Le cyberscore d’un côté, les certifications-qualifications des produits de l’autre – sans même parler des certifications individuelles –, les labels restent un sujet de fond en cybersécurité. Mais alors que les deuxièmes se multiplient aux échelons nationaux et internationaux, il devient difficile pour les responsables informatiques de se repérer. Faut-il opter pour une certification plutôt qu’une qualification ? À quel organisme se fier ? Tous les labels se valent-ils ? Autant de questions qui interrogent.
En parallèle face à la recrudescence d’arnaques en ligne, le grand public peine à évaluer la sécurité des services en ligne qu’il utilise. C’est dans un souci de simplification que le projet de cyberscore a été lancé en France. Sur le papier : une visualisation rapide du niveau de cybersécurité d’un service numérique. Mais dans les faits, le label navigue entre les questions de sécurité et de souveraineté, en attendant de préciser les éléments à prendre en compte dans cette notation à destination des particuliers. Et du côté des entreprises ?
Un (trop ?) large panorama de certifications et qualifications en cybersécurité
Certification CSPN, qualification élémentaire, standard et renforcée ou Visa de Sécurité en France, « Producto Aprobado » ou « Producto Cualificado » en Espagne, certifications Critères Communs, labels Restreint OTAN ou encore Restreint UE ; avec la multiplication des certifications des produits de cybersécurité, les responsables informatiques ont de plus en plus de mal à savoir ce que recouvre exactement chacune d’entre elles. Et donc du mal à choisir la plus adaptée à leur organisation. Ce foisonnement reste néanmoins un signe positif pour Julien Paffumi, Product Portfolio Manager chez Stormshield, qui analyse que « la multiplication de ces certifications et qualifications est un indicateur de la prise de conscience du besoin de cybersécurité des entreprises. Et pas de n’importe laquelle mais bien d’une cybersécurité de confiance, garantie par un tiers ».
La multiplication de ces certifications et qualifications est un indicateur de la prise de conscience du besoin de cybersécurité des entreprises. Et pas de n’importe laquelle mais bien d’une cybersécurité de confiance, garantie par un tiers.
Julien Paffumi, Product Portfolio Manager Stormshield
Sur ce sujet de la règlementation cyber, une question revient souvent : quelles différences entre certification et qualification ? Au niveau français, la certification constitue une attestation de robustesse du produit de sécurité là où la qualification va plus loin. Cette qualification atteste d'une conformité du produit à de fortes exigences règlementaires, techniques et de sécurité, et apporte une garantie de robustesse aux cyberattaques. Elle prend alors la forme d’une véritable recommandation émanant de l’ANSSI, d’un gage de la confiance accordée par l’État (français, ici) au produit en question ainsi qu’à son éditeur. Important à rappeler : une qualification ANSSI est notamment basée sur une revue du code source des solutions de cybersécurité.
Cette attribution par une entité indépendante est fondamentale ici, car elle renvoie directement à la notion de confiance, et de crédibilité, accordée à une certification ou une qualification.
L’évaluation et la reconnaissance des certifications et qualifications en cybersécurité
Et comme l’ensemble de ces certifications nationales et internationales ne sont pas toutes équivalentes et ne reposent pas sur les mêmes critères d’évaluation, il n’est pas rare d’observer des éditeurs en quête d’obtentions multiples pour valoriser leur technologie. Une situation qui renforce la nécessité de bien comprendre ce qui distingue les différentes certifications disponibles et de se poser des questions légitimes : comment comparer la valeur de deux certifications ? Une certification à portée internationale a-t-elle plus de poids qu’une certification locale ? Pour Julien Paffumi, « l’arbitrage en faveur d’une certification locale tient souvent à un critère géopolitique et à la question de la souveraineté nationale, alors que le choix de certifications internationales relève plutôt de l’intérêt économique. Pour un éditeur ou un client multinational, il est intéressant de bénéficier d’une certification reconnue dans tous les marchés sur lesquels il opère. »
L’arbitrage en faveur d’une certification locale tient souvent à un critère géopolitique et à la question de la souveraineté nationale, alors que le choix de certifications internationales relève plutôt de l’intérêt économique.
Julien Paffumi, Product Portfolio Manager Stormshield
Il faut également bien comprendre que toutes les certifications et qualifications sont différentes. Il est tout à fait normal qu’une certification industrielle, par exemple, n’ait pas les mêmes critères d’obtention qu’une qualification plus grand public puisque les enjeux et les environnements sont extrêmement différents. Le niveau d’exigence va également varier d’une certification à l’autre : une certification CSPN ANSSI est par exemple moins exigeante qu’une certification Critères Communs, elle-même moins poussée qu’une qualification standard ANSSI. Exigence différente et périmètre différent ; dans le cadre d'une certification Critères Communs, c'est l'éditeur qui va définir le périmètre d’évaluation, alors que dans le cadre d’une qualification standard ANSSI, il devra être approuvé par l’ANSSI. Par ailleurs, un niveau d’exigence différent ne signifie pas pour autant qu’un produit certifié CSPN soit nécessairement moins bon qu’un produit qualifié au niveau standard : cela indique simplement qu’il a subi des tests moins avancés. Des garanties obtenues en laboratoire quand le produit est testé dans différentes conditions par un tiers indépendant. « Le fait que n’importe quel produit, conçu par n’importe quel éditeur, soit soumis au même environnement de test fournit au client potentiel des éléments de comparaison objectifs et exploitables », explique Julien Paffumi. Le choix d’un label ou d’une certification doit donc commencer par une définition claire du besoin : une certification spécifique à votre secteur d’activité (industrie, milieu bancaire, etc.) est-elle requise ? correspondez-vous à la catégorie d’organisations certifiées par le label visé ? de quel niveau d’exigence minimum avez-vous besoin ? de quel niveau de confiance avez-vous besoin ?
