SPIF, vous connaissez ?

Non, il ne s’agit pas d’un Super Pif Gadget.

Si je vous pose la question, c’est à cause d’un camarade (sans rancunes Fred). À chaque présentation sur le Data-Centric Security, quel que soit l’auditoire, du stagiaire au général, il entre dans la tôle par le SPIF. Toujours. C’est devenu sa marque de fabrique, et à force de l’entendre, j’ai fini par lui donner raison.

Le SPIF n’a l’air de rien. C’est pourtant lui qui décide si votre donnée classifiée est protégée pour de bon, ou seulement déguisée.

Le gadget, c’est ce qui transformait le journal en arme

Souvenez-vous du principe. Sans son gadget, Pif n’était que du papier : de la bande dessinée réjouissante, mais qui ne servait à rien d’autre qu’à se lire. Ce qui faisait courir des générations d’enfants chez le marchand de journaux, c’était l’objet glissé à l’intérieur, celui qui rendait le numéro vivant.

La donnée classifiée obéit à la même règle. Vous pouvez coller toutes les étiquettes « Secret » que vous voulez sur un fichier : sans le bon gadget dedans, ce ne sont que des pixels rouges. Du marquage décoratif. La machine qui reçoit ce fichier voit bien « Secret » écrit dessus, et n’a pas la moindre idée de ce que ça l’oblige à faire. Qui a le droit de l’ouvrir ? Sous quelles conditions ? Elle l’ignore.

Le SPIF, Security Policy Information File, est ce gadget. Le petit fichier XML qui accompagne la politique de sécurité et répond, lui, à toutes ces questions. L’OTAN l’a normalisé en décembre 2017 dans le STANAG-4774, dont les annexes décrivent deux politiques d’exemple, baptisées sobrement « NATO » et « PUBLIC ».

La notice : sans elle, le gadget ne sert à rien

Tout gadget Pif arrivait avec sa notice. Pliez ici, insérez là, ne mettez surtout pas les pois sauteurs dans la bouche. Le SPIF joue ce rôle pour la donnée, et son schéma XML public en détaille la mécanique.

Il encode d’abord les niveaux de classification eux-mêmes. Il encode ensuite les catégories de besoin d’en connaître, ces marquages qui restreignent l’accès au seul cadre de votre mission. Vous êtes habilité « Secret » ? Parfait. Mais ce document-là ne vous regarde pas : refermez le journal. Il encode enfin les mentions de diffusion, restrictions et interdictions diverses.

Privée de cette notice, l’étiquette « Secret » reste un mot sans grammaire. Le SPIF est la grammaire.

Le Club des Pifous : qui partage avec qui

Pif avait sa logique de club. Certaines pages, certains avantages, réservés aux seuls abonnés. Tout le monde ne jouait pas avec tout.

C’est ce que gère le SPIF avec les nationalités et les alliances. « Spécial France », « Union Européenne », « OTAN », « Five Eyes ». Le fichier sait que tel document n’est lisible que par les membres de tel cercle, et refusera l’entrée aux autres, fussent-ils porteurs du bon niveau d’habilitation. Avoir le besoin d’en connaître ne suffit pas ; encore faut-il appartenir au club.

C’est là que l’objet cesse d’être seulement technique. Décider qui partage quoi, et avec quels alliés, relève de la souveraineté pure. Le SPIF est l’endroit précis où elle s’écrit, ligne de code par ligne de code.

Traduire sans tout réécrire

C’est ici que le SPIF devient vraiment intéressant pour qui pense coalition.

Prenez une opération alliée. Le Français écrit « Secret », le Belge écrit « Secret » lui aussi, mais rien ne garantit que les deux mots recouvrent la même échelle ni les mêmes règles. Imposer à tout le monde un vocabulaire unique serait politiquement mort-né : aucune nation ne renonce à sa propre grille de classification, qui touche au cœur de sa souveraineté.

Le SPIF tranche le nœud autrement. Au lieu d’uniformiser, il déclare des équivalences : chaque pays conserve sa politique, et le fichier établit la correspondance avec celle du voisin. Mon « Secret » est alors reconnu comme l’équivalent du vôtre, et la machine fait la traduction sans que personne ait à céder un pouce de sa grille. Isode, l’un des éditeurs qui implémentent la norme, le dit clairement : c’est ce travail de cartographie qui rend possible le partage entre domaines hétérogènes. Voilà la vraie raison d’être d’un standard OTAN. Non pas imposer une politique unique, mais faire dialoguer des politiques qui resteront, elles, différentes.

