< Back to listing

Posted 11 septembre 2023

À quoi correspondent les différentes qualifications/certifications de l’ANSSI ?

Dans un monde de plus en plus connecté, la cybersécurité joue un rôle essentiel pour la protection de vos communications et de vos données. Les cyberattaques peuvent avoir des conséquences dévastatrices, tant sur le plan économique que sur la sécurité nationale. C'est dans ce contexte que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en France joue un rôle crucial de protection et de réglementation. Depuis sa création, de nombreuses normes ont été déployées mais il est parfois difficile de s’y retrouver. Dans cet article nous allons clarifier la notion de certification et de qualification délivrées par l'ANSSI, pour vous éclairer dans vos choix de solutions homologuées.

L'Agence nationale de la sécurité des systèmes d'information

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) joue un rôle essentiel dans la protection et la défense du cyberespace en France. Sa mission première consiste à garantir la sécurité des systèmes d'information de l'État, des entreprises et des citoyens. Pour cela, elle est chargée de prévenir les attaques informatiques, de détecter les menaces émergentes, et de réagir de manière rapide et efficace en cas d'incidents. L'ANSSI élabore également des recommandations, des normes et des bonnes pratiques en matière de cybersécurité, encourageant ainsi l'adoption de mesures de protection appropriées à tous les niveaux. En étroite collaboration avec les acteurs publics et privés, l'ANSSI sensibilise les utilisateurs aux enjeux de la sécurité informatique et met en place des dispositifs de veille pour anticiper les évolutions technologiques et les nouvelles menaces. Grâce à son expertise pointue et à ses actions concrètes, l'ANSSI contribue de manière significative à l'amélioration globale de la cybersécurité en France, renforçant ainsi la confiance des utilisateurs dans l'utilisation des technologies numériques. Son objectif étant de répondre à 3 objectifs :

  • Réglementaires : répondre aux règlements nationaux ou européens qui imposent l’utilisation de solutions garantissant un niveau de robustesse éprouvé ;
  • Contractuels : répondre aux donneurs d’ordres publics ou privés qui exigent que les solutions utilisées aient préalablement obtenu un Visa de sécurité ANSSI ;
  • Commerciaux : permettre à un fournisseur de produits ou à un prestataire de services, ainsi qu’aux utilisateurs finaux de ces solutions, de se démarquer de la concurrence par la garantie d’un certain niveau de robustesse.

Pour ce faire, l'ANSSI a mis en place des procédures de qualification et de certification visant à évaluer et à approuver les produits, services et prestataires de cybersécurité qui répondent à ses normes et exigences.

La Certification de l'ANSSI

La certification est une attestation du degré de robustesse d'un produit, établie grâce à une analyse de conformité et à des tests de pénétration effectués par un évaluateur tiers sous la supervision de l'ANSSI, selon des schémas et référentiels adaptés aux besoins de sécurité des utilisateurs et prenant en compte les avancées technologiques. Elle peut englober diverses solutions de cybersécurité et autres solutions numériques dotées de fonctionnalités de sécurité. Parmi les exemples, figurent les produits réseaux tels que les VPN et les pares-feux, les cartes à puces, les modules matériels de sécurité (HSM), les environnements d'exécution sécurisés (TEE), ainsi que les produits destinés aux systèmes industriels...

En tant qu'utilisateur, opter pour un produit certifié assure que les fonctionnalités certifiées offrent un niveau de sécurité éprouvé, permettant de résister à des attaques d'un niveau spécifié. Quant aux développeurs de solutions numériques, la certification de leur produit ouvre la voie vers de nombreux marchés de cybersécurité, tant en France qu'à l'international. Cela renforce leur crédibilité et leur permet d'accéder à une clientèle plus large en démontrant le niveau de sécurité vérifié de leurs produits.

 

La Certification de Sécurité de Premier Niveau

Différents types de certifications sont proposés en France. Tout d'abord, il y a la Certification de Sécurité de Premier Niveau (CSPN), introduite par l'ANSSI pour offrir une alternative aux évaluations Critères Communs (CC), en évaluant la résistance d'un produit face à des attaques de niveau modéré. La CSPN est généralement moins exhaustive que la certification CC et se concentre davantage sur l'analyse du produit. Elle consiste en des tests réalisés dans des conditions de temps et de charge contraintes (généralement 2 mois, 25 à 35 jours/homme).

 

Les Critères Communs

Ensuite, il y a la certification Critères Communs (CC), un standard internationalement reconnu qui s'appuie sur des accords de reconnaissance multilatéraux. Les CC permettent d'atteindre différents niveaux d'assurance en matière de sécurité du produit, en prenant en compte à la fois ses caractéristiques de conception, son processus de développement, et sa résistance face à des attaques spécifiques. Plus le niveau d'assurance visé est élevé, plus les preuves requises sont précises, et l'évaluation demande un effort substantiel.

