de services de vérification d’identité à distance – PVID.

https://clr-cert.eu/en/

À propos de LSTI

LSTI est un organisme de certification spécialisé dans la cybersécurité et la certification des services de confiance. Créé en 2004, LSTI a développé une expertise significative en matière de sécurité de l’information et est reconnu comme l’un des principaux organismes de certification en Europe pour l’évaluation des prestataires de services de confiance dans le cadre du règlement eIDAS, de la norme ISO/IEC 270001, des cyber-cadres et du cadre du Cloud souverain de l’organisme de surveillance français (ANSSI). L’évaluation des Prestataires de services de vérification d’identité à distance (PVID) s’inscrit naturellement dans son domaine d’activité, notamment dans le cadre du règlement européen eIDAS.

LSTI est une entité indépendante du groupe Apave, un groupe international fort de plus de 150 ans d’expérience, spécialisé dans la gestion des risques techniques, humains, environnementaux et numériques. Le groupe Apave est une entreprise qui emploie actuellement 17 500 personnes et opère dans près de 60 pays à travers le monde.

https://www.lsti-certification.fr/en/

À propos d’Infocert (Groupe Tinexta)

InfoCert, Tinexta Group, est la plus grande autorité de certification européenne, active dans plus de soixante pays. La société propose des services de numérisation de processus, d’intégration numérique, de livraison électronique (PEC), de signature numérique et de conservation de documents numériques. Elle est également accréditée par l’AgID en tant que gestionnaire d’identité numérique au sein du SPID (Système public de gestion de l’identité numérique). InfoCert investit massivement dans la recherche, le développement et la qualité : elle détient plus de vingt brevets, tandis que les certifications de qualité ISO 9001, 27001 et 20000 démontrent son engagement à fournir des services et une gestion de la sécurité de la plus haute qualité. Le système de gestion de la sécurité de l’information d’InfoCert est certifié ISO/IEC 27001:2013 pour les activités EA:33-35. InfoCert (Groupe Tinexta) est un leader européen dans la fourniture de services de confiance numérique qui respecte pleinement les exigences du règlement eIDAS (règlement UE 910/2014) et des normes ETSI EN 319 401 et vise à se développer de plus en plus à l’international et par le biais d’acquisitions : elle détient 100 % de CertEurope, la plus grande autorité de certification en France, 51 % de Camerfirma, l’une des principales autorités de certification espagnoles, 16,7 % d’Authada, un fournisseur d’identité allemand de pointe, 65 % d’Ascertia, une société britannique parmi les leaders du marché des solutions de cryptographie et de signature numérique. Enfin, InfoCert détient 80 % des actions de Sixtema SpA, le partenaire technologique du monde CNA, qui fournit des solutions technologiques et des services de conseil aux PME, aux associations professionnelles, aux intermédiaires financiers, aux entreprises et aux organisations professionnelles.

https://www.infocert.digital/

À propos de Tinexta

Tinexta est un groupe industriel qui propose des solutions innovantes pour la transformation numérique et la croissance des entreprises, des professionnels et des institutions. Coté sur le marché Euronext STAR Milan (MIC : MTAA), il fait partie de l’indice European Tech Leader en tant qu’entreprise technologique à forte croissance. Basé en Italie et présent dans 12 pays d’Europe à l’Amérique latine avec plus de 2 500 employés, Tinexta est actif dans les secteurs stratégiques de la confiance numérique, de la cybersécurité et de l’innovation commerciale.

Au 31 décembre 2023, le Groupe a enregistré un chiffre d’affaires consolidé de 395,8 millions d’euros, un EBITDA ajusté de 103,0 millions d’euros et un bénéfice net de 69,9 millions d’euros.

tinexta.com | indice boursier : TNXT, code ISIN IT0005037210

La semaine dernière, LSTI a célébré ses 20 ans au siège du Groupe Apave à La Défense, en présence de ses clients et partenaires. À cette occasion, plusieurs annonces importantes ont été faites. Retour sur cet événement marquant.

