Pour qui ?

Conçu pour les organisateurs de scrutins, ce module s’adresse également à tous ceux pour qui les élections constituent un enjeu fort ou un moment clef dans la vie de l’entreprise : organisations syndicales, comité d’entreprise, électeurs, DSI et RSSI soucieux de la sécurité de cette application aux contraintes spécifiques…

 

Pourquoi ?

De plus en plus d’élections professionnelles (CE/DP) mais aussi de votes de conseils d’administration, voire d’élections politiques, sont organisées à l’aide de solutions de vote par Internet, comme mode unique de vote ou parmi d’autres modalités (vote à l’urne, vote par correspondance…).

La Commission Nationale de l’Informatique et des Libertés (CNIL) a adopté le 21 octobre 2010 une délibération n°2010-371 portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique, qui décrit précisément les points de contrôle obligatoires avant, pendant et après le scrutin.

La première de ces mesures de sécurité est la réalisation d’un audit de la solution de vote dans le cadre du scrutin par un expert indépendant, qui doit être expert en sécurité informatique, spécialement formé par la CNIL (*), et expérimenté dans ce domaine extrêmement spécifique.

À ce titre, nous avons réalisé de nombreux audits sur la plupart des solutions de vote par Internet du marché, pour des élections allant de quelques dizaines d’électeurs à plusieurs millions (élections professionnelles du ministère de l’Éducation nationale, vote des Français résidant hors de France pour les élections législatives de 2012, vote des TPE dans le cadre de la réforme de la représentativité syndicale…).

L’audit a pour but de garantir, par un regard indépendant, le respect des bonnes pratiques de sécurité, et d’indiquer les évolutions éventuelles à apporter, tant en termes techniques qu’organisationnels, afin de prouver que la solution de vote par Internet apporte une réponse satisfaisante aux exigences constitutionnelles qui conditionnent la régularité des scrutins :

  • le secret du vote (anonymat et confidentialité du vote) ;
  • la sincérité du scrutin (notamment via l’intégrité et la traçabilité des actions de vote) ;
  • l’accessibilité au suffrage.

 

La démarche

Étude du contexte spécifique de l’élection :

  • Analyse du protocole électoral, du décret éventuel.
  • Analyse de l’offre du prestataire de la solution de vote.

Expertise indépendante avant le vote :

  • Analyse des procédures mises en œuvre tout au long du projet.
  • Audit des infrastructures techniques d’hébergement de la solution de vote par Internet.
  • Audit du code source de la solution de vote par Internet.
  • Participation à la génération des exécutables cibles et prise d’empreinte.

Expertise indépendante pendant le scrutin

  • Vérification de l’intégrité des exécutables.
  • Vérification du respect des procédures.
  • Audit de la cérémonie de génération des clefs de l’élection et de scellement de la solution de vote par Internet.
  • Suivi de la traçabilité pendant tout le scrutin.
  • Audit de la cérémonie de dépouillement et d’édition des résultats.
  • Vérification de la mise sous scellés des éléments de contrôle a posteriori pour la durée de la période de recours contentieux.

Expertise indépendante après le scrutin :

  • Participation aux contrôles a posteriori en cas de recours contentieux.
  • Audit de la destruction des données conservées à l’issue de leur période de conservation.

 

Les livrables

Tout audit donne lieu à un rapport détaillé incluant une synthèse, des conclusions et des recommandations :

  • rapport d’audit des procédures ;
  • rapport d’audit de code ;
  • rapport d’audit des sites d’hébergement ;
  • rapport de participation aux cérémonies ;
  • rapport de destruction.

Un rapport synthétique destiné à la CNIL est remis préalablement au début du scrutin ; il comporte trois parties :

  • une grille de conformité à la recommandation de la CNIL ;
  • une grille de conformité au RGS ;
  • un rapport global sur les constats de l’expertise indépendante incluant ses conclusions.

 

Les gains

L’expertise indépendante des solutions de vote par Internet est une obligation.

Mais au-delà de ce simple caractère de contrainte, l’expertise indépendante est l’occasion de créer un climat de confiance dans le projet, dont tous les participants n’ont pas nécessairement la même sensibilité sur l’usage du vote par Internet, ni la même confiance a priori dans les solutions techniques proposées.

Enfin, grâce aux recommandations faites à chaque étape de l’audit, l’expertise indépendante permet de faciliter fortement la conduite de projet.

 

La durée

De 3 à 40 hommes.jours selon le projet.

 

Liste des solutions de vote auditées

Le tableau ci-dessous indique la date du dernier audit pour chaque solution expertisée.

SolutionVote par InternetVote par correspondanceVote par téléphoneVote par boîtiers
Almerys-logo 2011      
datavote logo 2014 2016    
docaposte logo 2018 2016 2014  
gedicom logo 2018 2018 2016  
alpha logo 2018 2018    
neovote logo 2018      
numsoft logo 2012      
Scytl logo 2017      
sdti logo       2011
voxaly logo 2018 2018    

 

Un exemple de mission

Ministère des Affaires Étrangères et Européennes : vote des Français résidant hors de France pour les élections législatives de 2012 lien

 

(*) Voir : Attestation de certification CNIL lien