QUELLES SONT LES RECOMMANDATIONS ET CERTIFICATIONS DE L’ANSSI À CONNAÎTRE LORSQU’ON EST RSSI ?
Incontournable dans le paysage de la sécurité informatique en France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est une autorité qui est rattachée au Secrétaire Général de la Défense et de la Sécurité Nationale (SGDSN). Sa mission principale est liée à la défense des systèmes d’information de l’État, mais elle est aussi chargée d’une mission de conseil et de soutien aux administrations et aux entreprises. À ce titre, ses recommandations et certifications sont particulièrement précieuses pour tous les professionnels de la sécurité numérique. Explications.
Recommandations et bonnes pratiques : tout savoir pour sécuriser son système d’information
Face à la multiplication des menaces et des comportements à risque de certains collaborateurs, les RSSI ne peuvent pas être partout. C’est la raison pour laquelle l’ANSSI dispose de nombreuses ressources très utiles, mises à la disposition de tous directement sur son site web (https://www.ssi.gouv.fr/).
L’ANSSI fournit tout d’abord des informations utiles pour comprendre les principales menaces qui pèsent sur les entreprises ou administrations, ainsi que les réglementations (RGPD, NIS, protection des Opérateurs d’Importance Vitale), les précautions élémentaires et bonnes pratiques à suivre selon les domaines (poste de travail fixe ou mobile, réseau d’entreprise, systèmes industriels etc.)
Ces recommandations couvrent les sujets les plus critiques en matière de cybersécurité, dont la question du nomadisme numérique.
Tous les professionnels de la sécurité informatique sont désormais conscients que les smartphones des collaborateurs sont aujourd’hui l’objet de nombreuses attaques. Pour beaucoup d’utilisateurs, les smartphones sont devenus le premier et le principal écran consulté, en particulier pour les salariés en situation de mobilité. Rester connecté à son entreprise nécessite donc d’échanger des données et des informations via son téléphone. Une habitude qu’il convient de sécuriser pour éviter tout risque de piratage ou d’interception.
La sécurisation des accès distants au système d’information de l’entreprise est indispensable pour gérer les besoins de confidentialité et d’intégrité des données, tout comme pour garantir l’authentification des utilisateurs. L’ANSSI propose pour cela des guides pratiques et des formations qui permettent de parfaire ses connaissances et d’accélérer le transfert de compétences à ses équipes.
Qu’est-ce qu’un visa de sécurité ?
En plus de fournir des informations sur les menaces et les bonnes pratiques pour s’en protéger, l’ANSSI va plus loin pour accompagner les RSSI dans le choix des prestataires de service et de produits de cybersécurité auxquels se fier.
L’ANSSI certifie ainsi une centaine de solutions par an. Parmi lesquels, on peut citer des cartes à puce, des produits réseaux, des systèmes de stockage, des firewalls, des antivirus, des systèmes de messagerie sécurisée, etc.
Pour un responsable de la sécurité des systèmes d’information (RSSI), choisir un produit certifié par l’ANSSI est l’une des meilleures assurances existantes. Cela signifie que la solution choisie offre un niveau de sécurité capable de résister aux attaques de la plupart des pirates numériques. C’est aussi une manière rapide d’identifier des alternatives sécurisées aux applications et solutions grand public parfois utilisées dans certaines organisations.
Cependant, les solutions de cybersécurité sont nombreuses et variées, et n’offrent pas le même niveau d’efficacité, de robustesse et de confiance. En parallèle, les entreprises et administrations diffèrent en terme de profils d’activités, et de criticité des informations qu’elles manipulent (données bancaires, secret des affaires, secret défense…). Elles ont donc des besoins de sécurité et de confidentialité différents. Pour aider les RSSI à différencier les solutions et choisir les mieux adaptées à leurs contextes, l’ANSSI a défini une nomenclature précise de « visa de sécurité » que l’on peut classer en 2 catégories :
- La certification : La certification est l’attestation de la robustesse d’un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques. Il existe deux niveaux de certifications:
- CSPN (Certification de Sécurité de Premier Niveau) : cette certification atteste de la résistance d’une solution à des attaques de niveau faible à modéré.
- La certification CC (Critères Communs) : les critères communs (CC) sont un ensemble de normes (ISO 15408) internationalement reconnu dont l’objectif est d’évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques. Cette certification permet de classer les solutions selon 7 niveaux hiérarchiques, appelés EAL (Evaluation Assurance Level) et variant entre EAL 1 (niveau d’assurance le plus faible) et EAL 7 (niveau le plus élevé). Elle offre la garantie de la conformité d’un produit à un cahier des charges ou à une spécification technique précise.
- La qualification : La qualification est la recommandation par l’État français de produits (ou services) de cybersécurité éprouvés et approuvés par l’ANSSI. D’une part, elle atteste de la capacité d’une solution à résister à des attaques informatiques selon un contexte d’emploi (incluant notamment la sensibilité des informations à traiter) et un niveau de menace définis. D’autre part, elle atteste de la capacité du fournisseur à respecter sur le long terme un ensemble d’engagements tels que la confidentialité et protection des données confiées par l’utilisateur de la solution, la correction des failles et des vulnérabilités, etc.
Il existe trois niveaux de qualification :
- Le niveau élémentaire: Le produit doit résister à un attaquant disposant de compétences techniques basiques et de ressources limitées.
- Le niveau standard: Le produit doit résister à un attaquant disposant de compétences techniques avancées et de ressources importantes.
- Le niveau renforcé: Le produit doit résister à un attaquant disposant de compétences techniques sophistiquées et de ressources illimitées ainsi que d’un soutien étatique et/ou de groupes criminels.
Une ou plusieurs certifications sont bien souvent nécessaires pour atteindre le niveau de qualification souhaité. En ce sens, certifications et qualifications peuvent être complémentaires.
Pour avoir une qualification il faut à minima avoir une certification d’un niveau de référence.
Un des avantages de la qualification est que la cible de sécurité est forcément pertinente pour un usage gouvernemental et industries sensibles. À cet égard, l’ANSSI va progressivement obliger les OIV de prendre des solutions qualifiées pour la sécurisation de leurs infrastructures sensibles.
Quel niveau de sécurité pour quel besoin ?
- En règle générale, une entreprise exposée à un risque cyber normal et non-soumise à une régulation sectorielle particulière utilisera des solutions CSPN avec une qualification élémentaire.
- Certaines entités telles que les Opérateurs d’Importance Vitale (OIV), les administrations régaliennes (Ministère des Armées, de l’Intérieur, des Affaires étrangères etc.) ou les entreprises soumises à une régulation sectorielle spécifique, utiliseront des solutions certifiées Critères Communs EAL3/4 et dotée d’une qualification de niveau Standard, notamment pour manipuler des données dites à « Diffusion Restreinte ».
- Enfin, les personnes qui manipulent des secrets de défense utiliseront des solutions avec une qualification renforcée.
Pour plus d’informations, consultez :
- Le site de l’ANSSI : https://www.ssi.gouv.fr/
- Le site des critères communs : https://www.commoncriteriaportal.org/index.cfm
- Le site du SGDSN pour la classification des informations : http://www.sgdsn.gouv.fr/missions/proteger-le-secret-de-la-defense-et-de-la-securite-nationale/
- En savoir plus sur le Visa de Sécurité : https://www.dailymotion.com/video/x6efw8n