L’ANSSI limite à trois ans la validité de la CPSN

ANSSI CSPN 3 ans

La CSPN a désormais une durée de validité fixe. En ligne de mire, le cadre européen de certification de cybersécurité.

Top départ pour la CSPN v4. Elle entre en application ce 25 mars 2022. Principal changement par rapport à la v3 en vigueur depuis avril 2021 : l’ajout d’une durée de validité pour les certificats. Trois ans en l’occurrence. Passé ce délai, ils seront automatiquement retirés et archivés. Ce qui, jusqu’alors, ne se produisait qu’en cas de découverte d’une vulnérabilité.

Objectif de la démarche : assurer la cohérence avec les dispositions du Cybersecurity Act. Ce texte adopté en 2019 définit un cadre européen de certification de sécurité. L’idée est d’aller vers des schémas communs qui pourront porter sur des produits, des services et des processus. Avec des méthodes d’évaluation pour trois niveaux d’assurance (élémentaire, substantiel, élevé).

L’ENISA (agence européenne chargée de la sécurité des réseaux et de l’information) sera au cœur du dispositif. La Commission européenne lui confiera la préparation des schémas candidats et le réexamen des existants. Le groupe des autorités nationales (l’ANSSI et ses homologues) effectuera la revue technique. Bruxelles pourra ensuite adopter les schémas sous forme d’actes d’exécution.

Un cadre dans le prolongement de la CSPN

On retrouvera les mêmes niveaux d’assurance que ceux qui ont actuellement cours en France. Avec un socle de critères comparable :

– « Élémentaire » : niveau qui vise à minimiser les risques élémentaires connus d’incidents et de cyberattaques ; l’évaluation inclura au moins un examen de la documentation technique

– « Substantiel » : minimisation des risques de cybersécurité connus et de cyberattaques émanant d’acteurs aux aptitudes et aux ressources limitées ; évaluation : au moins un examen démontrant l’absence de vulnérabilités connues du public et des vérifications démontrant la bonne mise en œuvre des fonctionnalités de sécurité nécessaires

– « Élevé » : minimisation des risques d’attaques de pointe et fonctionnalités de sécurité à l’état de l’art ; évaluation de résistance à des attaques menées par des acteurs compétents, au moyen de tests de pénétration

Le Cybersecurity Act introduit un principe d’examen – non contraignant – par les pairs pour vérifier la conformité des pratiques des autorités nationales. Il ouvre la porte à des autoévaluations pour le niveau élémentaire. Et impose une évaluation au cas par cas pour les schémas qui touchent au niveau d’assurance élevé.

Une fois couvert par un schéma européen, tout schéma national expirera après une période de battement. Les certificats existants resteront valables jusqu’à leur date d’expiration. En France, l’ANSSI continuera à émettre gratuitement les CSPN au niveau « élevé ».

CCRA et SOG-IS : d’autres accords de reconnaissance mutuelle

Il existe déjà des accords de reconnaissance mutuelle de certificats. En particulier SOG-IS. Il fédère 17 pays d’Europe : France, Allemagne, Autriche, Danemark, Espagne, Estonie, Finlande, Italie, Luxembourg, Norvège, Pays-Bas, Pologne, Royaume-Uni et Suède.

SOG-IS couvre l’évaluation selon des critères communs jusqu’au niveau EAL7 sur deux domaines techniques. D’un côté, les « microcontrôleurs sécurisés et produits similaires ». De l’autre, les « équipements matériels avec boîtiers sécurisés ». Pour les autres catégories de produits, la reconnaissance s’applique jusqu’au niveau EAL4. Les certificats délivrés dans ce cadre sont valable 5 ans.

À périmètre plus large, il y a le CCRA (arrangement de reconnaissance mutuelle selon les critères communs). Dans le cadre de cet accord, 17 pays peuvent émettre des certificats. Nommément, France, Allemagne, Australie, Canada, Corée du Sud, Espagne, États-Unis, Inde, Italie, Japon, Malaisie, Norvège, Pays-Bas, Royaume-Uni, Suède et Turquie. Une quinzaine d’autres États signataires n’émettent pas de certificats, mais les reconnaissent. Leur identité : Autriche, Danemark, Éthiopie, Finlande, Grèce, Hongrie, Indonésie, Israël, Pakistan, Pologne, Royaume-Uni, Slovaquie, Tchéquie.

Pour une évaluation fondée sur les critères communs génériques, la reconnaissance s’applique jusqu’au niveau EAL2. Pour prétendre aller jusqu’à EAL4, il faut s’appuyer sur les « profils de protection » que définit le CCRA, avec une méthode d’évaluation raffinant les critères communs génériques.

Photo d’illustration © Den Rise – Shutterstock