Après un discours de Philippe Maillard, PDG d’Apave, et une rétrospective des vingt années d’activité de LSTI, Armelle Trotin et Philippe Bouchet, fondateurs de LSTI, ont annoncé leur départ, et la reprise par le groupe Apave, déjà actionnaire de LSTI.

La direction générale de LSTI sera reprise par Julien Bruant, actuel directeur des opérations. Lors de cette soirée, il a souligné que cette passation de témoin avec Armelle Trotin s’inscrivait dans une logique de continuité où LSTI continuera de remplir son rôle d’organisme de certification et de centre d’évaluation auprès de ses clients dans un contexte où la cybersécurité et la confiance numérique seront des enjeux majeurs pour les années à venir.

Une mission qui s’inscrit pleinement dans la raison d’être du groupe Apave : être un acteur de confiance pour un monde plus sûr, durable et porteur de progrès partagé.

Pour ses 20 ans et pour marquer son intégration au groupe Apave, LSTI va revêtir une nouvelle identité visuelle à partir de janvier qui a été dévoilée en avant-première.

Cet événement s’est clôturé par un moment d’échange autour d’un cocktail dinatoire avec nos partenaires et clients.

Cette année 2023 a été marquée par les premiers certifiés PVID et ISO/IEC 30107, une avancée dans l’histoire de la certification des produits et services d’identification électronique.

Outre le référentiel PVID de l’ANSSI, les différentes normes ISO/IEC et le règlement européen eIDAS, il existe en France une autre certification possible pour les entreprises qui dispensent un service d’identification électronique : la certification des Moyens d’Identification Électronique (MIE). Focus sur ce cadre législatif made in France.

Qu’est-ce que la certification MIE ?

La certification des MIE est basée sur l’article L. 102 du code des postes et des communications électroniques, qui introduit la notion de présomption de fiabilité. Ce texte intègre également des mentions issues du règlement eIDAS concernant les exigences de sécurité des Moyens d’Identification Électronique.

Cette certification s’adresse à toute entreprise fournissant un service ou produit d’identification électronique.

Le cahier des charges d’évaluation de ces MIE, ainsi que de leur présomption de fiabilité, a été déterminé par l’ANSSI en juillet 2022.

Trois niveaux de garantie ont été fixé, répondant aux spécificités techniques et procédurales : faible, substantiel et élevé. Attention, l’ANSSI ne délivre pas de certification pour tout MIE visant le niveau de garantie faible.

Bien que le passage de cette certification se fasse sur une base volontaire, son caractère devient obligatoire si une entreprise souhaite que son MIE bénéficie de la présomption de fiabilité.

Elle est peut-être également une première étape dans le cadre d’une qualification eIDAS.

Le rôle de LSTI

Cette certification est accordée par l’ANSSI basée sur l’évaluation de conformité réalisé par un Prestataire d’Audit de la Sécurité des Systèmes d’Information ou un organisme certificateur accrédité par le Cofrac.

En tant qu’Organisme d’Évaluation de Conformité accrédité ISO/IEC 17065, LSTI réalise les évaluations de conformité selon le référentiel et le cahier des charges déterminés par l’ANSSI.

L’évaluation en conformité se fait en 2 étapes, et l’ANSSI certifie l’audité sur le niveau substantiel ou élevé uniquement, sur la base de l’évaluation fournie par LSTI.

Pour toute information ou demande de devis, notre formulaire de contact rubrique certification d’entreprise est à votre disposition.

Également plus d’informations sur le site de l’ANSSI.

LSTI est reconnu par l’ANSSI pour procéder à l’évaluation des prestataires de réponse aux incidents de sécurité (PRIS). Très actif durant la phase d’expérimentation avec l’Agence, LSTI a évalué la majorité des prestataires candidats. Mais qu’est-ce que la qualification PRIS et à qui peut la passer ?

Qu’est-ce que la qualification PRIS ?