Après ces premières questions, viennent ensuite l’estimation du sérieux et de la compétence de l’organisme qui le délivre ainsi que l’étude du processus d’obtention : combien de tests ont été réalisés ? sur quelle période ? par qui ? Et d’autre part, il faut analyser la pertinence de la cible de certification dans le détail des points précis qui ont été vérifiés lors du processus. Or, comme l’indique Julien Paffumi, « en creusant, il devient difficile de suivre les détails : même pour un expert cyber, il n’est pas toujours facile de comprendre les subtilités d’une cible de certification ». D’où l’importance d’identifier des tiers de confiance fiables et rigoureux. Pour lui, « la démarche d’une qualification auprès de l’ANSSI par exemple est très exigeante. La barre est placée haut et les organismes évaluateurs ainsi que le bureau chargé de la qualification sont très stricts. En tant qu’éditeurs, nous devons faire nos preuves et parfois apporter des modifications à nos produits qui peuvent être coûteuses pour pouvoir obtenir le fameux tampon. C’est ce qui en fait une vraie marque de qualité et de confiance ».
La démarche d’une qualification auprès de l’ANSSI est très exigeante. La barre est placée haut et les organismes évaluateurs ainsi que le bureau chargé de la qualification sont très stricts. C’est ce qui en fait une vraie marque de qualité et de confiance
Julien Paffumi, Product Portfolio Manager Stormshield
La confiance est donc primordiale à l’heure de choisir un label. Et dans certains contextes, il est préférable que les garanties soient apportées par un tiers de confiance local. C’est le cas par exemple en France où le fait d’être certifié ou qualifié par l’ANSSI est important vis-à-vis des enjeux de souveraineté et peut même figurer parmi les critères d’appels d’offres pour certains secteurs critiques. L’agence française jouit d’une excellente réputation à l’échelle européenne, ce qui fait également de la certification/qualification ANSSI un argument commercial à cette même échelle. Le même phénomène est à l’œuvre en Espagne par exemple, où les agences gouvernementales et les infrastructures critiques doivent impérativement utiliser des solutions certifiées par l’agence de cybersécurité nationale (Centro Criptológico Nacional – CCN). Heureusement, des reconnaissances mutuelles existent entre certains pays et permettent d’alléger l’effort de certification. C’est le cas des agences allemandes (BSI) et française (ANSSI) qui reconnaissent désormais mutuellement leur certificat de premier niveau.
Ce genre d’initiatives bilatérales pose la question d’avancer vers un cadre de certification unique, international et intersectoriel.
Les enjeux de l’harmonisation des labels, certifications et qualifications
Au niveau européen, ce processus d’harmonisation a déjà commencé avec un accord de reconnaissance mutuelle européen baptisé SOG-IS. Celui-ci est loin d’être « universel » puisque ses plus hauts niveaux de reconnaissance ne concernent que deux domaines techniques spécifiques (les « microcontrôleurs sécurisés et produits similaires » et les « équipements matériels avec boîtiers sécurisés »). Mais c’est un début. L’harmonisation des labels, certifications et qualifications constitue donc un horizon désirable pour le niveau de cybersécurité général sous réserve d’éviter l’écueil d’un nivellement par le bas ou d’une simplification à l’extrême. Voilà qui explique peut-être les longues discussions et le retard pris par l’Union européenne dans l’élaboration de la future certification européenne par l’ENISA : suivra-t-elle les exigences d’une CSPN française, d’une certification critères communs EAL3+, EAL4+, d’une qualification standard ? Réponse définitive attendue d’ici 2024 – au même moment que la sortie attendue du U.S. Cyber Trust Mark, autre label de cybersécurité venu de l’autre côté de l’Atlantique.
Des initiatives encourageantes en faveur de l’harmonisation. Car elles lancent le mouvement de fond pour permettre d’établir des normes de cybersécurité communes de qualité et de rigueur. « Il faudra néanmoins trouver un juste milieu entre certification pour tous et sur-mesure pour garantir la pertinence sur chaque secteur d’activité », prévient Julien Paffumi. Cet effort d’harmonisation des certifications et qualifications pourrait alors faire émerger un label commun, re connu par le plus grand nombre. En parallèle, en réduisant les efforts nécessaires pour se conformer aux exigences réglementaires de cybersécurité de chaque marché, il favoriserait en plus l’adoption de bonnes pratiques cyber au sein d’un plus grand nombre d’entreprises. Une initiative saine, insufflée entre-autres par le modèle de l’ANSSI en France, car comme conclut Julien Paffumi : « les réglementations et certifications cyber partent souvent d’une échelle locale avant d’être copiées ou généralisées à d’autres secteurs et/ou d’autres zones géographiques ».