LegaVote :
L'importance de l'expertise indépendante pour garantir la fiabilité du vote électronique

Aujourd’hui, le vote électronique gagne en popularité en tant que méthode pratique et moderne pour permettre à chacun de participer aux processus démocratiques. Mais cette accessibilité grandissante va de pair avec un besoin de transparence de la part des prestataires de vote en ligne.

Bien que la CNIL, dans la délibération n°03-036 du 1er juillet 2003, recommande le recours à un prestataire qualifié, certaines personnes sont encore réticentes à l’idée de confier leurs données à un organisme privé. C’est dans ce contexte que les expertises indépendantes entrent en jeu.

Les expertises indépendantes permettent de garantir la bonne conformité, la transparence et la neutralité des prestataires vis-à-vis des réglementations RGPD concernant l’utilisation et la conservation des données. Leurs évaluations sont basées sur différents critères et différents tests qui permettent de valider ou non la c onformité du prestataire. Par ailleurs, il est important que le cabinet d’expertise en question soit indépendant financièrement, afin d’éviter tout risque de corruption.

Toujours dans l’optique d’éviter tout risque de corruption de la part de l’expert indépendant, le prestataire qui le choisit doit s’assurer que ce dernier possède certaines compétences techniques référencées par la CNIL en juillet 2003. Ces compétences doivent permettre de couvrir les différentes exigences de sécurité informatique (logiciel, serveur…) et organisationnelle (dépouillement, archivage…) d’un scrutin. La DCSSI (direction centrale de la sécurité des systèmes informatiques) a également produit des documents relatifs à la technologie de chiffrement. Dans l’idéal, l’expertise doit être large et ne pas se contenter d’évaluer la solution de vote mais aussi l’aspect organisationnel de ce dernier. Il est important de savoir que l’expertise n’est pas obligatoire d’une élection à l’autre si aucune modification du système de sécurité n’a été faite.

Pour procéder à ces vérifications, l’expert doit avoir accès aux codes sources de chaque système de vote, aux mécanismes de scellement et de chiffrement ainsi qu’aux échanges réseaux. L’expert doit également avoir accès aux locaux du prestataire si besoin. De plus, l’architecture du site est aussi validée par le cabinet ainsi que la configuration des serveurs et le chiffrement des données.
Le cabinet d’expertise se charge d’analyser 4 types de menaces :

• Les attaques par déni de service visant à perturber le scrutin
• Les tentatives d’intrusion dans les systèmes pour modifier les résultats
• La manipulation des logiciels de vote ou de dépouillement
• Les risques de violation de l’anonymat des électeurs

Pour gagner la confiance des organisateurs, le prestataire de vote en ligne a la possibilité de publier le rapport des audits effectués en son sein. La publication de ces rapports permet aux organisateurs de s’assurer de la bonne conformité du prestataire, c’est un gage de transparence apprécié. De plus, certains prestataires proposent des démonstrations publiques de leur système de vote. Si un manque de transparence est constaté par la CNIL, les prestataires s’exposent à une amende pouvant aller jusqu’à 20 millions d’euros.

LegaVote, expertisé par 5 cabinets indépendants

Chez LegaVote, nous veillons à respecter scrupuleusement toutes les lois et réglementations en vigueur concernant le vote électronique. Notre objectif est de garantir une conformité totale au cadre juridique, assurant ainsi une solution sécurisée et fiable. Nous faisons ainsi régulièrement expertiser notre plateforme par des cabinets indépendants. Nous collaborons avec :

• Le Net Expert Informatique
• Demaeter
• Expertis Lab
• Cyberdefense
• Itekia

Les tests comportent notamment des exercices d’intrusion pour identifier et corriger toutes vulnérabilités potentielles, garantissant ainsi la protection et la confidentialité des votes. Il existe deux types de tests : le premier représente une situation où les cybercriminels n’ont pas ou peu d’informations concernant les systèmes, le second correspond à une situation où les cybercriminels possèdent une grande partie des informations sur les systèmes du prestataire. On appelle donc ces tests respectivement “boîte noire” ou “boîte grise”. Enfin, dans le but de limiter les risques de recours et d’annulation des votes, les cabinets d’experts envisagent tous les scénarios possibles afin de prévenir d’éventuel problème pouvant survenir à la fois en amont des votes mais également à postériori.

Régulièrement, les clients appellent leur propre cabinet d’expertise pour s’assurer que notre solution convient à leurs exigences de sécurité. Nous répondons à ces demandes en offrant une transparence totale et en facilitant les audits approfondis. Ces audits nous permettent de garantir une traçabilité de chaque étape du processus électoral. Le rapport de ces cabinets est ainsi disponible à la fois pour le prestataire mais également pour l’organisateur ayant fait appel.

Enfin, vous pouvez vous assurez de toutes les mesures mises en place par LegaVote en consultant notre page Sécurité et Conformité.