Le gadget, lui, ne parlait aucune langue. Il fonctionnait pareil pour le gamin de Paris et celui de Varsovie ; seule la notice changeait d’idiome. Le SPIF, c’est cette notice qu’on traduit pour que tout le monde joue au même jeu sans réimprimer le journal.

Et il y a un second étage, qu’on oublie presque toujours. Le SPIF est un format ouvert : la même politique se configure à l’identique dans les produits de différents éditeurs, soit comme format d’échange, soit nativement. Vous n’êtes pas prisonnier d’un fournisseur unique. Pour qui parle souveraineté, l’absence de verrou propriétaire vaut bien une clause de traité.

Pif, ou le contrôle d’accès qui dit « come back »

Le mécanisme qui s’appuie sur tout cela porte un nom : le CMBAC, pour Confidentiality Metadata-Based Access Control. Et dans le jargon OTAN, il se prononce officiellement « come back ». Soit, littéralement, un appel de chien. Reviens.

La farce phonétique cache une vérité de fond, car le CMBAC fait le travail d’un bon chien de garde. À chaque tentative d’accès, il confronte l’étiquette portée par la donnée à l’habilitation présentée par le demandeur, puis il tranche : tu entres, ou demi-tour. Pour rendre ce verdict, il lui faut les règles du jeu, et ces règles, c’est le SPIF qui les lui fournit.

L’OTAN parle d’ailleurs d’une « sainte trinité » : l’étiquette, l’habilitation, le SPIF. Retirez le troisième terme et les deux premiers ne savent plus se parler. Le chien aboie dans le vide.

Des pois sauteurs en terrain hostile

La sécurité centrée sur la donnée naît d’une intuition simple : l’adversaire n’attend pas sagement à la lisière du réseau, il rôde partout sur le chemin, façon Hercule guettant la moindre faille de Pif.

Le modèle classique défend un périmètre, un mur, une douve. À l’intérieur, tout circule en clair et le premier venu se sert. Le DCS renverse la logique en protégeant la donnée elle-même, qui devient alors capable de voyager sur n’importe quel canal, y compris un réseau public ou un réseau ennemi, tout en restant illisible pour qui n’a pas les droits. Comme ces fameux pois sauteurs mexicains qui bougent tout seuls, n’importe où, sans qu’on ait besoin de monter la garde à côté.

On reconnaît là la philosophie du Zero Trust : ne jamais faire confiance, toujours vérifier. Le papier présenté à la conférence C&ESAR 2024 par une équipe de Saint-Cyr, de l’IRISA et de Thales le rappelle en citant le STANAG-4774 : l’OTAN acte que son environnement de mission migre d’une architecture centrée réseau vers une architecture centrée donnée. Le SPIF est la pièce qui fait passer ce basculement du discours à la pratique. (https://2024.cesar-conference.org/program-media/CESAR-2024_paper-8811.pdf)

Le numéro collector 2025

Les vrais lecteurs de Pif gardaient les numéros spéciaux. Le SPIF a désormais le sien.

Depuis 2017, le modèle a mûri par paliers : étiquetage de base, puis étiquetage enrichi avec gestion fédérée des identités et contrôle d’accès par attributs, puis protection cryptographique embarquée. En 2025, l’OTAN a ratifié le ZTDF, Zero Trust Data Format.

Le principe : un emballage de sécurité interopérable qui loge directement, dans le document, les contrôles d’accès et les métadonnées de classification, et qui sait traduire à la volée entre les systèmes de classification nationaux.

Le gadget ne se contente donc plus d’accompagner le journal. Il devient le journal. La donnée et sa protection ne forment plus qu’un seul objet, qui se défend tout seul partout où il passe. On notera au passage que ce format normé par l’OTAN s’appuie sur une brique d’origine américaine, OpenTDF, ce qui rouvre, pour les Européens, la sempiternelle question de savoir qui tient la plume quand on écrit les règles du partage allié.

La morale de l’histoire

Mon camarade a donc raison d’ouvrir par le SPIF, non par coquetterie mais par lucidité. On disserte volontiers sur le chiffrement, sur l’IA de classification, sur le Zero Trust placardé en slogan sur les plaquettes. Mais sans ce petit fichier XML qui écrit noir sur blanc qui a le droit de jouer avec quoi, toute l’architecture s’écroule. C’est de la BD sans gadget.

Le SPIF n’offre pas de pois sauteurs. Il offre plus rare : la garantie qu’un document « Très Secret » restera illisible pour qui n’a pas le droit d’en connaître, même tombé entre les pattes d’un Hercule.

Le gadget le plus sérieux jamais conçu.

Pour aller plus loin : http://www.xmlspif.org/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut