LuxTrust, protection rapprochée

Le développement de l’économie numérique repose en grande partie sur la confiance des utilisateurs. Aussi est-il nécessaire de garantir l’authentification et la confidentialité des données échangées.

«Si l’on a d’abord sécurisé le système d’information au niveau central, pour ensuite s’intéresser au réseau, force est de constater que le point aujourd’hui le plus vulnérable est clairement le endpoint, qu’il s’agisse du poste de travail fixe, du poste mobile, voire du PDA ou du smartphone, sans négliger les clés USB, analyse Pierre Zimmer, administrateur délégué de LuxTrust. Le périmètre de l’entreprise d’aujourd’hui n’est plus limité à ses différents sites; la sécurité du endpoint est un véritable enjeu.»

Des solutions fiables existent: chiffrement des données sur les disques (répertoire, partitions, le disque en son entier), prévention des fuites de données, contrôle d’accès NAC, authentification forte… LuxTrust a choisi de combiner authentification forte et PKI (Public Key Infrastructure). Il est ainsi possible de contrôler le flux applicatif et de le signer. A la différence de la plupart des solutions de sécurisation des endpoints, la solution n’est pas que matérielle, elle est également logicielle. La sécurité n’en est que plus grande.

«La baisse drastique du prix des cartes à puce et des ‘tokens’ d'authentification est pour beaucoup dans la démocratisation de la technologie, ajoute Raymond Faber, administrateur délégué de LuxTrust. Qui plus est, les procédures liées à l'utilisation des PKI ont évolué dans le sens de la simplicité. Résultat: les champs d'application de la PKI se multiplient à l'infini.»

Les solutions peuvent être très élaborées. Voire personnalisées. Avec son partenaire allemand Kobil, LuxTrust propose en effet de répondre aux besoins particuliers d’une application. Physiquement, il s’agit de «simples» sticks USB. Ceux-ci renferment une puce électronique protégée par un code PIN contenant un ou plusieurs certificats électroniques de l’utilisateur; ils intègrent par ailleurs un navigateur web préconfiguré pour les besoins spécifiques de l’application pour laquelle il ont été personnalisés. Leur utilisation est extrêmement simplifiée dans la mesure où le fonctionnement du stick ne nécessite pas l’installation d’un logiciel.

«Pour les PDA et autres smartphones, la situation est plus confuse. Les fournisseurs de ces technologies avancent isolément, sans concertation. A défaut de standardisation, nous sommes actuellement dans l’incapacité de proposer des business cases qui font sens, d’autant plus si le client utilise différents modèles», regrette Pierre Zimmer.

Une situation qui ne peut perdurer, assure LuxTrust. Les industriels devront finir par s’entendre, du moins pour délimiter une zone spécifique à la sécurité sur les cartes SIM. C’est l’essor de leur business qui en dépend… D’ici là, LuxTrust évalue différentes solutions.

«Notre défi est permanent, enchaîne Raymond Faber. Entre la définition d’une solution et sa commercialisation, nous pouvons être amenés à reconsidérer l’architecture de nos solutions. Nous évoluons dans un environnement terriblement fluctuant, ce qui réclame beaucoup de flexibilité dans la mise en œuvre de nos services.»

Pour les clients, c’est tout bénéfice. Avec LuxTrust, ils peuvent compter sur un partenaire spécialisé, centré sur les seules questions de l’authentification et de la certification. Un tiers de confiance qui peut aider ses clients à concevoir une solution spécifique, par exemple pour la signature de masse de documents avec horodatage. Ou à organiser une migration massive vers une solution d’authentification unique.

En moins de cinq ans, LuxTrust a développé une vaste compétence, aujourd’hui largement reconnue. C’est ainsi que LuxTrust participe activement au projet-pilote STORK (Secure idenTity acrOss boRders linKed) de la Commission européenne relatif à la reconnaissance et à l’enregistrement de l’identité électronique. STORK permettra aux entreprises, aux citoyens et aux fonctionnaires d’utiliser leur carte d’identité électronique (eID) nationale dans n’importe quel Etat-membre.

«Diverses solutions pour de multiples usages, mais une seule et unique PKI au niveau national, résume Raymond Faber. A l’échelle européenne, c’est une situation unique qui encourage l’échange électronique, en particulier le e-commerce. Régulièrement, les instances européennes nous citent en exemple!»