La Dinum et l’Anssi intègrent le service “JeCliqueOuPas” directement dans plusieurs outils numériques de l’Etat. Les fichiers échangés par les agents publics sont désormais analysés automatiquement, sans action spécifique de leur part.
Développé par l’Agence nationale de la sécurité des systèmes d’information (Anssi) en collaboration avec la start-up bretonne Glimps“JeCliqueOuPas” (CLOP) est un service d’analyse automatisé de fichiers permettant de détecter des fichiers malveillants.
Lutter contre les fichiers malveillants
Cette plateforme permet aux agents publics de soumettre un fichier afin d’obtenir un diagnostic simple sur son caractère malveillant ou non, tout en garantissant que les données contenues dans ce fichier ne seront pas réutilisées par des tiers. D’après les derniers chiffres de la Direction interministérielle du numérique (Dinum), le service analyse 80 000 fichiers par jour.
JCOP est hébergé sur une infrastructure certifiée “SecNumCloud” et compatible “Hébergeur de données de santé” (HDS). Ce cadre garantit que les données traitées restent intégralement sous le contrôle de l’État et répondent aux plus hauts standards de sécurité et de souveraineté.
Intégré dans les services directement
Nouveauté : le service est désormais directement intégré dans plusieurs outils numériques de l’Etat, tels que France Transfert (transfert de fichiers) et Docs (outil d’écriture collaboratif), via une API.
A l’origine, la plateforme fonctionnait comme un service à part. En cas de doute sur un fichier, l’agent devait volontairement se rendre sur la plateforme, y déposer le document et attendre le résultat de l’analyse.
Plusieurs types de contrôles
Dans le détail, JCOP repose sur un ensemble de moteurs d’analyse Fcomplémentaires. Lorsqu’un fichier est transmis, soit par un agent via l’interface web, soit par un outil via l’API désormais, il est soumis à plusieurs types de contrôles.
La première étape est l’analyse statique : elle consiste à examiner le fichier sans l’exécuter, afin d’identifier les signatures connues, des structures suspectes ou des caractéristiques typiques de logiciels malveillants.
La seconde est l’analyse dynamique durant laquelle le fichier est exécuté dans un environnement contrôlé afin d’observer son comportement réel. JCOP examine également les sous-fichiers que le fichier contient, comme des archives ou des documents imbriqués, ainsi que les fichiers qu’il pourrait générer lors de son exécution. Cette approche permet de détecter des attaques reposant sur des techniques de dissimulation.
Une procédure de sécurité proposée
A l’issue de cet examen, deux cas sont possibles : aucun moteur ne détecte de menace, le fichier est alors considéré comme sain et peut être utilisé ; un ou plusieurs moteurs détectent une menace, le fichier est déclaré malveillant et ne doit pas être ouvert. Dans ce second cas, un rapport d’analyse est produit, détaillant les éléments techniques détectés, et une procédure de sécurité au ministère de l’agent est proposée.
Les outils intégrant l’API peuvent exploiter ce verdict pour bloquer un téléchargement, afficher un avertissement ou déclencher un traitement spécifique. Autrement dit, JCOP ne bloque pas directement les fichiers.
Son rôle est de produire un diagnostic et un verdict de sécurité. Ce sont ensuite les outils qui intègrent l’API qui décident des actions à appliquer, comme empêcher un téléchargement, interdire l’ouverture d’un document, afficher un avertissement ou déclencher une procédure de sécurité.
Une approche “Security as a Service”
L’intégration par API transforme l’usage de JCOP. En effet, l’analyse de sécurité ne repose plus sur une action volontaire de l’agent mais devient une étape automatique du cycle de vie d’un fichier.
