webleads-tracker

Sécurité - Visa de sécurité ANSSI - Partie 2 | Spark Archives

Sécurité - Visa de sécurité ANSSI - Partie 2

Dans mon premier billet sur la sécurité des systèmes d'information intitulé "Sécurité - Critères communs et spécificités CSPN" publié sur le blog Spark Archives, je vous donnais des informations sur les certifications de sécurité produits (CC et CSPN) de l'ANSSI. Ce second billet est dédié au nouveau visa de sécurité ANSSI annoncé en janvier 2018 au Forum International de la Cybercriminalité.

Nouveauté 2018 - Visa de sécurité ANSSI - Produits et services

En janvier 2018, l'ANSSI annonçait l'arrivée du nouveau "Visa de sécurité" dans le paysage français. Le 21 juin 2018, l'agence publiait la première version de son catalogue 2018 des solutions qualifiées par l'ANSSI. 

Le nouveau visa sécurité consiste à permettre le discernement des produits dont le niveau de sécurité a été évalué par l’ANSSI via un processus de certification ou via un processus de qualification.  Ce visa s’adresse également aux prestataires de service de sécurité qui mettent en œuvre les nouveaux services de confiance eIDAS ou qui répondent aux exigences régaliennes autour du RGS ou de la LPM. Enfin le nouveau visa de sécurité permet également de discerner les centres d'évaluation des prestataires de services de sécurité (CESTI).

Le visa ne remet pas en cause les processus de certification CSPN ou CC. Il permet de valoriser les activités de certification orchestrées depuis plusieurs années par l'ANSSI.

Le nouveau visa de sécurité de l'ANSSI distingue la qualification des produits et services de sécurité sur les mêmes principes que pour la certification produit. Les qualifications ANSSI ne sont pas définitives et sont octroyées pour une durée maximale de 2 à 3 ans. Un processus de renouvellement simplifié est cependant possible pour prolonger la qualification.

Niveaux de qualification

Trois types de niveau de qualification sont distingués pour les produits :

  • Niveau élémentaire
    Le produit doit résister à un attaquant disposant de compétences techniques basiques et de ressources limitées.
  • Niveau standard
    Le produit doit résister à un attaquant disposant de compétences techniques avancées et de ressources importantes.
  • Niveau renforcé
    Le produit doit résister à un attaquant disposant de compétences techniques sophistiquées et de ressources illimitées ainsi que d’un soutien étatique et/ou de groupes criminels.

Les processus de qualification à trois niveaux reposent sur les évaluations CSPN et CC :

  • Qualification élémentaire, basée sur une évaluation CSPN.
  • Qualification standard, basée sur une évaluation Critères Communs EAL 3+.
  • Qualification renforcée, basée sur une évaluation Critère Communs EAL 4+.

Catégories des produits qualifiés

Les produits ayant obtenu le visa sécurité sont désormais répertoriés en 10 nouvelles catégories révisant ainsi la catégorisation précédente propre au CSPN : 

  • Chiffrement réseau – Solutions offrant des fonctions de chiffrement des flux de communication.
  • Infrastructure de gestion de clés (IGC) cartes à puces – Solutions implémentant des fonctions de gestion des clés cryptographiques tels que les cartes à puce, les modules cryptographiques, les jetons d’authentification.
  • Signature et gestion de la preuve - Solutions de création et de validation de signatures électroniques, de gestion de la preuve électronique (conservation et horodatage des documents)
  • Titre d'identités électronique - Solutions sécurisées pour la gestion des titres d’identité (passeport, carte agent, etc.).
  • Stockage sécurisé en nuage - Solutions de sécurisation des données utilisateurs stockées, gérées ou manipulées chez des hébergeurs via des offres IaaS, PaaS, SaaS
  • Mobilité - Solutions of­frant des services sécurisés en mobilité (ex. terminaux nomades, solutions de voix sécurisées, etc.).
  • Protection des systèmes industriels - Solutions de sécurisation des systèmes industriels.
  • Protection du poste de travail - Solutions de protection des données utilisateurs stockées localement sur un poste de travail.
  • Protection réseaux et télécoms - Solutions de filtrage web, pare-feu, dispositif de détection d’intrusion ou sondes.
  • Protection systèmes - Solutions de gestion des droits d’accès aux réseaux ou de gestion de parcs.

Classification des services qualifiés

Les services qualifiés sont répertoriés sur différentes familles et sous-familles liées au cadre réglementaire :

  • Famille des prestataires de services de cyberdéfense
    • Prestataires d’audit de la sécurité des systèmes d’information (PASSI).
    • Prestataires de détection des incidents de sécurité (PDIS).
    • Prestataires de réponse aux incidents de sécurité (PRIS).
  • Famille des prestataires de services de confiance numérique qualifiés au titre d'eIDAS
    • Prestataires de services de certification électronique (PSCE)
    • Prestataires de services d'horodatage électronique (PSHE)
    • Prestataires de services d'envoi recommandé électronique.
    • Prestataires de service de validation de signatures et cachets électroniques.
    • Prestataires de service de conservation de signatures et cachets électroniques.
  • Famille des prestataires de services d’informatique en nuage (SecNumCloud).

Pour conclure sur ce second billet

Le nouveau visa de sécurité de l'ANSSI n'est pas une révolution mais une simple évolution qui était nécessaire. Plusieurs objectifs ont ainsi été atteints:

  • Rendre plus lisible les 3 niveaux de qualification des produits pour bien distinguer le positionnement CSPN/CC
  • Intégrer les services de confiance eIDAS
  • Distinguer les services de confiance propres à la France et liés à la cyberdéfense (LPM)
  • Avoir un marquage simplifié tout en conservant la richesse des possibilités offertes depuis plusieurs années par l'ANSSI
  • Rendre plus lisible le marché de la sécurité pour bien distinguer les OIV (opérateurs d'importance vitale)  

Après eIDAS et le RGPD, l'ANSSI se devait de consolider la réponse française face à ces nouveaux enjeux. C'est chose faite avec ce nouveau visa de sécurité qui apporte des réponses aux enjeux liés à la sécurité. Le second volet eIDAS autour de l'identification électronique apportera son nouveau lot d'outils et de services. L'ANSSI est déjà en mesure d'accompagner ce nouveau et prochain changement vers la transition numérique.

Pour vous permettre d'appréhender la certification CSPN, je vous invite très bientôt à découvrir un troisième billet sur le sujet.

 

 

Christian Dubourg

Directeur marketing produit Spark Archives


A lire également sur le site de l'ANSSI : RGPD – RENFORCER LA SÉCURITÉ DES DONNÉES À CARACTÈRE PERSONNEL

Categorie:  Security of records
Tags:  CSPN, ANSSI, SAE

Nous contacter

Adresse :
La Boursidière
BP 159
92357 Le Plessis-Robinson Cedex
 
Téléphone :
+33 (0)1 46 29 25 25
e-mail icon
Twitter icon
Facebook icon
Google icon
LinkedIn icon

Spark Archives, a solution provided by KLEE GROUP

Contact

Spark Archives
La Boursidière
92357 Le Plessis-Robinson Cedex

+33 (0)1 46 29 25 25

sparkarchives@kleegroup.com

Join us

Learn more about our internship and job offers and apply online!  !

Follow us