< Back
cyberthreat news

Tags:

ercom
11 September 2023

À quoi correspondent les différentes qualifications/certifications de l’ANSSI ?

Dans un monde de plus en plus connecté, la cybersécurité joue un rôle essentiel pour la protection de vos communications et de vos données. Les cyberattaques peuvent avoir des conséquences dévastatrices, tant sur le plan économique que sur la sécurité nationale. C'est dans ce contexte que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en France joue un rôle crucial de protection et de réglementation. Depuis sa création, de nombreuses normes ont été déployées mais il est parfois difficile de s’y retrouver. Dans cet article nous allons clarifier la notion de certification et de qualification délivrées par l'ANSSI, pour vous éclairer dans vos choix de solutions homologuées.

L'Agence nationale de la sécurité des systèmes d'information

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) joue un rôle essentiel dans la protection et la défense du cyberespace en France. Sa mission première consiste à garantir la sécurité des systèmes d'information de l'État, des entreprises et des citoyens. Pour cela, elle est chargée de prévenir les attaques informatiques, de détecter les menaces émergentes, et de réagir de manière rapide et efficace en cas d'incidents. L'ANSSI élabore également des recommandations, des normes et des bonnes pratiques en matière de cybersécurité, encourageant ainsi l'adoption de mesures de protection appropriées à tous les niveaux. En étroite collaboration avec les acteurs publics et privés, l'ANSSI sensibilise les utilisateurs aux enjeux de la sécurité informatique et met en place des dispositifs de veille pour anticiper les évolutions technologiques et les nouvelles menaces. Grâce à son expertise pointue et à ses actions concrètes, l'ANSSI contribue de manière significative à l'amélioration globale de la cybersécurité en France, renforçant ainsi la confiance des utilisateurs dans l'utilisation des technologies numériques. Son objectif étant de répondre à 3 objectifs :

  • Réglementaires : répondre aux règlements nationaux ou européens qui imposent l’utilisation de solutions garantissant un niveau de robustesse éprouvé ;
  • Contractuels : répondre aux donneurs d’ordres publics ou privés qui exigent que les solutions utilisées aient préalablement obtenu un Visa de sécurité ANSSI ;
  • Commerciaux : permettre à un fournisseur de produits ou à un prestataire de services, ainsi qu’aux utilisateurs finaux de ces solutions, de se démarquer de la concurrence par la garantie d’un certain niveau de robustesse.

Pour ce faire, l'ANSSI a mis en place des procédures de qualification et de certification visant à évaluer et à approuver les produits, services et prestataires de cybersécurité qui répondent à ses normes et exigences.

La Certification de l'ANSSI

La certification est une attestation du degré de robustesse d'un produit, établie grâce à une analyse de conformité et à des tests de pénétration effectués par un évaluateur tiers sous la supervision de l'ANSSI, selon des schémas et référentiels adaptés aux besoins de sécurité des utilisateurs et prenant en compte les avancées technologiques. Elle peut englober diverses solutions de cybersécurité et autres solutions numériques dotées de fonctionnalités de sécurité. Parmi les exemples, figurent les produits réseaux tels que les VPN et les pares-feux, les cartes à puces, les modules matériels de sécurité (HSM), les environnements d'exécution sécurisés (TEE), ainsi que les produits destinés aux systèmes industriels...

En tant qu'utilisateur, opter pour un produit certifié assure que les fonctionnalités certifiées offrent un niveau de sécurité éprouvé, permettant de résister à des attaques d'un niveau spécifié. Quant aux développeurs de solutions numériques, la certification de leur produit ouvre la voie vers de nombreux marchés de cybersécurité, tant en France qu'à l'international. Cela renforce leur crédibilité et leur permet d'accéder à une clientèle plus large en démontrant le niveau de sécurité vérifié de leurs produits.

 

La Certification de Sécurité de Premier Niveau

Différents types de certifications sont proposés en France. Tout d'abord, il y a la Certification de Sécurité de Premier Niveau (CSPN), introduite par l'ANSSI pour offrir une alternative aux évaluations Critères Communs (CC), en évaluant la résistance d'un produit face à des attaques de niveau modéré. La CSPN est généralement moins exhaustive que la certification CC et se concentre davantage sur l'analyse du produit. Elle consiste en des tests réalisés dans des conditions de temps et de charge contraintes (généralement 2 mois, 25 à 35 jours/homme).

 

Les Critères Communs

Ensuite, il y a la certification Critères Communs (CC), un standard internationalement reconnu qui s'appuie sur des accords de reconnaissance multilatéraux. Les CC permettent d'atteindre différents niveaux d'assurance en matière de sécurité du produit, en prenant en compte à la fois ses caractéristiques de conception, son processus de développement, et sa résistance face à des attaques spécifiques. Plus le niveau d'assurance visé est élevé, plus les preuves requises sont précises, et l'évaluation demande un effort substantiel.

