« Ça traduit quand même une très, très belle dynamique. Et donc, c’est un petit message […] envoyé aux éternels critiques qui nous disent qu’on n’a pas les solutions, pas les industriels […] ». Guillaume Poupard a fait cette déclaration en marge d’une cérémonie que l’ANSSI a organisée ce 29 juin. À cette occasion, l’agence a officiellement remis quantité de Visas de sécurité et de labels EBIOS RM.
Les Visas prennent deux formes : la qualification et la certification.
La qualification est définie par les décrets 2010-112 et 2015-350, ainsi que le règlement européen 910-2014. À travers elle, l’État recommande des produits et des services conformes aux exigences réglementaires, techniques et de sécurité. Pour les produits, il évalue essentiellement la robustesse et le niveau de confiance. Pour les services, les compétences du prestataire et sa capacité à les maintenir. Le tout selon trois niveaux : élémentaire, standard et renforcé.
La certification est plus spécifique. Elle porte exclusivement sur un produit donné. Et atteste de son niveau de robustesse pour des besoins de sécurité précis. La procédure implique une analyse de conformité et de tests de pénétration réalisés par un évaluateur tiers, sur la base d’un référentiel adapté. Deux voies possibles. D’un côté, la certification CC (critères communs), qui a une portée internationale. De l’autre, la CSPN (certification de sécurité de premier niveau), exécutée en temps contraint pour estimer la résistance d’un produit à des attaques de niveau modéré.
La reconnaissance internationale de la CC se décline sur deux accords : SOG-IS (Senior Officials Group – Information Security) et CCRA (Common Criteria Recognition Arrangement). La première regroupe 14 pays européens. Elle permet une reconnaissance des certificats jusqu’au niveau 4 par défaut – et jusqu’au niveau 7, soit le maximum, pour certains types de produits. La seconde fédère 28 pays, avec une reconnaissance au niveau 2 par défaut et jusqu’au niveau 4 pour certains produits.
L’ANSSI tient une liste des solutions qualifiées. Sa dernière mise à jour remonte au 23 juin. Sur l’ensemble des produits qualifiés, huit l’ont été cette année. Et une soixantaine de services.
Côté produits, il s’agit de :
Côté services, on en a :
Au rang des certifications, l’ANSSI met 31 fournisseurs à l’honneur. On aura remarqué que Huawei en fait partie.
Qu’en est-il du label EBIOS ? Il identifie l’outillage conforme à la méthode du même nom, référence pour l’analyse des risques relatifs à la sécurité du numérique. Ou plus précisément à la dernière version. Laquelle date d’octobre 2018.
En juin 2019, à l’heure de fêter ses dix ans, l’ANSSI avait orchestré ses deux premières remises de label. Ils sont désormais six éditeurs auréolés :
Illustration principale © ANSSI
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…