Passer au contenu principal

Un appareil sécurisé n'est pas un système de communication sécurisé

Il ne suffit pas d'avoir des appareils sécurisés : il vous faut un système de communication entièrement certifié.

8 avril 2026

·

Blog

·

Baldeep Dogra

L'OTAN a récemment a approuvé certifié par Apple® pour fonctionner au sein du cadre de mobilité sécurisée Indigo. En septembre 2025, BlackBerry®UEM la certification BSI (Office fédéral allemand pour la sécurité de l'information) pour la gestion des appareils Apple indigo des appareils Apple renforcés dotés de configurations de sécurité spécialisées pour un usage gouvernemental.

Ces annonces marquent des étapes importantes pour la mobilité au sein de l'administration. Mais elles mettent également en évidence une distinction que les hauts responsables ne peuvent se permettre d'ignorer : un appareil certifié et un système de communication certifié sont deux choses fondamentalement différentes. Confondre les deux crée une faille de sécurité que les adversaires sont prêts à exploiter. Comprendre ce que couvre réellement chaque certification, et où s'arrêtent leurs limites, est le principal enseignement à tirer de ces deux annonces.

À lire également : Une confiance sans frontières : comment la certification BSI renforce l'impact mondial de BlackBerry UEM

Ce que signifie réellement l'approbation d'Apple par l'OTAN

L'obtention de l'agrément de l'OTAN signifie que l'appareil Apple répond aux exigences minimales requises pour le traitement d'informations classifiées dans les environnements éligibles. Il s'agit là d'une véritable réussite. Le matériel des smartphones modernes a considérablement évolué, et l'agrément de l'OTAN reflète ces progrès.

Cependant, les cadres les plus rigoureux garantissant une véritable sécurité des communications ne se limitent pas à l'appareil. Ils prennent en compte l'ensemble de la chaîne de communication : la manière dont les messages circulent sur les réseaux, la mise en œuvre et la gestion du chiffrement, la vérification des identités, ainsi que l'application des politiques opérationnelles à l'ensemble des utilisateurs et des appareils.

Un appareil peut passer avec succès les tests de conformité matérielle tout en laissant ses communications sensibles exposées si l'infrastructure de communication environnante n'est pas réglementée, n'est pas certifiée ou repose sur des logiciels grand public.

Ainsi, même si les appareils peuvent être certifiés conformes aux normes de l'OTAN au sein d'Indigo, la gestion de ces appareils doit également respecter les normes de certification. BlackBerry® UEM, via NIAP Critères communs et la conformité aux normes « NATO Restricted », prend en charge des communications véritablement sécurisées.

Le fossé entre le terminal et le système

Réfléchissons à ce qui se passe lors d'une communication sensible : un message est émis depuis un appareil, traverse un réseau, passe par des couches de chiffrement gérées par un fournisseur tiers, puis arrive à un autre terminal. À chaque étape, certaines questions ne peuvent trouver de réponse dans la seule certification des appareils, notamment :

  • Qui a vérifié l'identité de chaque participant avant le début de la conversation ?

  • Comment les métadonnées, la durée des appels, leur fréquence et la localisation de l'appelant sont-elles protégées contre l'interception et l'analyse ?

  • Où sont stockées les clés de chiffrement, et qui en a le contrôle ?

  • Que se passe-t-il si un appareil est perdu ou compromis en cours d'opération ?

  • Comment un administrateur peut-il révoquer instantanément l'accès pour l'ensemble du parc ?

Il ne s'agit pas là de préoccupations hypothétiques. L' L'opération Salt Typhoon » de 2024 a démontré à quel point les adversaires peuvent infiltrer en profondeur les réseaux de télécommunications, accédant ainsi aux communications sensibles entre responsables gouvernementaux et militaires grâce aux vulnérabilités de l’infrastructure — et non à des failles au niveau des appareils.

De même, le SignalGate a révélé des informations classifiées non pas en raison d'une faille du dispositif, mais parce qu'une application de messagerie grand public ne disposait pas des contrôles d'accès et de validation d'identité requis pour les environnements opérationnels à haut risque.

Un appareil de confiance exécutant une application non réglementée, connecté à une infrastructure échappant au contrôle de l'organisation, ne constitue pas un système de communication sécurisé.

Ce qu'impliquent réellement des communications gouvernementales sécurisées

La sécurisation des communications dans les domaines de la sécurité nationale, de la défense et des infrastructures critiques exige une protection à tous les niveaux, et pas seulement au niveau des terminaux. Cette distinction est importante, car chaque niveau représente un point de défaillance potentiel.

Chiffrement de bout en bout pour la voix et la messagerie
Le chiffrement doit aller au-delà du contenu des messages. Les métadonnées (qui communique, quand, à quelle fréquence et d'où) permettent de reconstituer des schémas de fonctionnement, de révéler la structure organisationnelle et d'identifier des cibles de grande valeur. Les communications gouvernementales sécurisées dissimulent ces schémas, et pas seulement le contenu des messages eux-mêmes.

Validation stricte de l'identité
Chaque participant à une conversation sensible doit être vérifié à l'aide d'identifiants cryptographiques liés à son rôle et à son habilitation. Les modèles d'inscription ouverts, où les utilisateurs s'inscrivent avec un numéro de téléphone ou un nom d'utilisateur, n'ont pas leur place dans les environnements critiques. L'incident SignalGate l'a clairement démontré : sans contrôles d'inscription ni gouvernance des accès, des participants non autorisés peuvent accéder à des conversations classifiées à la suite d'une simple erreur humaine.