 

Les Critères Communs proposent par défaut 7 niveaux d’assurance d’évaluation. A chaque niveau correspondent des tâches d’évaluation que l’on peut schématiquement répartir en deux phases d’analyse de conformité et de vulnérabilité :

  • EAL1 : testé fonctionnellement/résistant à un attaquant de niveau élémentaire (« script-kiddie »).
  • EAL2 : testé structurellement/résistant à un attaquant de niveau faible.
  • EAL3 : testé et vérifié méthodiquement/résistant à un attaquant de niveau faible.
  • EAL4 : conçu, testé et vérifié méthodiquement/résistant à un attaquant de niveau modéré.
  • EAL5 : conçu de façon semi-formelle et testé/résistant à un attaquant de niveau moyen.
  • EAL6 : conception vérifiée de façon semi-formelle et système testé/résistant à un attaquant de niveau élevé.
  • EAL7 : conception vérifiée de façon formelle et système testé/résistant à un attaquant de niveau élevé.

 

Le choix entre ces deux types de certification dépend de la situation du demandeur, de ses besoins spécifiques et de ses attentes concernant le niveau de sécurité souhaité pour son produit pour répondre aux enjeux et besoins des secteurs, marchés.

Le processus d’évaluation

L'évaluation pour obtenir une certification repose principalement sur deux volets essentiels. Le premier volet est une analyse de conformité, visant à vérifier que les fonctions de sécurité mises en place correspondent aux attentes définies dans la cible de sécurité, ainsi qu'à se conformer aux référentiels et critères d'évaluation. Cette analyse englobe divers aspects tels que l'implémentation, la gestion et la maîtrise de la configuration par le développeur, la sécurité de l'environnement de développement, ainsi que des tests fonctionnels. Le deuxième volet est une analyse de vulnérabilité, qui se base sur les résultats de l'analyse de conformité. Son objectif est de s'assurer qu'il n'est pas possible de contourner ou de mettre en échec les fonctions de sécurité du produit (TOE) pour un niveau de compétence et de moyens préétabli d’un potentiel d'attaquant. Cette étape consiste en une évaluation des vulnérabilités potentielles liées à l'implémentation, à l'architecture ou à la mise en œuvre du produit, et comprend également des tests de pénétration ciblés pour renforcer la sécurité du produit certifié.

Le processus d'évaluation est réalisé par un laboratoire privé, le Centre d'Evaluation de la Sécurité des Technologies de l'Information (CESTI), qui doit être accrédité selon la norme ISO/IEC 17025 par le COFRAC et agréé par l'ANSSI pour les évaluations CC et CSPN.

La Qualification de l'ANSSI

La qualification est un processus de recommandation par l’État français de produits ou services de cybersécurité qui ont été rigoureusement testés et approuvés par l’ANSSI. Tous les produits ou services de cybersécurité, en particulier ceux qui répondent en priorité aux besoins de l’administration et des opérateurs d’importance vitale (OIV), sont concernés par la qualification. La qualification d’un produit ou d’un service par l’ANSSI est reconnu en France et, selon certains cadres règlementaires, en Europe.

Cette approbation atteste que ces produits ou services sont conformes aux exigences règlementaires, techniques et de sécurité établie par l’ANSSI, ce qui garantit leur robustesse et la compétence du prestataire de service.

L'évaluation de la robustesse d'un produit consiste à tester sa capacité à résister à des attaques informatiques, en tenant compte du contexte d'utilisation et du niveau de menace spécifiés. De même, l'évaluation de la compétence d'un prestataire de services permet de démontrer sa capacité à identifier et à maîtriser les menaces et les risques pour répondre aux exigences des référentiels métiers.

Un autre volet important de la qualification est l'évaluation de la confiance. Cela implique d'évaluer la capacité du fournisseur à respecter sur le long terme un ensemble d'engagements pris envers l'ANSSI. Pour les produits, cela peut inclure la confidentialité et la protection des données, ainsi que la correction des failles et des vulnérabilités. Pour les services, cela peut inclure le maintien des compétences du prestataire par exemple.

 

En tant qu'utilisateur de produits ou services qualifiés, vous avez l'assurance de choisir des solutions dont la sécurité et la confiance ont été vérifiées. Vous bénéficiez de produits recommandés par l'État, utilisés par l'administration française, les opérateurs d'importance vitale (OIV) et les entreprises des secteurs les plus sensibles.

 

Pour les produits, il existe trois niveaux de qualification :

Le niveau élémentaire : le produit doit résister à un attaquant disposant de compétences techniques basiques et de ressources limitées.

Le niveau standard : le produit doit résister à un attaquant disposant de compétences techniques avancées et de ressources importantes.

Le niveau renforcé : le produit doit résister à un attaquant disposant de compétences techniques sophistiquées et de ressources illimitées ainsi que d’un soutien étatique et/ou de groupes criminels.

