« Ça traduit quand même une très, très belle dynamique. Et donc, c’est un petit message […] envoyé aux éternels critiques qui nous disent qu’on n’a pas les solutions, pas les industriels […] ». Guillaume Poupard a fait cette déclaration en marge d’une cérémonie que l’ANSSI a organisée ce 29 juin. À cette occasion, l’agence a officiellement remis quantité de Visas de sécurité et de labels EBIOS RM.
Les Visas prennent deux formes : la qualification et la certification.
La qualification est définie par les décrets 2010-112 et 2015-350, ainsi que le règlement européen 910-2014. À travers elle, l’État recommande des produits et des services conformes aux exigences réglementaires, techniques et de sécurité. Pour les produits, il évalue essentiellement la robustesse et le niveau de confiance. Pour les services, les compétences du prestataire et sa capacité à les maintenir. Le tout selon trois niveaux : élémentaire, standard et renforcé.
La certification est plus spécifique. Elle porte exclusivement sur un produit donné. Et atteste de son niveau de robustesse pour des besoins de sécurité précis. La procédure implique une analyse de conformité et de tests de pénétration réalisés par un évaluateur tiers, sur la base d’un référentiel adapté. Deux voies possibles. D’un côté, la certification CC (critères communs), qui a une portée internationale. De l’autre, la CSPN (certification de sécurité de premier niveau), exécutée en temps contraint pour estimer la résistance d’un produit à des attaques de niveau modéré.
La reconnaissance internationale de la CC se décline sur deux accords : SOG-IS (Senior Officials Group – Information Security) et CCRA (Common Criteria Recognition Arrangement). La première regroupe 14 pays européens. Elle permet une reconnaissance des certificats jusqu’au niveau 4 par défaut – et jusqu’au niveau 7, soit le maximum, pour certains types de produits. La seconde fédère 28 pays, avec une reconnaissance au niveau 2 par défaut et jusqu’au niveau 4 pour certains produits.
L’ANSSI tient une liste des solutions qualifiées. Sa dernière mise à jour remonte au 23 juin. Sur l’ensemble des produits qualifiés, huit l’ont été cette année. Et une soixantaine de services.
Côté produits, il s’agit de :
Côté services, on en a :
Au rang des certifications, l’ANSSI met 31 fournisseurs à l’honneur. On aura remarqué que Huawei en fait partie.
Qu’en est-il du label EBIOS ? Il identifie l’outillage conforme à la méthode du même nom, référence pour l’analyse des risques relatifs à la sécurité du numérique. Ou plus précisément à la dernière version. Laquelle date d’octobre 2018.
En juin 2019, à l’heure de fêter ses dix ans, l’ANSSI avait orchestré ses deux premières remises de label. Ils sont désormais six éditeurs auréolés :
Illustration principale © ANSSI
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…