Qualifications et certifications : deux critères de choix à prendre en compte dans vos appels d’offres

La certification ANSSI s'applique aux produits de cybersécurité et atteste que ces derniers sont conformes aux normes de sécurité les plus strictes.

Le processus de certification correspond à une analyse d’efficacité qui couvre notamment la recherche de vulnérabilités et la résistance des fonctions de sécurité.

Les certifications de l'ANSSI s’appliquent à une variété de produits physiques et logiciels, tels que les systèmes de communication sécurisée, les dispositifs de détection d'intrusions, les solutions d'identification, les cartes à puces et systèmes d'authentification et de contrôle d'accès. Pour faciliter l’adoption de ces solutions, l'ANSSI met à disposition un catalogue exhaustif sur son site internet recensant l’ensemble des produits certifiés.

Actuellement, l'ANSSI délivre deux types de certification : la certification critères communs (CC) et la certification de sécurité de premier niveau.

La certification critères communs (CC)

Les Critères Communs définissent sept niveaux d'assurance pour l'évaluation (Evaluation Assurance Level), chaque niveau intégrant différentes exigences d'évaluation :

• EAL1 : Test simple, résiste aux cyberattaques novices.
• EAL2 : Test de base, résiste aux cyberattaques faibles.
• EAL3 : Test approfondi, résiste aux cyberattaques faibles.
• EAL4 : Test complet, résiste aux cyberattaques modérées.
• EAL5 : Conception et test semi-formels, résiste aux cyberattaques moyennes.
• EAL6 : Conception et test approfondis, résiste aux cyberattaques de niveau élevé.
• EAL7 : Conception et test formels, résiste aux cyberattaques de niveau élevé.

Pour une entreprise cherchant des solutions de cybersécurité, les niveaux d'assurance de l'ANSSI offrent un cadre clair pour évaluer l'efficacité des produits. Un niveau d'assurance plus élevé signifie que les exigences en termes de preuves de sécurité sont plus strictes et que l'effort d'évaluation est plus conséquent. La durée du processus de certification varie de 6 à 18 mois selon le type de produit et le niveau d'assurance visé.

Autre point d'importance pour les entreprises évoluant à l'international, la certification critère commun est également reconnue à l'échelle européenne avec les accords SOG-IS (Senior Officials Group Information Security) et à l’échelle mondiale avec le CCRA (Common Criteria Recognition Agreement).

À l'heure actuelle, 14 pays européens sont signataires de l'accord SOG-IS permettant une reconnaissance mutuelle des certifications Critères Communs jusqu'au niveau EAL4 et EAL7 pour des produits spécifiques tels que les microcontrôleurs sécurisés, ainsi que pour les dispositifs matériels munis de boîtiers de protection.

Concernant le CCRA, ce dernier regroupe 31 pays dont les États-Unis, le Canada, l'Inde et le Japon et reconnaît les certificats Critères Communs jusqu'au EAL2, avec une extension jusqu'au EAL4 dans certaines conditions.

Certification de sécurité de premier niveau (CSPN)

En complément de la certification critère commun, l’ANSSI délivre également une certification de sécurité intitulée CSPN.

Acronyme de Certification de Sécurité de Premier Niveau (CSPN), l'évaluation de cette certification se concentre sur une menace considérée comme modérée, similaire au niveau EAL4 des Critères Communs (CC), mais avec une analyse de conformité moins exhaustive.

Cette certification, développée par l'ANSSI, offre une option alternative aux évaluations plus lourdes et plus longues des CC avec une méthode d'évaluation allégée, généralement d'une durée d'environ 2 mois, se focalisant principalement sur l'analyse du produit lui-même.

Quant à la reconnaissance internationale, les certifications CSPN bénéficient d'une reconnaissance spécifique en Allemagne. En effet, un accord entre l’ANSSI et le BSI allemand permet une reconnaissance mutuelle des certificats de sécurité issus des schémas CSPN français et BSZ allemand.

La qualification s'applique aux produits et services de cybersécurité et atteste de la conformité et du niveau de sécurité de ces solutions, ainsi que du niveau de confiance dans le fournisseur du produit ou du service.

