Après leur annonce lors du Forum international de la cybersécurité (FIC) début janvier en début d’année, les premiers Visas de sécurité de l’Anssi ont été décernés ce jeudi 21 juin.
Ce 21 juin, en présence de Mounir Mahjoubi, secrétaire d’État chargé du Numérique, l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information a remis ses premiers Visas de sécurité. Issu d’une analyse de centres d’évaluation privés agréés, ce nouveau certificat annoncé à l’occasion du FIC (Forum International de la Cybersécurité) en janvier dernier a été conçu pour aider les utilisateurs dans leurs choix de solutions de sécurité et pour renforcer la cybersécurité de la France.
“Les Visas de sécurité que délivre l’ANSSI permettent d’identifier facilement les plus fiable d’entre elles [solutions de sécurité] et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés selon une méthodologie rigoureuse et éprouvée. Cette évaluation prend notamment la forme de tests de pénétration poussés et d’une analyse approfondie pour vérifier la conformité de ces solutions aux référentiels correspondants. Ce n’est qu’à l’issue de ce processus que l’ANSSI décide, ou non, de délivrer ce Visa de sécurité au produit ou prestataire de services évalué. Ce Visa se matérialise, selon le contexte et le besoin, par une certification ou une qualification“, indique l’autorité nationale en préambule de son catalogue des solutions qualifiées, dont le PDF est consultable en ligne.
Tout fournisseur de produit et prestataire de service certifié ou qualifié peut recevoir un Visa…
La certification peut concerner les solutions de cybersécurité et, plus largement, toutes les solutions numériques offrant des fonctionnalités de sécurité. Solutions, produits, services, centres d’évaluation sont concernés. Qui peut recevoir aujourd’hui un Visa de sécurité ANSSI ? Tout fournisseur de produit et prestataire de service qui détient une certification ou une qualification délivrée par l’ANSSI. Selon Guillaume Poupard, “Il est indispensable de prendre conscience de l’enjeu décisif que représente la sécurité numérique aujourd’hui. Le Visa de sécurité ANSSI offre à tous des repères et outils indispensables pour agir face au risque numérique. Ensemble, devenons les acteurs de notre sécurité numérique !“ Le Visa de sécurité comprend aussi le référentiel SecNumCloud, qui vise des solutions de Cloud recommandées par l’ANSSI. Suite à une coopération entre l’ANSSI et la Commission nationale de l’informatique et des libertés (CNIL), SecNumCloud est d’ailleurs passé à l’heure du Règlement général sur la protection des données (RGPD) : il inclut désormais des exigences relatives à la protection des données répondant aux attentes des entreprises, des administrations et des collectivités. « Demain, les entreprises de toutes tailles, y compris les TPE/PME, collectivités et administrations, pourront se tourner vers les prestataires SecNumCloud, qui présenteront des garanties élevées, tant en matière de sécurité que de protection des données » a annoncé le secrétaire d’Etat chargé du Numérique.
La #cybersecurite : enfin un sujet du 20h, enfin un sujet des séries, enfin un sujet pour tous les citoyens et les entreprises ! Récompenser l’excellence française avec les #VisaSecu de l’@ANSSI_FR ! pic.twitter.com/yHqbtFkD8t
— Mounir Mahjoubi (@mounir) 21 juin 2018
Mais les processus de validation sont exigeants…
S’il n’y pas obligation d’être français pour recevoir ce Visa, il faut néanmoins répondre aux exigences de sécurité et de confiance demandées par l’autorité. Ce qui passe par des processus très rigoureux et contraignants, publics depuis mars 2017, avec des échanges permanents et des améliorations demandées tout au long par l’ANSSI. Le chemin est complexe pour l’entreprise qui souhaite son estampille, mais aussi longs – entre 6 et 18 mois – et coûteux – entre 10 000 et 250 000 euros. Ce que l’on sait peu. Cela peut peut-être expliquer que les “visés” sont en majorité français, ou européens comme Siemens. Samsung détonne dans la liste (consultez les différentes listes en bas d’article). Comme on peut penser que la confiance est plus largement attribuée à des entreprises nationales qui ont des datacenters en France et qui partagent plus facilement leurs données avec une autorité de leur propre pays.
Les menaces évoluant, rien n’est gagné ad vitam aeternam, et les dispositifs de certification vont être complétés par des niveaux de sécurité, plus ou moins forts, avec des codes couleurs et remis à jour de façon périodique. Des sortes de “niveaux de fraîcheur” somme toute.
Du grand groupe à la plus petite société au savoir-faire pointu
Parmi les élus dans le domaine de la démat, citons Yousign, qui propose une solution de signature électronique. La société, éditeur de logiciel et tiers de confiance à la fois, devient l’un des premiers acteurs français à bénéficier de cette reconnaissance de l’Etat en qualité de prestataire de service qualifié. Autre récompensé : Dhimyotis, filiale du Groupe Tessi, opérateur et tiers de confiance européen, qui délivre des certificats numériques qualifiés RGS et eIDAS. Universign, plateforme SaaS de services de signature électronique, de cachet électronique et d’horodatage, l’a lui aussi obtenu. Chez les spécialistes de cybersécurité proprement dit, citons Stormshield qui reçoit 4 nouveaux Visas sécurité. Sysdream, spécialiste français des audits et formations en sécurité informatique, qui vient d’être acheté par Hub One, est dans la liste. Tout comme Prim’X, éditeur de logiciels de chiffrement pour les entreprises. Systancia, un éditeur de logiciels de virtualisation des postes de travail et des applications, et de sécurité des accès externes, a reçu le Visa de sécurité en tant que détenteur de la Qualification – niveau élémentaire de l’ANSSI pour IPdiva Secure 8, actuellement seule solution à être recommandée par l’ANSSI dans le domaine technique « Identification, authentification et contrôle d’accès ». Les labellisés vont des plus grands comme Atos, Thales, Schneider Electrics ou encore Orange Cyberdefense aux sociétés plus modestes mais “pointues”. Sur les photographies ci-dessous, apparaissent les listes des “visés” : les 12 centres d’évaluation/CESTI, les 53 fournisseurs de produits et prestataires de services qualifiés, ainsi que les 34 fournisseurs de produits certifiés.
