Visas de sécurité : qui sont les derniers élus de l’ANSSI ?

ANSSI 2021

L’ANSSI a organisé la remise officielle de ses Visas de sécurité. Focus sur les produits et services qui ont rejoint le cercle cette année.

« Ça traduit quand même une très, très belle dynamique. Et donc, c’est un petit message […] envoyé aux éternels critiques qui nous disent qu’on n’a pas les solutions, pas les industriels […] ». Guillaume Poupard a fait cette déclaration en marge d’une cérémonie que l’ANSSI a organisée ce 29 juin. À cette occasion, l’agence a officiellement remis quantité de Visas de sécurité et de labels EBIOS RM.

Les Visas prennent deux formes : la qualification et la certification.

La qualification est définie par les décrets 2010-112 et 2015-350, ainsi que le règlement européen 910-2014. À travers elle, l’État recommande des produits et des services conformes aux exigences réglementaires, techniques et de sécurité. Pour les produits, il évalue essentiellement la robustesse et le niveau de confiance. Pour les services, les compétences du prestataire et sa capacité à les maintenir. Le tout selon trois niveaux : élémentaire, standard et renforcé.

Certifications : un levier international

La certification est plus spécifique. Elle porte exclusivement sur un produit donné. Et atteste de son niveau de robustesse pour des besoins de sécurité précis. La procédure implique une analyse de conformité et de tests de pénétration réalisés par un évaluateur tiers, sur la base d’un référentiel adapté. Deux voies possibles. D’un côté, la certification CC (critères communs), qui a une portée internationale. De l’autre, la CSPN (certification de sécurité de premier niveau), exécutée en temps contraint pour estimer la résistance d’un produit à des attaques de niveau modéré.

La reconnaissance internationale de la CC se décline sur deux accords : SOG-IS (Senior Officials Group – Information Security) et CCRA (Common Criteria Recognition Arrangement). La première regroupe 14 pays européens. Elle permet une reconnaissance des certificats jusqu’au niveau 4 par défaut – et jusqu’au niveau 7, soit le maximum, pour certains types de produits. La seconde fédère 28 pays, avec une reconnaissance au niveau 2 par défaut et jusqu’au niveau 4 pour certains produits.

Qualifications 2021 : quels produits…

L’ANSSI tient une liste des solutions qualifiées. Sa dernière mise à jour remonte au 23 juin. Sur l’ensemble des produits qualifiés, huit l’ont été cette année. Et une soixantaine de services.

Côté produits, il s'agit de :

  • Deux modèles de HSM Bull Trustway Proteccio
    - EL/HR X163 V162, qualifié jusqu'au 15 avril 2024 au niveau renforcé
    - EL/HR X149 V147, qualifié jusqu'au 31 mars 2022 au même niveau
  • Deux composantes de l'offre Tixeo
    - Tixeo Secure Video Conferencing, qualifié jusqu'au 30 juin 2021 au niveau élémentaire
    - TixeoServer, qualifié jusqu'au 30 septembre 2021 au même niveau... mais au niveau « orange ». C'est-à-dire non recommandé pour de nouveaux déploiements ou de nouvelles prestations qui se termineraient après la date de validité.
  • ZoneCentral de PRIM'X, qualifié jusqu'au 15 janvier 2024 au niveau standard
  • La sonde de détection Jizo de Sesame IT, qualifiée jusqu'au 2 juin 2024 au niveau élémentaire
  • Deux solutions d'identité électronique signée Thales
    - Digital Identity on MultiApp, qualifié jusqu'au 3 décembre 2023 au niveau renforcé
    - CNIe, qualifié jusqu'au 1er février 2024 au même niveau

... et quels services ?

Côté services, on en a :

  • Six dans la catégorie PASSI LPM (Prestataire d'audit de la sécurité des systèmes d'information - loi de programmation militaire) : Advens, Beijaflore France, CS Novidy's, Econocom Digital Security, Oppida et Thales SIX GTS France
  • Vingt-quatre dans la catégorie PASSI RGS (référentiel général de sécurité). Dans l'ordre alphabétique, on va d'ACCEIS à XMCO.
  • Un dans la catégorie PDSI LPM (Prestataire de détection d'incidents de sécurité - loi de programmation militaire) : Orange Cyberdefense, avec l'offre Security Event Intelligence
  • Deux dans la catégorie « Délivrance de certificats d'authentification de site Web », signés Certigna
  • Dans la catégorie « Délivrance de certificat de cachet électronique », huit qualifications pour Certigna ; et trois autres, respectivement pour Idemia, le ministère de l'Intérieur et Yousign
  • Dans la catégorie « Délivrance de certificat de signature électronique », six pour Certigna, trois pour le Conseil supérieur du notariat, un pour le ministère de la Justice, sept pour le ministère de l'Intérieur et deux pour Yousign
  • Un dans la catégorie « Service d'envoi de recommandé électronique », avec Oréa, de DARVA
  • Et cinq dans la catégorie « Service d'horodatage électronique » : un pour Certigna, deux pour le Conseil supérieur du notariat, un pour Idemia et un pour Le Groupe La Poste

L'ANSSI certifie Huawei

Au rang des certifications, l'ANSSI met 31 fournisseurs à l'honneur. On aura remarqué que Huawei en fait partie.

Qu'en est-il du label EBIOS ? Il identifie l'outillage conforme à la méthode du même nom, référence pour l'analyse des risques relatifs à la sécurité du numérique. Ou plus précisément à la dernière version. Laquelle date d'octobre 2018.

En juin 2019, à l'heure de fêter ses dix ans, l'ANSSI avait orchestré ses deux premières remises de label. Ils sont désormais six éditeurs auréolés :

  • ALL4TEC, avec le logiciel EBIOS Risk Manager (versions standalone et client-serveur)
  • EGERIE Software, avec EGERIE Risk Manager (standalone et client-serveur)
  • Risk'n Tic, avec l'outil du même nom (client-serveur)
  • RSA, avec Archer Risk Manager (client-serveur)
  • ADACIS, avec ARIMES
  • RECIPROC-IT, avec Oligo Risk Manager

Illustration principale © ANSSI