Lancé en 2018, le Visa de sécurité de l’Agence Nationale de Sécurité des Systèmes d’information se développe fortement pour répondre aux nouveaux besoins du marché. L’Agence française a indiqué que le nombre de produits et services l’ayant obtenu a augmenté de 21 % entre 2019 et 2020.
A l’occasion d’un webinaire intitulé « Ecosystème cyber : les enjeux du passage à l’échelle », l’ANSSI a réuni ce mardi 29 juin ceux qui forment l’écosystème de la cybersécurité : éditeurs et prestataires. Et elle a fourni au passage quelques chiffres et informations intéressants sur ces certifications et référentiels. Ainsi, en 2020, 114 produits ont été certifiés et 132 produits et services ont été qualifiés, soit une augmentation de plus de 20 % en 1 an.
On peut signaler que Schneider Electric a ainsi obtenu le Visa de sécurité pour la Certification de Sécurité de Premier Niveau (CSPN) de sa gamme complète d’automates programmables industriels Modicon M580 PAC. Ou encore que Lex Persona a obtenu une CSPN pour Odisia, son API de signature électronique.
Voir la liste des produits certifiés CSPN de l’ANSSI ici.
Le développement de nouveaux référentiels
L’ANSSI a indiqué également travailler sur de nouveaux référentiels, évoquant celui publié le 1er avril dernier pour les prestataires de vérification d’identité à distance (PVID). L’agence a précisé être en train de développer un référentiel pour les prestataires d’administration et de maintenance sécurisées (PAMS) et un autre pour les prestataires d’accompagnement et de conseil en sécurité des systèmes d’information.
Elle a enfin expliqué faire évoluer le référentiel SecNumCloud “pour intégrer de nouvelles exigences et demeurer à l’état de l’art ». L’Agence précise que SecNumCloud “va intégrer formellement des critères techniques et juridiques essentiels à un « Cloud de confiance » en phase avec la stratégie Cloud de l’Etat » présentée le 17 mai 2021, qui a pour objectif de proposer des offres soumises exclusivement à la réglementation européenne afin d’assurer la protection des données utilisateurs.
Une certification européenne en construction
L’Europe s’organise pour une défense commune – elle souhaite d’ailleurs créer une unité conjointe de cybersécurité – et des certifications partagées, et Guillaume Poupard, directeur général de l’ANSSI, a expliqué que « la France joue un rôle moteur dans la création des schémas de certification européens », alors qu’elle est « forte de vingt ans d’expérience en matière de certification. »
Eric Vétillard, expert en certification à l’Agence Européenne pour la Cybersécurité (ENISA), a précisé : « L’Agence Européenne pour la Cybersécurité travaille aujourd’hui sur trois schémas de certification de la cybersécurité, qui constituent les éléments de base d’un cadre de certification de la cybersécurité harmonisé au niveau européen, tel que défini dans le Cybersecurity Act ». Ces trois schémas portent sur les “Critères Communs », le Cloud et la 5G. Mais les intervenants l’ont bien fait comprendre : définir un cadre européen harmonisé de certification de produits et services de cybersécurité est une initiative à long terme, alors qu’il faut impliquer de nombreux acteurs des sphères privée et publique.