L'Agence nationale de la sécurité des systèmes d'information de France (ANSSI Agence Nationale de la Sécurité des Systèmes d'Information. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un organisme public français placé sous l'autorité du Secrétaire général de la défense et de la sécurité nationale...) est un organisme public français placé sous l'autorité du Secrétaire général de la défense et de la sécurité nationale (SGDSN), chargé de conseiller le Premier ministre dans l'exercice de ses fonctions en matière de défense et de sécurité nationale. L'ANSSI est chargée des questions de cybersécurité en France.
La certification est l’attestation de la robustesse d’un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques. L’ensemble du processus est géré au sein de l’ANSSI par le Centre de Certification National.
A quoi sert la certification ?
Le schéma français offre deux types de certification.
– LA CERTIFICATION CRITÈRES COMMUNS (CC) : Il s’agit d’un d’un standard internationalement reconnu s’inscrivant dans des accords de reconnaissance multilatéraux. Les CC permettent d’atteindre des niveaux d’assurance différents dans la sécurité du produit en considérant d’une part, ses caractéristiques de conception et son processus de développement et, d’autre part, sa résistance face à un niveau d’attaque donné.Plus le niveau d’assurance visé est élevé, plus les éléments de preuve attendus sont précis et l’effort d’évaluation important. La durée du processus de certification varie entre 6 et 18 mois en moyenne (selon le type de produit, le niveau visé, etc.).
– LA CERTIFICATION DE SÉCURITÉ DE PREMIER NIVEAU (CSPN) : Elle a été mise en place par l’ANSSI afin de proposer une alternative aux évaluations CC pour estimer la résistance d’un produit à des attaques de niveau modéré.La CSPN est généralement moins exhaustive que la certification CC et met l’accent sur l’analyse du produit. Elle prend la forme de tests effectués en temps et charge contraints (par défaut 2 mois, 25 à 35 jours/homme).
Les critères communs proposent par défaut 7 niveaux d’assurance d’évaluation. A chaque niveau correspondent des tâches d’évaluation que l’on peut schématiquement répartir en deux phases d’analyse de conformité et vulnérabilité :