Pourquoi les Visas de Sécurité de l’ANSSI sont-ils importants ?

Articles de blog


Le secteur de la cybersécurité regorge de nombreuses solutions de sécurisation des systèmes d’information. Il peut être difficile d’y faire un choix judicieux et adapté aux besoins de l’entreprise ou de l’administration en question. C’est alors que les Visas de sécurité de l’ANSSI interviennent.

Un gage de robustesse



Annoncés au FIC en janvier 2018, les visas de Sécurité, délivrés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), permettent d’identifier facilement les solutions de cybersécurité les plus fiables. Ce gage de confiance intervient après une évaluation et des tests poussés, réalisés par l’agence et les CESTI, des centres d’évaluation agréés par l’ANSSI.

A l’issue de ce processus d’évaluation, un visa de sécurité est délivré (ou non) par l’ANSSI. Il distingue alors deux types de visa de sécurité : la certification ou la qualification. D’un côté, la certification évalue la robustesse d’un produit ou d’un service. De l’autre, la qualification évalue non seulement la robustesse, mais également la confiance, avec des tests de pénétration, des vérifications de critères de confiance définis par l’Agence, ainsi que des tests fonctionnels pour certains produits notamment les sondes de détection.

Quelle est la différence entre la certification et la qualification ?



D’après l’ANSSI, la certification est « l’attestation de la robustesse de produits qui ont été éprouvés lors de tests de pénétration par un évaluateur tiers sous l’autorité de l’ANSSI. » Il existe deux types de certification, qui se différencient par la portée de leur reconnaissance :
  • La certification critères communs (CC) : c’est un standard de certification reconnu au niveau mondial.
  • La certification de sécurité de premier niveau (communément appelée CSPN) : créée par l’ANSSI comme alternative à la CC, elle est reconnue en Europe.

La durée, le prix et l’investissement demandés varient entre ces deux certifications. Il faut alors bien s’informer en amont des critères exigés par la CC ou la CSPN, avant de faire un choix. Toutefois d’après les chiffres fournis par l’ANSSI, sur une centaine de certifications délivrées sur un an, 90% sont des CC et 10% des CSPN.

La qualification, quant à elle, est « la recommandation par l’État français de produits ou services de cybersécurité éprouvés et approuvés par l’ANSSI. » La reconnaissance de cette qualification par l’ANSSI est effective principalement en France, mais aussi dans certains pays européens. Elle permet surtout de valider des produits et services qui répondent aux besoins en termes de cybersécurité des OIV (Opérateurs d’Importance Vitale) et administrations en France.

Tout savoir sur les obligations des OIV

Téléchargez notre guide pratique sur les obligations des OIV en matière de détection



Téléchargez le guide


Il existe 3 niveaux de qualification de produits de sécurité : élémentaire, standard et renforcé. Pour les services, on les distingue en fonction du cadre réglementaire, dans plusieurs familles : détection des incidents, audit, réponse aux incidents, informatique en nuage et services de confiance numérique.

Pour savoir quel visa de sécurité choisir pour votre entreprise ou organisation, l’ANSSI a réalisé ce schéma répondant à cette question :

”Quel

Les derniers visas de sécurité en date



Les premiers visas de sécurité ont été délivrés en juin 2018 à 35 fournisseurs de produits certifiés (comme Safran, Atos…) et à 53 prestataires de services ou fournisseurs de produits qualifiés (tels que Sopra Steria, Orange Cyberdefense, Oodrive…).

En juin 2019, l’ANSSI a délivré de nouveaux visas de sécurité à l’occasion de ses 10 ans : 18 certifications et 27 qualifications, dont Gatewatcher est fier de faire partie. En effet, l’ANSSI a délivré le 4 avril 2019 le visa de sécurité pour la qualification élémentaire à son système de détection de menaces avancées Trackwatch®.

Pour aller plus loin

Ce site utilise des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.