Le référentiel d’exigences PRIS est composé de différentes règles et exigences que les prestataires doivent appliquer s’ils souhaitent obtenir cette qualification. Il porte aussi bien sur la réponse aux incidents, qu’au personnel du prestataire et au déroulement de ses services.

De plus, elle permet d’identifier et mettre en avant les entreprises capables d’assurer le niveau de réponse aux incidents de sécurité exigé par la Loi de Programmation Militaire (LPM) de 2019-2025, ce qui rend l’obtention de la qualification PRIS exigeante.

Comme pour d’autres qualifications de l’ANSSI, le processus de qualification PRIS est composé de différents jalons permettant de jauger du niveau d’expertise du candidat. La dernière étape de l’évaluation consiste à réaliser une prestation témoin en conditions réelles, afin de valider les procédures et leur application.

Qui peut prétendre à passer cette qualification ?

Cette qualification est à destination des prestataires qui offrent des services de réponse aux incidents, pour leur propre compte ou celui de leurs clients. Les CERT (Computer Emergency Response Team) sont typiquement les candidats pour l’obtention de cette certification, notamment s’ils souhaitent accompagner des OIV ou OSE.

Ils peuvent être qualifiés sur les activités suivantes : pilotage technique, analyse système, analyse réseau et analyse de codes malveillants.

Afin d’obtenir ce titre, les candidats doivent répondre aux 213 exigences, 153 points de contrôle et 66 preuves documentaires, listés dans le référentiel PRIS.

Obtenir cette qualification garantit le niveau technique, organisationnel et de sécurité d’une organisation en matière de réponse aux incidents. Cette certification est importante pour identifier les prestataires fiables et permet de renforcer la sécurité de la communauté.

L’approche méthodique mise en place par LSTI dans le cadre et dans le respect du processus de qualification de prestataires de services défini par l’ANSSI, tout comme la bonne compréhension des exigences issues du référentiel PRIS (de l’ANSSI) ont été précieuses dans le processus de qualification du CSIRT LEXFO.

Tout en faisant preuve d’une grande impartialité, la disponibilité, la réactivité et l’adaptabilité des experts de LSTI ont été très appréciées de l’équipe de réponse à incidents de LEXFO qui a pu répondre et satisfaire aux exigences du processus de qualification dans une atmosphère sereine et constructive.

Par ailleurs, l’équipe administrative de LSTI a également fait preuve d’une grande réactivité dans la gestion de notre dossier, nous faisant gagner un temps précieux dans le déroulement de notre processus de qualification.

Sébastien Chaudron, directeur du CSIRT LEXFO

Comment se passe le processus de qualification ?

Les exigences sont vérifiées lors d’un audit sur site et la réussite à des examens écrits et oraux par le personnel du prestataire.

L’obtention de la qualification atteste du respect par le prestataire candidat :

• des exigences relatives au prestataire de réponse aux incidents (Protection de l’information au niveau Diffusion Restreinte),
• des exigences relatives au déroulement d’une prestation de réponse aux incidents,
• de la compétence de ses analystes pour les activités qualifiées.

Cette certification est délivrée pour une durée de trois ans sur la base d’un rapport d’inspection, sous réserve d’un audit de surveillance à 18 mois suivant la certification initiale ou le renouvellement. La validité des résultats aux examens est également de trois ans.

Plus d’informations sur notre page dédiée.

ORSYS, membre historique de notre réseau de partenaires de formation, est un organisme de formation leader français de la formation aux technologies numériques, management, développement personnel et aux métiers de l’entreprise, qui accompagne depuis plus de 45 ans les entreprises et les organisations dans l’amélioration de leurs performances et dans la réussite de leurs transformations digitale, managériale, commerciale et organisationnelle.

Dans le cadre de notre partenariat, ORSYS propose des formations pour préparer les examens de certification Auditor/Lead Auditor ISO/IEC 27001, Implementer ISO/IEC 27001 et Risk Manager ISO/IEC 27005.

Afin de présenter ORSYS et ses relations avec LSTI, nous laissons la parole à Serge Gueguen, responsable de l’Offre certifications & ORSYS Cyber Academy.

