Les certifications CSPN et CC délivrés par l’ANSSI en cybersécurité : un gage de confiance
L’ANSSI : quel est son rôle et ses missions ?
Quels sont les avantages à la Certification de Sécurité de Premier Niveau (CSPN) ?
Quelles sont les étapes pour certifier un produit CSPN ?
La certification CSPN doit-elle être renouvelée ?
Aujourd’hui, de nombreuses solutions de cybersécurité sont présentes sur le marché. Or, toutes n’offrent pas le même niveau de robustesse et de confiance.
D’après le rapport sur la cybersécurité de Verizon, « 62 % des incidents par intrusion de système sont imputables à la compromission initiale d’un partenaire » (source Verizon). Il est donc primordial pour les entreprises de se doter de solutions performantes et fiables sur le long terme.
C’est pourquoi, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a mis en place deux types de certifications de cybersécurité : la certification Critères Communs (CC) et la Certification de Sécurité de Premier Niveau (CSPN). Elles permettent d’identifier les solutions les plus efficaces et reconnues par l’ANSSI selon une évaluation et un processus bien défini.
Concrètement, à quoi servent ces certifications et quels en sont les avantages pour les utilisateurs et les fournisseurs de solutions de sécurité ?
L’ANSSI : quel est son rôle et ses missions ?
L’ANSSI est l’autorité nationale chargée d’assurer la sécurité et la défense des systèmes d’information de l’Etat et des sociétés classées comme OIV (Opérateurs d’Importance Vitale). Rattachée directement au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), son rôle et ses missions sont multiples :
- Assurer la sécurité et la défense des systèmes d’information de l’État ;
- Développer les recherches en matière de cybersécurité pour anticiper les attaques informatiques (veille, détection, alerte) ;
- Développer la filière de cybersécurité française ;
- Être acteur de la promotion de la cybersécurité auprès des entreprises et des particuliers ;
Infographie extrait de la plaquette institutionnelle de l’ANSSI
L’ANSSI, c’est plus de 20 ans d’expérience en certification de sécurité. Elle a mis en place un processus de certification afin d’attribuer des Visas de sécurité ANSSI aux entreprises proposant un produit fiable et robuste. Il s’agit des certifications Critères Communs et Certification de Sécurité de Premier Niveau – CSPN.
Quelles sont les différences entre la certification de sécurité de premier niveau et d’autres certifications de sécurité ?
La certification Critères Communs
Cette certification est reconnue dans de nombreux pays. Les critères communs possèdent 7 niveaux d’assurance d’évaluation qui déterminent le degré de confiance accordé au produit évalué :
- EAL1 -testé fonctionnellement
- EAL2 -testé structurellement
- EAL3 -testé et vérifié méthodiquement
- EAL4 -conçu, testé et vérifié méthodiquement
- EAL5 -conçu et testé de façon semi-formelle
- EAL6 -vérifié, conçu et testé de façon semi-formelle
- EAL7 -vérifié, conçu et testé de façon formelle
La certification CC permet donc d’avoir une assurance de sécurité sur des critères précis pour un produit ou un système à l’échelle mondiale. Cependant, elle s’avère complexe à obtenir pour des PME et ETI car elle nécessite beaucoup de ressources en termes de temps et son coût est important. Par ce constat, la France a lancé la Certification de Sécurité de Premier Niveau – CSPN.
La Certification de Sécurité de Premier Niveau – CSPN ANSSI
Mise en place en 2008, elle se concentre sur l’analyse du produit et permet d’en évaluer sa sécurité par une méthodologie et un processus élaboré par l’ANSSI, disponible sur leur site.
Si vous souhaitez en savoir plus sur les certifications CC et CSPN, rendez-vous ici.
PROVE IT, solution de gestion des accès à privilèges,
certifiée Visa de Sécurité – CSPN par l’ANSSI
Quels sont les avantages à la Certification de Sécurité de Premier Niveau (CSPN) ?
Choisir un prestataire de confiance
Si vous cherchez une solution en cybersécurité, il est recommandé de se diriger vers un produit certifié par l’ANSSI. Cela vous assure de faire le choix d’un produit offrant des fonctionnalités sécurisées et éprouvées pour votre système d’information.
Mise en conformité de votre SI
Certaines entreprises ou organismes ont des obligations réglementaires en matière de conformité informatique. Cela dépend de leur secteur d’activité. Les réglementations les plus courantes sont :
- RGPD (règlement européen sur la protection des données personnelles)
- GDPR (General Data Protection Regulation)
- PCI DSS (Payment Card Industry Data Security Standard)
- ISO 27001 (norme internationale de sécurité de l’information)
- La Directive NIS 2
En choisissant un produit certifié Visa de Sécurité CSPN ANSSI ou CC, ces organismes peuvent s’assurer de respecter les normes en vigueur et ainsi réduire les risques liés aux failles de sécurité.
