Accueil Le Visa de sécurité ANSSI : toutes les clés pour comprendre !

Le Visa de sécurité ANSSI : toutes les clés pour comprendre !

A quoi sert le Visa de sécurité ?

Le Visa de sécurité que délivre l’ANSSI permet d’identifier en un clin d’œil les solutions ayant obtenu une certification ou une qualification, à l’issue d’une évaluation réalisée par des laboratoires agréés selon une méthodologie rigoureuse et éprouvée. Il permet également de repérer aisément ces laboratoires agréés qui accompagnent l’agence dans la délivrance du Visa de sécurité ! Le Visa de sécurité est l’expression directe de la certification ou de la qualification obtenue par le produit/service et de l’agrément obtenu par le laboratoire. Il signifie : « cette solution a été évaluée selon des normes et processus reconnus par l’ANSSI. »

Le Visa de sécurité regroupe plusieurs processus : comment les distinguer ?

Lorsqu’une entreprise utilise le Visa de sécurité ANSSI, elle doit préciser à côté pour quelle offre il a été obtenu et via quel type d’évaluation, ainsi que le niveau atteint ! Le Visa de sécurité n’est jamais délivré à une entreprise pour l’ensemble de ses offres.

A retenir : le Visa de sécurité ANSSI, gage de robustesse, ne dispense pas de vérifier ce qui a été évalué ! Tous les détails (évaluation menée et conditions d’utilisation) sont disponibles sur les fiches des différents produits et services sur le site internet de l’agence.

La certification de sécurité et la qualification sont les deux processus permettant à l’ANSSI d’évaluer des produits et services. Le choix de l’un ou l’autre se fait au regard des besoins des clients de l’entreprise qui souhaite faire évaluer son offre. Ils répondent à des besoins et des objectifs différents : voir tableaux ci-dessous


La certification de sécurité

  • La certification peut concerner tous les types de produits qui intègrent des fonctions de sécurité.
  • La certification est une évaluation de la robustesse aux attaques d’une version spécifique d’un produit, à un instant « T », selon l’état de l’art des attaques à cet instant.
  • Via la certification, l’ANSSI certifie que la solution répond bien au niveau de sécurité vis-à-vis duquel elle a été évaluée, mais ne présume pas du niveau de confiance qui peut être accordé à la solution sur les aspects non-évalués ou à l’entreprise qui la propose.

 

En quelques mots, qu’est-ce que la certification de sécurité ?

La certification est la reconnaissance par l’État de la robustesse d’un produit, éprouvée à travers une évaluation par un tiers dont la compétence est garantie par l’ANSSI. Elle est établie sur la base d’un contexte d’usage et d’objectifs de sécurité définis par un commanditaire. Une certification est assortie d’un niveau d’assurance, qui correspond à la profondeur plus ou moins importante de l’analyse effectuée par l’évaluateur, selon les objectifs de sécurité du commanditaire.

Il en existe 2 types : la certification Critères Communs (CC), standard internationalement reconnu avec plusieurs niveaux d’assurance dans la sécurité du produit, et la Certification de Sécurité de Premier Niveau (CSPN) qui est l’alternative pour estimer la résistance d’un produit en temps et ressources contraints. Ces certifications ont des durées de validité limitées dans le temps.

 


La qualification

  • La qualification concerne principalement les produits et les services qui représentent un intérêt pour la sécurité des administrations et opérateurs régulés : Organismes d’importance vitale (OIV), Opérateurs de services essentiels (OSE), etc.
  • La qualification permet de répondre à des exigences règlementaires pour la Loi de programmation militaire (LPM), le Référentiel général de sécurité (RGS) et le règlement eIDAS.
  • Via la qualification, l’ANSSI atteste de l’adéquation des solutions aux besoins identifiés et de la capacité du fournisseur ou prestataire à respecter sur le long-terme un certain nombre d’engagements pris auprès de l’ANSSI.

 

En quelques mots, qu’est-ce que la qualification ?

La qualification est la recommandation par l’État d’un produit ou service pour un usage donné et pour une période définie. Elle atteste à la fois de la qualité de la solution, d’un ensemble d’engagements pris par le fournisseur vis-à-vis de l’ANSSI, et de la pertinence de la solution au regard d’un besoin identifié par l’État : le sien, celui d’un Organisme d’Importance Vitale (OIV) ou celui de tout autre acteur identifié dans un cadre réglementaire. Ces solutions sont toutefois disponibles pour tous les types d’utilisateurs qui pourraient en avoir le besoin !

Pour les produits, il s’agit de s’assurer de leur robustesse en éprouvant leur capacité à résister à des attaques selon un contexte d’emploi et un niveau de menace définis. Cette évaluation s’appuie sur une certification et est graduée : qualification élémentaire, standard ou renforcée. Pour les services, il s’agit d’évaluer la compétence du prestataire afin de valider son aptitude à identifier et maîtriser les menaces et risques liés aux exigences inscrites dans les référentiels métiers. Dans les deux cas, l’ANSSI éprouve la capacité du fournisseur à respecter sur le long-terme un ensemble d’engagements pris auprès de l’agence sur la confidentialité et la protection des données, mais aussi sur la correction des vulnérabilités, le maintien des compétences, etc.

Est-il compliqué d’obtenir le Visa de sécurité ANSSI ?

Obtenir le Visa de sécurité n’est pas aisé : les évaluations sont longues et coûteuses. La durée ainsi que le coût du processus dépendent du type de produit/service évalué, de la maturité de la solution présentée, des moyens de sécurité déjà mis en place dans l’entreprise, etc. Chaque année, l’ANSSI organise une cérémonie de remise du Visa de sécurité pour distinguer les offres qui ont obtenu un nouveau Visa de sécurité depuis la précédente cérémonie. Les Visas précédemment obtenus et en cours de validité restent d’actualité !

Que va apporter la certification européenne ?

L’objectif est de créer un cadre harmonisé de certification à l’échelle européenne. Lorsqu’un schéma européen apparaîtra, il prendra le pas sur le schéma national existant. Le cadre de certification européen proposera 3 niveaux : basique, substantiel et élevé. Chacun répondra à un niveau d’assurance différent dans la sécurité du produit ou service délivré.

Est-ce que l’ANSSI délivre d’autres distinctions ?

Le terme de labellisation est utilisé par l’ANSSI pour désigner les attestations qu’elle délivre hors du cadre du Visa de sécurité. Ces labellisations attestent de la conformité à un cahier des charges, et elles n’impliquent pas l’intervention d’une entité indépendante autre que l’ANSSI pour valider cette conformité. Les labels délivrés par l’ANSSI à ce jour sont le label Ebios RM et le label SecNumEdu.

Comment me renseigner sur le Visa de sécurité ?

Plus d’informations sont disponibles sur le site internet de l’ANSSI à cette adresse :

www.ssi.gouv.fr/visa-de-securite/