• Tout d’abord, pouvez-vous vous présenter en quelques mots (votre poste, votre parcours, l’organisme de formation ORSYS).

J’ai débuté ma carrière en 1988 dans une SSII en tant qu’analyste programmeur. Ensuite, j’ai exercé la fonction de formateur en organisme de formation de 1995 à 2016 puis en tant qu’indépendant entre 2016 et 2017, année de mon entrée chez ORSYS en tant qu’ingénieur pédagogique. De 2018 à 2022 j’étais responsable de l’évolution de l’offre de formation en technologies numériques – dont notamment le domaine de la cybersécurité. Aujourd’hui, j’occupe à la fois le poste de responsable de l’offre certifications et de la ORSYS Cyber Academy.

• En quoi consiste la ORSYS Cyber Academy ?

Cette académie rassemble en un seul point d’entrée toute l’offre de formation ORSYS en matière de cybersécurité : des formations en présentiel, en distanciel, de l’e-learning, des séminaires, des cours pratiques, des formations avec certification à la clé, des parcours de formations diplômant ou pas, de la reconversion professionnelle… Au total, c’est plus de 170 formations ! Toutes animées par des professionnels de terrain expérimentés.

• Réaction à froid : quels sont les 3 mots qui vous viennent à l’esprit quand vous pensez aux examens de compétences de personnes LSTI ?

Réalisme, professionnalisme et reconnaissance.

• Pourquoi avoir choisi de devenir partenaire de formation LSTI ?

C’est un choix stratégique et historique qui remonte à une époque, au milieu des années 2000, où très peu de certifications existaient en matière de cybersécurité.

• Comment voyez-vous le partenariat LSTI/ORSYS à l’avenir ?

Parti pour durer pour de nombreuses années avec toujours plus de nouvelles certifications que nous pourrons ajouter à notre catalogue !

Pour LSTI, avoir un réseau d’organismes de formation de qualité afin d’encadrer au mieux nos candiat·es et futures certifié·es fait partie de nos valeurs : la confiance, la qualité, l’expertise et l’indépendance. Ces experts en formation qualité et cyber font partie de notre réseau car ils ont des valeurs similaires.

Pour vos besoins de formation avant de passer un de nos examens en ligne, consultez notre page Formations agrées.

Mai 2023 est marqué par le lancement officiel du schéma de certification sur la norme ISO/IEC 30107 fait en partenariat avec CLR Labs, avec notre premier certificat émis pour le produit VideoIdent de IDnow.

Mais qu’est-ce que la norme 30107 ? Comment fonctionne le partenariat LSTI/CLR Labs sur ce schéma de certification ? Qui est concerné par cette certification ? Voici quelques éléments de réponses.

La norme

Publiée en 2017, la norme ISO/IEC 30107 définit les mesures de sécurité et les tests à réaliser pour la prévention et la protection des systèmes de vérification d’identité à distance.

Elle pose la définition des attaques possibles lors de la capture de données biométriques dans le cadre de la vérification d’identité. Ces attaques sont appelées « Presentation attacks », et les mécanismes pour les détecter sont nommés « Presentation Attacks Detection » ou PAD. C’est pour cette raison qu’elle couvre aussi bien les mesures de sécurité à mettre en place, que les tests à effectuer pour évaluer leur sûreté.

La certification

Le schéma de certification sur cette norme est possible grâce au partenariat entre CLR Labs et LSTI.

Tous les tests et travaux d’évaluation sont réalisés par CLR Labs, qui effectue notamment des attaques de présentation (attaques type 1) mais aussi des test par injection de données biométriques (attaques type 2).

LSTI intervient ensuite pour évaluer la conformité de ces évaluations et émettre le certificat ISO/IEC 30107 du produit ou service évalué.

À ce jour, ce schéma de certification est le seul existant en Europe. Jusqu’à la création de cette initiative, audits, tests et évaluation en conformité étaient de mise sur le territoire européen. Une possibilité de certification existait, mais l’offre en question est américaine.

