Certification et qualification des produits de cybersécurité : que dit la réglementation ?

Obligations versus recommandations de produits de cybersécurité qualifiés

La question est simple : dans quels cas faut-il faire appel à un produit de cybersécurité qualifié ? Les communications de l'ANSSI répondent en partie à cette question : les organismes dont l'activité relève du référentiel général de sécurité (RGS), du règlement européen eIDAS ou encore de la Loi de programmation militaire (LPM) doivent faire appel à un produit de cybersécurité qualifié. Si votre activité ne relève pas d'un cadre législatif, pas de produits de sécurité imposés mais l'ANSSI recommande d'utiliser au moins un produit de cybersécurité certifié.

Pour autant, faire appel à un produit de cybersécurité qualifié reste une bonne pratique générale pour améliorer votre cybersécurité. Car la qualification d'un produit de cybersécurité atteste de son niveau de sécurité, de son niveau de conformité aux exigences de l'ANSSI et du niveau de confiance dont il bénéficie. Le choix d’un produit de cybersécurité qualifié vous garantit de recourir à des solutions pertinentes, utilisées par l’administration française, les opérateurs d’importance vitale (OIV) et les entreprises des secteurs les plus sensibles.

Certification, qualification : comment choisir sa solution de cybersécurité ?

Les directives NIS et NIS2

En complémentarité des OIV à l'échelle française, l’Union européenne a défini des Opérateurs de Services Essentiels (OSE) en 2016 et a établi des préconisations pour leur mise en conformité. Les règles de sécurité liées à cette directive NIS ont été définies dans l'arrêté du 14 septembre 2018, lequel renvoie aux « exigences du référentiel en matière de réponse aux incidents de sécurité [...] relatif à la qualification des produits de sécurité ».

La révision de cette directive a eu lieu en 2022 et poursuit l'objectif d’assurer un certain niveau de sécurité pour les réseaux et systèmes d’information des infrastructures critiques et sensibles des pays membres de l’Union européenne. Cette directive NIS2 entraîne un élargissement des acteurs concernés (notamment pour intégrer les sous-traitants), une nouvelle dimension contraignante et enfin, la fin programmée des OSE. Désormais, le périmètre de ces opérateurs régulés sera divisé en deux typologies d’acteurs : les entités essentielles (EE) et les entités importantes (EI), dont la différenciation se fera par la criticité des secteurs associés.

Les recommandations de l'ANSSI

Le guide de Recommandations pour la protection des systèmes d'information essentiels détaille les différentes sections du chapitre relatif à la protection des réseaux : sécurité de l'architecture, sécurité de l'administration, gestion des identités et accès, maintien en conditions de sécurité.

Surtout, il donne un contexte d'application des recommandations. Dans la rubrique Utilisation de produits et services de confiance, il est ainsi précisé : « Il est donc fortement recommandé de privilégier des produits ayant obtenu un visa de sécurité ANSSI – et en particulier ceux ayant obtenu une qualification – lorsqu’ils existent ».

Les risques en cas de non-conformité

Les éventuelles anomalies ou éventuels écarts avec les obligations relevés durant les périodes d'évaluations et d'audits sont autant de risques pour l’entreprise ou l'administration car elles les exposent aux risques cyber. Cette non-conformité aux obligations peut en plus conduire un risque de sanction judiciaire, administrative ou disciplinaire, un risque de perte financière, un risque d'atteinte à l'image et la réputation, voire une combinaison de l'ensemble. À titre d'exemples de pénalités cyber ou de sanctions cyber, le non-respect du RGPD peut entraîner des amendes allant jusqu'à 4% du chiffre d'affaires ou 20 millions d'euros, tandis que le non-respect de la LPM peut entraîner des sanctions financières pour le dirigeant comme pour l’opérateur (l’article L.1332-7 du Code de la défense prévoit ainsi une amende de 150 000 euros pour les personnes physiques et une amende pouvant s’élever à 750 000 euros pour les personnes morales). Important à noter ici que la simple négligence est donc en principe condamnable.

Pour être conforme à ces obligations ou recommandations, faites appel à un produit de cybersécurité certifié ou qualifié. Car à travers cette reconnaissance, c'est tout le poids de la confiance de l'autorité de certification qui oblige les éditeurs.

Les accords de reconnaissance mutuelle entre pays européens

Pour répondre à vos besoins règlementaires, faites appel à des produits européens de confiance. Un premier accord européen définit le cadre de la reconnaissance mutuelle entre 17 États européens : le SOG-IS. Cet accord implique que l’évaluation de tout produit IT selon les Critères Communs (jusqu’au niveau EAL4 ou EAL7 pour des domaines techniques particuliers) soit reconnue par les États signataires de l’accord, quelle que soit l'autorité de certification. Un second accord, international, traite des méthodes d'évaluation : le CCRA. Plus récemment, la Commission Européenne a annoncé l’adoption du premier schéma de certification européen, EUCC (EU Common Criteria), conforme aux réglementations européennes en matière de cybersécurité.

En parallèle, l'ANSSI et son équivalent allemand, le BSI, ont signé un accord de reconnaissance mutuelle pour leurs certificats de sécurité. Cet accord concerne les schémas CSPN (Certification de Sécurité de Premier Niveau) d'un côté et BSZ (Beschleunigte Sicherheitszertifizierung) de l'autre ; les certificats délivrés sont ainsi reconnus en France comme en Allemagne.

XDR Stormshield - sovereign solution

Les produits Stormshield certifiés et qualifiés

Parce que la confiance est une question centrale autour des solutions de cybersécurité, la technologie des différentes solutions Stormshield est développée pour répondre aux plus hauts niveaux de certification du marché. Une démarche continue, reconnue par les autorités européennes et internationales compétentes comme l'ANSSI en France et le CCN en Espagne.

Et parce que le sujet de la certification et qualification est complexe, les équipes de Stormshield vous aident à y voir plus clair. Contactez-nous.

Stormshield, filiale à 100% d’Airbus Defense & Space Cyber Programmes (ex-Airbus CyberSecurity), propose des solutions de sécurité de bout-en-bout innovantes pour protéger les réseaux (Stormshield Network Security), les postes de travail (Stormshield Endpoint Security) et les données (Stormshield Data Security).

www.stormshield.com