Si la réglementation impose que les administrations françaises, les opérateurs d’importance vitale (OIV) et les entreprises des secteurs les plus sensibles utilisent des produits ou services qualifiés, rien n'empêche les entreprises d'autres secteurs d'utiliser ce genre de solution. Bien au contraire, en raison de sa rigueur, la qualification offre une garantie de sécurité pour chaque entreprise.

Dans le cas des produits, l’ANSSI délivre actuellement plusieurs niveaux de qualification :

• NIVEAU ÉLÉMENTAIRE : le produit doit tenir face à un cyberattaquant aux compétences de base et aux moyens limités.
• NIVEAU STANDARD : le produit doit faire face à un cyberattaquant ayant des compétences avancées et des ressources considérables.
• NIVEAU RENFORCÉ : le produit doit se défendre contre un cyberattaquant aux ressources vastes, avec potentiellement l'appui d'un État ou de groupes criminels.

Pour les services qualifiés, il s'agit ici de s'assurer de la compétence et du niveau de confiance des entreprises prestataires à délivrer des services tels que l'audit, la réponse aux incidents, la détection, ou encore les services de confiance numérique.

Si la qualification d'une solution par l’ANSSI est reconnue en France, elle peut aussi l'être au niveau européen dans certains cadres réglementaires.

Orange Cyberdefense se positionne comme un expert en solutions de cyberdéfense, bénéficiant de multiples qualifications de l'ANSSI. Des qualifications qui confirment le leadership d'Orange Cyberdefense à offrir des services de haut niveau en matière de sécurité des systèmes d'information.

Voici les 4 services qualifiés proposés par Orange Cyberdefense :

Prestataire d'Audit de Sécurité des Systèmes d'Information (PASSI)

Depuis 2015, Orange Cyberdefense est qualifié PASSI. Une qualification qui lui permet d'accompagner les clients soumis aux réglementations RGS (Règlement Général de Sécurité) et LPM (Loi de Programmation Militaire), notamment sur les audits organisationnels et physiques ainsi que sur des analyses de code source et de tests d’intrusion.

Prestataire d'Accompagnement et de Conseil en Sécurité des Systèmes d'Information (PACS)

Depuis juillet 2024, Orange Cyberdefense fait partie des 2 premières entreprises en France à qui l’ANSSI a délivré la qualification PACS.

Cette nouvelle qualification a pour objectif d’accompagner et conseiller les bénéficiaires pour mettre leurs systèmes critiques en conformité avec des exigences de sécurité (LPM, NIS, etc.) ou atteindre un niveau de sécurité, tout en leur garantissant l’intervention de consultants ayant un fort niveau d’expertise et respectant des règles très strictes de protection de l’information.

Orange Cyberdefense est à ce jour qualifiée pour les activités de conseil en gestion des risques de sécurité des systèmes d’information (RISQUE) et conseil en homologation de sécurité des systèmes d’information (HOMOL). L’entreprise a l’ambition d’être également qualifiée d’ici quelques mois sur les activités de conseil en sécurité des architectures des systèmes d’information (ARCHI) et de conseil en préparation à la gestion de crise d’origine cyber (CRISE).

Prestataire de Détection des Incidents de Sécurité (PDIS) LPM

Orange Cyberdefense est également reconnu pour sa capacité à identifier et à répondre aux menaces de sécurité conformément aux exigences de la Loi de Programmation Militaire (LPM). Cette qualification assure aux opérateurs d'importance vitale (OIV) et autres entreprises une détection et une parfaite gestion des incidents de sécurité.

Prestataire de Réponse aux Incidents de Sécurité (PRIS)

Enfin, Orange Cyberdefense se distingue également en tant que Prestataire de Réponse aux Incidents de Sécurité (PRIS), positionnant l'entreprise comme un acteur clé capable d'apporter un accompagnement aux entreprises touchées par une cyberattaque. Une capacité qui permet d'assurer une intervention rapide et efficace pour minimiser l'impact des incidents et restaurer la sécurité des systèmes concernés.