Une offre de certification made in Europe est donc maintenant sur le marché pour certifier et garantir les offres de vérification d’identité à distance.

Les produits et services concernés

Ce schéma de certification peut s’appliquer à̀ de nombreux produits et services tels que :

• Les stations et cabines d’enrôlement d’identité,
• Les portes automatiques de passage aux frontières,
• Les lecteurs biométriques,
• Les systèmes « entry-exit »,
• Les « Digital Wallets »,
• Les fournisseurs de services de confiance,
• Et tous autres produits intégrant des technologies biométriques.

Elle s’adresse donc à toute entreprise dans le domaine de la vérification d’identité à distance qui souhaitent offrir une garantie supplémentaire sur la sûreté de leurs produits et services.

Pour plus d’informations, nous contacter.

Le communiqué de presse

Il y a un an, nous ajoutions à notre offre l’évaluation des services de Vérification d’Identité à Distance « PVID », selon le référentiel publié par l’ANSSI et dans le même temps la certification selon la spécification technique de l’ETSI TS 119 461 pour les Identity Proofing Service Provider « IPSP ».

Être qualifié PVID en France est un moyen de répondre à 3 exigences réglementaires :

• La certification au titre du [DECRET_2020-118] des services d’entrée en relation d’affaires à distance ;
• La qualification des services de confiance au titre du règlement eIDAS lorsque ces derniers recourent à une vérification d’identité à distance (article 24 1 d) ;
• L’évaluation de la conformité des moyens d’identification électronique au titre du règlement eIDAS et leur certification au titre de l’article L.102 du CPCE, pour les niveaux de garantie substantiel et élevé, lorsque ces derniers recourent à une vérification d’identité à distance.

En Europe, la certification à la norme ETSI TS 119 461 permet notamment de déclarer que la prestation de vérification d’identité à distance fournit une garantie équivalente en termes de fiabilité à la présence en personne (article 24 1 d).

Pour proposer une prestation complète (évaluation de la conformité et tests informatiques et physiques de l’efficacité biométriques), LSTI s’est associé avec les sociétés STELAU et CLR Labs.

Bilan sur cette activité, un an après :

• Au niveau national

LSTI SAS et ses partenaires STELAU et CLR Labs ont réalisé plusieurs évaluations PVID. Les décisions de qualification devraient être prochainement publiées.

• Au niveau européen

LSTI Worldwide, filiale de LSTI SAS, a également démarré la certification de conformité à la norme ETSI 119 461 pour différents prestataires dans différents États-membres dont certains ont légiféré sur le sujet. Le premier certificat ETSI 119 461 a été délivré par LSTI début juillet 2022.

Cette année, nous avons participé au Forum International de la Cybersécurité : nous étions présents sur le stand Oppida. Retour sur l’un de nos auditeurs présents sur le forum et les éléments clés.

Les faits qui nous ont marqués lors de cette édition :

• Le thème de cette année était l’Europe, des zones dédiées à des pays européens et beaucoup d’entreprises européennes étaient présentes sur ce forum, mais également des acteurs venus de beaucoup plus loin. L’internationalisation du FIC ne cesse d’augmenter, comme le prouve également la prochaine édition à Montréal en novembre. Cela appuie la dimension internationale du secteur, et ouvre toujours plus de possibilités ;
• Le dernier discours de Guillaume Poupard en tant que Directeur général de l’ANSSI, qui a mentionné l’augmentation des cyber-attaques, dont l’essentiel frappe des institutions étatiques, mais aussi les entreprises autres que les OIV, qui ont fortement travaillé sur leur cyberdéfense et cyber-résilience. Le domaine de la cybersécurité est donc encore en phase de croissance et porteur d’activités, avec un besoin de recrutement important qui peine à être comblé.

Nicolas Langeard a rejoint récemment LSTI pour assurer des missions de responsable d’audit dans le domaine de la Cyber. Il était présent le 2^e jour du forum. Il a accepté de faire part de son expérience au salon. Découvrez son témoignage.