 

 

Les services éligibles à la qualification doivent correspondre aux familles identifiées pour répondre aux besoins réglementaires :

  • Les prestataires de services de cyberdéfense :
  • prestataires d’audit de la sécurité des systèmes d’information (PASSI),
  • prestataires de détection des incidents de sécurité (PDIS),
  • prestataires de réponse aux incidents de sécurité (PRIS).
  • Les prestataires de services d’informatique en nuage (SecNumCloud).
  • Les prestataires de services relatifs à la confiance numériques :
  • prestataires de certification électronique (PSCE),
  • prestataires de service d’horodatage électronique (PSHE),
  • prestataires de service de validation de signatures et cachets électroniques,
  • prestataires de service de conservation de signatures et cachets électroniques,
  • prestataires de service d’envoi recommandé électronique.

Le processus d’évaluation

ANSSI - qualification_solutions_visa_securite_anssi

Pour entrer en qualification, le fournisseur de produits ou services de cybersécurité doit soumettre un dossier de demande à l'ANSSI, soit par voie électronique, soit par voie postale. L'ANSSI examine attentivement les dossiers complets et les offres qui répondent aux besoins de l'administration et des opérateurs d'importance vitale (OIV).

Si l'offre du fournisseur est jugée éligible, celui-ci propose à l'ANSSI un "contrat d'évaluation" définissant le cadre et les conditions pour l'évaluation du produit ou du service. Une fois que l'ANSSI approuve ce contrat, le fournisseur peut entamer les évaluations. Le produit ou le service obtient alors le statut "en cours de qualification" et le fournisseur est autorisé à en faire la promotion.

Les évaluations sont réalisées par un centre d'évaluation agréé par l'ANSSI, qui teste la robustesse du produit ou la compétence du prestataire en respectant les termes du contrat d'évaluation. Le fournisseur doit également s'assurer de respecter ses engagements en termes de conditions ou délais d'évaluation. Les résultats des évaluations sont ensuite soumis à l'ANSSI, qui peut demander des évaluations supplémentaires si nécessaire.

La décision de qualification dépend des résultats des évaluations et de leur conformité aux critères de robustesse et de confiance définis par l'ANSSI. Selon ces critères, l'ANSSI précise les usages sécurisés du produit ou du service ainsi que les conditions à respecter. Dans le cadre du suivi, le fournisseur doit maintenir la robustesse de sa solution et entretenir la confiance en respectant ses engagements sur le long terme.

 

Quelle est la validité d’une qualification ?

La validité de la qualification dépend des conditions et des éventuelles restrictions énoncées dans la décision de qualification. Dans le cadre du suivi de la qualification, le fournisseur a l'obligation d'informer l'ANSSI de tout changement important concernant le commanditaire ou le fournisseur de produit ou du service. Ces changements peuvent inclure le transfert de propriété, des modifications dans la structure juridique, la perte d'habilitation liée à la protection du secret de la défense nationale pour les personnes physiques et morales liées à l'offre qualifiée, l'arrêt de la commercialisation, les activités de maintenance corrective, le support utilisateur, etc. Selon le cadre règlementaire, la qualification est accordée pour une période maximale de 2 à 3 ans. Pendant cette période de validité, l'ANSSI détermine un niveau de recommandation pour l'offre qualifiée, qui évolue dans le temps et reflète les directives d'utilisation et d'acquisition établies par l'ANSSI. Une fois cette période de validité écoulée, le renouvellement simplifié de la qualification est possible. Pour cela, le fournisseur doit s'engager à nouveau, présenter une analyse d'impact comprenant toutes les modifications et corrections apportées depuis la qualification initiale, et, le cas échéant, se soumettre à des évaluations complémentaires. De même, la qualification simplifiée de nouvelles versions de produits déjà qualifiés est possible, en utilisant un processus équivalent.

Comment acquérir une solution qualifiée ?

Pour acquérir une solution qualifiée, les responsables en charge de l'achat de produits ou de services liés à la sécurité des systèmes d'information peuvent se référer à deux ressources mises à disposition par l'ANSSI :

1. Le Guide d'Achat de Produits de Sécurité et de Services de Confiance Qualifiés : Ce guide est publié sur le site de l'ANSSI et fournit des informations essentielles pour aider les responsables à trouver l'offre correspondant à leurs besoins en matière de sécurité informatique.

2. Le Catalogue des Solutions Qualifiées : Également disponible sur le site de l'ANSSI, ce catalogue répertorie les produits et services qui ont été qualifiés, offrant ainsi une liste complète des solutions de confiance disponibles.

Les responsables peuvent consulter ces ressources sur le site de l’ANSSI pour identifier et sélectionner les produits ou services répondant le mieux à leurs exigences en matière de sécurité des systèmes d'information.

 

Pour en savoir plus :

https://www.stormshield.com/fr/actus/solutions-de-securite-qualifiees-le-choix-dune-solution-de-confiance/

https://www.ssi.gouv.fr/administration/qualifications/

https://www.ssi.gouv.fr/entreprise/produits-certifies/certification-faq/#:~:text=Les%20CC%20permettent%20d'atteindre,un%20niveau%20d'attaque%20donn%C3%A9.

 

4