Sécurité des appareils mobiles et application des politiques
Les données sensibles doivent être stockées dans des conteneurs sécurisés sur les appareils mobiles, isolés des applications personnelles et protégés par un chiffrement au repos. Les administrateurs doivent conserver la possibilité de révoquer l'accès instantanément en cas de perte d'un appareil ou de non-conformité de celui-ci, en supprimant les données opérationnelles de l'appareil même s'il n'est pas sous gestion directe.

Contrôle souverain sur les infrastructures
Les organismes publics ne peuvent accepter des infrastructures de communication régies par des juridictions étrangères ou des fournisseurs tiers. Des plateformes telles que Microsoft Teams, Zoom et WhatsApp stockent les clés de chiffrement en externe, ce qui crée un risque juridique au regard d’instruments tels que le Cloud Act américain et soumet les communications aux lois de juridictions étrangères. Une véritable souveraineté nécessite la capacité de déployer des solutions sur site, dans des environnements isolés physiquement (air-gapped) ou dans des clouds gérés de manière souveraine — avec des clés de chiffrement générées, stockées et gérées exclusivement par l’organisme client.

Certification indépendante de l'ensemble du système
La certification des dispositifs et celle des plateformes de communication ont des objectifs fondamentalement différents. La certification NIAP selon les Critères communs (EAL4+) et, plus précisément, le Catalogue des produits d'assurance de l'information de l'OTAN (NIAPC), y compris la conformité aux exigences « Restricted » de l'OTAN, constituent la base de référence pour l'évaluation des systèmes de communication sécurisés. Elle couvre non seulement le matériel, mais aussi les applications de communication, les modules cryptographiques, l'infrastructure de gestion des clés, les contrôles d'identité et la gouvernance opérationnelle.

D'autres référentiels, tels que le CSfC de la NSA, le niveau « High » du FedRAMP, les listes de l'OTAN et la validation BSI, étendent cette garantie à l'ensemble des modèles de déploiement et des environnements de menaces. Ensemble, ils certifient l'ensemble de la pile de communication — et pas seulement le terminal — car un appareil peut passer l'évaluation matérielle tout en laissant des communications sensibles exposées si l'infrastructure environnante n'est pas réglementée ou certifiée.

Pourquoi les certifications doivent-elles couvrir la couche de communication ?

BlackBerry® SecuSUITE® offre des services de voix et de messagerie cryptés de bout en bout, conformes aux normes de l'OTAN et certifiés par le BSI. BlackBerry UEM certifié par le BSI et permet une gestion centralisée, un provisionnement sécurisé et l'application des politiques sur l'ensemble du parc d'appareils.

Ensemble, ils constituent une plateforme de communication certifiée qui protège les opérations, quel que soit l'appareil utilisé pour y accéder.

Cela est important car les décisions en matière de marchés publics se concentrent souvent sur le matériel informatique, qui est visible. Les appareils sont concrets, familiers et relativement faciles à évaluer. Les infrastructures de communication sont moins visibles, mais ont un impact opérationnel bien plus important. Une administration qui équipe son personnel d'appareils certifiés prend une mesure judicieuse. Mais s'arrêter là expose la couche de communication — c'est-à-dire le circuit réel des informations sensibles — à des risques que la certification des appareils n'a jamais été conçue pour couvrir.

La bonne question à poser

L'homologation d'Apple Indigo par l'OTAN constitue une avancée positive. Elle élargit l'éventail des options offertes aux organismes gouvernementaux à la recherche de matériel certifié et démontre que les appareils mobiles modernes sont capables de satisfaire à des exigences de base rigoureuses. Les agences opérant dans des environnements classifiés tirent profit de l'élargissement du parc de matériel certifié.

La question que les responsables gouvernementaux et ceux des infrastructures critiques devraient se poser ne se limite toutefois pas à savoir si leurs appareils sont certifiés. Il convient plutôt de se demander si leur système de communication — à savoir les logiciels, l'infrastructure de chiffrement, la gestion des identités, le modèle de déploiement, les contrôles des métadonnées et les politiques opérationnelles — répond à la même norme.

Un appareil sécurisé permet la mobilité des services publics. Une plateforme de communication sécurisée permet le bon fonctionnement des services publics. Ces deux éléments sont importants, mais ils ne sont pas interchangeables.

Instaurer une confiance opérationnelle au-delà des terminaux

La confiance dans la sécurité des communications doit reposer sur une validation indépendante, effectuée par un tiers, de l'ensemble du système. Pour les pouvoirs publics et les opérateurs d'infrastructures critiques, les certifications délivrées par des organismes tels que le BSI garantissent que les technologies ont fait l'objet d'une évaluation rigoureuse dans des environnements à haut risque — et non pas simplement d'un examen visant à vérifier la véracité des allégations marketing.

Depuis des décennies, BlackBerry détient ces certifications dans de nombreux pays et se soumet régulièrement à des tests de sécurité, à des exercices de simulation d'attaques (red team) et à des audits de la chaîne d'approvisionnement afin de les conserver. Cette validation continue n'est pas simplement une formalité de conformité. C'est le fondement sur lequel les organisations bâtissent leur confiance opérationnelle lorsque les enjeux ne laissent aucune place à l'incertitude.

La certification des appareils Apple témoigne de la maturité croissante du secteur de la sécurité mobile. Elle devrait inciter les entreprises à vérifier si leur infrastructure de communication suit le rythme — et si le système protégeant leurs communications les plus sensibles offre le même niveau de garantie certifiée que les appareils utilisés sur le terrain.

Recevez les dernières informations sur les connaissances approfondies en matière de communications sécurisées.