 

Les Critères Communs proposent par défaut 7 niveaux d’assurance d’évaluation. A chaque niveau correspondent des tâches d’évaluation que l’on peut schématiquement répartir en deux phases d’analyse de conformité et de vulnérabilité :

  • EAL1 : testé fonctionnellement/résistant à un attaquant de niveau élémentaire (« script-kiddie »).
  • EAL2 : testé structurellement/résistant à un attaquant de niveau faible.
  • EAL3 : testé et vérifié méthodiquement/résistant à un attaquant de niveau faible.
  • EAL4 : conçu, testé et vérifié méthodiquement/résistant à un attaquant de niveau modéré.
  • EAL5 : conçu de façon semi-formelle et testé/résistant à un attaquant de niveau moyen.
  • EAL6 : conception vérifiée de façon semi-formelle et système testé/résistant à un attaquant de niveau élevé.
  • EAL7 : conception vérifiée de façon formelle et système testé/résistant à un attaquant de niveau élevé.

 

Le choix entre ces deux types de certification dépend de la situation du demandeur, de ses besoins spécifiques et de ses attentes concernant le niveau de sécurité souhaité pour son produit pour répondre aux enjeux et besoins des secteurs, marchés.

Le processus d’évaluation

L'évaluation pour obtenir une certification repose principalement sur deux volets essentiels. Le premier volet est une analyse de conformité, visant à vérifier que les fonctions de sécurité mises en place correspondent aux attentes définies dans la cible de sécurité, ainsi qu'à se conformer aux référentiels et critères d'évaluation. Cette analyse englobe divers aspects tels que l'implémentation, la gestion et la maîtrise de la configuration par le développeur, la sécurité de l'environnement de développement, ainsi que des tests fonctionnels. Le deuxième volet est une analyse de vulnérabilité, qui se base sur les résultats de l'analyse de conformité. Son objectif est de s'assurer qu'il n'est pas possible de contourner ou de mettre en échec les fonctions de sécurité du produit (TOE) pour un niveau de compétence et de moyens préétabli d’un potentiel d'attaquant. Cette étape consiste en une évaluation des vulnérabilités potentielles liées à l'implémentation, à l'architecture ou à la mise en œuvre du produit, et comprend également des tests de pénétration ciblés pour renforcer la sécurité du produit certifié.

Le processus d'évaluation est réalisé par un laboratoire privé, le Centre d'Evaluation de la Sécurité des Technologies de l'Information (CESTI), qui doit être accrédité selon la norme ISO/IEC 17025 par le COFRAC et agréé par l'ANSSI pour les évaluations CC et CSPN.

La Qualification de l'ANSSI

La qualification est un processus de recommandation par l’État français de produits ou services de cybersécurité qui ont été rigoureusement testés et approuvés par l’ANSSI. Tous les produits ou services de cybersécurité, en particulier ceux qui répondent en priorité aux besoins de l’administration et des opérateurs d’importance vitale (OIV), sont concernés par la qualification. La qualification d’un produit ou d’un service par l’ANSSI est reconnu en France et, selon certains cadres règlementaires, en Europe.

Cette approbation atteste que ces produits ou services sont conformes aux exigences règlementaires, techniques et de sécurité établie par l’ANSSI, ce qui garantit leur robustesse et la compétence du prestataire de service.

L'évaluation de la robustesse d'un produit consiste à tester sa capacité à résister à des attaques informatiques, en tenant compte du contexte d'utilisation et du niveau de menace spécifiés. De même, l'évaluation de la compétence d'un prestataire de services permet de démontrer sa capacité à identifier et à maîtriser les menaces et les risques pour répondre aux exigences des référentiels métiers.

Un autre volet important de la qualification est l'évaluation de la confiance. Cela implique d'évaluer la capacité du fournisseur à respecter sur le long terme un ensemble d'engagements pris envers l'ANSSI. Pour les produits, cela peut inclure la confidentialité et la protection des données, ainsi que la correction des failles et des vulnérabilités. Pour les services, cela peut inclure le maintien des compétences du prestataire par exemple.

 

En tant qu'utilisateur de produits ou services qualifiés, vous avez l'assurance de choisir des solutions dont la sécurité et la confiance ont été vérifiées. Vous bénéficiez de produits recommandés par l'État, utilisés par l'administration française, les opérateurs d'importance vitale (OIV) et les entreprises des secteurs les plus sensibles.

 

Pour les produits, il existe trois niveaux de qualification :

Le niveau élémentaire : le produit doit résister à un attaquant disposant de compétences techniques basiques et de ressources limitées.

Le niveau standard : le produit doit résister à un attaquant disposant de compétences techniques avancées et de ressources importantes.

Le niveau renforcé : le produit doit résister à un attaquant disposant de compétences techniques sophistiquées et de ressources illimitées ainsi que d’un soutien étatique et/ou de groupes criminels.

 

 

Les services éligibles à la qualification doivent correspondre aux familles identifiées pour répondre aux besoins réglementaires :

  • Les prestataires de services de cyberdéfense :
  • prestataires d’audit de la sécurité des systèmes d’information (PASSI),
  • prestataires de détection des incidents de sécurité (PDIS),
  • prestataires de réponse aux incidents de sécurité (PRIS).
  • Les prestataires de services d’informatique en nuage (SecNumCloud).
  • Les prestataires de services relatifs à la confiance numériques :
  • prestataires de certification électronique (PSCE),
  • prestataires de service d’horodatage électronique (PSHE),
  • prestataires de service de validation de signatures et cachets électroniques,
  • prestataires de service de conservation de signatures et cachets électroniques,
  • prestataires de service d’envoi recommandé électronique.

Le processus d’évaluation