Bonjour Nicolas. Peux-tu te présenter brièvement ?

Bonjour ! J’ai rejoint la société LSTI en mai 2022 en tant que responsable d’audit sur les référentiels cyber. Du fait de mes expériences acquises durant plus de 24 ans, j’aspirai à pouvoir être acteur sur les qualifications PASSI, PDIS et PRIS. Je vais également intervenir sur des audits ISO/CEI 2700.

J’ai travaillé pour le ministère des armées pendant plus d’une vingtaine d’année durant lesquelles j’ai fait de nombreux audits de SI sensibles, en métropole et en missions extérieures. J’ai également travaillé pour l’agence cybersécurité de l’OTAN (NCIRC) basée à Mons en Belgique pendant 3 ans. J’ai fini ma carrière militaire au sein de la cellule forensique du Centre d’Analyse de Lutte Informatique Défensive (CALID) à Rennes en tant qu’analyste cybersécurité confirmé et enquêteur technologies numériques (N’Tech).

De septembre 2019 à mars 2022, j’ai travaillé pour l’entreprise AMOSSYS en tant que responsable des activités d’audit et de conseil en cybersécurité. J’ai réalisé des audits de type PASSI LPM en tant que RA et auditeur organisationnelle et physique pour différents OIV.

Combien de fois as-tu participé au FIC ?

En comptant ma journée de présence au salon FIC 2022, cela fait ma 5ème participation.

Un habitué donc ! As-tu constaté une évolution au fil des années ?

Je trouve très intéressant que le FIC intègre dans le programme de sa première journée, la 8^ème conférence CORIIN organisée par le CECyF (Centre Expert contre la Cybercriminalité Français) sur la réponse aux incidents et l’investigation numérique. De nombreux retours de la part d’experts sur l’emploi d’outils forensiques et/ou leurs expériences opérationnelles étaient à l’ordre du jour.

Jusqu’en 2020, le FIC avait bien lieu à Lille mais courant du mois de janvier ce qui permettait de ne pas se télescoper avec d’autres évènements en cybersécurité.

Quels ont été les points forts de l’édition 2022 pour toi ?

Cette édition 2022 était très orientée vers l’Europe et ses capacités actuelles et futures en cybersécurité. Les multiples projets législatifs (NIS2, cyber-résilience, e-evidence, sécurité des produits, DMA, DSA…) ont régulièrement été abordés. Le domaine de l’évaluation sera très certainement impacté par le programme « Décennie numérique » de la Commission européenne lancé en mars 2022.

Qu’est-ce qui a manqué à cette édition selon toi ?

Une météo plus clémente et des fontaines d’eau à disposition des visiteurs/exposants au sein du Grand Palais.

Ton ressenti sur le stand Oppida/LSTI ?

J’ai fortement apprécié échanger avec différents profils de visiteurs sur les sujets de la certification (CC, CSPN), des différentes qualifications (PASSI, PRIS, PDIS, PSCE, PSHE, …) et sur les obligations lors d’audit ayant pour référentiel la Loi de Programmation Militaire.

Un mot pour la fin ?

Mon constat 2022 sur les salons / conférences cyber en France est qu’il y a beaucoup d’événements rapprochés sur la période du mois de juin (FIC, STIIC, Hack in Paris, …). Il devient compliqué de pouvoir se libérer professionnellement afin d’y assister.

L’ISO/IEC 27001 est une norme internationale sur la gestion de la sécurité de l’information. À l’origine, elle a été publiée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI ou IEC en anglais) en 2005, puis révisé en 2013. Une mise à jour européenne a été publiée en 2017.

Le titre officiel de cette norme est « Technologies de l’information — Techniques de sécurité — Systèmes de gestion de la sécurité de l’information — Exigences »

Cette norme précise les exigences pour l’organisation, la mise en œuvre, la maintenance et l’amélioration continue d’un système de management de la sécurité de l’information (SMSI). Le but d’un SMSI est d’aider les organisations à sécuriser leurs données et informations (telles que leurs informations financières, leur propriété intellectuelle, les données sur leurs employés ou des informations confiées par des tiers).

