La qualification ANSSI atteste d'une conformité du produit à de fortes exigences règlementaires, techniques et de sécurité, et apporte une garantie de robustesse aux cyberattaques. Ce label est gradué en trois échelles, basée sur des évaluations préalables différentes : qualification Élémentaire, qualification Standard et qualification Renforcée. Cette qualification est une véritable recommandation de l'agence française de cybersécurité et d’un gage de la confiance accordée par l’État français au produit en question ainsi qu’à son éditeur. Elle est notamment basée sur une revue du code source des solutions de cybersécurité. Une revue réalisée par une entité indépendante ; un caractère fondamental qui renvoie directement à la notion de confiance, et de crédibilité.
Pour les utilisateurs de solutions de cybersécurité, le choix d’un produit ou service qualifié est imposé dans le cadre de plusieurs règlementations pour les acteurs les plus critiques comme l’administration française, les opérateurs d’importance vitale (OIV) ou encore les entreprises des secteurs les plus sensibles et critiques. Pour les autres, ce choix garantit de recourir à des solutions pertinentes et est synonyme de souveraineté numérique.
Julien Paffumi, Product Portfolio Manager Stormshield
Au niveau français, la certification de sécurité de premier niveau (CSPN) constitue une attestation de robustesse du produit de sécurité. Elle est basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers de confiance sous l’autorité de l’ANSSI.
Pour les utilisateurs de solutions de cybersécurité, le choix d'un produit ou service certifié est une assurance que les fonctionnalités certifiées offrent un niveau de sécurité éprouvé. Moins exigeant que pour la qualification, l'obtention de ce label est possible moyennant un coût et un délai restreints. Mais alors, comment choisir entre une certification et une qualification ? Si la réglementation est une première réponse, le choix de solutions souveraines et de confiance en est une autre.
Les Visas de Sécurité
Les Visas de sécurité sont délivrés aux solutions ayant obtenu une certification ou une qualification de la part de l’ANSSI. Ils sont un atout de compétitivité pour les fournisseurs de solutions de sécurité autant qu'un gage de sécurité pour les utilisateurs.
Les Critères Communs (CC) sont un ensemble de certifications qui viennent attester de la sécurité d'un produit et dont la valeur est reconnue à l'international. Ce référentiel est né d'un partenariat entre le Canada, les États-Unis et l'Europe. En France, l’ANSSI émet ces certificats, qui attestent que les produits de sécurité certifiés sont conformes à leur cible de sécurité. Il existe sept niveaux d’assurance d’évaluation (Evaluation Assurance Level - EAL) ; pour les applications civiles, elles vont généralement de EAL1 à EAL4, tandis que pour les applications militaires, elles vont de EAL5 à EAL7.
Le niveau d’exigence va ainsi varier d’une certification à l’autre, car le périmètre va varier d'une certification à l'autre : dans le cadre d'une certification Critères Communs, c'est l'éditeur qui va définir le périmètre d’évaluation, alors que dans le cadre d’une qualification standard ANSSI, il devra être approuvé par l’ANSSI. Un niveau d’exigence différent qui indique simplement que le produit certifié CC aura subi des tests moins avancés qu'un produit qualifié par exemple.
La confiance est donc primordiale à l’heure de choisir une solution de sécurité. Et dans certains contextes, il est préférable que les garanties soient apportées par un tiers de confiance local. C’est le cas par exemple en France où le fait d’être certifié ou qualifié par l’ANSSI est important vis-à-vis des enjeux de souveraineté et peut même figurer parmi les critères d’appels d’offres pour certains secteurs critiques.
Le même phénomène est à l’œuvre en Espagne par exemple, où les agences gouvernementales et les infrastructures critiques doivent impérativement utiliser des solutions certifiées par l’agence de cybersécurité nationale (Centro Criptológico Nacional – CCN). Heureusement, des reconnaissances mutuelles existent entre certains pays et permettent d’alléger l’effort de certification. C’est le cas des agences allemandes (BSI) et française (ANSSI) qui reconnaissent désormais mutuellement leur certificat de premier niveau.
En tant qu’acteur de confiance, nos technologies Stormshield certifiées et qualifiées au plus haut niveau européen vous garantissent donc une protection adaptée pour les informations stratégiques ou les plus sensibles de votre organisation. En tant qu'acteur souverain, toutes nos équipes de R&D et tous nos développements sont ainsi réalisés en France, où nous travaillons en étroite collaboration avec l’ANSSI.
Produits certifiés ANSSI, produits qualifiés ANSSI : envie d'en savoir davantage sur les qualifications et certifications de nos produits ? Sur notre démarche continue de qualification et certification de sécurité ? Ou encore sur les autorités européennes compétentes ? Nos équipes commerciales sauront répondre à toutes vos questions sur nos produits labelisés et recommandés.
Stormshield, filiale à 100% d’Airbus Defense & Space Cyber Programmes (ex-Airbus CyberSecurity), propose des solutions de sécurité de bout-en-bout innovantes pour protéger les réseaux (Stormshield Network Security), les postes de travail (Stormshield Endpoint Security) et les données (Stormshield Data Security).