Les avantages en tant qu’entreprise ou fournisseur de produit certifié
Les certifications représentent une réelle valeur ajoutée pour une entreprise proposant une solution de cybersécurité. Cela atteste du niveau de sécurité élevé auprès de leurs clients et partenaires qui utilisent la solution. Grâce à ces certifications, les sociétés se démarquent et se distinguent sur leur marché !
C’est également un travail constant d’évolutions et de mises à jour de la solution afin de respecter les normes et la protection des données sensibles des utilisateurs.
Quelles sont les étapes pour certifier un produit CSPN ?
Les sociétés qui réalisent les évaluations CSPN sont des Centres d’évaluation de la sécurité des technologies de l’information (CESTI) agréés par l’ANSSI. Ces centres doivent respecter un cadre méthodologique bien défini. Quelles sont les étapes pour être certifié CSPN ANSSI ?
1. La préparation
Premièrement, chaque commanditaire doit choisir son centre d’évaluation. En France, on compte une dizaine de CESTI. Le commanditaire doit ensuite préparer la documentation nécessaire pour l’évaluation de sécurité. Cette documentation inclut notamment le cahier des charges du produit, les spécifications concernant la sécurité, la documentation technique, etc. Elle permet à l’ANSSI de comprendre le contexte de l’utilisation du produit ou solution, ainsi que les exigences de sécurité qui y sont liées.
Schéma extrait du site de l’ANSSI
2. L’évaluation de sécurité
Si le dossier est accepté par l’ANSSI, l’évaluation par le CESTI peut débuter en temps et en charge contraints (25 à 50 jours/homme sur deux mois selon le type de produit). L’évaluateur effectue une analyse détaillée du produit pour identifier les éventuelles vulnérabilités ou failles de sécurité. Cette analyse peut inclure des tests d’intrusion et des audits de code. L’évaluateur vérifie également que le produit ou système respecte les exigences de sécurité fixées par l’ANSSI.
L’analyse de la conformité et de résistance
L’objectif est de vérifier que le produit analysé est conforme aux spécifications de sécurité attendues. Trois critères d’évaluation sont pris en compte concernant la conformité : analyse de la documentation, revue du code source et des tests du produit.
L’analyse de vulnérabilité par l’évaluateur
La tâche de l’évaluateur consiste à « extraire les vulnérabilités pertinentes et à vérifier si et comment elles sont exploitables sur le produit » parmi différents types de vulnérabilités à traiter :
- Celles spécifiques au produit ;
- Celles liées à l’architecture et/ou langage utilisé ;
- Celles qui sont génériques, éventuellement applicables au produit ;
L’évaluateur va s’assurer qu’un suivi de ces vulnérabilités existe pour le produit, les recenser, puis rechercher un correctif ou une méthode pour limiter les effets de la vulnérabilité.
3. Remise du Rapport Technique d’Évaluation (RTE)
À l’issue de l’évaluation de sécurité, les résultats de l’analyse sont synthétisés dans un Rapport Technique d’Évaluation. Ce document décrit les résultats de l’analyse de sécurité, les éventuelles vulnérabilités identifiées et les recommandations pour les corriger. Ce rapport permet à l’organisme qui souhaite faire certifier son produit ou système de prendre connaissance des éventuelles failles de sécurité et des mesures à mettre en place pour y remédier.
4. Corrections des vulnérabilités
Une fois le rapport d’évaluation reçu, l’organisme qui souhaite faire certifier son produit ou système doit corriger toutes les vulnérabilités identifiées. Les corrections doivent être apportées de manière rigoureuse et complète, afin d’assurer la sécurité du produit ou système. L’organisme doit ensuite fournir les preuves de la correction des vulnérabilités à l’évaluateur.
5. Délivrance de la certification CSPN
Si le produit ou la solution répond aux exigences de l’ANSSI, la certification CSPN peut alors être délivrée. Elle atteste du niveau de confiance et de robustesse du produit. Le produit certifié sera inscrit sur la liste de l’ANSSI et publié sur le site web officiel.
La certification CSPN doit-elle être renouvelée ?
Lorsque votre solution est certifiée, elle est valable pour une version donnée. En règle générale, la durée de validité d’une certification CSPN est de 3 ans. En somme, renouveler une certification CSPN ANSSI est essentiel pour s’assurer que les produits et solutions informatiques demeurent sécurisés, conformes aux réglementations, fiables et compétitifs dans un environnement technologique et de menaces en constante évolution. Cela permet également de démontrer l’engagement de l’entreprise envers la sécurité de ses clients et de sa réputation.
Découvrez notre solution certifiée Visa de Sécurité – CSPN : PROVE IT