Les organisations qui satisfont à ces exigences peuvent choisir d’être évaluées par le biais d’un audit afin d’être certifiées par un organisme de certification accrédité, tel que LSTI.

ISO/IEC 27001:2013 comporte dix clauses courtes et une longue annexe, qui couvrent les éléments suivants :

1. Champ d’application de la norme
2. Comment le document est référencé
3. Réutilisation des termes et définitions dans ISO/IEC 27000
4. Contexte organisationnel et parties prenantes
5. Leadership en matière de sécurité de l’information et soutien de haut niveau aux politiques
6. Planification d’un système de gestion de la sécurité de l’information, l’évaluation des risques, traitement des risques
7. Soutenir un système de gestion de la sécurité de l’information
8. Rendre opérationnel un système de gestion de la sécurité de l’information
9. Examen des performances du système
10. Action corrective
    Annexe A : Liste des contrôles et leurs objectifs

Comme toute autre norme de système de management, être certifié ISO/CEI 27001 est tout à fait possible mais pas obligatoire. Certaines entreprises choisissent de mettre en œuvre cette norme pour bénéficier des bonnes pratiques qu’elle contient, tandis que d’autres décident de se faire certifier pour rassurer leurs clients.

Cette norme est le référentiel de référence pour notre prestation entreprise, ainsi que les examens auditor/lead auditor 27001 et implementer 27001.

L’augmentation des demandes de certifications eIDAS depuis sa création a boosté notre activité en Europe. LSTI a même fondé sa filiale, LSTI Worldwide, dont l’activité principale est l’évaluation de la certification eIDAS, en 2016. Mais qu’est-ce que la réglementation eIDAS ?

« eIDAS » est l’abréviation de « electronic IDentification And Trust Services ». Il fait référence à une gamme de services spécifiques qui incluent la vérification de l’identité des particuliers et des entreprises en ligne et la vérification de l’authenticité des documents électroniques. Pour simplifier, il assure des transactions transfrontalières sécurisées.

Cette norme a été établie dans le règlement UE 910/2014 du 23 juillet 2014 sur l’identification électronique et abroge le règlement 1999/93/CE du 13 décembre 1999. Le règlement eIDAS est applicable dans toute l’UE depuis le 1er juillet 2016.

Les services de confiance couverts par eIDAS comprennent :

• Signatures électroniques avancées et qualifiées associées à une personne morale ou physique ;
• Cachets électroniques avancés et qualifiés associés à une personne morale ;
• Validation qualifiée pour les signatures électroniques qualifiées et les cachets ;
• Conservation qualifiée des signatures électroniques qualifiées et des cachets ;
• Horodatage ;
• Services de livraison électronique ;
• Authentification de sites internet.

Le but d’avoir des services qualifiés et de confiance est d’augmenter la confiance dans l’utilisation des transactions électroniques grâce à des mécanismes – tels que la vérification de l’identité des particuliers et des entreprises en ligne ou la vérification de l’authenticité des données électroniques – qui sont plus présents dans nos activités de nos jours.

Les entreprises qui ont été qualifiées selon les normes eIDAS pour leurs services sont appelées Trust Service Providers (TSP).

Notre activité, ainsi que celle de LSTI Worldwide, est d’auditer et d’évaluer les entreprises qui fournissent les services mentionnés ci-dessus. Sur la base du résultat de leur audit, une entreprise peut être qualifiée de fournisseur de services de confiance et se voit attribuer un certificat prouvant sa fiabilité et la qualité de ses services.

Tous les clients du groupe LSTI évalués et qualifiés en tant que TSP peuvent être trouvés sur notre registre en ligne, ou sur demande via le formulaire de contact (sélectionnez Communications comme sujet).

Plus d’informations sur notre page dédiée et sur les sites européens suivants :

• https://digital-strategy.ec.europa.eu/fr/policies/eidas-regulation
• https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=celex%3A32014R0910