Visas de sécurité : quels sont les derniers produits et services qualifiés ?

Clément Bohic,
Linkedin
ANSSI visas de sécurité qualification 2022

Mi-septembre, l’ANSSI décernait ses visas de sécurité, saison 2021-2022. Qui a rejoint, depuis, la liste des produits et services qualifiés ?

Belden, Cailabs, Parsec, Yubico… Tous ont fait partie des récipiendaires de visas de sécurité, « saison 2021-2022 ». L’ANSSI les leur a officiellement remis à la mi-septembre, dans le cadre de sa cérémonie annuelle.

Depuis lors, la liste des produits et services qualifiés s’est allongée (dernière mise à jour : 1er décembre). Le point sur les nouveaux entrants.

Les catégories « Protection du poste de travail » et « PASSI RGS » ont chacune accueilli six nouvelles références. Dans la première, il s’agit quasi exclusivement de solutions de chiffrement signées Prim’X Technologies. En l’occurrence :

Cryhod (chiffrement des disques et des laptops)
Deux versions concernées : Q.2020.3 et Q.2021.2. Chacune qualifiée au niveau standard, diffusion restreinte. La première jusqu’au 2 novembre 2025. La seconde jusqu’au 17 octobre 2025.

Zed! (chiffrement des fichiers en transit)
Deux versions concernés : Q.2020.2 et Q.2021.1. Chacune qualifiée au niveau standard, diffusion restreinte. La première jusqu’au 29 septembre 2025. La seconde jusqu’au 17 octobre 2025.

ZoneCentral (chiffrement des fichiers et des dossiers)
Version Q.2021.1, qualifiée au niveau standard, diffusion restreinte, jusqu’au 17 octobre 2025.

La sixième solution qualifiée est la version 7.1.5.x d’Acid Cryptofiller, le logiciel de chiffrement du ministère des Armées. Le visa vaut jusqu’au 7 décembre 2023, au niveau standard, diffusion restreinte.

PASSI : Deloitte fraîchement sorti de la liste

Dans la catégorie PASSI RGS, Deloitte Conseil figure sur la liste, mais sa qualification a pris fin le 4 décembre. Les cinq autres qualifiés sont :

Cogiceo
Jusqu’au 3 septembre 2023, sur l’ensemble des prestations listées. À savoir : audit architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel et physique.

Conix Technologies
Jusqu’au 17 août 2024 pour l’audit d’architecture et les tests d’intrusion.

CS Novidy’s
Jusqu’au 30 janvier 2025 pour l’ensemble des prestations excepté les tests d’intrusion.

Harmonie Technologie
Jusqu’au 2 octobre 2025 pour les tests d’intrusion ainsi que les audits organisationnels et physiques.

KPMG Advisory Services
Jusqu’au 24 septembre 2023 pour l’ensemble des prestations.

Chez les PASSI LPM, une qualification récente : celle de Sopra Steria Infrastructures and Security. Elle est valable jusqu’au 16 juillet 2025, sur toutes les prestations.

Une qualification récente également chez les PDIS LPM (Airbus Protect, jusqu’au 1er mars 2023). Idem chez les PRIS (Intrinsec Sécurité, jusqu’au 16 septembre 2025, pour les trois critères évalués : recherche d’IoC et investigations numériques sur périmètre restreint comme à large périmètre).

Des visas pour Docaposte, DocuSign et Allentis

Les autres nouveaux entrants sont :

– Divers TAP (boîtiers physiques passifs de surveillance réseau) d’Allentis
Plus précisément, deux de la gamme Cuivre (TACU1-1G-SEC-2 et TACU8-1G-SEC-2) et trois de la gamme Optique (TAMOD-OWL-850-XX-2, TAMOD-OWL-1310-XX-2, TAMOD-OWL-1550-XX-2). Tous au niveau élémentaire, jusqu’au 15 novembre 2024.

– Le service d’horodatage électronique du ministère de l’Intérieur
Version 1.2.250.1.152.6.1.3.1, qualifiée jusqu’au 1er octobre 2024.

AR24, le service d’envoi de recommandé électronique de Docaposte (qualifié jusqu’au 1er avril 2024)

DocuSign Premium Cloud Signing CA – SI1, pour la délivrance de certificats de signature électronique
Version 1.3.6.1.4.1.22234.2.14.3.31, qualifiée jusqu’au 15 janvier 2024.

ID-One Cosmo 9.1, d’Idemia France, dans sa version destinée à un usage dans le cadre de l’application SESAM Vitale
Qualifié au niveau renforcé, jusqu’au 15 novembre 2025.

Photo d’illustration © Sergey Nivens – Shutterstock